Facebook выпустил новый отчет о прозрачности с данными за вторую половину 2020 года с данными по Facebook и Instagram. Рассказывает, что контент по российским запросам блокирует, но информацию о пользователях не "сдает".
Россия запрашивала данные о пользователях FB и Instagram 20 раз, Facebook говорит, что ничего не выдал, то есть получается, что в 2016-2020 году они вообще ничего не выдавали.
По запросу Роскомнадзора во второй половине 20 года было 1868 блокировок, из них 792 за экстремизм, 537 за показ самоповреждающего поведения, 85 оргпреступность, 71 за оборот и использование запрещенных товаров, 46 за показ сцен насилия (graphic content), одну за дезинформацию о COVID, одну по решению суда, и 335 по "нарушениям в ведении Росмолодежи". В основном блокировали посты, но кроме этого под блокировку попали 59 страниц и групп и 9 профилей в FB и 126 аккаунтов в Instagram.
Россия запрашивала данные о пользователях FB и Instagram 20 раз, Facebook говорит, что ничего не выдал, то есть получается, что в 2016-2020 году они вообще ничего не выдавали.
По запросу Роскомнадзора во второй половине 20 года было 1868 блокировок, из них 792 за экстремизм, 537 за показ самоповреждающего поведения, 85 оргпреступность, 71 за оборот и использование запрещенных товаров, 46 за показ сцен насилия (graphic content), одну за дезинформацию о COVID, одну по решению суда, и 335 по "нарушениям в ведении Росмолодежи". В основном блокировали посты, но кроме этого под блокировку попали 59 страниц и групп и 9 профилей в FB и 126 аккаунтов в Instagram.
Meta
Transparency reports | Transparency Center
Facebook publishes regular reports into how we enforce our policies.
Новое исследование показывает, что после публикации информации о проблемах безопасности хакеры начинают использовать их быстрее, чем их цели в крупном бизнесе успевают защититься, то есть хакеры пока эту гонку выигрывают.
Что измеряли исследователи? В айти есть стандартный способ публикации информации об уязвимостях, который называется CVE. Часто (хотя не обязательно) к моменту официальной публикации CVE производитель успевает выпустить обновление, исправляющее уязвимость. Но хакеры рассчитывают на то, что производитель не успеет выпустить обновление, либо пользователи или админы не успеют его установить.
Так вот, исследователи с января по март мониторили 50 миллионов адресов, принадлежащих 50 крупным компаниям, чтобы понять, как быстро после официальной публикации нового CVE хакеры начинают сканировать интернет и искать жертв новой опубликованной атаки. Получилось в среднем от 15 до 60 минут с момента публикации и еще меньше 45 минут на то, чтобы отсканировать весь интернет (в смысле все IP v4 адреса) и собрать список потенциальных жертв. Если уязвимость особенно "вкусная", как было с мартовской дырой в почтовом сервере Microsoft Exchange, сканировать начали через пять минут после официальной публикации CVE. Устанавливать обновления безопасности с такой скоростью крупные компании не успевают, поэтому у тех, которые попали в выборку исследования, получилось в день в среднем две новые серьезные дыры.
В общем, настали такие времена, когда приходится быстро обновлять все, что обновляется. Можно еще очень внимательно следить за новостями и реагировать только на важное для себя, но это уже мало кто умеет.
Что измеряли исследователи? В айти есть стандартный способ публикации информации об уязвимостях, который называется CVE. Часто (хотя не обязательно) к моменту официальной публикации CVE производитель успевает выпустить обновление, исправляющее уязвимость. Но хакеры рассчитывают на то, что производитель не успеет выпустить обновление, либо пользователи или админы не успеют его установить.
Так вот, исследователи с января по март мониторили 50 миллионов адресов, принадлежащих 50 крупным компаниям, чтобы понять, как быстро после официальной публикации нового CVE хакеры начинают сканировать интернет и искать жертв новой опубликованной атаки. Получилось в среднем от 15 до 60 минут с момента публикации и еще меньше 45 минут на то, чтобы отсканировать весь интернет (в смысле все IP v4 адреса) и собрать список потенциальных жертв. Если уязвимость особенно "вкусная", как было с мартовской дырой в почтовом сервере Microsoft Exchange, сканировать начали через пять минут после официальной публикации CVE. Устанавливать обновления безопасности с такой скоростью крупные компании не успевают, поэтому у тех, которые попали в выборку исследования, получилось в день в среднем две новые серьезные дыры.
В общем, настали такие времена, когда приходится быстро обновлять все, что обновляется. Можно еще очень внимательно следить за новостями и реагировать только на важное для себя, но это уже мало кто умеет.
Palo Alto Networks Blog
Cortex Xpanse Researchers Address Attack Surface Management
Adversaries started scanning for vulnerable Exchange servers within five minutes of disclosure. Attack surface management could help SOCs get ahead of attackers.
Сегодня в Госдуму внесли законопроект, обязывающий крупные иностранные IT-компании открывать представительства в России. Если его примут, за отказ предполагается наказание вплоть до блокировки. Блокировать фактически могут двумя способами: через реестр Роскомнадзора, либо на DPI-оборудовании РКН, установленном у провайдеров по закону о "суверенном рунете". Про это новое оборудование Роскомсвобода в последний раз писала в апреле, когда оно вызвало сбои у крупных операторов.
Поэтому сейчас - отличный момент, чтобы попробовать бесплатное расширение для браузеров от Роскомсвободы Censor Tracker (https://censortracker.org/). Это расширение:
• Позволяет обходить блокировки, то есть пользователь ходит на доступные сайты напрямую, но если сайт заблокирован, то расширение пускает пользователя через прокси. Обход блокировок работает как для сайтов, заблокированных через официальный реестр, так и для внереестровых блокировок.
• Сообщает пользователю, если сайт входит в реестр запрещенных сайтов (https://reestr.rublacklist.net/) или в список организаторов распространения информации. Последние обязаны хранить и без решения суда предоставлять органам любую информацию о пользователях.
