Иногда всплывают истории об отдельных российских интернет-провайдерах, которые блокируют лишнее. Вот свежий пример: у тульского пользователя заблокирован сайт https://protonvpn.com, хотя в реестре запрещенных сайтов нет его доменных имен и IP-адресов и другие провайдеры в России его не блокируют. Само приложение ProtonVPN работает, но не скачиваются автоматические обновления и геморрой с авторизацией пользователя, то есть не работает все, что фактически обращается к веб-приложению.

Он пишет в поддержку своего провайдера, который называется АЙ ТИ (http://home.it-service.club/), ему отвечают, что блокировка - по письменной просьбе РКН и ссылаются на вот эту новость начала 2020 года. Действительно, в январе прошлого года ProtonVPN на очень короткое время попадал под блокировку "за компанию" с Protonmail, который до сих пор официально заблокирован через официальный реестр запрещенных сайтов. Но тогда компания Proton Technologies быстро поняла, как вывести свой VPN из-под блокировки, и отписалась, что у пользователей из России он должен работать (https://protonstatus.com/incidents/58). В общем, выглядит эта история сейчас как внереестровая блокировка самим провайдером. Перестарались(

Что делать пользователю? Если это единичный локальный случай, то разумное решение — пользоваться другим VPN и попросить у Proton вернуть деньги, если это платная подписка. Юристы говорят, что еще можно написать жалобу на такое в Роскомнадзор)

Иран запретил майнинг криптовалют на четыре месяца, потому что там большие проблемы с электричеством и веерные отключения из-за засухи.

Это необычная новость, потому что майнинг в Иране - реальный приоритет государственной политики. Неделю назад вышло исследование, в котором говорится, что на Иран приходится 4.5% всего объема нового майнинга Bitcoin или в эквиваленте до 1 миллиарда USD в год. Нацбанк напрямую скупает Bitcoin у майнеров. Таким способом они обходят международные финансовые санкции, то есть фактически перерабатывают лишнюю нефть и газ, которую они не могут экспортировать, в криптовалюты и как-то оплачивают ими импорт.

В общем, Bitcoin - выход для страны с лишней энергией и под международными санкциями.

Провайдер Protonmail подтвердил, что сообщение о минировании, на основании которого Беларусь в воскресенье перехватила рейс Ryanair, было отправлено после того, как самолет был перехвачен. Выглядит так, что они действуют по собственным правилам, описанным в их privacy policy. Там говорится:

Активность аккаунта: Из-за ограничений протокола SMTP, мы имеем доступ к следующим метаданным имейл сообщений:

• имейл адреса отправителя и получателя,
• IP адрес, с которого пришло входящее сообщение,
• тема сообщения,
• время отправки и получения сообщения.

Мы не имеем доступа к содержанию зашифрованных сообщений, но незашифрованные сообщения, присланные с внешних провайдеров на адреса Protonmail, сканируются на спам и вирусы в интересах защиты наших пользователей.

Разглашение данных: Мы будем разглашать только ограниченный объем данных о пользователях, которые мы собираем, если нас обяжут это сделать компетентные органы Швейцарии (юридические обязательства).

В общем то, что Protonmail - крутой сервис с шифрованием и акцентом на приватность, не значит, что он не знает о пользователях ничего, или что он никогда не выдаст никому никакой информации. Это значит, что они имеют четкие документированные правила, действительно следуют им и открыто публикуют данные об этом в регулярно обновляемом отчете о прозрачности.

Protonmail прислал журналисту Reuters обновленное заявление по поводу имейла о минировании самолета Ryanair:

"26 мая в СМИ попало сообщение имейл (имеется в виду сегодняшний материал на https://dossier.center/bel-hamas/, где анализируется сам имейл, на который ссылается Беларусь). Это сообщение предоставил не Proton, и в силу того, какое шифрование использует Protonmail, мы не можем получить доступ к нему и подтвердить содержание этого сообщения. Однако, мы видим, когда сообщение было отправлено, и подтверждаем, что оно было отправлено после того, как самолет изменил курс. У нас нет оснований полагать, что утверждения белорусской стороны истинны и мы будем поддерживать расследование европейских органов, когда получим юридический запрос".

