Вчера канал "Утечки информации" написал, что в даркнете появилось предложение купить базу российских QR-кодов вакцинации в 48 миллионов записей за 100 000 долларов. В базе были первые буквы ФИО, дата рождения, УНРЗ (уникальный номер регистровой записи пациента), первые две цифры серии и последние три цифры номера паспорта, название вакцины, QR-код и срок его действия.

Как спарсить всю эту информацию из Госуслуг журналисты Медиазоны нашли еще в августе прошлого года и передали об этом информацию в Ростелеком и Минсвязь, но метод продолжал работать как минимум до середины декабря.

В QR-кодах в выставленной на продажу базе содержались ссылки типа gosuslugi.ru/covid-cert/verify/0000000000000000. Последние цифры это и есть УНРЗ (уникальный номер регистровой записи пациента). Еще вчера ссылки работали, а сегодня Госуслуги прикрыли саму возможность проверки QR по УНРЗ, поэтому любые такие QR-коды теперь бесполезны.

Теперь Ростелеком объясняет, что ссылки нерабочие (ну да, этот тип проверки вчера или сегодня отключили), что данные сгенерировали вне системы (ну да, их, похоже, спарсили), и что это вообще не персональные данные (технически тоже верно).

https://t.me/dataleak/2483
https://twitter.com/litavrinm/status/1486064781094236163
https://t.me/dataleak/2484
https://d-russia.ru/rostelekom-otricaet-utechku-bazy-dannyh-prilozhenija-gosuslugi-stop-koronavirus-dannye-byli-sgenerirovany-vne-sistemy.html

К предыдущему посту: скриншоты объявления о продаже и кусочка самой базы, сделанные каналом "Утечки информации".

Совершенно свежая и поучительная история о том как один немецкий исследователь раскрыл секретное германское ведомство с помощью AirTag'а.

Если вкратце то один немецкий активист отправил AirTag подозретельному германскому федеральному ведомству и отследил его настоящие офисы.

А если подробнее то Лилит Витман, исследователь из Германии, утверждает что она раскрыла что Federal Telecommunications Service в Германии - это, на самом деле, "камуфляжная служба" и она изначально написала о том как столкнулась со службой которой не существует [1].

После чего она обстоятельно и методично собирала все возможные данные о этой структуре, вплоть до IP адресов и того чтобы проехаться мимо зданий [2].

После чего она отправила посылку с AirTag внутри и с помощью сервиса Apple Find My [3] следила за её движением и нашла что посылку переслали в Office for the Protection of the Constitution in Cologne. О чём она написала подробно в германоязычной Википедии [4]

А вся история на английском языке есть в Apple Insider [5].

История поучительна тем что современные технологии позволяют следить за теми кто следит. Можно рассмотреть много кейсов при которых можно выяснять немало интересного о существующих и камуфляжных государственных структурах.

Хочется надеяться что в России после этого AirTag не запретят.

Ссылки:
[1] https://lilithwittmann.medium.com/bundesservice-telekommunikation-wie-ich-versehentlich-eine-tarnbeh%C3%B6rde-in-der-bundesverwaltung-a8823f308536
[2] https://lilithwittmann.medium.com/bundesservice-telekommunikation-enttarnt-dieser-geheimdienst-steckt-dahinter-cd2e2753d7ca
[3] https://appleinsider.com/inside/Find-My
[4] https://de.wikipedia.org/wiki/Bundesservice_Telekommunikation
[5] https://appleinsider.com/articles/22/01/25/apples-airtag-uncovers-a-secret-german-intelligence-agency

#privacy #security #airtag #germany #specialagencies

⚡️Эксклюзивное интервью с командой Tor Project. Разговор о шпионском ПО с Access Now. Обсуждение шатдауна в Казахстане

В завершающем треке конференции Privacy Day 2022 мы собрали технических специалистов, которые обсудят последние мировые события, связанные с интернет-цензурой и слежкой (блокировка Tor в России, шатдауны в Казахстане, скандалы со шпионским ПО), поделятся техническими рекомендациями и поговорят о роли приватности в современном мире.

Участники:

▪️Станислав Шакиров, основатель Privacy Accelerator, технический директор Роскомсвободы. Эксперт в продвижении IT-продуктов, технологий и интернет-предпринимательства;
▪️Вадим Лосев, технический эксперт Роскомсвободы, специалист по кибербезопасности и защите данных;
▪️Владимир Ожерельев, Digital Rights Center, старший юрист, специалист по регулированию IT и персональных данных;
▪️Олжас Сатиев, Центр анализа и расследования кибератак (Казахстан);
▪️Meskio (Tor Project), Gustavo Gus (Tor Project);
▪️Natalia Krapiva, Access Now (США).