• Помогает нам собирать информацию о внереестровых блокировках. То есть если сайт фактически заблокирован, а в реестре его нет, разработчики расширения получают об этом минимум данных, необходимый, чтобы начать разбираться.
Ссылка на версию для Chrome - на оффсайте и в интернет-магазине Chrome. А еще у Censor Tracker есть экспериментальная версия для Firefox, и мы просим пользователей помочь нам ее тестировать. Если у вас есть по ней отзывы - можете писать в комменты на этом канале, разработчики их там увидят.
И раз полноценно пользоваться интернетом в России без VPN становится все сложнее, советуем присмотреться еще к одному проекту, который сделан с помощью Роскомсвободы. Это Amnezia VPN - продукт с открытым исходным кодом, созданный для того, чтобы быстро и просто поднять личный VPN на своем собственном сервере. На сегодня у Amnezia VPN есть приложения для Windows и Mac OS и пока нет приложений для смартфонов, но скоро будут.
Поэтому сейчас - отличный момент, чтобы попробовать бесплатное расширение для браузеров от Роскомсвободы Censor Tracker (https://censortracker.org/). Это расширение:
• Позволяет обходить блокировки, то есть пользователь ходит на доступные сайты напрямую, но если сайт заблокирован, то расширение пускает пользователя через прокси. Обход блокировок работает как для сайтов, заблокированных через официальный реестр, так и для внереестровых блокировок.
• Сообщает пользователю, если сайт входит в реестр запрещенных сайтов (https://reestr.rublacklist.net/) или в список организаторов распространения информации. Последние обязаны хранить и без решения суда предоставлять органам любую информацию о пользователях.
• Помогает нам собирать информацию о внереестровых блокировках. То есть если сайт фактически заблокирован, а в реестре его нет, разработчики расширения получают об этом минимум данных, необходимый, чтобы начать разбираться.
Ссылка на версию для Chrome - на оффсайте и в интернет-магазине Chrome. А еще у Censor Tracker есть экспериментальная версия для Firefox, и мы просим пользователей помочь нам ее тестировать. Если у вас есть по ней отзывы - можете писать в комменты на этом канале, разработчики их там увидят.
И раз полноценно пользоваться интернетом в России без VPN становится все сложнее, советуем присмотреться еще к одному проекту, который сделан с помощью Роскомсвободы. Это Amnezia VPN - продукт с открытым исходным кодом, созданный для того, чтобы быстро и просто поднять личный VPN на своем собственном сервере. На сегодня у Amnezia VPN есть приложения для Windows и Mac OS и пока нет приложений для смартфонов, но скоро будут.
👍2
В Китае в мае вступил в силу новый Закон о защите персональной информации, который вводит ограничения на сбор персональных данных мобильными приложениями. Теперь разработчиков начинают предупреждать за сбор лишних персональных данных, и на прошлой неделе предупреждения получили 105 приложений, в том числе TikTok, Microsoft Bing и Linkedin. На устранение нарушений дают 15 дней, а в перспективе перспективе закон предполагает огромные штрафы (до $7,7 миллионов).
Закон основан на простом списке из 39 пунктов, в котором написано какие категории приложений имеют право собирать какую информацию (вот список на китайском), все остальное собирать запрещено. Например:
• Карты и навигация: геолокация, начальная и конечная точка маршрута.
• Мессенджеры: номер телефона и список контактов.
• Онлайн-сообщества, блоги, форумы: номер телефона.
• Знакомства: номер телефона, пол, возраст, семейное положение.
В списке явно указаны типы сервисов, которым вообще нельзя собирать персональные данные. Это вебкастинг, аудио- и видеостриминг, короткие видео, новости, спорт и фитнес, браузеры, клавиатуры, кибербезопасность, электронные книги, обработка изображений, магазины приложений, утилиты (календари, переводчики, калькуляторы) и женское здоровье.
В Китае почти миллиард пользователей, и "забить" на закон у корпораций наверное не получится, и что им теперь делать? Они быстро научатся собирать разные персональные данные на разных рынках, или нам с вами достанется немного китайской приватности за компанию? А что будет с корпорациями, чья бизнес-модель была просто основана на слежке за пользователями и сборе лишних данных? А что, если в официальном списке - неточность и какой-нибудь категории ПО правда нужно больше данных? Очень интересно.
Закон основан на простом списке из 39 пунктов, в котором написано какие категории приложений имеют право собирать какую информацию (вот список на китайском), все остальное собирать запрещено. Например:
• Карты и навигация: геолокация, начальная и конечная точка маршрута.
• Мессенджеры: номер телефона и список контактов.
• Онлайн-сообщества, блоги, форумы: номер телефона.
• Знакомства: номер телефона, пол, возраст, семейное положение.
В списке явно указаны типы сервисов, которым вообще нельзя собирать персональные данные. Это вебкастинг, аудио- и видеостриминг, короткие видео, новости, спорт и фитнес, браузеры, клавиатуры, кибербезопасность, электронные книги, обработка изображений, магазины приложений, утилиты (календари, переводчики, калькуляторы) и женское здоровье.
В Китае почти миллиард пользователей, и "забить" на закон у корпораций наверное не получится, и что им теперь делать? Они быстро научатся собирать разные персональные данные на разных рынках, или нам с вами достанется немного китайской приватности за компанию? А что будет с корпорациями, чья бизнес-модель была просто основана на слежке за пользователями и сборе лишних данных? А что, если в официальном списке - неточность и какой-нибудь категории ПО правда нужно больше данных? Очень интересно.
Сотрудник компании F5 написал в блоге и рассказал на конференции RSA, как ради эксперимента работал в компании https://2captcha.com/, одном из коммерческих решений по обходу CAPTCHA. Там все, оказывается, грамотно устроено: клиенты запрашивают и получают решения по API, в компании есть техподдержка и документация, куча людей сидит онлайн и решают в реальном времени за совсем небольшие копейки, причем несколько людей одновременно получают одинаковую задачу, а клиенту уходит ответ, который выбрало большинство. Обычная CAPTCHA стоит клиентам $0.75 за 1000 правильных решений, а reCAPTCHA - $2.99 за 1000, причем это еще не самое дешевое на рынке предложение. Все легально.