То есть Proton сейчас подождет правильных швейцарских документов и может быть расскажет, откуда соединялся тот, кто отправил имейл. Интересно, какой это будет VPN-провайдер)

Tor Project выпустил новую версию приложения для тестирования блокировок OONI Probe 3.0 для мобильных платформ. В Play Market завезли новую версию, в F-Droid и App Store пока что предыдущая, 2.11. Новая версия умеет автоматически проводить регулярные тесты автоматически раз в час.

Что вообще такое OONI Probe? Это утилита для кучи платформ (Android, IOS, Windows, Mac OS и консольная версия для UNIX-подобных систем), которая помогает пользователям тестировать блокировки и другие вмешательства в их интернет трафик, в том числе:
• Блокируются ли мессенджеры Signal, Whatsapp, Telegram.
• Блокируются ли средства обхода блокировок: Tor и VPN от Psiphon и Riseup VPN.
• Блокируются ли сайты из собственного списка OONI. Для России может проверяться 628 сайтов, списки по странам здесь.
• Несколько типов манипуляций с трафиком со стороны провайдера. OONI называет это middleboxes, "узлы в середине".
• Скорость подключения к сети и скорость потоковой передачи видео.

Сами тесты описаны здесь, их там больше. Клиенты отправляют данные измерений на сервера OONI (отключается в настройках опцией "Приватность"), и там они доступны для исследования, например, https://explorer.ooni.org/country/RU. Полезная штука, жалко только, что нельзя добавлять свои тесты, цены бы ей не было.

Сегодня New York Times пишет о "руских хакерах", которые в начале этой недели рассылали ссылки на скачивание вируса с адреса Агентства по Международному Развитию США (USAID) на 3000 ящиков в 150 правозащитных, некоммерческих, исследовательских, государственных и международных организациях. Согласно техническому отчету фирмы Volexity, жертва должна скачать и запустить малварь вручную, и работает это только под Windows. То есть фактически особенность атаки только то, что письма приходили с реальных адресов USAID (на скриншоте в техническом отчете виден адрес ashainfo@usaid.gov) по реальному списку рассылки.

Если вкратце, хакеры получили доступ к внешнему сервису email-рассылок, которым пользовался USAID, разослали письма со ссылкой на скачивание из интернета ISO файла ("ICA-declass.iso"), а в нем какой-то безвредный pdf, и файлы Reports.lnk и Documents.dll. Жертва должна скачать и открыть файл ISO на Windows, потом щелкнуть на *.LNK, запустится *.DLL, а там лежит известный коммерческий инструмент для пентестеров Cobalt Strike Beacon, который в данном случае используется как малварь. После заражения он связывается с удаленным сервером, что дальше происходит, исследователи пока анализируют. New York Times со ссылкой на Microsoft считает, что это работа российской группы Nobellium, то есть той же группы, которая недавно громко ломала SolarWinds. В отчете есть список файлов и список доменов, на которые ходит малварь.

Если вы админ правозащитной организации - идите проверять логи и поговорите с пользователями еще раз, чтобы не скачивали вирусов. Дорогие пользователи, пожалуйста, не скачивайте и не запускайте вирусы, даже если лично Илон Маск попросит вас это сделать.

В конце прошлой недели один пользователь заметил, что защищенный почтовый сервис Protonmail стал выдавать ему при входе Google reCAPTCHA и пожаловался об этом на Github, а потом обсуждение перекинулось на Hackernews. Почему пожаловался - в целом понятно: reCAPTCHA это продукт Google, бизнес Google - собирать информацию о пользователях и делать на этом деньги, а Protonmail - компания, которая говорит, что заботится о приватности. Непорядок!

В общем, выяснилось, что Protonmail показывает пользователям Google reCAPTCHA с 2014 года, это есть в их документации и privacy policy, и cтатистически в любой момент примерно 1-2% пользователей приходится ее решать. Пару недель большие ботнеты стали перебирать пароли от аккаунтов пользователей, инженеры сервиса настроили reCAPTCHA на большую "подозрительность" и настоящие пользовали это быстро заметили и возмутились. Когда Protonmail выбирал поставщика CAPTCHA в 2014 году, хороших альтернатив Google reCAPTCHA они не видели, а сейчас такие альтернативы есть и последние полгода Protonmail работает над переходом на hCAPTCHA. Это такой альтернативный сервис капч с большим акцентом на приватность, и не от Google.

