❗️The Tor Project и «Роскомсвобода» обжалуют блокировку Tor в суде

«Роскомсвобода» считает, что решение суда является незаконным и подлежащим отмене по следующим причинам:

1. оно нарушает конституционное право на свободное предоставление, получение и распространение информации и защиту тайны частной жизни;

2. дело было рассмотрено без участия представителей «Tor», что нарушило их процессуальные права и состязательность процесса.

💬 «С помощью адвокатов «Роскомсвободы» Саркиса Дарбиняна и Екатерины Абашиной мы обжалуем решение суда и надеемся исправить эту ситуацию и помочь создать в России прецедент защиты цифровых прав», — исполнительный директор The Tor Project Изабела Багерос.

💬 «Решение суда противоречит закону и уже устоявшейся практике. Согласно позиции Верховного суда, любое решение, вынесенное без участия владельца сайта, является неправосудным и нарушающим права этого владельца. Кроме того, у нас есть решение ЕСПЧ по делу “Энгельс против России”, в котором указано, что блокировка технического сетевого инструмента ничем не отличается от попыток ограничить доступ к принтерам и ксероксам, поскольку они также могут быть использованы для воспроизведения экстремистских материалов», — глава юридической практики «Роскомсвободы» Саркис Дарбинян.

➡️ https://roskomsvoboda.org/post/rks-with-tor

Google Диск ввел автоматическое сканирование файлов на нарушение авторских прав, и пока получается криво. Нарушением на сегодня считаются мелкие файлы, в которых написано только одно число, например число 0, 1, 173, 174, 186, 266, 285, 302, 336, 451, 500 или 833, причем результат еще зависит от того, есть ли в конце строки символ перевода строки \n.

Первой это выяснила американский профессор, у которой на Диске хранятся какие-то файлы заданий студентов, а теперь пользователи Hacker News генерируют скриптами тысячи файлов, чтобы хотя бы приблизительно понять логику. Пока совсем никого не заблокировали, но на сегодня обжаловать нельзя, система пишет "A review cannot be requested for this restriction" (обжалование для данного ограничения недоступно).

Поднялся шум, так что, наверняка, Google быстро исправит конкретную проблему. Но пока логика неприятная: предупреждения выписывает робот, робот пока тупой, обжаловать нельзя.

https://news.ycombinator.com/item?id=30060405

Tor Project анонсировал русскоязычный канал поддержки в Telegram, @TorProjectSupportBot. Там сидят живые люди, им можно задавать вопросы в свободной форме.

Tor запустил бота в Telegram для поддержки пользователей из России

Теперь пользователи Tor, у которых возникли проблемы с подключением к браузеру, могут обратиться за помощью прямо в Telegram. Дополнительная служба поддержки @TorProjectSupportBot ориентирована в первую очередь на русскоязычных пользователей и была запущена в рамках усилий по борьбе с цензурой.

Для англоговорящих пользователей работает служба поддержки через форум https://forum.torproject.net/, электронную почту frontdesk@torproject.org или Matrix: https://support.torproject.org/get-in-touch/irc-help/.

Запросить у Tor мост для подключения можно напрямую у Telegram-бота @GetBridgesBot.

❗️Мы считаем блокировку Tor в России незаконной и нарушающей права российских пользователей. Юристы «Роскомсвободы», представляя интересы The Tor Project, уже обратились в суд для обжалования блокировки.

Вчера канал "Утечки информации" написал, что в даркнете появилось предложение купить базу российских QR-кодов вакцинации в 48 миллионов записей за 100 000 долларов. В базе были первые буквы ФИО, дата рождения, УНРЗ (уникальный номер регистровой записи пациента), первые две цифры серии и последние три цифры номера паспорта, название вакцины, QR-код и срок его действия.

Как спарсить всю эту информацию из Госуслуг журналисты Медиазоны нашли еще в августе прошлого года и передали об этом информацию в Ростелеком и Минсвязь, но метод продолжал работать как минимум до середины декабря.