Мда. Мелким сайтам, которые при помощи reCAPTCHA прикрывают анонимные комментарии под материалами от спама или защищают свои админки от перебора паролей, похоже стоит еще раз подумать, подходит ли использование CAPTCHA для их модели угроз или их нарушитель может позволить себе заплатить три бакса за тысячу обходов.
Мда. Мелким сайтам, которые при помощи reCAPTCHA прикрывают анонимные комментарии под материалами от спама или защищают свои админки от перебора паролей, похоже стоит еще раз подумать, подходит ли использование CAPTCHA для их модели угроз или их нарушитель может позволить себе заплатить три бакса за тысячу обходов.
Иногда всплывают истории об отдельных российских интернет-провайдерах, которые блокируют лишнее. Вот свежий пример: у тульского пользователя заблокирован сайт https://protonvpn.com, хотя в реестре запрещенных сайтов нет его доменных имен и IP-адресов и другие провайдеры в России его не блокируют. Само приложение ProtonVPN работает, но не скачиваются автоматические обновления и геморрой с авторизацией пользователя, то есть не работает все, что фактически обращается к веб-приложению.
Он пишет в поддержку своего провайдера, который называется АЙ ТИ (http://home.it-service.club/), ему отвечают, что блокировка - по письменной просьбе РКН и ссылаются на вот эту новость начала 2020 года. Действительно, в январе прошлого года ProtonVPN на очень короткое время попадал под блокировку "за компанию" с Protonmail, который до сих пор официально заблокирован через официальный реестр запрещенных сайтов. Но тогда компания Proton Technologies быстро поняла, как вывести свой VPN из-под блокировки, и отписалась, что у пользователей из России он должен работать (https://protonstatus.com/incidents/58). В общем, выглядит эта история сейчас как внереестровая блокировка самим провайдером. Перестарались(
Что делать пользователю? Если это единичный локальный случай, то разумное решение — пользоваться другим VPN и попросить у Proton вернуть деньги, если это платная подписка. Юристы говорят, что еще можно написать жалобу на такое в Роскомнадзор)
Он пишет в поддержку своего провайдера, который называется АЙ ТИ (http://home.it-service.club/), ему отвечают, что блокировка - по письменной просьбе РКН и ссылаются на вот эту новость начала 2020 года. Действительно, в январе прошлого года ProtonVPN на очень короткое время попадал под блокировку "за компанию" с Protonmail, который до сих пор официально заблокирован через официальный реестр запрещенных сайтов. Но тогда компания Proton Technologies быстро поняла, как вывести свой VPN из-под блокировки, и отписалась, что у пользователей из России он должен работать (https://protonstatus.com/incidents/58). В общем, выглядит эта история сейчас как внереестровая блокировка самим провайдером. Перестарались(
Что делать пользователю? Если это единичный локальный случай, то разумное решение — пользоваться другим VPN и попросить у Proton вернуть деньги, если это платная подписка. Юристы говорят, что еще можно написать жалобу на такое в Роскомнадзор)
NTC
Блокировка ProtonVPN провайдером АЙ ТИ
Провайдер АЙ ТИ (http://home.it-service.club/ , группа ВК - АЙ ТИ интернет в частный дом | VK) блокирует адрес protonvpn.com, хотя сайта в реестре РКН нет. Ответ провайдера заключался в том, что данный ресурс добавлен в черные списки по письменной просьбе…
Иран запретил майнинг криптовалют на четыре месяца, потому что там большие проблемы с электричеством и веерные отключения из-за засухи.
Это необычная новость, потому что майнинг в Иране - реальный приоритет государственной политики. Неделю назад вышло исследование, в котором говорится, что на Иран приходится 4.5% всего объема нового майнинга Bitcoin или в эквиваленте до 1 миллиарда USD в год. Нацбанк напрямую скупает Bitcoin у майнеров. Таким способом они обходят международные финансовые санкции, то есть фактически перерабатывают лишнюю нефть и газ, которую они не могут экспортировать, в криптовалюты и как-то оплачивают ими импорт.
В общем, Bitcoin - выход для страны с лишней энергией и под международными санкциями.
Это необычная новость, потому что майнинг в Иране - реальный приоритет государственной политики. Неделю назад вышло исследование, в котором говорится, что на Иран приходится 4.5% всего объема нового майнинга Bitcoin или в эквиваленте до 1 миллиарда USD в год. Нацбанк напрямую скупает Bitcoin у майнеров. Таким способом они обходят международные финансовые санкции, то есть фактически перерабатывают лишнюю нефть и газ, которую они не могут экспортировать, в криптовалюты и как-то оплачивают ими импорт.
В общем, Bitcoin - выход для страны с лишней энергией и под международными санкциями.
BBC News
Iran bans cryptocurrency mining for four months after blackouts
President Hassan Rouhani says the energy-consuming activity must be halted for four months.
Провайдер Protonmail подтвердил, что сообщение о минировании, на основании которого Беларусь в воскресенье перехватила рейс Ryanair, было отправлено после того, как самолет был перехвачен. Выглядит так, что они действуют по собственным правилам, описанным в их privacy policy. Там говорится:
Активность аккаунта: Из-за ограничений протокола SMTP, мы имеем доступ к следующим метаданным имейл сообщений:
• имейл адреса отправителя и получателя,
• IP адрес, с которого пришло входящее сообщение,
• тема сообщения,
• время отправки и получения сообщения.
Мы не имеем доступа к содержанию зашифрованных сообщений, но незашифрованные сообщения, присланные с внешних провайдеров на адреса Protonmail, сканируются на спам и вирусы в интересах защиты наших пользователей.
Разглашение данных: Мы будем разглашать только ограниченный объем данных о пользователях, которые мы собираем, если нас обяжут это сделать компетентные органы Швейцарии (юридические обязательства).
