Марк Цукерберг и руководитель Whatsapp Уилл Кэткарт дали интервью, в котором рассказали о планируемых новых фичах безопасности Whatsapp. Говорят что очень скоро появится возможность настраивать:

• Чтобы переданные фото и видео исчезали после первого просмотра получателем.
• Чтобы логи всех чатов автоматически удалялись через 7 дней. Сейчас удаление по таймеру уже есть, но надо настраивать для каждого чата отдельно.

А еще в течение двух месяцев обещают запустить в бету полноценную поддержку четырех устройств в аккаунте с сохранением оконечного (end-to-end) шифрования.

Анонсированные изменения безопасности помогают защищаться от нарушителей, которые могут получить доступ к устройствам пользователей. Whatsapp по-прежнему самый популярный мессенджер в мире и в России, поэтому, наверное, это не плохо.

При этом, после последнего изменения политики конфиденциальности Whatsapp стал делиться метаданными с Facebook, и нововведения в этом смысле ничего не меняют, Facebook по-прежнему будет получать много метаданных, в том числе:

• как вы взаимодействуете с другими людьми
• время, частота и продолжительность ваших действий и взаимодействий
• фото профиля
• данные геолокации
• модель устройства и операционная система
• номер телефона
• IP-адрес
• информация о работе устройства

И дальше длинный список, почитайте политику конфиденциальности, там все расписано. Такие удобные бесплатные продукты и есть основа того, что называется "капитализм, основанный на слежке".

Знаете известную картинку, где человек стоит напротив четырех танков во время акций протеста на площади Тяньаньмэнь в Китае в 1989 году? Пользователи ее обычно ищут в интернете по запросу "tank man". Так вот, вчера поисковая система Microsoft Bing применила свои китайские правила цензуры для пользователей по всему миру и показывала всем, что на такой поисковый запрос по картинкам "результатов нет". А поскольку приватная поисковая система DuckDuckGo использует под капотом "обогащенную" выдачу Bing, то она результатов-картинок тоже не выдавала. И Yahoo Search не выдавал, потому что он тоже Bing.

Пользователи возмутились, Microsoft сказал, упс, человеческий фактор, все починили, сейчас картинку показывает. Но блин, сколько власти у больших поисковиков! И VPN с DuckDuckGo могут не исправить ситуацию.

В комментариях к предыдущему посту коллега предлагает бороться с цензурным беспределом поисковиков при помощи мета-поисковой системы SearX, в которой пользователь может сам выбрать в настройках, из каких источников будет собираться его поисковая выдача. В документации написано, что SearX не генерирует поисковые профили пользователей, опенсорс, режет рекламу и встраивается дефолтным поиском в браузеры. А если кто умеет, можно поднимать собственные сервера и настраивать, как хочешь.

Список публичных серверов SearX здесь, некоторые даже Яндекс поддерживают из коробки (это можно посмотреть во вкладке Engines). Придется доверять выбранному серверу, но по доменным именам часто можно разобраться, кто ими управляет. В остальном выглядит круто, стоит попробовать.

Вышло новое исследование о том, как у Великого Китайского Файрволла устроена блокировка по доменным именам (DNS). В общем, в Китае тоже блокируют криво, а китайская цензура "протекает" в большой интернет зарубежным пользователям.

Во-первых, исследователи нашли всего 311 тысяч заблокированных доменов. Во-вторых, выяснилось, что китайские цензоры тоже используют кривые правила, из-за чего 41 тысяча доменов блокируется ошибочно, за компанию с другими доменами (это как в России в марте Роскомнадзор замедлял Твиттер по маске "t.co" и ошибочно замедлил кучу случайных сайтов, типа microsoft.com). В-третьих, оказывается, что китайская цензура "протекает" в большой интернет и можно попасть под ее правила, не находясь в Китае. Это происходит из-за того, что в Китае при блокировке оборудование не сбрасывает соединение и не рисует пользователям заглушку "Доступ ограничен по требованию суда", а просто выдает в ответ другие адреса, и часто эти "отравленные" цензорами ответы запоминают и начинают раздавать международным пользователям некитайские публичные DNS-сервера, например Google, Yandex или Cloudflare. Таких случаев исследователи нашли около 77 тысяч. В отчете они предлагают операторам публичных DNS-серверов решать эту проблему, сверяя записи у себя с базой китайских блокировок, которую они обещают скоро опубликовать.

В отличие от России, в Китае нет публичных списков блокировки, поэтому исследователи развернули собственную систему тестирования GFWatch и в течение 9 месяцев тестировали более 400 миллионов доменов каждый день.