Эта история - отличная иллюстрация того, насколько токсичную репутацию заработал себе Google в среде пользователей, которые разделяют ценности онлайн-приватности. И если вы разрабатываете или обслуживаете веб-приложения, использующие CAPTCHA, и не любите Google, - поковыряйтесь c hCAPTCHA, его в целом хвалят.

ФБР договорилось заливать базы украденных паролей на онлайн сервис проверки взломанных аккаунтов haveibeenpwned.com и владелец сервиса заказывает под это разработку. Раньше сервис всегда обновлялся в ручном режиме, а теперь речь идет о постоянном партнерстве с ФБР и автоматическом приеме утечек от таких партнеров.

Если все сработает, ФБР получит возможность эффективно предупреждать пользователей, чьи пароли украдены, через службу рассылки уведомлений https://haveibeenpwned.com/notifyme, а Haveibeenpwned сможет предлагать свою систему другим спецслужбам и подобным организациям. А в результате мы можем на шаг приблизиться к ответу на базовый вопрос информационной безопасности, на который хорошего ответа пока не существует: "Когда пользователям надо менять пароли?". Уже известно, что регулярно менять пароли люди просто не умеют, но может они все-таки будут их менять, если появится достаточно полная общая база украденных паролей с быстрыми оповещениями, которая при этом будет независимым бесплатным публичным сервисом? История с ФБР выглядит как важный шаг в эту сторону.

И снова про Google и онлайн-приватность. На прошлой неделе американский суд опубликовал новые документы о том, как Google собирает геолокацию пользователей, даже если они включают разные настройки приватности, которые должны этому препятствовать.

Судя по документам, когда пользователь дает любому приложению в Android доступ к геолокации, Google получает доступ к этим данным за компанию, и изменить это никак нельзя. А еще там есть документы, по которым Google тестировал с пользователями разные варианты настроек приватности в интерфейсе Android и умышленно выбирал варианты, в которых пользователи статистически настраивали поменьше и отдавали побольше информации о себе.

Сам судебный процесс прокуратуры штата Аризона против Googlе продолжается, а документы опубликованы как имеющие большую общественную важность. Прокуратура считает, что все эти мутные практики - часть бизнес-модели корпорации, позволяющая больше зарабатывать на таргетированной рекламе.

Мда, одно дело - читать о "плохом" Google на форумах шифропанков, там все-таки люди с убеждениями, и совсем другое - в американских судебных документах. Перейти что ли на Graphene OS?

Ведомости пишут, что в этом году запланировано тестовое внедрение умной системы "предикативной безопасности" в одной школе в Московской области. Разработчики обещают стоимость внедрения в зависимости от комплектации от 500 000 до 6,5 миллионов рублей.

В целом понятная идея: установить по школе камеры, централизованно следить за всеми учениками, а наверх прикрутить нейронку и алерты. Обещают ловить катание на перилах, бег по коридору и другое нетипичное поведение и опасные ситуации. Судя по тому, что это будет первое тестовое внедрение, первое время все это может работать абы как, а потом систему получится допилить или нет.

Нейронку в материале, кстати, описывают каким-то волшебным способом за те деньги, которые стоит внедрение, но может начальник недопонимает: "Чтобы определить психоэмоциональное состояние ребенка, мы используем нейронную сеть, которая сравнивает заложенные в нее эмоции и анализирует все факторы, от оценок ученика до его поведения, – говорит исполнительный директор группы компаний «Союзинфотех» Александр Кочуров. – Если у ребенка, по данным системы, три дня подряд плохое настроение, школьному психологу и учителю придет уведомление, которое подскажет специалистам, что нужно обратить внимание на ученика и поговорить с ним".

Само присутствие слежки действительно заставляет людей подчиняться и следовать правилам, это доказанный факт. Но очень хочется решать социальные проблемы еще какими-нибудь способами кроме "будем все время за всеми следить, и прикрутим нейронку и алерты".