В общем то, что Protonmail - крутой сервис с шифрованием и акцентом на приватность, не значит, что он не знает о пользователях ничего, или что он никогда не выдаст никому никакой информации. Это значит, что они имеют четкие документированные правила, действительно следуют им и открыто публикуют данные об этом в регулярно обновляемом отчете о прозрачности.
Активность аккаунта: Из-за ограничений протокола SMTP, мы имеем доступ к следующим метаданным имейл сообщений:
• имейл адреса отправителя и получателя,
• IP адрес, с которого пришло входящее сообщение,
• тема сообщения,
• время отправки и получения сообщения.
Мы не имеем доступа к содержанию зашифрованных сообщений, но незашифрованные сообщения, присланные с внешних провайдеров на адреса Protonmail, сканируются на спам и вирусы в интересах защиты наших пользователей.
Разглашение данных: Мы будем разглашать только ограниченный объем данных о пользователях, которые мы собираем, если нас обяжут это сделать компетентные органы Швейцарии (юридические обязательства).
В общем то, что Protonmail - крутой сервис с шифрованием и акцентом на приватность, не значит, что он не знает о пользователях ничего, или что он никогда не выдаст никому никакой информации. Это значит, что они имеют четкие документированные правила, действительно следуют им и открыто публикуют данные об этом в регулярно обновляемом отчете о прозрачности.
Reuters
Bomb threat cited by Belarus was sent after plane was diverted - Swiss email provider
A bomb threat cited by Belarusian authorities as the reason for forcing a Ryanair (RYA.I) jetliner carrying a dissident journalist to land in Minsk was sent after the plane was diverted, privacy-focused email provider Proton Technologies AG said on Thursday.
Protonmail прислал журналисту Reuters обновленное заявление по поводу имейла о минировании самолета Ryanair:
"26 мая в СМИ попало сообщение имейл (имеется в виду сегодняшний материал на https://dossier.center/bel-hamas/, где анализируется сам имейл, на который ссылается Беларусь). Это сообщение предоставил не Proton, и в силу того, какое шифрование использует Protonmail, мы не можем получить доступ к нему и подтвердить содержание этого сообщения. Однако, мы видим, когда сообщение было отправлено, и подтверждаем, что оно было отправлено после того, как самолет изменил курс. У нас нет оснований полагать, что утверждения белорусской стороны истинны и мы будем поддерживать расследование европейских органов, когда получим юридический запрос".
То есть Proton сейчас подождет правильных швейцарских документов и может быть расскажет, откуда соединялся тот, кто отправил имейл. Интересно, какой это будет VPN-провайдер)
"26 мая в СМИ попало сообщение имейл (имеется в виду сегодняшний материал на https://dossier.center/bel-hamas/, где анализируется сам имейл, на который ссылается Беларусь). Это сообщение предоставил не Proton, и в силу того, какое шифрование использует Protonmail, мы не можем получить доступ к нему и подтвердить содержание этого сообщения. Однако, мы видим, когда сообщение было отправлено, и подтверждаем, что оно было отправлено после того, как самолет изменил курс. У нас нет оснований полагать, что утверждения белорусской стороны истинны и мы будем поддерживать расследование европейских органов, когда получим юридический запрос".
То есть Proton сейчас подождет правильных швейцарских документов и может быть расскажет, откуда соединялся тот, кто отправил имейл. Интересно, какой это будет VPN-провайдер)
Tor Project выпустил новую версию приложения для тестирования блокировок OONI Probe 3.0 для мобильных платформ. В Play Market завезли новую версию, в F-Droid и App Store пока что предыдущая, 2.11. Новая версия умеет автоматически проводить регулярные тесты автоматически раз в час.
Что вообще такое OONI Probe? Это утилита для кучи платформ (Android, IOS, Windows, Mac OS и консольная версия для UNIX-подобных систем), которая помогает пользователям тестировать блокировки и другие вмешательства в их интернет трафик, в том числе:
• Блокируются ли мессенджеры Signal, Whatsapp, Telegram.
• Блокируются ли средства обхода блокировок: Tor и VPN от Psiphon и Riseup VPN.
• Блокируются ли сайты из собственного списка OONI. Для России может проверяться 628 сайтов, списки по странам здесь.
• Несколько типов манипуляций с трафиком со стороны провайдера. OONI называет это middleboxes, "узлы в середине".
• Скорость подключения к сети и скорость потоковой передачи видео.
Сами тесты описаны здесь, их там больше. Клиенты отправляют данные измерений на сервера OONI (отключается в настройках опцией "Приватность"), и там они доступны для исследования, например, https://explorer.ooni.org/country/RU. Полезная штука, жалко только, что нельзя добавлять свои тесты, цены бы ей не было.
Что вообще такое OONI Probe? Это утилита для кучи платформ (Android, IOS, Windows, Mac OS и консольная версия для UNIX-подобных систем), которая помогает пользователям тестировать блокировки и другие вмешательства в их интернет трафик, в том числе:
• Блокируются ли мессенджеры Signal, Whatsapp, Telegram.
• Блокируются ли средства обхода блокировок: Tor и VPN от Psiphon и Riseup VPN.
• Блокируются ли сайты из собственного списка OONI. Для России может проверяться 628 сайтов, списки по странам здесь.
• Несколько типов манипуляций с трафиком со стороны провайдера. OONI называет это middleboxes, "узлы в середине".
• Скорость подключения к сети и скорость потоковой передачи видео.
Сами тесты описаны здесь, их там больше. Клиенты отправляют данные измерений на сервера OONI (отключается в настройках опцией "Приватность"), и там они доступны для исследования, например, https://explorer.ooni.org/country/RU. Полезная штука, жалко только, что нельзя добавлять свои тесты, цены бы ей не было.
ooni.org
Install OONI Probe Mobile
Measure internet censorship and contribute to the world's largest open dataset on internet censorship
Сегодня New York Times пишет о "руских хакерах", которые в начале этой недели рассылали ссылки на скачивание вируса с адреса Агентства по Международному Развитию США (USAID) на 3000 ящиков в 150 правозащитных, некоммерческих, исследовательских, государственных и международных организациях. Согласно техническому отчету фирмы Volexity, жертва должна скачать и запустить малварь вручную, и работает это только под Windows. То есть фактически особенность атаки только то, что письма приходили с реальных адресов USAID (на скриншоте в техническом отчете виден адрес ashainfo@usaid.gov) по реальному списку рассылки.