Также на Privacy Day состоится питчинг проектов-выпускников третьего набора Privacy Accelerator.

💡Подробности и полный список спикеров ищите на сайте Privacy Day 2022.

🎥Онлайн-трансляцию смотрите на нашем YouTube-канале и ставьте 🔔, чтобы не пропустить начало.

Прямо сейчас на Privacy Day Олжас Сатиев из ЦАРКА. Обсуждаем шатдауны в Казахстане.
https://www.youtube.com/watch?v=FixkV69x5yA

А сейчас начинается интервью с представителями Тор.

Вчера на Privacy Day вышло наше 20-минутное интервью с ребятами из Tor Project, оно лежит в Youtube внутри общей трансляции (вот ссыль с таймкодом). Рассказывают, как технически устроены блокировки сети Tor в России, и что они предпринимают в ответ.

"В России получилось заблокировать и то и другое [и мосты, которые раздавались через Tor Браузер и транспорт Snowflake]... Мы на самом деле удивились, как это технически было сделано."

"Организация, которая занимается блокировками в России, смогла как-то перебрать адреса почти всех мостов, которые раздавали через механизм Moat, встроенный в Tor Браузер. То есть основной способ, при помощи которого пользователи получали мосты, не работал, потому что сами мосты были заблокированы. Другие способы работали, например можно было запросить мосты через email... Но на email можно писать только с адресов на Gmail или Riseup, потому что если разрешить писать с любого домена, то те, кто занимается блокировкой, смогут сделать много адресов и таким образом перебрать все мосты. И они реально заблокировали IP-адреса мостов. Как они смогли их перебрать - хороший вопрос. Наверное, разгадывали CAPTCHA, делали запросы с разных адресов, но тут я могу только догадываться."

"Snowflake использует механизм, когда трафик выглядит, как будто пользователь участвует в видеоконференции, это называется WebRTC. И они реально нашли, чем отличается трафик нашего протокола и официальный обычный протокол, который используется в браузерах. И это совсем маленькая разница, но с ее помощью они обнаруживали и блокировали Snowflake. Это называется фингерпринтинг... Но тут нам повезло, у нас крутые люди в команде, и они быстро поняли, в чем проблема и мы решили ее за несколько недель. Сейчас Snowflake в России работает."

"Когда мы обнаружили, что блокируются мосты, которые раздавались через Tor Браузер, мы попросили сообщество развернуть больше мостов. И мы перестали раздавать на Россию старые адреса мостов и стали раздавать только новые. И эти новые адреса работали несколько недель. А потом те, кто осуществляют блокировки, сориентировались, и смогли получить новые адреса. То есть происходит отслеживание и обновление правил блокировки, но это происходит не постоянно, а время от времени. Поэтому мы знаем, что все, что мы делаем, проработает пару недель в худшем случае."

https://youtu.be/FixkV69x5yA?t=19359

В IOS15.4 разблокировка по лицу FaceID будет работать для пользователей в медицинской маске. В бете уже есть. Это отдельная опция, называется «Use Face ID With a Mask», по умолчанию она отключена и под неё нужно будет заново сканировать лицо.

Безопасность при этом снижается, но многих современных моделях iPhone нет разблокировки по отпечатку пальца и разблокировка лицом - единственный способ биометрии. А у нас пандемия кругом, людям в масках надо айфоны на кассе разблокировать.

Интересно, что у эппловского распознавания лиц в масках будет с ложными срабатываниями и ложноотрицательными результатами (в смысле false positives и false negatives). Скоро узнаем.

https://www.macworld.com/article/609695/how-to-use-face-id-with-a-mask.html

На Хабре вышел материал о том, у каких сервисов курьеры/водители видят реальный номер телефона клиента (и наоборот), а у каких - временный виртуальный. Из опрошенных автором десяти сервисов подменяют все номера клиентов только Самокат, Яндекс.Go (Такси) и, возможно, Яндекс.Еда (но там может быть нюанс, кто доставляет заказ). Яндекс.Лавка, Утконос, Перекресток Впрок, iGooods, Азбука Вкуса и Озон вообще не подменяют, курьер и клиент видят настоящие номера телефонов друг друга.