В общем, непубличные внеереестровые блокировки - это неправильно. Цензоры косячат, а пользователи думают, что так и надо.

Apple анонсировал новые фишки запланированной на осень IOS 15 и предстоящий апгрейд своего облака, iCloud+.

Технически самое интересное в анонсе - это iCloud Private Relay, Приватный прокси iCloud. При его использовании весь интернет-трафик пользователей браузера Safari будет проходить два промежуточных прокси-узла: первый Apple-овский (где подменяется ip-адрес пользователя), а второй - какого-то внешнего партнера Apple.

По идее в этой системе Apple знает IP-адрес пользователя, но не знает, куда он идет, а прокси партнера Apple знает, куда идет пользователь, но не знает его IP. Выглядит, как будто идею скопировали у сети Tor, но убрали третий узел и в результате пользователям досталась приватность, а не анонимность. Apple таким образом хочет помешать сайтам и рекламодателям следить за пользователями по IP-адресам и местоположению. При этом сама корпорация придумала все так, что не сможет собирать логи пользовательского трафика, иначе это была бы массовая слежка, а не приватность. А заодно при помощи этой технологии можно будет обходить российские блокировки, если, конечно, второй промежуточный узел партнера будет не в России)).

Уже пишут, что услуга не будет доступна пользователям в Китае, Беларуси, Казахстане, Туркменистане, Колумбии, Египте, Саудовской Аравии, Южной Африке и Филиппинах. Очень интересно, как Apple будет объяснять свое решение по Беларуси и Казахстану.

А вот что еще обещают из интересных мелочей:

• Пользователи Apple смогут приглашать других пользователей участвовать в зашифрованных аудио- и видеозвонках Facetime, чтобы те соединялись из браузера по ссылке, не регистрируя аккаунт. Facetime считается прилично защищенным средством коммуникации и использует оконечное (end-to-end) шифрование, но до сих пор был доступен только на устройствах Apple.

• В родном почтовом приложении и браузере Safari пользователи iCloud+ смогут регистрировать ящики для пересылки (то, что у айтишников называется алиасы), чтобы не "палить" свой основной ящик по всему интернету.

Сегодня днем в течение часа не работала куча крупных сайтов (Reddit, CNN, The Verge, Amazon, Bloomberg, Vimeo, Twitter) из-за сбоя у CDN-провайдера Fast.ly. В это время американский сайт о компьютерах The Verge анонсировал новые материалы в Twitter, а контент выставлял в Google Docs! (пример)

Какая элегантная идея! Ее можно использовать для создания зеркал и обхода интернет-цензуры. Интересно, будет ли Google такое блокировать.

Email провайдер Fastmail убирает приложения из российских Play Market и App Store и собирается блокировать регистрацию новых аккаунтов из России. Это решение компания приняла, чтобы не переносить сервера в Россию и не открывать российское юрлицо по требованию Роскомнадзора. Уже зарегистрированные пользователи смогут продолжать пользоваться сервисом.

Fastmail пишет, что получил предписание Роскомнадзора в июле прошлого года и пытался оспорить его в суде, но проиграл. Поскольку российских пользователей у них немного, компании проще официально уйти с рынка. А тем, кого коснулось это решение, компания предлагает обращаться в Роскомсвободу!

Fastmail существует больше 20 лет за счет очень простой бизнес-модели: он берет с пользователей деньги за подписку, но не следит за ними и не перепродает их данные. А еще Fastmail использует свободное ПО, и разработчики компании отдавали много своего кода в сообщество, например, в проект Cyrus IMAP.

Очень жаль, когда такие игроки уходят с рынка. Но зарегистрировать новый аккаунт Fastmail вы по-прежнему сможете при помощи средств обхода блокировок. Если вы не очень в теме - заходите на сайт https://openrunet.org/, мы вам все объясним.

Protonmail, который по-прежнему заблокирован в России, вчера вечером выпустил релиз своего календаря. Proton Calendar доступен всем пользователям, в том числе на бесплатном тарифном плане.

Одновременно компания обновила политику конфиденциальности и объяснила, какие данные календаря как защищены. У Protonmail нет доступа к названию и описанию событий календаря, месту проведения и деталям участников, так как вся эта информация шифруется оконечным шифрованием. Доступ к некоторым метаданным компании нужен для рассылки приглашений и напоминаний, поэтому Protonmail имеет доступ к названию и описанию всего календаря (не события), дате начала и конца событий, правилам повторения событий, статусу участия приглашенных участников, и дате создания и обновления событий.