Если вкратце, хакеры получили доступ к внешнему сервису email-рассылок, которым пользовался USAID, разослали письма со ссылкой на скачивание из интернета ISO файла ("ICA-declass.iso"), а в нем какой-то безвредный pdf, и файлы Reports.lnk и Documents.dll. Жертва должна скачать и открыть файл ISO на Windows, потом щелкнуть на *.LNK, запустится *.DLL, а там лежит известный коммерческий инструмент для пентестеров Cobalt Strike Beacon, который в данном случае используется как малварь. После заражения он связывается с удаленным сервером, что дальше происходит, исследователи пока анализируют. New York Times со ссылкой на Microsoft считает, что это работа российской группы Nobellium, то есть той же группы, которая недавно громко ломала SolarWinds. В отчете есть список файлов и список доменов, на которые ходит малварь.
Если вы админ правозащитной организации - идите проверять логи и поговорите с пользователями еще раз, чтобы не скачивали вирусов. Дорогие пользователи, пожалуйста, не скачивайте и не запускайте вирусы, даже если лично Илон Маск попросит вас это сделать.
Если вкратце, хакеры получили доступ к внешнему сервису email-рассылок, которым пользовался USAID, разослали письма со ссылкой на скачивание из интернета ISO файла ("ICA-declass.iso"), а в нем какой-то безвредный pdf, и файлы Reports.lnk и Documents.dll. Жертва должна скачать и открыть файл ISO на Windows, потом щелкнуть на *.LNK, запустится *.DLL, а там лежит известный коммерческий инструмент для пентестеров Cobalt Strike Beacon, который в данном случае используется как малварь. После заражения он связывается с удаленным сервером, что дальше происходит, исследователи пока анализируют. New York Times со ссылкой на Microsoft считает, что это работа российской группы Nobellium, то есть той же группы, которая недавно громко ломала SolarWinds. В отчете есть список файлов и список доменов, на которые ходит малварь.
Если вы админ правозащитной организации - идите проверять логи и поговорите с пользователями еще раз, чтобы не скачивали вирусов. Дорогие пользователи, пожалуйста, не скачивайте и не запускайте вирусы, даже если лично Илон Маск попросит вас это сделать.
NY Times
Russia Appears to Carry Out Hack Through System Used by U.S. Aid Agency
Senior Democrats said the latest attack, ahead of President Biden’s meeting with his Russian counterpart, demanded a stronger response.
В конце прошлой недели один пользователь заметил, что защищенный почтовый сервис Protonmail стал выдавать ему при входе Google reCAPTCHA и пожаловался об этом на Github, а потом обсуждение перекинулось на Hackernews. Почему пожаловался - в целом понятно: reCAPTCHA это продукт Google, бизнес Google - собирать информацию о пользователях и делать на этом деньги, а Protonmail - компания, которая говорит, что заботится о приватности. Непорядок!
В общем, выяснилось, что Protonmail показывает пользователям Google reCAPTCHA с 2014 года, это есть в их документации и privacy policy, и cтатистически в любой момент примерно 1-2% пользователей приходится ее решать. Пару недель большие ботнеты стали перебирать пароли от аккаунтов пользователей, инженеры сервиса настроили reCAPTCHA на большую "подозрительность" и настоящие пользовали это быстро заметили и возмутились. Когда Protonmail выбирал поставщика CAPTCHA в 2014 году, хороших альтернатив Google reCAPTCHA они не видели, а сейчас такие альтернативы есть и последние полгода Protonmail работает над переходом на hCAPTCHA. Это такой альтернативный сервис капч с большим акцентом на приватность, и не от Google.
Эта история - отличная иллюстрация того, насколько токсичную репутацию заработал себе Google в среде пользователей, которые разделяют ценности онлайн-приватности. И если вы разрабатываете или обслуживаете веб-приложения, использующие CAPTCHA, и не любите Google, - поковыряйтесь c hCAPTCHA, его в целом хвалят.
В общем, выяснилось, что Protonmail показывает пользователям Google reCAPTCHA с 2014 года, это есть в их документации и privacy policy, и cтатистически в любой момент примерно 1-2% пользователей приходится ее решать. Пару недель большие ботнеты стали перебирать пароли от аккаунтов пользователей, инженеры сервиса настроили reCAPTCHA на большую "подозрительность" и настоящие пользовали это быстро заметили и возмутились. Когда Protonmail выбирал поставщика CAPTCHA в 2014 году, хороших альтернатив Google reCAPTCHA они не видели, а сейчас такие альтернативы есть и последние полгода Protonmail работает над переходом на hCAPTCHA. Это такой альтернативный сервис капч с большим акцентом на приватность, и не от Google.
Эта история - отличная иллюстрация того, насколько токсичную репутацию заработал себе Google в среде пользователей, которые разделяют ценности онлайн-приватности. И если вы разрабатываете или обслуживаете веб-приложения, использующие CAPTCHA, и не любите Google, - поковыряйтесь c hCAPTCHA, его в целом хвалят.
GitHub
[Security and GDPR Issue] ProtonMail includes Google Recaptcha for Login, every single time. · Issue #242 · ProtonMail/WebClients
Description: A recent change over the course of the last two weeks led to re-visiting, re-logging-in users. Recaptcha is now injected and compromising a machine's identity on every single login...
ФБР договорилось заливать базы украденных паролей на онлайн сервис проверки взломанных аккаунтов haveibeenpwned.com и владелец сервиса заказывает под это разработку. Раньше сервис всегда обновлялся в ручном режиме, а теперь речь идет о постоянном партнерстве с ФБР и автоматическом приеме утечек от таких партнеров.