А Delivery Club, который пару лет назад анонсировал временные подменные номера, теперь рассказывает, что подменяет номер только для своих собственных курьеров, а внешние курьеры от ресторанов видят реальный номер клиента. При этом номера они стали подменять после того, как курьер пару лет назад донимал женщину-клиента в Whatsapp, потому что она ему понравилась. То есть проблему они решили не полностью.

Интересно, почему все сервисы не внедрят подменные номера для защиты персданных клиентов. Экономят?

https://habr.com/ru/post/648929/

Немного про вчерашнюю новость о том, что российские мобильные операторы начали предоставлять бесплатный доступ к социально значимым ресурсам:

• Чтобы получать бесплатный доступ, нужен российский телефонный номер и подтверждённая учётная запись на Госуслугах
• Подключается услугой на сутки, а потом надо переподключать у оператора
• На официальной странице социально значимых ресурсов пока только Госуслуги и kremlin.ru
• ЗаТелеком опубликовал выгрузку диапазонов IP-адресов для операторов за 26 января, на основе которой все это должно работать. В этой выгрузке нет kremlin.ru, но есть куча диапазонов экосистемы ВКонтакте. Причём там адреса не только социальной сети, а и других сервисов, типа Mail.ru и Одноклассники.
• В официальном списке нет CDN, например CDN Госуслуг, но поскольку работать будет через диапазоны IP, то может и не надо

Как это будет работать у мобильных операторов, - вроде понятно. Непонятно, почему на сутки, но, может, еще поменяют. Теперь вся интрига - кто попадёт в выгрузку (и выкинут ли «лишние» ресурсы Mail.ru), когда начнут внедрять у проводных операторов и как быстро кто-нибудь придумает Telegram-прокси через сервисы ВК)

https://t.me/roskomsvoboda/8216
https://t.me/zatelecom/20396

Очередная история про отслеживающие маячки Apple AirTag. Чтобы их сложнее было использовать для скрытой слежки (например, подложить кому-нибудь в машину, чтобы понять, куда он поехал), они запрограммированы пищать через несколько часов (от 8 до 24) после того, как окажутся далеко от «своего» смартфона.

И в интернетах уже публиковали рецепты, как вывести из строя пищалку, а теперь предприимчивые умельцы начали продавать AirTag без пищалки на площадках типа eBay. И все, что может сделать Apple - это пытаться удалять эти лоты. Cамо устройство не умеет проверять, работает ли его звуковой сигнал.

Пищалка в первую очередь нужна, чтобы защитить от скрытой слежки владельцев смартфонов на Android, а iPhone умеют предупреждать хозяев о находящихся рядом «чужих» метках. В принципе для Android тоже есть приложения, которые ищут AirTag, типа родного Tracker Detect или AirGuard в FDroid. Но мало кто заморачивается их ставить.

https://gizmodo.com/silenced-airtags-with-disabled-speakers-for-sale-online-1848473673
https://play.google.com/store/apps/details?id=com.apple.trackerdetect&hl=ru&gl=US
https://f-droid.org/en/packages/de.seemoo.at_tracking_detection/

Известный проект Graphene собирается выпустить свой собственный телефон с Graphene OS из коробки, обещают новости в течение пары месяцев. Они ведут переговоры с каким-то производителем смартфонов о "производстве устройства с уровнем безопасности и поддержкой альтернативных операционных систем как у [смартфона Google] Pixel".

Людям, которые на форумах спрашивают про "самый безопасный смартфон не от Apple", часто советуют именно Graphene OS. Это известная сборка Android с вырезанными сервисами Google и накрученной безопасностью и приватностью. Разработкой руководит известный параноик Daniel Micay, который до этого делал похожий проект, Copperhead OS.

Сейчас сборка работает только на свежих версиях смартфонов Google Pixel, но Pixel дорогие, их нужно еще прошивать, и официально в Россию их не возят. Ну и вообще, пользователи на американских форумах жалуются, что странно покупать телефон Google, когда хочешь получить избавиться от слежки со стороны Google.

И давно есть конторы, которые просто покупают смартфоны Pixel, прошивают на них Graphene и перепродают втридорога в интернете (например, вот, вот и вот). А теперь Graphene пытаются избавиться от зависимости от железа Google и, похоже, будут продавать свои телефоны сами. При этом поддержку Pixel обещают не прекращать.

https://twitter.com/GrapheneOS/status/1490518600339308544
https://buy.jolla-devices.com/categoria-prodotto/grapheneos/
https://shop.xiphcyber.com/products/graphene-os-smartphone?variant=156
https://shop.nitrokey.com/shop/product/nitrophone-1-199

В мессенджере Signal добавили возможность сменить в аккаунте номер телефона. Изменение делают в настройках "Учетная запись - Изменить номер телефона". При этом контактам в существующих чатах выскакивает сообщение "[юзернейм] сменил номер телефона" и показывает новый номер.