В QR-кодах в выставленной на продажу базе содержались ссылки типа gosuslugi.ru/covid-cert/verify/0000000000000000. Последние цифры это и есть УНРЗ (уникальный номер регистровой записи пациента). Еще вчера ссылки работали, а сегодня Госуслуги прикрыли саму возможность проверки QR по УНРЗ, поэтому любые такие QR-коды теперь бесполезны.

Теперь Ростелеком объясняет, что ссылки нерабочие (ну да, этот тип проверки вчера или сегодня отключили), что данные сгенерировали вне системы (ну да, их, похоже, спарсили), и что это вообще не персональные данные (технически тоже верно).

https://t.me/dataleak/2483
https://twitter.com/litavrinm/status/1486064781094236163
https://t.me/dataleak/2484
https://d-russia.ru/rostelekom-otricaet-utechku-bazy-dannyh-prilozhenija-gosuslugi-stop-koronavirus-dannye-byli-sgenerirovany-vne-sistemy.html

К предыдущему посту: скриншоты объявления о продаже и кусочка самой базы, сделанные каналом "Утечки информации".

Совершенно свежая и поучительная история о том как один немецкий исследователь раскрыл секретное германское ведомство с помощью AirTag'а.

Если вкратце то один немецкий активист отправил AirTag подозретельному германскому федеральному ведомству и отследил его настоящие офисы.

А если подробнее то Лилит Витман, исследователь из Германии, утверждает что она раскрыла что Federal Telecommunications Service в Германии - это, на самом деле, "камуфляжная служба" и она изначально написала о том как столкнулась со службой которой не существует [1].

После чего она обстоятельно и методично собирала все возможные данные о этой структуре, вплоть до IP адресов и того чтобы проехаться мимо зданий [2].

После чего она отправила посылку с AirTag внутри и с помощью сервиса Apple Find My [3] следила за её движением и нашла что посылку переслали в Office for the Protection of the Constitution in Cologne. О чём она написала подробно в германоязычной Википедии [4]

А вся история на английском языке есть в Apple Insider [5].

История поучительна тем что современные технологии позволяют следить за теми кто следит. Можно рассмотреть много кейсов при которых можно выяснять немало интересного о существующих и камуфляжных государственных структурах.

Хочется надеяться что в России после этого AirTag не запретят.

Ссылки:
[1] https://lilithwittmann.medium.com/bundesservice-telekommunikation-wie-ich-versehentlich-eine-tarnbeh%C3%B6rde-in-der-bundesverwaltung-a8823f308536
[2] https://lilithwittmann.medium.com/bundesservice-telekommunikation-enttarnt-dieser-geheimdienst-steckt-dahinter-cd2e2753d7ca
[3] https://appleinsider.com/inside/Find-My
[4] https://de.wikipedia.org/wiki/Bundesservice_Telekommunikation
[5] https://appleinsider.com/articles/22/01/25/apples-airtag-uncovers-a-secret-german-intelligence-agency

#privacy #security #airtag #germany #specialagencies

⚡️Эксклюзивное интервью с командой Tor Project. Разговор о шпионском ПО с Access Now. Обсуждение шатдауна в Казахстане

В завершающем треке конференции Privacy Day 2022 мы собрали технических специалистов, которые обсудят последние мировые события, связанные с интернет-цензурой и слежкой (блокировка Tor в России, шатдауны в Казахстане, скандалы со шпионским ПО), поделятся техническими рекомендациями и поговорят о роли приватности в современном мире.

Участники:

▪️Станислав Шакиров, основатель Privacy Accelerator, технический директор Роскомсвободы. Эксперт в продвижении IT-продуктов, технологий и интернет-предпринимательства;
▪️Вадим Лосев, технический эксперт Роскомсвободы, специалист по кибербезопасности и защите данных;
▪️Владимир Ожерельев, Digital Rights Center, старший юрист, специалист по регулированию IT и персональных данных;
▪️Олжас Сатиев, Центр анализа и расследования кибератак (Казахстан);
▪️Meskio (Tor Project), Gustavo Gus (Tor Project);
▪️Natalia Krapiva, Access Now (США).

Также на Privacy Day состоится питчинг проектов-выпускников третьего набора Privacy Accelerator.

💡Подробности и полный список спикеров ищите на сайте Privacy Day 2022.