Правообладатели фильмов "Далласский клуб покупателей", "Рэмбо V: Последняя кровь", "Телохранитель киллера" и других подали в суд на хостинг-провайдеров Leaseweb и Sharktech за то, что те предоставляют услуги VPN-провайдерам. Требуют денег, блокирования портов bittorrent 6881-6889, и блокировки пользователей, которые регулярно нарушают авторские права.

В прошлом году те же правообладатели судились с торрент-трекером YTS. В результате последнему пришлось слить им базу данных с IP-адресами, которые раздавали фильмы, и там оказалось много адресов VPN-сервисов. Но многие VPN-сервисы умышленно не хранят логов активности пользователей. Хуже того, не всегда очевидно, какому конкретно VPN-провайдеру принадлежит IP-адрес, хотя сейчас правообладатели предполагают, что их фильмы пиратили пользователи LiquidVPN, NordVPN и ExpressVPN.

Особенно интересный момент с блокировкой пользователей за повторные нарушения. По американскому закону об авторском праве в цифровую эпоху, DMCA, сервисы должны уметь определять и наказывать тех, кто пиратит регулярно. Но в данной ситуации это требование - технически невыполнимо, хостинг-провайдер не знает, какой пользователь VPN что делает. Возможно, в результате Leaseweb и Sharktech придется запрещать качать через них торренты вообще, а VPN-провайдерам - искать новых хостеров в юрисдикциях, куда правообладателям будет сложнее добраться.

Вышла новая версия OnionShare (https://onionshare.org/), которую разрабатывает известный айтишник-активист Micah Lee.

OnionShare это утилита, которая позволяет анонимно передавать и получать файлы через Tor, а также хостить в сети Tor статические вебсайты и организовывать анонимные чаты. Во всех этих случаях человеку с другой стороны не нужно устанавливать OnionShare, достаточно Tor Browser. Утилита опенсорс, работает под Windows, Linux и Mac OS, у нее приличный интерфейс и есть документация на русском.

Сотрудница "Эха Москвы" пишет, что у нее взломали Госуслуги, поменяли адрес на Челябинск и в "действиях в системе" осталась запись про "Центр обработки персональных данных Всероссийской политической партии "Единая Россия". Выглядит, как будто через ее аккаунт кто-то поучаствовал в Предварительном голосовании на сайте "Единой России", которое как раз предлагает пользователям авторизоваться через Госуслуги (точнее, через их систему ЕСИА, Единую систему идентификации и аутентификации) и выдать "Единой России" права на доступ к своим данным. Двухфакторной аутентификации у пользователя не было, она пожаловалась в техподдержку, техподдержка сказала включать двухфакторную.

Через аккаунты в Госуслугах можно заходить в личный кабинет налогоплательщика, онлайн-систему ЖКХ, бесплатный вайфай в московском метро и еще очень много куда. Поэтому их действительно стоит защищать. Кроме очевидного совета про уникальные пароли, в ЕСИА есть двухфакторная аутентификация (правда, только по смс) и уведомления на электронную почту при входе. Все это настраивается через https://esia.gosuslugi.ru/. Сходите проверьте, как у вас.

ЕС вводит единые электронные COVID-паспорта, которые позволят снять ограничения на поездки по всем странам Евросоюза. Постановление об этом вступает в силу 1 июля, а потом еще в течение шести недель страны будут постепенно вводить эту систему. На официальной странице есть таблица, как страны вводят эти паспорта, и Болгария, Хорватия, Чехия, Дания, Германия, Греция и Польша полностью готовы прямо сейчас. В списке одобренных вакцин Спутника пока нет, его тестирование должно закончиться этим летом. Паспорта необязательные, пишут, что без них тоже можно будет путешествовать.

С технической точки зрения паспорт - это QR-код на бумаге или на электронном носителе, который выдают больницы, центры тестирования и органы здравоохранения. QR-код содержит персональные данные (имя, дата рождения, дата выдачи сертификата, информация о вакцинации, тесте на антитела или подтверждение, что человек переболел), уникальный ID и цифровую подпись выдавшего сертификат учреждения. При проверке за границей персональные данные никуда не будут сохраняться, система будет проверять только то, что человек показывает свой собственный сертификат, и что такой сертификат действительно был выдан.

Проверять цифровые подписи, но не сохранять персональные данные в этом случае кажется хорошим решением.