Если все сработает, ФБР получит возможность эффективно предупреждать пользователей, чьи пароли украдены, через службу рассылки уведомлений https://haveibeenpwned.com/notifyme, а Haveibeenpwned сможет предлагать свою систему другим спецслужбам и подобным организациям. А в результате мы можем на шаг приблизиться к ответу на базовый вопрос информационной безопасности, на который хорошего ответа пока не существует: "Когда пользователям надо менять пароли?". Уже известно, что регулярно менять пароли люди просто не умеют, но может они все-таки будут их менять, если появится достаточно полная общая база украденных паролей с быстрыми оповещениями, которая при этом будет независимым бесплатным публичным сервисом? История с ФБР выглядит как важный шаг в эту сторону.
Если все сработает, ФБР получит возможность эффективно предупреждать пользователей, чьи пароли украдены, через службу рассылки уведомлений https://haveibeenpwned.com/notifyme, а Haveibeenpwned сможет предлагать свою систему другим спецслужбам и подобным организациям. А в результате мы можем на шаг приблизиться к ответу на базовый вопрос информационной безопасности, на который хорошего ответа пока не существует: "Когда пользователям надо менять пароли?". Уже известно, что регулярно менять пароли люди просто не умеют, но может они все-таки будут их менять, если появится достаточно полная общая база украденных паролей с быстрыми оповещениями, которая при этом будет независимым бесплатным публичным сервисом? История с ФБР выглядит как важный шаг в эту сторону.
Troy Hunt
Pwned Passwords, Open Source in the .NET Foundation and Working with the FBI
I've got 2 massive things to announce today that have been a long time in the works and by pure coincidence, have aligned such that I can share them together here today. One you would have been waiting for and one totally out of left field. Both these announcements…
И снова про Google и онлайн-приватность. На прошлой неделе американский суд опубликовал новые документы о том, как Google собирает геолокацию пользователей, даже если они включают разные настройки приватности, которые должны этому препятствовать.
Судя по документам, когда пользователь дает любому приложению в Android доступ к геолокации, Google получает доступ к этим данным за компанию, и изменить это никак нельзя. А еще там есть документы, по которым Google тестировал с пользователями разные варианты настроек приватности в интерфейсе Android и умышленно выбирал варианты, в которых пользователи статистически настраивали поменьше и отдавали побольше информации о себе.
Сам судебный процесс прокуратуры штата Аризона против Googlе продолжается, а документы опубликованы как имеющие большую общественную важность. Прокуратура считает, что все эти мутные практики - часть бизнес-модели корпорации, позволяющая больше зарабатывать на таргетированной рекламе.
Мда, одно дело - читать о "плохом" Google на форумах шифропанков, там все-таки люди с убеждениями, и совсем другое - в американских судебных документах. Перейти что ли на Graphene OS?
Судя по документам, когда пользователь дает любому приложению в Android доступ к геолокации, Google получает доступ к этим данным за компанию, и изменить это никак нельзя. А еще там есть документы, по которым Google тестировал с пользователями разные варианты настроек приватности в интерфейсе Android и умышленно выбирал варианты, в которых пользователи статистически настраивали поменьше и отдавали побольше информации о себе.
Сам судебный процесс прокуратуры штата Аризона против Googlе продолжается, а документы опубликованы как имеющие большую общественную важность. Прокуратура считает, что все эти мутные практики - часть бизнес-модели корпорации, позволяющая больше зарабатывать на таргетированной рекламе.
Мда, одно дело - читать о "плохом" Google на форумах шифропанков, там все-таки люди с убеждениями, и совсем другое - в американских судебных документах. Перейти что ли на Graphene OS?
Ведомости пишут, что в этом году запланировано тестовое внедрение умной системы "предикативной безопасности" в одной школе в Московской области. Разработчики обещают стоимость внедрения в зависимости от комплектации от 500 000 до 6,5 миллионов рублей.
В целом понятная идея: установить по школе камеры, централизованно следить за всеми учениками, а наверх прикрутить нейронку и алерты. Обещают ловить катание на перилах, бег по коридору и другое нетипичное поведение и опасные ситуации. Судя по тому, что это будет первое тестовое внедрение, первое время все это может работать абы как, а потом систему получится допилить или нет.
Нейронку в материале, кстати, описывают каким-то волшебным способом за те деньги, которые стоит внедрение, но может начальник недопонимает: "Чтобы определить психоэмоциональное состояние ребенка, мы используем нейронную сеть, которая сравнивает заложенные в нее эмоции и анализирует все факторы, от оценок ученика до его поведения, – говорит исполнительный директор группы компаний «Союзинфотех» Александр Кочуров. – Если у ребенка, по данным системы, три дня подряд плохое настроение, школьному психологу и учителю придет уведомление, которое подскажет специалистам, что нужно обратить внимание на ученика и поговорить с ним".
Само присутствие слежки действительно заставляет людей подчиняться и следовать правилам, это доказанный факт. Но очень хочется решать социальные проблемы еще какими-нибудь способами кроме "будем все время за всеми следить, и прикрутим нейронку и алерты".
В целом понятная идея: установить по школе камеры, централизованно следить за всеми учениками, а наверх прикрутить нейронку и алерты. Обещают ловить катание на перилах, бег по коридору и другое нетипичное поведение и опасные ситуации. Судя по тому, что это будет первое тестовое внедрение, первое время все это может работать абы как, а потом систему получится допилить или нет.
Нейронку в материале, кстати, описывают каким-то волшебным способом за те деньги, которые стоит внедрение, но может начальник недопонимает: "Чтобы определить психоэмоциональное состояние ребенка, мы используем нейронную сеть, которая сравнивает заложенные в нее эмоции и анализирует все факторы, от оценок ученика до его поведения, – говорит исполнительный директор группы компаний «Союзинфотех» Александр Кочуров. – Если у ребенка, по данным системы, три дня подряд плохое настроение, школьному психологу и учителю придет уведомление, которое подскажет специалистам, что нужно обратить внимание на ученика и поговорить с ним".