Удаленные события календаря сразу удаляются с серверов сразу, но еще до 30 дней могут оставаться в резервных копиях. Выдает пользовательские данные Protonmail только по официальному запросу компетентных органов в Швейцарии.

А еще вчера Protonmail сделал редизайн веб-интерфейса и там теперь красота!

Автомобили сливают перемещения владельцев дата-брокерам для перепродажи

Новое журналистское расследование Vice рассказывает об израильской компании Otonomo (https://otonomo.io/), которая торгует данными геолокации автомобилей, полученными из бортовых компьютеров. Поиска по фамилии владельца в их базах нет, но исследователи часто могут вычислить фамилию, анализируя перемещения машины.

Otonomo имеет партнерские соглашения с 16 автопроизводителями и собирает данные из бортовых компьютеров примерно 40 миллионов автомобилей. Основное количество "установок" приходится на BMW Group и General Motors, но в их презентации для инвесторов еще фигурирует Daimler, Renault Nissan Mitsubisi и FCA/PSA.

Данные в системе Otonomo "обезличены", то есть фамилий владельцев там нет, но каждому автомобилю соответствует уникальный идентификатор, поэтому можно нанести на карту перемещения конкретного автомобиля и догадаться, где его владелец живет и работает, что редакция и сделала. Исследователь, который помогал готовить статью, смог сопоставить эти данные с другими базами и установить с высокой долей вероятности, кто эти люди.

Когда Vice стал задавать Otomono вопросы, представитель компании ответил, что деанонимизировать пользователей по геолокации вообще-то запрещено правилами использования, то есть с самими данными все хорошо, просто журналисты - редиски. А эксперты EFF (Фонда Защиты Электронных Рубежей) комментируют, что историю геолокации автомобиля совсем обезличить невозможно, и с точки зрения приватности продажа таких данных на рынке - это кромешный ад.

Вчера немецкий парламент одобрил законопроект, по которому спецслужбы получают права устанавливать средства слежки (фактически, трояны) на устройства граждан, даже если те не совершили и не подозреваются в совершении преступлений. А сервис-провайдеров новый закон обязывает содействовать спецслужбам. Немецкие правозащитники считают, что теперь от провайдеров могут требовать встраивать государственное ПО для слежки в обновления операционных систем и приложений. Речь видимо идет об обновлениях ОС для операторских смартфонов и собственных приложениях операторов связи, каких-нибудь немецких аналогах "Мой МТС".

Идея понятная. Есть, к примеру, Signal с оконечным шифрованием. Люди по нему неизвестно о чем разговаривают, а как это взламывать на лету, никто не знает. Государство может пытаться мешать людям разговаривать, как в России пробовали с Telegram, но вот у России не получилось, это слишком сложно. Тогда надо заразить пользователей трояном и копировать их переговоры прямо с устройств. Но как доставить троян на устройства, они же не согласятся сами его устанавливать? Надо встроить его в какие-то файлы, которые пользователи точно запустят, например, в обновления.

Эксперты по онлайн-приватности, активисты типа популярного в Германии ССС (Chaos Computer Club) и даже корпорации типа Google и Facebook активно сопротивлялись принятию нового закона, выступали и подписывали петиции, но закон все равно приняли. Теперь надежда на Конституционный Суд.

Противники нового закона говорят важную вещь. Государственные трояны с сохранением общей безопасности коммуникаций - это утопия. Пока ни у кого не получилось реализовать систему, в которой все хорошие ребята с правильными намерениями могут обходить безопасность, а все плохие ребята - не могут.

Всегда было интересно, а как быстро какой-нибудь Facebook удаляет контент по запросу Роскомнадзора. А тут статистика от самого РКН: Twitter удаляет в среднем за 8 дней, Facebook/Instagram - за 105 дней, Google/YouTube - за 82 дня. Данные в России из них не локализовал никто.

В общем, Google и Facebook удаляют медленно и не все, и переносить данные в Россию по-прежнему не хотят.

Обновился децентрализованный мессенджер Briar для Android. В новой версии добавили передачу фото в чатах и автоматическое удаление сообщений по таймеру.

Briar интересен тем, что это децентрализованная система, которая работает через сеть Tor, а также может работать напрямую через Wifi и Bluetooth без подключения к интернету. Приложение поддерживает чаты, приватные группы и "форумы" (это типа публичных групп, где любой участник может приглашать новых участников), у него открытые исходники и оконечное (end-to-end) шифрование. Аккаунты пользователей не привязаны ни к номерам телефонов, ни к адресам email.