Марк Цукерберг и руководитель Whatsapp Уилл Кэткарт дали интервью, в котором рассказали о планируемых новых фичах безопасности Whatsapp. Говорят что очень скоро появится возможность настраивать:

• Чтобы переданные фото и видео исчезали после первого просмотра получателем.
• Чтобы логи всех чатов автоматически удалялись через 7 дней. Сейчас удаление по таймеру уже есть, но надо настраивать для каждого чата отдельно.

А еще в течение двух месяцев обещают запустить в бету полноценную поддержку четырех устройств в аккаунте с сохранением оконечного (end-to-end) шифрования.

Анонсированные изменения безопасности помогают защищаться от нарушителей, которые могут получить доступ к устройствам пользователей. Whatsapp по-прежнему самый популярный мессенджер в мире и в России, поэтому, наверное, это не плохо.

При этом, после последнего изменения политики конфиденциальности Whatsapp стал делиться метаданными с Facebook, и нововведения в этом смысле ничего не меняют, Facebook по-прежнему будет получать много метаданных, в том числе:

• как вы взаимодействуете с другими людьми
• время, частота и продолжительность ваших действий и взаимодействий
• фото профиля
• данные геолокации
• модель устройства и операционная система
• номер телефона
• IP-адрес
• информация о работе устройства

И дальше длинный список, почитайте политику конфиденциальности, там все расписано. Такие удобные бесплатные продукты и есть основа того, что называется "капитализм, основанный на слежке".

Знаете известную картинку, где человек стоит напротив четырех танков во время акций протеста на площади Тяньаньмэнь в Китае в 1989 году? Пользователи ее обычно ищут в интернете по запросу "tank man". Так вот, вчера поисковая система Microsoft Bing применила свои китайские правила цензуры для пользователей по всему миру и показывала всем, что на такой поисковый запрос по картинкам "результатов нет". А поскольку приватная поисковая система DuckDuckGo использует под капотом "обогащенную" выдачу Bing, то она результатов-картинок тоже не выдавала. И Yahoo Search не выдавал, потому что он тоже Bing.

Пользователи возмутились, Microsoft сказал, упс, человеческий фактор, все починили, сейчас картинку показывает. Но блин, сколько власти у больших поисковиков! И VPN с DuckDuckGo могут не исправить ситуацию.

В комментариях к предыдущему посту коллега предлагает бороться с цензурным беспределом поисковиков при помощи мета-поисковой системы SearX, в которой пользователь может сам выбрать в настройках, из каких источников будет собираться его поисковая выдача. В документации написано, что SearX не генерирует поисковые профили пользователей, опенсорс, режет рекламу и встраивается дефолтным поиском в браузеры. А если кто умеет, можно поднимать собственные сервера и настраивать, как хочешь.

Список публичных серверов SearX здесь, некоторые даже Яндекс поддерживают из коробки (это можно посмотреть во вкладке Engines). Придется доверять выбранному серверу, но по доменным именам часто можно разобраться, кто ими управляет. В остальном выглядит круто, стоит попробовать.

Вышло новое исследование о том, как у Великого Китайского Файрволла устроена блокировка по доменным именам (DNS). В общем, в Китае тоже блокируют криво, а китайская цензура "протекает" в большой интернет зарубежным пользователям.

Во-первых, исследователи нашли всего 311 тысяч заблокированных доменов. Во-вторых, выяснилось, что китайские цензоры тоже используют кривые правила, из-за чего 41 тысяча доменов блокируется ошибочно, за компанию с другими доменами (это как в России в марте Роскомнадзор замедлял Твиттер по маске "t.co" и ошибочно замедлил кучу случайных сайтов, типа microsoft.com). В-третьих, оказывается, что китайская цензура "протекает" в большой интернет и можно попасть под ее правила, не находясь в Китае. Это происходит из-за того, что в Китае при блокировке оборудование не сбрасывает соединение и не рисует пользователям заглушку "Доступ ограничен по требованию суда", а просто выдает в ответ другие адреса, и часто эти "отравленные" цензорами ответы запоминают и начинают раздавать международным пользователям некитайские публичные DNS-сервера, например Google, Yandex или Cloudflare. Таких случаев исследователи нашли около 77 тысяч. В отчете они предлагают операторам публичных DNS-серверов решать эту проблему, сверяя записи у себя с базой китайских блокировок, которую они обещают скоро опубликовать.