🎥Онлайн-трансляцию смотрите на нашем YouTube-канале и ставьте 🔔, чтобы не пропустить начало.

Прямо сейчас на Privacy Day Олжас Сатиев из ЦАРКА. Обсуждаем шатдауны в Казахстане.
https://www.youtube.com/watch?v=FixkV69x5yA

А сейчас начинается интервью с представителями Тор.

Вчера на Privacy Day вышло наше 20-минутное интервью с ребятами из Tor Project, оно лежит в Youtube внутри общей трансляции (вот ссыль с таймкодом). Рассказывают, как технически устроены блокировки сети Tor в России, и что они предпринимают в ответ.

"В России получилось заблокировать и то и другое [и мосты, которые раздавались через Tor Браузер и транспорт Snowflake]... Мы на самом деле удивились, как это технически было сделано."

"Организация, которая занимается блокировками в России, смогла как-то перебрать адреса почти всех мостов, которые раздавали через механизм Moat, встроенный в Tor Браузер. То есть основной способ, при помощи которого пользователи получали мосты, не работал, потому что сами мосты были заблокированы. Другие способы работали, например можно было запросить мосты через email... Но на email можно писать только с адресов на Gmail или Riseup, потому что если разрешить писать с любого домена, то те, кто занимается блокировкой, смогут сделать много адресов и таким образом перебрать все мосты. И они реально заблокировали IP-адреса мостов. Как они смогли их перебрать - хороший вопрос. Наверное, разгадывали CAPTCHA, делали запросы с разных адресов, но тут я могу только догадываться."

"Snowflake использует механизм, когда трафик выглядит, как будто пользователь участвует в видеоконференции, это называется WebRTC. И они реально нашли, чем отличается трафик нашего протокола и официальный обычный протокол, который используется в браузерах. И это совсем маленькая разница, но с ее помощью они обнаруживали и блокировали Snowflake. Это называется фингерпринтинг... Но тут нам повезло, у нас крутые люди в команде, и они быстро поняли, в чем проблема и мы решили ее за несколько недель. Сейчас Snowflake в России работает."

"Когда мы обнаружили, что блокируются мосты, которые раздавались через Tor Браузер, мы попросили сообщество развернуть больше мостов. И мы перестали раздавать на Россию старые адреса мостов и стали раздавать только новые. И эти новые адреса работали несколько недель. А потом те, кто осуществляют блокировки, сориентировались, и смогли получить новые адреса. То есть происходит отслеживание и обновление правил блокировки, но это происходит не постоянно, а время от времени. Поэтому мы знаем, что все, что мы делаем, проработает пару недель в худшем случае."

https://youtu.be/FixkV69x5yA?t=19359

В IOS15.4 разблокировка по лицу FaceID будет работать для пользователей в медицинской маске. В бете уже есть. Это отдельная опция, называется «Use Face ID With a Mask», по умолчанию она отключена и под неё нужно будет заново сканировать лицо.

Безопасность при этом снижается, но многих современных моделях iPhone нет разблокировки по отпечатку пальца и разблокировка лицом - единственный способ биометрии. А у нас пандемия кругом, людям в масках надо айфоны на кассе разблокировать.

Интересно, что у эппловского распознавания лиц в масках будет с ложными срабатываниями и ложноотрицательными результатами (в смысле false positives и false negatives). Скоро узнаем.

https://www.macworld.com/article/609695/how-to-use-face-id-with-a-mask.html

На Хабре вышел материал о том, у каких сервисов курьеры/водители видят реальный номер телефона клиента (и наоборот), а у каких - временный виртуальный. Из опрошенных автором десяти сервисов подменяют все номера клиентов только Самокат, Яндекс.Go (Такси) и, возможно, Яндекс.Еда (но там может быть нюанс, кто доставляет заказ). Яндекс.Лавка, Утконос, Перекресток Впрок, iGooods, Азбука Вкуса и Озон вообще не подменяют, курьер и клиент видят настоящие номера телефонов друг друга.