Новая функция - просто способ перенести сообщения и телефонную книгу из одного аккаунта в другой при смене номера, и способ сообщить контактам о том, что ваш номер поменялся. Никакой дополнительной безопасности/приватности/анонимности она не дает.

https://signal.org/blog/change-number/
https://support.signal.org/hc/en-us/articles/360007062012

На ntc.party опубликовали технический обзор январского шатдауна в Казахстане. Многое уже проскакивало в разных местах, но в одном месте почитать интересно.

• Во время шатдауна не блокировались некоторые порты, например 3875 и 179. На порту 3875 работали SOCKS-прокси и OpenVPN. Доступность портов обнаружили сканированием.
• Об этом узнал Tor Project и стал раздавать пользователям из Казахстана мосты, работавшие на порту 3875. Часть своих серверов перенастроил на 3875 также VPN-провайдер Lantern.
• Также работал dnstt - туннель через DNS, потому что не блокировался DNS трафик до операторских серверов и до ресолверов Google. Проблема в том, что не было готовой инфраструктуры, к которой могли бы подключаться пользователи, и не было готовых клиентских приложений, например приложений для мобильных устройств. То есть решение могло работать только для айтишников.

В общем, шатдауны - не идеальны, стоит внимательно сканировать порты. А туннели через DNS в подобных ситуациях уже не в первый раз работают.

https://ntc.party/t/topic/1686
https://www.bamsoftware.com/software/dnstt/

На Хабре публикуют анализ недавней утечки 48 миллионов QR-кодов вакцинации с Госуслуг. После той утечки 26 января Госуслуги просто отключили возможность проверки QR-кодов по УНРЗ (уникальному номеру регистровой записи пациента), то есть все ссылки типа https://www.gosuslugi.ru/covid-cert/verify/{{УНРЗ}} просто перестали работать. Мы об этом тогда писали.

Оказывается, существовало три версии QR-кодов, и после 26 января перестали работать все QR-коды второго типа, включая настоящие.

Версия 1: До июня 2021 года. https://www.gosuslugi.ru/vaccine/cert/verify/{{uuid}}

Версия 2: C июня 2021 до 9 ноября 2021.
https://www.gosuslugi.ru/covid-cert/verify/{{unrz}}?lang={{lang}}&ck={{hash}}

Версия 3: Текущая версия. https://www.gosuslugi.ru/covid-cert/status/{{uuid}}?lang=ru

В общем, по словам автора, для борьбы с утечкой куча валидных QR-кодов были просто аннулированы без уведомления пользователей. Проверьте, какого типа ваш QR.

https://habr.com/ru/post/650589/
https://t.me/rks_tech_talk/379

"Авито" начал подменять номера продавцов в объявлениях на временные виртуальные. Это называется "Защита номера" и до сих пор работало только в категориях "Авто" и "Недвижимость", а теперь включили для всех частных пользователей. Номера в одном объявлении могут со временем могут меняться, но система запоминает, если кто-то кому-то уже звонил по старому номеру и для этой пары пользователей старый номер продолжает работать.

В карточках товаров теперь написано "Номер защищён: смс и сообщения в Viber, WhatsApp и других мессенджерах не будут доставлены."

Вроде хорошая новость, мошенникам станет тяжелее мошенничать. Интересно, что может пойти не так?

https://www.ixbt.com/news/2022/02/09/krupnejshij-proekt-po-zashite-nomerov-polzovatelej-v-rossijskom-internete-avito-zashitil-nomera-vseh-chastnyh-prodavcov.html

Тут из США пришла неприятная новость, что там форсится законопроект против шифрованных мессенджеров как обычно с целью борьбы за все хорошее против всего плохого. Планируют наказывать технологические компании за то, что они используют оконечное шифрование пользовательской переписки.
Вряд ли, конечно, это будет принято - лоббисты смогут донести, что шифрование не запретить, и в итоге просто бизнес уйдет в другие юрисдикции, но если бы вдруг приняли (что, конечно, плохо) - это был бы хороший пинок для всяких децентрализованных мессенджеров и других веб 3.0 сервисов.