Само присутствие слежки действительно заставляет людей подчиняться и следовать правилам, это доказанный факт. Но очень хочется решать социальные проблемы еще какими-нибудь способами кроме "будем все время за всеми следить, и прикрутим нейронку и алерты".
Ведомости
Поведение школьников будет контролировать нейронная сеть
В подмосковной школе протестируют систему предиктивной безопасности
Правообладатели фильмов "Далласский клуб покупателей", "Рэмбо V: Последняя кровь", "Телохранитель киллера" и других подали в суд на хостинг-провайдеров Leaseweb и Sharktech за то, что те предоставляют услуги VPN-провайдерам. Требуют денег, блокирования портов bittorrent 6881-6889, и блокировки пользователей, которые регулярно нарушают авторские права.
В прошлом году те же правообладатели судились с торрент-трекером YTS. В результате последнему пришлось слить им базу данных с IP-адресами, которые раздавали фильмы, и там оказалось много адресов VPN-сервисов. Но многие VPN-сервисы умышленно не хранят логов активности пользователей. Хуже того, не всегда очевидно, какому конкретно VPN-провайдеру принадлежит IP-адрес, хотя сейчас правообладатели предполагают, что их фильмы пиратили пользователи LiquidVPN, NordVPN и ExpressVPN.
Особенно интересный момент с блокировкой пользователей за повторные нарушения. По американскому закону об авторском праве в цифровую эпоху, DMCA, сервисы должны уметь определять и наказывать тех, кто пиратит регулярно. Но в данной ситуации это требование - технически невыполнимо, хостинг-провайдер не знает, какой пользователь VPN что делает. Возможно, в результате Leaseweb и Sharktech придется запрещать качать через них торренты вообще, а VPN-провайдерам - искать новых хостеров в юрисдикциях, куда правообладателям будет сложнее добраться.
В прошлом году те же правообладатели судились с торрент-трекером YTS. В результате последнему пришлось слить им базу данных с IP-адресами, которые раздавали фильмы, и там оказалось много адресов VPN-сервисов. Но многие VPN-сервисы умышленно не хранят логов активности пользователей. Хуже того, не всегда очевидно, какому конкретно VPN-провайдеру принадлежит IP-адрес, хотя сейчас правообладатели предполагают, что их фильмы пиратили пользователи LiquidVPN, NordVPN и ExpressVPN.
Особенно интересный момент с блокировкой пользователей за повторные нарушения. По американскому закону об авторском праве в цифровую эпоху, DMCA, сервисы должны уметь определять и наказывать тех, кто пиратит регулярно. Но в данной ситуации это требование - технически невыполнимо, хостинг-провайдер не знает, какой пользователь VPN что делает. Возможно, в результате Leaseweb и Sharktech придется запрещать качать через них торренты вообще, а VPN-провайдерам - искать новых хостеров в юрисдикциях, куда правообладателям будет сложнее добраться.
Torrentfreak
Movie Studios Broaden Scope and Sue VPN Hosting Companies in Piracy Lawsuits * TorrentFreak
The makers of movies such as “Dallas Buyers Club,” “Rambo V: Last Blood,” and “The Hitman’s Bodyguard” are putting hosting companies that work with VPN services under pressure. In two separate lawsuits, Leaseweb and Sharktech stand accused of failing to terminate…
Вышла новая версия OnionShare (https://onionshare.org/), которую разрабатывает известный айтишник-активист Micah Lee.
OnionShare это утилита, которая позволяет анонимно передавать и получать файлы через Tor, а также хостить в сети Tor статические вебсайты и организовывать анонимные чаты. Во всех этих случаях человеку с другой стороны не нужно устанавливать OnionShare, достаточно Tor Browser. Утилита опенсорс, работает под Windows, Linux и Mac OS, у нее приличный интерфейс и есть документация на русском.
OnionShare это утилита, которая позволяет анонимно передавать и получать файлы через Tor, а также хостить в сети Tor статические вебсайты и организовывать анонимные чаты. Во всех этих случаях человеку с другой стороны не нужно устанавливать OnionShare, достаточно Tor Browser. Утилита опенсорс, работает под Windows, Linux и Mac OS, у нее приличный интерфейс и есть документация на русском.
Сотрудница "Эха Москвы" пишет, что у нее взломали Госуслуги, поменяли адрес на Челябинск и в "действиях в системе" осталась запись про "Центр обработки персональных данных Всероссийской политической партии "Единая Россия". Выглядит, как будто через ее аккаунт кто-то поучаствовал в Предварительном голосовании на сайте "Единой России", которое как раз предлагает пользователям авторизоваться через Госуслуги (точнее, через их систему ЕСИА, Единую систему идентификации и аутентификации) и выдать "Единой России" права на доступ к своим данным. Двухфакторной аутентификации у пользователя не было, она пожаловалась в техподдержку, техподдержка сказала включать двухфакторную.
Через аккаунты в Госуслугах можно заходить в личный кабинет налогоплательщика, онлайн-систему ЖКХ, бесплатный вайфай в московском метро и еще очень много куда. Поэтому их действительно стоит защищать. Кроме очевидного совета про уникальные пароли, в ЕСИА есть двухфакторная аутентификация (правда, только по смс) и уведомления на электронную почту при входе. Все это настраивается через https://esia.gosuslugi.ru/. Сходите проверьте, как у вас.
Через аккаунты в Госуслугах можно заходить в личный кабинет налогоплательщика, онлайн-систему ЖКХ, бесплатный вайфай в московском метро и еще очень много куда. Поэтому их действительно стоит защищать. Кроме очевидного совета про уникальные пароли, в ЕСИА есть двухфакторная аутентификация (правда, только по смс) и уведомления на электронную почту при входе. Все это настраивается через https://esia.gosuslugi.ru/. Сходите проверьте, как у вас.