В отличие от России, в Китае нет публичных списков блокировки, поэтому исследователи развернули собственную систему тестирования GFWatch и в течение 9 месяцев тестировали более 400 миллионов доменов каждый день.

В общем, непубличные внеереестровые блокировки - это неправильно. Цензоры косячат, а пользователи думают, что так и надо.

Apple анонсировал новые фишки запланированной на осень IOS 15 и предстоящий апгрейд своего облака, iCloud+.

Технически самое интересное в анонсе - это iCloud Private Relay, Приватный прокси iCloud. При его использовании весь интернет-трафик пользователей браузера Safari будет проходить два промежуточных прокси-узла: первый Apple-овский (где подменяется ip-адрес пользователя), а второй - какого-то внешнего партнера Apple.

По идее в этой системе Apple знает IP-адрес пользователя, но не знает, куда он идет, а прокси партнера Apple знает, куда идет пользователь, но не знает его IP. Выглядит, как будто идею скопировали у сети Tor, но убрали третий узел и в результате пользователям досталась приватность, а не анонимность. Apple таким образом хочет помешать сайтам и рекламодателям следить за пользователями по IP-адресам и местоположению. При этом сама корпорация придумала все так, что не сможет собирать логи пользовательского трафика, иначе это была бы массовая слежка, а не приватность. А заодно при помощи этой технологии можно будет обходить российские блокировки, если, конечно, второй промежуточный узел партнера будет не в России)).

Уже пишут, что услуга не будет доступна пользователям в Китае, Беларуси, Казахстане, Туркменистане, Колумбии, Египте, Саудовской Аравии, Южной Африке и Филиппинах. Очень интересно, как Apple будет объяснять свое решение по Беларуси и Казахстану.

А вот что еще обещают из интересных мелочей:

• Пользователи Apple смогут приглашать других пользователей участвовать в зашифрованных аудио- и видеозвонках Facetime, чтобы те соединялись из браузера по ссылке, не регистрируя аккаунт. Facetime считается прилично защищенным средством коммуникации и использует оконечное (end-to-end) шифрование, но до сих пор был доступен только на устройствах Apple.

• В родном почтовом приложении и браузере Safari пользователи iCloud+ смогут регистрировать ящики для пересылки (то, что у айтишников называется алиасы), чтобы не "палить" свой основной ящик по всему интернету.

Сегодня днем в течение часа не работала куча крупных сайтов (Reddit, CNN, The Verge, Amazon, Bloomberg, Vimeo, Twitter) из-за сбоя у CDN-провайдера Fast.ly. В это время американский сайт о компьютерах The Verge анонсировал новые материалы в Twitter, а контент выставлял в Google Docs! (пример)

Какая элегантная идея! Ее можно использовать для создания зеркал и обхода интернет-цензуры. Интересно, будет ли Google такое блокировать.

Email провайдер Fastmail убирает приложения из российских Play Market и App Store и собирается блокировать регистрацию новых аккаунтов из России. Это решение компания приняла, чтобы не переносить сервера в Россию и не открывать российское юрлицо по требованию Роскомнадзора. Уже зарегистрированные пользователи смогут продолжать пользоваться сервисом.

Fastmail пишет, что получил предписание Роскомнадзора в июле прошлого года и пытался оспорить его в суде, но проиграл. Поскольку российских пользователей у них немного, компании проще официально уйти с рынка. А тем, кого коснулось это решение, компания предлагает обращаться в Роскомсвободу!

Fastmail существует больше 20 лет за счет очень простой бизнес-модели: он берет с пользователей деньги за подписку, но не следит за ними и не перепродает их данные. А еще Fastmail использует свободное ПО, и разработчики компании отдавали много своего кода в сообщество, например, в проект Cyrus IMAP.

Очень жаль, когда такие игроки уходят с рынка. Но зарегистрировать новый аккаунт Fastmail вы по-прежнему сможете при помощи средств обхода блокировок. Если вы не очень в теме - заходите на сайт https://openrunet.org/, мы вам все объясним.