А Delivery Club, который пару лет назад анонсировал временные подменные номера, теперь рассказывает, что подменяет номер только для своих собственных курьеров, а внешние курьеры от ресторанов видят реальный номер клиента. При этом номера они стали подменять после того, как курьер пару лет назад донимал женщину-клиента в Whatsapp, потому что она ему понравилась. То есть проблему они решили не полностью.

Интересно, почему все сервисы не внедрят подменные номера для защиты персданных клиентов. Экономят?

https://habr.com/ru/post/648929/

Немного про вчерашнюю новость о том, что российские мобильные операторы начали предоставлять бесплатный доступ к социально значимым ресурсам:

• Чтобы получать бесплатный доступ, нужен российский телефонный номер и подтверждённая учётная запись на Госуслугах
• Подключается услугой на сутки, а потом надо переподключать у оператора
• На официальной странице социально значимых ресурсов пока только Госуслуги и kremlin.ru
• ЗаТелеком опубликовал выгрузку диапазонов IP-адресов для операторов за 26 января, на основе которой все это должно работать. В этой выгрузке нет kremlin.ru, но есть куча диапазонов экосистемы ВКонтакте. Причём там адреса не только социальной сети, а и других сервисов, типа Mail.ru и Одноклассники.
• В официальном списке нет CDN, например CDN Госуслуг, но поскольку работать будет через диапазоны IP, то может и не надо

Как это будет работать у мобильных операторов, - вроде понятно. Непонятно, почему на сутки, но, может, еще поменяют. Теперь вся интрига - кто попадёт в выгрузку (и выкинут ли «лишние» ресурсы Mail.ru), когда начнут внедрять у проводных операторов и как быстро кто-нибудь придумает Telegram-прокси через сервисы ВК)

https://t.me/roskomsvoboda/8216
https://t.me/zatelecom/20396

Очередная история про отслеживающие маячки Apple AirTag. Чтобы их сложнее было использовать для скрытой слежки (например, подложить кому-нибудь в машину, чтобы понять, куда он поехал), они запрограммированы пищать через несколько часов (от 8 до 24) после того, как окажутся далеко от «своего» смартфона.

И в интернетах уже публиковали рецепты, как вывести из строя пищалку, а теперь предприимчивые умельцы начали продавать AirTag без пищалки на площадках типа eBay. И все, что может сделать Apple - это пытаться удалять эти лоты. Cамо устройство не умеет проверять, работает ли его звуковой сигнал.

Пищалка в первую очередь нужна, чтобы защитить от скрытой слежки владельцев смартфонов на Android, а iPhone умеют предупреждать хозяев о находящихся рядом «чужих» метках. В принципе для Android тоже есть приложения, которые ищут AirTag, типа родного Tracker Detect или AirGuard в FDroid. Но мало кто заморачивается их ставить.

https://gizmodo.com/silenced-airtags-with-disabled-speakers-for-sale-online-1848473673
https://play.google.com/store/apps/details?id=com.apple.trackerdetect&hl=ru&gl=US
https://f-droid.org/en/packages/de.seemoo.at_tracking_detection/

Известный проект Graphene собирается выпустить свой собственный телефон с Graphene OS из коробки, обещают новости в течение пары месяцев. Они ведут переговоры с каким-то производителем смартфонов о "производстве устройства с уровнем безопасности и поддержкой альтернативных операционных систем как у [смартфона Google] Pixel".

Людям, которые на форумах спрашивают про "самый безопасный смартфон не от Apple", часто советуют именно Graphene OS. Это известная сборка Android с вырезанными сервисами Google и накрученной безопасностью и приватностью. Разработкой руководит известный параноик Daniel Micay, который до этого делал похожий проект, Copperhead OS.

Сейчас сборка работает только на свежих версиях смартфонов Google Pixel, но Pixel дорогие, их нужно еще прошивать, и официально в Россию их не возят. Ну и вообще, пользователи на американских форумах жалуются, что странно покупать телефон Google, когда хочешь получить избавиться от слежки со стороны Google.