ЕС вводит единые электронные COVID-паспорта, которые позволят снять ограничения на поездки по всем странам Евросоюза. Постановление об этом вступает в силу 1 июля, а потом еще в течение шести недель страны будут постепенно вводить эту систему. На официальной странице есть таблица, как страны вводят эти паспорта, и Болгария, Хорватия, Чехия, Дания, Германия, Греция и Польша полностью готовы прямо сейчас. В списке одобренных вакцин Спутника пока нет, его тестирование должно закончиться этим летом. Паспорта необязательные, пишут, что без них тоже можно будет путешествовать.
С технической точки зрения паспорт - это QR-код на бумаге или на электронном носителе, который выдают больницы, центры тестирования и органы здравоохранения. QR-код содержит персональные данные (имя, дата рождения, дата выдачи сертификата, информация о вакцинации, тесте на антитела или подтверждение, что человек переболел), уникальный ID и цифровую подпись выдавшего сертификат учреждения. При проверке за границей персональные данные никуда не будут сохраняться, система будет проверять только то, что человек показывает свой собственный сертификат, и что такой сертификат действительно был выдан.
Проверять цифровые подписи, но не сохранять персональные данные в этом случае кажется хорошим решением.
С технической точки зрения паспорт - это QR-код на бумаге или на электронном носителе, который выдают больницы, центры тестирования и органы здравоохранения. QR-код содержит персональные данные (имя, дата рождения, дата выдачи сертификата, информация о вакцинации, тесте на антитела или подтверждение, что человек переболел), уникальный ID и цифровую подпись выдавшего сертификат учреждения. При проверке за границей персональные данные никуда не будут сохраняться, система будет проверять только то, что человек показывает свой собственный сертификат, и что такой сертификат действительно был выдан.
Проверять цифровые подписи, но не сохранять персональные данные в этом случае кажется хорошим решением.
European Commission - European Commission
EU Digital COVID Certificate
The Commission has instigated a programme of digital vaccine certificates to facilitate the re-opening of economic and social activity as well as travel
Марк Цукерберг и руководитель Whatsapp Уилл Кэткарт дали интервью, в котором рассказали о планируемых новых фичах безопасности Whatsapp. Говорят что очень скоро появится возможность настраивать:
• Чтобы переданные фото и видео исчезали после первого просмотра получателем.
• Чтобы логи всех чатов автоматически удалялись через 7 дней. Сейчас удаление по таймеру уже есть, но надо настраивать для каждого чата отдельно.
А еще в течение двух месяцев обещают запустить в бету полноценную поддержку четырех устройств в аккаунте с сохранением оконечного (end-to-end) шифрования.
Анонсированные изменения безопасности помогают защищаться от нарушителей, которые могут получить доступ к устройствам пользователей. Whatsapp по-прежнему самый популярный мессенджер в мире и в России, поэтому, наверное, это не плохо.
При этом, после последнего изменения политики конфиденциальности Whatsapp стал делиться метаданными с Facebook, и нововведения в этом смысле ничего не меняют, Facebook по-прежнему будет получать много метаданных, в том числе:
• как вы взаимодействуете с другими людьми
• время, частота и продолжительность ваших действий и взаимодействий
• фото профиля
• данные геолокации
• модель устройства и операционная система
• номер телефона
• IP-адрес
• информация о работе устройства
И дальше длинный список, почитайте политику конфиденциальности, там все расписано. Такие удобные бесплатные продукты и есть основа того, что называется "капитализм, основанный на слежке".
• Чтобы переданные фото и видео исчезали после первого просмотра получателем.
• Чтобы логи всех чатов автоматически удалялись через 7 дней. Сейчас удаление по таймеру уже есть, но надо настраивать для каждого чата отдельно.
А еще в течение двух месяцев обещают запустить в бету полноценную поддержку четырех устройств в аккаунте с сохранением оконечного (end-to-end) шифрования.
Анонсированные изменения безопасности помогают защищаться от нарушителей, которые могут получить доступ к устройствам пользователей. Whatsapp по-прежнему самый популярный мессенджер в мире и в России, поэтому, наверное, это не плохо.
При этом, после последнего изменения политики конфиденциальности Whatsapp стал делиться метаданными с Facebook, и нововведения в этом смысле ничего не меняют, Facebook по-прежнему будет получать много метаданных, в том числе:
• как вы взаимодействуете с другими людьми
• время, частота и продолжительность ваших действий и взаимодействий
• фото профиля
• данные геолокации
• модель устройства и операционная система
• номер телефона
• IP-адрес
• информация о работе устройства
И дальше длинный список, почитайте политику конфиденциальности, там все расписано. Такие удобные бесплатные продукты и есть основа того, что называется "капитализм, основанный на слежке".
WABetaInfo
Mark Zuckerberg and Will Cathcart confirm to WABetaInfo 3 features to come on WhatsApp! | WABetaInfo
Will Cathcart and Mark Zuckerberg reached out to me on WhatsApp to confirm 3 features for your privacy to come on WhatsApp soon!
Знаете известную картинку, где человек стоит напротив четырех танков во время акций протеста на площади Тяньаньмэнь в Китае в 1989 году? Пользователи ее обычно ищут в интернете по запросу "tank man". Так вот, вчера поисковая система Microsoft Bing применила свои китайские правила цензуры для пользователей по всему миру и показывала всем, что на такой поисковый запрос по картинкам "результатов нет". А поскольку приватная поисковая система DuckDuckGo использует под капотом "обогащенную" выдачу Bing, то она результатов-картинок тоже не выдавала. И Yahoo Search не выдавал, потому что он тоже Bing.
Пользователи возмутились, Microsoft сказал, упс, человеческий фактор, все починили, сейчас картинку показывает. Но блин, сколько власти у больших поисковиков! И VPN с DuckDuckGo могут не исправить ситуацию.
Пользователи возмутились, Microsoft сказал, упс, человеческий фактор, все починили, сейчас картинку показывает. Но блин, сколько власти у больших поисковиков! И VPN с DuckDuckGo могут не исправить ситуацию.