⚡️На текущий момент Tor блокируется Ростелекомом в Москве.

Чтобы подключиться к сети Тор, теперь приходится использовать мосты, получить их можно тут: https://bridges.torproject.org
Далее вводим в поле, отмеченное на картинке.

‼️ На change.org нашлась петиция от "Лиги безопасного интернета" (российской окологосударственной НКО, традиционно пиарящейся на десткой порнографии) с просьбой запретить Тор.

А еще:
Тут (explorer OONI) можно смотреть блокировки Тора почти реалтайм.
Здесь форумчане ntc.party немного покопали кому принадлежат сети (AS), на которых происходит блокировки Тора.

Российские пользователи стали жаловаться на блокировку Tor

Наши подписчики из Москвы и регионов сообщают о проблемах в работе Tor. Это также зафиксировал проект OONI, отслеживающий интернет-цензуру по всему миру.

Технический специалист «Роскомсвободы» Вадим Мисбах-Соловьёв отмечает, что любой трафик можно отследить по косвенным признакам (метаинформации в пакетах) и обратил внимание, что пока доступ можно восстановить:

💬«Пока что помогает использование "мостов" (подключение не к тем серверам, список которых идёт с самим пакетом Tor, а к юзерским, взятым из интернета), но списки мостов тоже вполне себе публичны, и если провайдеры зададутся целью, то им не составит труда и эти списки скачивать и добавлять в блок-лист».

Масштабная блокировка или очередное тестирование оборудования?

➡️ https://roskomsvoboda.org/post/blokiruyut-tor-v-rf/

Известная малварь Pegasus израильского разработчика NSO Group в последние пару месяцев использовалась для заражения телефонов как минимум 11 сотрудников американского посольства в Кампале, столице Уганды. У NSO есть политика, что они не работают по США, но оказывается, это просто значит, что в их систему нельзя забить цель для удаленного заражения, номер телефона которой начинается с "+1". В остальном все решает "клиент", в смысле государства и госорганы, которым NSO продает свой сервис, и условных американских госслужащих с иностранными номерами атаковать можно. Теперь NSO заблокировала какого-то клиента у себя в системе и обещает сотрудничать со следствием.

Технически выходит, что если кому-нибудь нужно защищаться конкретно от Pegasus, нужен номер на "+1". И кстати, из-за всей этой истории Apple стала сообщать о попытках взлома самим хозяевам телефонов, но уже постфактум, то есть это не предотвращение.

https://www.bleepingcomputer.com/news/security/us-state-dept-employees-phones-hacked-using-nso-spyware/

У части российских пользователей по-прежнему не работает Tor, в основном на мобильных операторах и в основном в Москве, но не только. При этом по данным OONI Explorer (это такая система измерения блокировок), у кучи пользователей в России Tor продолжает работать. А по статистике Tor, количество пользователей сети из России напрямую (без мостов) за неделю не изменилось.

Tor выпустил новую инструкцию по обходу блокировок на русском, там как раз про использование мостов. Если вкратце, там написано:

1. Попробуйте в настройках Tor Browser "Настройки - Tor - Мосты - Использовать мост - Запросить мост у Torproject.org"
2. Либо идите на https://bridges.torproject.org/, возьмите на странице адреса мостов, вставьте в настройки браузера как мы показывали здесь.
3. Либо напишите имейл на bridges@torproject.org с пустой темой и текстом "get transport obfs4" и адреса мостов придут в ответе.

Кстати, количество российских пользователей, использующих мосты, за последнюю неделю заметно выросло.

А еще в Tor Browser для таких случаев есть Snowflake, это когда трафик ходит в Tor через устройства других пользователей, которые решили вам помогать. Настраивается по адресу "Настройки - Tor - Использовать мост - Выбрать встроенный мост - Snowflake".

Ссылки:
https://explorer.ooni.org/search?until=2021-12-06&since=2021-12-05&probe_cc=RU&test_name=tor
https://metrics.torproject.org/userstats-relay-country.html?start=2021-11-30&end=2021-12-06&country=ru&events=off
https://forum.torproject.net/t/tor-blocked-in-russia-how-to-circumvent-censorship/982
https://metrics.torproject.org/userstats-bridge-country.html?start=2021-11-30&end=2021-12-06&country=ru

Очередная история о том, как мобильные приложения зарабатывают на продаже данных: популярное приложение родительского контроля Life360 с 33 миллионами активных пользователей продает данные геолокации пользователей десятку разных дата-брокеров, и заработало на этом 16 миллионов долларов в 2020 году. Источники расследования называют Life360 одним из самых крупных источников данных в этой индустрии вообще.