И давно есть конторы, которые просто покупают смартфоны Pixel, прошивают на них Graphene и перепродают втридорога в интернете (например, вот, вот и вот). А теперь Graphene пытаются избавиться от зависимости от железа Google и, похоже, будут продавать свои телефоны сами. При этом поддержку Pixel обещают не прекращать.

https://twitter.com/GrapheneOS/status/1490518600339308544
https://buy.jolla-devices.com/categoria-prodotto/grapheneos/
https://shop.xiphcyber.com/products/graphene-os-smartphone?variant=156
https://shop.nitrokey.com/shop/product/nitrophone-1-199

В мессенджере Signal добавили возможность сменить в аккаунте номер телефона. Изменение делают в настройках "Учетная запись - Изменить номер телефона". При этом контактам в существующих чатах выскакивает сообщение "[юзернейм] сменил номер телефона" и показывает новый номер.

Новая функция - просто способ перенести сообщения и телефонную книгу из одного аккаунта в другой при смене номера, и способ сообщить контактам о том, что ваш номер поменялся. Никакой дополнительной безопасности/приватности/анонимности она не дает.

https://signal.org/blog/change-number/
https://support.signal.org/hc/en-us/articles/360007062012

На ntc.party опубликовали технический обзор январского шатдауна в Казахстане. Многое уже проскакивало в разных местах, но в одном месте почитать интересно.

• Во время шатдауна не блокировались некоторые порты, например 3875 и 179. На порту 3875 работали SOCKS-прокси и OpenVPN. Доступность портов обнаружили сканированием.
• Об этом узнал Tor Project и стал раздавать пользователям из Казахстана мосты, работавшие на порту 3875. Часть своих серверов перенастроил на 3875 также VPN-провайдер Lantern.
• Также работал dnstt - туннель через DNS, потому что не блокировался DNS трафик до операторских серверов и до ресолверов Google. Проблема в том, что не было готовой инфраструктуры, к которой могли бы подключаться пользователи, и не было готовых клиентских приложений, например приложений для мобильных устройств. То есть решение могло работать только для айтишников.

В общем, шатдауны - не идеальны, стоит внимательно сканировать порты. А туннели через DNS в подобных ситуациях уже не в первый раз работают.

https://ntc.party/t/topic/1686
https://www.bamsoftware.com/software/dnstt/

На Хабре публикуют анализ недавней утечки 48 миллионов QR-кодов вакцинации с Госуслуг. После той утечки 26 января Госуслуги просто отключили возможность проверки QR-кодов по УНРЗ (уникальному номеру регистровой записи пациента), то есть все ссылки типа https://www.gosuslugi.ru/covid-cert/verify/{{УНРЗ}} просто перестали работать. Мы об этом тогда писали.

Оказывается, существовало три версии QR-кодов, и после 26 января перестали работать все QR-коды второго типа, включая настоящие.

Версия 1: До июня 2021 года. https://www.gosuslugi.ru/vaccine/cert/verify/{{uuid}}

Версия 2: C июня 2021 до 9 ноября 2021.
https://www.gosuslugi.ru/covid-cert/verify/{{unrz}}?lang={{lang}}&ck={{hash}}

Версия 3: Текущая версия. https://www.gosuslugi.ru/covid-cert/status/{{uuid}}?lang=ru

В общем, по словам автора, для борьбы с утечкой куча валидных QR-кодов были просто аннулированы без уведомления пользователей. Проверьте, какого типа ваш QR.

https://habr.com/ru/post/650589/
https://t.me/rks_tech_talk/379

"Авито" начал подменять номера продавцов в объявлениях на временные виртуальные. Это называется "Защита номера" и до сих пор работало только в категориях "Авто" и "Недвижимость", а теперь включили для всех частных пользователей. Номера в одном объявлении могут со временем могут меняться, но система запоминает, если кто-то кому-то уже звонил по старому номеру и для этой пары пользователей старый номер продолжает работать.

В карточках товаров теперь написано "Номер защищён: смс и сообщения в Viber, WhatsApp и других мессенджерах не будут доставлены."

Вроде хорошая новость, мошенникам станет тяжелее мошенничать. Интересно, что может пойти не так?

https://www.ixbt.com/news/2022/02/09/krupnejshij-proekt-po-zashite-nomerov-polzovatelej-v-rossijskom-internete-avito-zashitil-nomera-vseh-chastnyh-prodavcov.html