Децентрализованная система - это правильная архитектура: их сложнее блокировать, а за их пользователями сложнее следить.

Ресурс Torrentfreak обновил ежегодный отчет о том, как крупные VPN-провайдеры защищают приватность своих пользователей. Этот отчет - не рейтинг, представители провайдеров заполняют стандартную анкету из 12 вопросов, а потом сайт публикует все ответы.

В целом, ни один из участвовавших в этом году VPN-сервисов не пишет логи активности пользователей и не выдает эти данные. У всех есть базовый функционал типа kill switch (то есть данные не уходят мимо VPN напрямую при обрыве VPN-соединения) и защита от утечек DNS и IPv6. Фактическая разница между провайдерами - в другом: в каких странах зарегистрированы их компании (то есть решениям каких судов подчиняются), принимают ли они оплату криптовалютами и используют ли внешние сервисы электронной почты или мониторинга, в которых могут оставаться данные пользователей (например, корпоративную почту Google или мониторинг Google Analytics на сайте).

В этом году на вопросы ответили 19 компаний: NordVPN, ExpressVPN, PIA, TorGuard, IVPN, Windscribe, VPNArea, Surfshark, Oeck, AtlasVPN, Speedify, AirVPN, Trust.Zone, SwitchVPN, Mullvad, Perfect Privacy, Hideme, AzireVPN, Guardian. Если вы пользуетесь одним из этих сервисов - почитайте, что они о себе рассказывают.

Кстати, если вы выбираете VPN-провайдера прямо сейчас, у Роскомсвободы есть сервис https://vpnlove.me со ссылками на провайдеров, которым мы доверяем.

В Wired сегодня пишут, что команда президента Франции Эмманюэля Макрона во время предвыборной кампании в 2017 году пользовалась Telegram, а потом перешла на Matrix https://matrix.org/. А сейчас протокол прижился, и во французских министерствах стоят свои Matrix сервера и госслужащие таким способом общаются. В статье явно не пишут, каким приложением-клиентом сети Matrix пользуются французские госслужащие, но упоминается Element.

Matrix - это популярный среди айтишников и любителей онлайн-приватности децентрализованный протокол с поддержкой разных приложений-клиентов и федерации (то есть в сети может быть много серверов Matrix, а их клиенты могут общаться между собой). Раньше федерация была базовым принципом общения в интернете, поэтому старые способы общения (например, email) ее поддерживают. А сейчас федерация не в почете, потому что мешает интернет-монополиям типа Google, Apple и Facebook удерживать пользователей, поэтому у них у всех теперь свой отдельный несовместимый стандарт чатов. И даже Signal и Telegram федерацию не поддерживают. Signal оправдывался, что централизация им нужна, чтобы быстрее исправлять проблемы безопасности.

Поэтому очень приятно читать, что государство вообще может выбрать и успешно внедрить децентрализованный опенсорс мессенджер, а не секретные разработки за миллион денег, которые никто никогда не видел.

Google объявил о всемирном запуске конкурента iMessage. Правда, в России его получат только московские пользователи МТС с Samsung-ами.

Google добавляет поддержку оконечного (end-to-end) шифрования в стандартное приложение "Сообщения", которое есть на Android-смартфонах из коробки. Новинка полностью слизана у Apple iMessage: приложение отправляет и получает обычные смс-ки, но если оба собеседника поддерживают апгрейд до шифрованной версии, то сообщения становятся зашифрованным чатом от Google.

В течение недели обновление должно прийти всем, но для российских пользователей есть одно важное "но": чтобы апгрейд до шифрования заработал, обоим собеседникам нужно в настройках "Сообщений" включить функцию "Функции чата". А получится ли ее включить, зависит от поддержки оператором связи стандарта RCS, который в России поддерживает только московский МТС на телефонах Samsung (список поддерживаемых моделей здесь во вкладке "Кому доступно").

Остальным российским пользователям пока не видать нового Google-овского зашифрованного чата.

Отличный материал на Хабре. Финансовая компания пыталась разобраться, почему клиентам, которым они одобрили кредит, начинают названивать конкуренты. Долго и красиво расследовали, откуда утечка, выяснилось, что компания слала клиентам смску "Поздравляем с одобрением кредита!", а оператор связи официально торгует этой информацией:

"Сотовый оператор «читает» тематические SMS своих абонентов. В данном случае, про одобрение кредита. В онлайне оператор дообогащает информацию по абоненту данными из других источников (например, e-mail), и эти события легально передает компаниям, кому это интересно. По вполне официальному договору. А что с согласиями клиентов на передачу данных? Ну, во-первых, они передают только номер телефона (и иногда email), во-вторых, клиент при заключении договора с сотовым оператором уже дал все согласия".