Несколько дата-брокеров, с которыми работает Life360, работают с американскими госорганами и продают им данные для анализа перемещения граждан в рамках борьбы с коронавирусом, а один продает данные американскому Минобороны. Как обычно, данные типа анонимные, но только в том смысле, что фамилий там нет.

Сама компания Life360 комментирует: "Данные - важная часть нашей бизнес-модели, которая позволяет нам бесплатно предоставлять большинству пользователей базовый функционал Life360, в том числе данные, которые способствуют безопасному вождению и спасли многие жизни".

Мы про такое регулярно пишем. И про то, что большинство людей спит дома и работает в одном и том же месте, то есть у нас есть уникальный деанонимизирующий "фингерпринт локаций". И про то, что на рынке дата-брокеров есть отдельные игроки-"деанонимизаторы", которые помогают сопоставить якобы анонимные уникальные рекламные идентификаторы устройств и персональные данные их владельцев. И о том, как государства покупают такие данные или получают бесплатно для своих целей.

И кстати, у приложения Life360 в маркетах - куча русскоязычных отзывов.

Ссылки:
https://themarkup.org/privacy/2021/12/06/the-popular-family-safety-app-life360-is-selling-precise-location-data-on-its-tens-of-millions-of-user
https://t.me/rks_tech_talk/129
https://t.me/rks_tech_talk/117
https://t.me/rks_tech_talk/296

Tor Project вчера получил письмо от Роскомнадзора. Там вроде бы написано, что Роскомнадзор собирается блокировать сайт https://www.torproject.org, если Tor чего-то не сделает. Но что надо сделать? Кто-нибудь понимает, что здесь написано?

----------

Направляется уведомление о внесении в «Единый реестр доменных имен, указателей страниц сайтов в сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в сети «Интернет», содержащие информацию, распространение которой в Российской Федерации запрещено» следующего(их) указателя (указателей) страницы (страниц) сайта в сети «Интернет»: https://www.torproject.org.
В случае непринятия провайдером хостинга и (или) владельцем сайта мер по удалению запрещенной информации и (или) ограничению доступа к сайту в сети «Интернет», будет принято решение о включении в единый реестр сетевого адреса, позволяющего идентифицировать сайт в сети «Интернет», содержащий информацию, распространение которой в Российской Федерации запрещено, а доступ к нему будет ограничен.
Сведения о включении доменных имен, указателей страниц сайтов сети «Интернет» и сетевых адресов доступны круглосуточно в сети «Интернет» по адресу http://eais.rkn.gov.ru .
С уважением, ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ.

----------

https://gitlab.torproject.org/tpo/community/support/-/issues/40050#note_2764565

Сайт https://www.torproject.org заблокирован. Ссылка в реестре - на старое решение суда 2017 года.

https://reestr.rublacklist.net/record/3845366/

Из-за особенностей реализации блокировки сайта torproject.org, поддомены кроме www не блокируются. Например, нормально работает bridges.torproject.org - поддомен, на котором пользователи могут получить адреса мостов.

Кроме этого, известный исследователь ValdikSS ночью нашел способ восстановить работоспособность транспорта Snowflake в Tor Browser для тех, у кого он блокируется. ValdikSS опубликовал на (тоже не заблокированном) gitlab.torproject.org свои версии исполняемых файлов snowflake-client для Windows и Linux, которыми нужно перезаписать файлы из комплекта Tor Browser, чтобы Snowflake опять заработал. Snowflake позволяет пользователям, у которых нет доступа к Tor, ходить в сеть через устройства других пользователей как через прокси.

https://gitlab.torproject.org/tpo/anti-censorship/pluggable-transports/snowflake/-/issues/40014
https://ntc.party/t/ooni-reports-of-tor-blocking-in-certain-isps-since-2021-12-01/1477/37