Samsung объявил, что продлевает поддержку некоторых своих смартфонов и планшетов. Они получат "до четырех" крупных версий Android и версий оболочки Samsung One UI и "до пяти" лет обновлений безопасности. Новость распространяется на этот список:

Серия Galaxy S: Galaxy S22, S22+, S22 Ultra, S21, S21+, S21 Ultra, S21 FE и будущие устройства в серии S
Серия Galaxy Z: Galaxy Z Fold3, Galaxy Z Flip3 и будущие устройства в серии Z
Серия Galaxy A: некоторые будущие устройства
Планшеты: Galaxy Tab S8, S8+, S8 Ultra и будущие планшеты в серии Tab S

В анонсе есть несколько потенциальных "но":

• "до четырех" вообще-то не гарантирует, что версий будет четыре. Скорее звучит как "мы постараемся".
• Samsung нигде не обещает, как быстро будет выпускать патчи. Мелким шрифтом написано, что доступность обновлений будет зависеть от региона, то есть теоретически часть регионов могут быть в пролете.

То, что производители продлевают срок софтверной поддержки своих устройств, - это хорошая новость. Apple в этом смысле конечно вне конкуренции (там обновления до сих пор приходят на iPhone SE 2016 года), но Samsung/Google Pixel/Oneplus тоже в последнее время стараются. А иначе "брошенные" модели всякими устройствами типа Cellebrite ломать гораздо легче, потому что патчи не выходят. На эту тему, кстати, есть отличный Youtube-канал, там сидит дядька в лаборатории с кучей подобного оборудования и ломает все подряд.

А у каких Android-производителей еще хорошо с софтверной поддержкой?

https://www.samsungmobilepress.com/press-releases/samsung-sets-the-new-standard-with-four-generations-of-os-upgrades-to-ensure-the-most-up-to-date-and-more-secure-galaxy-experience/
https://www.youtube.com/c/DataRescueLabsIncMississauga

В IOS есть функция "Улучшение Siri и Диктовки". Если она включена, то записи разговоров с голосовым помощником передаются на сервера Apple и их там могут слушать люди для улучшения качества работы Siri. Вместе с записями в Apple передается история запросов, контакты, геолокация и список приложений, установленных на iPhone/iPad пользователя. В общем, чудесная функция для любителей приватности.

Оказывается, что после обновления на IOS 15 у некоторых пользователей (в оригинале small portion, буквально "небольшой части"), которые ее отключили, эта функция включилась сама и записи без их ведома передавались в облако. Теперь Apple признала проблему, объявила, что отключила этот механизм в версии 15.2, удаляет загруженные файлы из облака и сотрудники Apple их больше не отсматривают. Пишут, что обновление до 15.2 проблему гарантированно решает.

Сколько пользователей затронула проблема, Apple не признается.

https://www.theverge.com/2022/2/8/22924225/apple-ios-15-bug-recorded-interactions-siri
https://www.apple.com/ru/legal/privacy/data/ru/improve-siri-dictation/

Журналистка New York Times поставила эксперимент и положила отслеживающие bluetooth метки Apple AirTag и Tile и GPS-трекер LandAirSea 54 в машину и в рюкзак своему мужу.

В результате:

Во время эксперимента Apple AirTag показал машину на парковке в том месте, куда поехал муж, в задержкой в час. Но в центре Нью-Йорка AirTag работал даже лучше GPS-трекера, потому что вокруг было много устройств Apple.

Через два часа после установки маячка муж получил на своем iPhone сообщение, что его преследует чужой AirTag и карту перемещений. Он попробовал найти метку в машине, но не смог. AirTag должны подавать звуковой сигнал по запросу чужого iPhone, но у мужа получилось это сделать только один раз, при этом он так и не понял, откуда конкретно пищала метка. AirTag в рюкзаке он нашел совершенно случайно, когда искал в кармане другую вещь.

Tile вообще ничего полезного не показал, он считал, что все время находится в гараже дома журналистки. То есть для слежки за людьми он не пригоден, его можно использовать только по прямому назначению - для поиска потерянных дома вещей. Причина в том, что смартфонов с установленным приложением Tile гораздо меньше, чем айфонов.

LandAirSea работал идеально, но это полноценный GPS-трекер размером с хоккейную шайбу со встроенной sim-картой. А еще он дороже за счет того, что их встроенная sim-карта стоит 20 долларов в месяц.

В общем, что бы ни говорил Apple, AirTag вполне достаточно для краткосрочной скрытой слежки, особенно, если у жертвы Android, а у метки выведена из строя пищалка.

https://www.nytimes.com/2022/02/11/technology/airtags-gps-surveillance.html
https://t.me/rks_tech_talk/389