Генеральный директор Apple Тим Кук дал интервью, в котором ругает готовящееся европейское антимонопольное законодательство. Говорит, что оно уничтожит безопасность iPhone и перечеркнет механизмы приватности в App Store.

Это он про законопроект под названием Digital Markets Act, регулирующий работу интернет-гигантов в Евросоюзе, который должен вступить в силу в 2022 году. Одно из главных требований там - обязательная поддержка альтернативных способов распространения приложений, которой у Apple в IOS сейчас нет.

Если у ЕС все получится, Apple придется придумывать, как защищать пользователей в операционной системе, в которой приложения могут появляться мимо их магазина. А пользователи получат альтернативные магазины приложений в IOS и больше не будут зависеть от решений Apple, какие приложения оставить для конкретных стран, а какие убрать по государственным запросам.

Роскомнадзор пишет, что c сегодняшнего дня блокирует OperaVPN и VyprVPN "в соответствии с регламентом реагирования на угрозы обхода ограничений доступа к детской порнографии, суицидальному, пронаркотическому и иному запрещённому контенту". Блокировки мы пока не видим, прямо сейчас оба сервиса в России работают. Будем держать в курсе.

Opera заявила "Мы решили приостановить поддержку сервисов VPN в наших браузерах на территории РФ в той форме, в которой она оказывалась ранее". В десктопной версии браузера исчез пункт включения VPN - похоже, что Opera выпилила его сама. В браузере Opera на Android в приватных вкладках VPN остался, работает с российских провайдеров нормально.

Роскомнадзор пока не блокирует Opera VPN, но его пытается блокировать сама Opera, скрывая от пользователей опцию VPN в браузерах. Вот пример того, как это устроено в Windows:

В папке C:\Users\*имя пользователя*\AppData\Roaming\Opera Software\Opera Stable лежит текстовый конфигурационный файл Secure Preferences. Вчера в нем появилась такая строка:

"vpn":{"blacklisted_locations":["cn","ru"],"last_established_location":"RU"}}

И VPN из браузера исчез. К вечеру пользователи сообразили, что если заменить "ru" на что-нибудь другое (например, "ua") или просто убрать в этих двух местах и оставить только "cn", то VPN появляется в интерфейсе браузера и подключение работает.

Сегодня вместо названий стран в этой части конфигурационного файла появились хеши (длинные последовательности букв и цифр), но пока их по-прежнему можно заменить обратно на названия стран, перезагрузить браузер, и VPN начинает работать.

В Ubuntu при установке браузера через snap конфигурационный файл лежит по адресу /home/имя_пользователя/snap/opera/128/.config/opera/Preferences, а внутри там то же самое. Или поищите grep-ом в домашней директории по "blacklisted_locations"

И кстати, VyprVPN в России сегодня работает нормально, не блокируется и не замедлен.

UPD: В комментариях предлагают совсем простой способ вернуть VPN в Opera:

"Заходите в браузере Опера по ссылке: https://addons.opera.com/ru/extensions/details/opera-vpn/ и нажимаете на зеленую кнопку "Включить в Опера". Работает до закрытия браузера, при открытии снова придется нажимать "Включить в Опера". Для удобства этот адрес сразу в закладки."

В американском штате Массачусетс Google автоматически устанавливает на Android-смартфоны государственное приложение по отслеживанию контактов с больными COVID. Отказаться от установки не получается, и приложение появляется у всех подряд, а не только у тех, кто включил системную опцию "Уведомления о риске инфицирования COVID-19" в настройках Android. Google комментирует, что да, приложение установил, но оно же выключено, пока пользователь сам его не активирует, так что все нормально.

У Googlе/Apple/Amazon действительно есть и права, и техническая возможность добавлять и удалять цифровой контент и приложения с выпущенных ими устройств. Обычно этот функционал используется для борьбы с вредоносным ПО, но бывают и другие истории. Например, Amazon удалял с электронных книг Kindle купленные пользователями книги Оруэлла из-за изменения авторских прав, а Apple один раз закачал пользователям iPhone в подарок альбом группы U2.

Единственный надежный способ отвязать Android устройство от такой связи c Google - это установить альтернативную прошивку без Google-сервисов, например, Graphene OS или или Lineage OS. И если вам интересно про цифровые права и пандемию, на нашем Youtube-канале есть на эту тему видеоролик.