❗️Tor Project запустил зеркало своего заблокированного в РФ сайта

Что известно сейчас:
🔹Блокировка происходит по решению Саратовского райсуда
🔹Зеркало находится вот здесь
🔹Поддомены кроме www не блокируются
🔹Доступен поддомен с мостами
🔹Tor Project обратился к русскоязычным специалистам за помощью

➡️ https://roskomsvoboda.org/post/torproject-vykatil-zerkalo

Из возможных вариантов блокировки Тора наши власти применили практически все методы, но не на полную мощность:
0. Блокировка сайта Tor (реализовано)
1. Блокировка IP-адресов публичных Tor-нод (реализовано частично)
2. Блокировка публичных Tor-мостов (реализовано частично)
3. Блокировка транспорта (реализовано частично)

О том, как вообще работает Тор, что это за ноды и мосты, можно ли заблокировть Тор полностью (на текущий момент нельзя), что и как блокируется в текущий момент, и как обходить каждый из типов блокировок рассказываем в новом материале
https://roskomsvoboda.org/post/blokirovka-tor-na-palciah/

Сегодня утром блокировку сети Tor (IP-адресов известных нод, некоторых мостов и транспорта snowflake) убрали, доступ к сети Tor у российских пользователей опять работает. Блокируется только веб-сайт torproject.org.

Сеть Tor опять блокируют, теперь о блокировках также сообщают абоненты МГТС.

Кроме этого пользователи сообщают, что сегодня с некоторых провайдеров перестал соединяться популярный бесплатный VPN Psiphon (https://www.psiphon3.com/ru/download.html), например он не соединяется на Мегафон Москва.

И кстати, вы тоже замечаете, что в последнее время блокировки перестали быть одинаковыми для всех и могут по-разному работать в разных городах и у разных операторов?

Google выкинул из Play Store несколько приложений, которые работали с дата-брокером Huq, а еще нескольким разослал предупреждения - требует "гораздо яснее" описывать, какие данные они собирают и как передают дата-брокерам, иначе обещает тоже удалить из маркета.

Мы про Huq уже писали - они делают SDK, который встроен в кучу популярных мобильных приложений и собирает данные геолокации пользователей, это такой способ монетизации. В октябре расследователи из Motherboard выяснили, что некоторые приложения собирали данные без явного согласия, например, начинали собирать, если пользователь впервые открыл приложение, увидел запрос на сбор данных и закрыл приложение, ничего не выбирая. Хуже того, некоторые собирали данные, когда пользователь явно отказался. Huq тогда заявил, что они не при делах, типа разработчики сами должны получать и обрабатывать согласие пользователей, а Google обещал расследование.

Теперь понятно, как такие расследования работают. Жаль только, что Google сам не справляется за подобным следить, и нужно, чтобы эти истории искали внешние расследователи типа Motherboard.

https://www.vice.com/en/article/y3vp35/google-tells-apps-disclose-location-data-removed-huq

В новой IOS 15.2 появилась функция "Отчет о конфиденциальности приложений" (она же App Privacy Report). Находится в разделе "Настройки-Конфиденциальность", по умолчанию отключена. Если включить, появляются разделы с инфой за последние семь дней (но накапливаться она начинает только после включения):

• Доступ к данным и сенсорам: какие приложения когда использовали какие разрешения, например, использовали GPS или обращались к адресной книге.
• Сетевая активность приложений: какие приложения обращались к каким доменам.
• Сетевая активность веб-сайтов: то же самое, но для браузеров.
• Часто контактируемые домены: то же самое, что сетевая активность, но отсортировано по доменам, а не по приложениям.

Выглядит очень удобно, но в отличие от специализированных приложений типа Lockdown Privacy это не настраиваемый файрволл, это только отчеты.

https://support.apple.com/ru-ru/HT212958

В паблике всплыла сотня маркетинговых презентаций компании Huawei, в том числе продуктов для государственных и правоохранительных органов, которые китайская компания случайно выложила в публичный доступ. Журналисты Washington Post сделали по ним материал и перевели на английский пять самых интересных слайдов (ссылки на pdf-файлы в конце поста).

Судя по слайдам, Huawei производит:

• Платформу умных камер видеонаблюдения с системой распознавания лиц. Судя по слайдам, этот продукт используется в городе Урумчи с 2017 года.
• Продукт для определения личности говорящего на аудиозаписях по базе образцов голоса.
• Корпоративный продукт для слежки за сотрудниками при помощи умных камер, которые фиксируют, когда сотрудников нет на месте, когда они спят на работе и когда играют на смартфоне.
• Платформу управления "умными тюрьмами", которая, судя по презентации, уже используется в нескольких регионах Китая.
• Интегрированную платформу электронной слежки за гражданами с использованием идентификаторов устройств (в презентации упоминаются отслеживание по Mac и Wifi), камер с распознаванием лиц и считывателей номеров автомобилей.

Реальный "Большой брат".

Ссылки:
1. https://www.washingtonpost.com/world/2021/12/14/huawei-surveillance-china/
2. https://www.washingtonpost.com/context/huawei-surveillance-voice-recording-analysis/b6523eb9-c55f-436e-bd8f-b3f1aa35b36d/?itid=lk_interstitial_manual_28
3. https://www.washingtonpost.com/context/huawei-surveillance-location-tracking/ce666144-f027-4405-9702-27e317893f56/?itid=lk_interstitial_manual_47
4. https://www.washingtonpost.com/context/huawei-surveillance-xinjiang-surveillance/c7b9de8a-920a-4380-a3ff-5420abf8c594/?itid=lk_interstitial_manual_56
5. https://www.washingtonpost.com/context/huawei-surveillance-prison-and-detention-center-monitoring/2661eb99-270e-4d9d-8fd9-2e7857f6e95d/?itid=lk_interstitial_manual_36

Apple выпустила приложение Tracker Detect для Android, которое ищет рядом с телефоном чужие метки Apple AirTag или другие отслеживающие устройства, совместимые с Apple-овским стандартом Find My.

Tracker Detect помогает решить проблему использования меток AirTag для скрытой слежки. Например, эти метки используют угонщики автомобилей - подкладывают в дорогие машины, чтобы выяснить, где их оставят на ночь.

Чтобы минимизировать возможности такой слежки, Apple изначально запрограммировала AirTag пищать через трое суток вдали от "своего" телефона, а в июне уменьшила время до 8-24 часов обновлением прошивки. Кроме этого, AirTag - не анонимны, каждый из них имеет уникальный серийный номер, привязанный к AppleID, но что к чему привязано, нужно запрашивать у Apple. Наконец, телефоны Apple сообщают владельцам о чужих AirTag метках поблизости. Теперь Apple выпустили решение для пользователей Android.

Но, кстати, подобные сторонние приложения существовали и до этого, например AirGuard из Fdroid. Новое приложение - просто официальное.

Ссылки:
https://play.google.com/store/apps/details?id=com.apple.trackerdetect
https://www.schneier.com/blog/archives/2021/12/thieves-using-airtags-to-follow-cars.html
https://www.f-droid.org/packages/de.seemoo.at_tracking_detection/

Мессенджер Signal выпустил обновление, в котором максимальное количество участников групповых аудио- и видеозвонков увеличено с пяти до 40.

В анонсе разработчики подробно описывают, как им удалось запилить поддержку групповых звонков с большим количеством участников и сквозным шифрованием одновременно. Говорят, что решали интересную проблему:

• Если все участники шлют свое аудио и видео каждому другому участнику по отдельности и так же получают (full mesh), то сквозное шифрование есть, но многим участникам будет не хватать пропускной способности - в звонке на 40 человек надо поддерживать 39 соединений.
• Если каждый участник шлет свое аудио и видео на сервер, а сервер "микширует" из этого единственный аудио и видео поток для каждого другого участника, то пропускной способности участникам будет хватать, но нельзя сделать сквозное шифрование - серверу нужны расшифрованные аудио- и видеопотоки каждого участника для микширования.
• Поэтому пришлось выбирать третий вариант: selective forwarding, когда каждый участник шлет свои аудио и видео на сервер, а сервер пересылает их остальным, не расшифровывая (потому что ключей шифрования у него нет). В результате команда Signal выбрала самостоятельно написать такой сервер и выложила код на GitHub.

Signal все-таки молодцы, они очень подробно объясняют, как у них что устроено. В подобных решениях как раз момент со сквозным шифрованием групповых звонков часто остается неясным.

https://signal.org/blog/how-to-build-encrypted-group-calls/