Всегда было интересно, а как быстро какой-нибудь Facebook удаляет контент по запросу Роскомнадзора. А тут статистика от самого РКН: Twitter удаляет в среднем за 8 дней, Facebook/Instagram - за 105 дней, Google/YouTube - за 82 дня. Данные в России из них не локализовал никто.

В общем, Google и Facebook удаляют медленно и не все, и переносить данные в Россию по-прежнему не хотят.

Обновился децентрализованный мессенджер Briar для Android. В новой версии добавили передачу фото в чатах и автоматическое удаление сообщений по таймеру.

Briar интересен тем, что это децентрализованная система, которая работает через сеть Tor, а также может работать напрямую через Wifi и Bluetooth без подключения к интернету. Приложение поддерживает чаты, приватные группы и "форумы" (это типа публичных групп, где любой участник может приглашать новых участников), у него открытые исходники и оконечное (end-to-end) шифрование. Аккаунты пользователей не привязаны ни к номерам телефонов, ни к адресам email.

Децентрализованная система - это правильная архитектура: их сложнее блокировать, а за их пользователями сложнее следить.

Ресурс Torrentfreak обновил ежегодный отчет о том, как крупные VPN-провайдеры защищают приватность своих пользователей. Этот отчет - не рейтинг, представители провайдеров заполняют стандартную анкету из 12 вопросов, а потом сайт публикует все ответы.

В целом, ни один из участвовавших в этом году VPN-сервисов не пишет логи активности пользователей и не выдает эти данные. У всех есть базовый функционал типа kill switch (то есть данные не уходят мимо VPN напрямую при обрыве VPN-соединения) и защита от утечек DNS и IPv6. Фактическая разница между провайдерами - в другом: в каких странах зарегистрированы их компании (то есть решениям каких судов подчиняются), принимают ли они оплату криптовалютами и используют ли внешние сервисы электронной почты или мониторинга, в которых могут оставаться данные пользователей (например, корпоративную почту Google или мониторинг Google Analytics на сайте).

В этом году на вопросы ответили 19 компаний: NordVPN, ExpressVPN, PIA, TorGuard, IVPN, Windscribe, VPNArea, Surfshark, Oeck, AtlasVPN, Speedify, AirVPN, Trust.Zone, SwitchVPN, Mullvad, Perfect Privacy, Hideme, AzireVPN, Guardian. Если вы пользуетесь одним из этих сервисов - почитайте, что они о себе рассказывают.

Кстати, если вы выбираете VPN-провайдера прямо сейчас, у Роскомсвободы есть сервис https://vpnlove.me со ссылками на провайдеров, которым мы доверяем.

В Wired сегодня пишут, что команда президента Франции Эмманюэля Макрона во время предвыборной кампании в 2017 году пользовалась Telegram, а потом перешла на Matrix https://matrix.org/. А сейчас протокол прижился, и во французских министерствах стоят свои Matrix сервера и госслужащие таким способом общаются. В статье явно не пишут, каким приложением-клиентом сети Matrix пользуются французские госслужащие, но упоминается Element.

Matrix - это популярный среди айтишников и любителей онлайн-приватности децентрализованный протокол с поддержкой разных приложений-клиентов и федерации (то есть в сети может быть много серверов Matrix, а их клиенты могут общаться между собой). Раньше федерация была базовым принципом общения в интернете, поэтому старые способы общения (например, email) ее поддерживают. А сейчас федерация не в почете, потому что мешает интернет-монополиям типа Google, Apple и Facebook удерживать пользователей, поэтому у них у всех теперь свой отдельный несовместимый стандарт чатов. И даже Signal и Telegram федерацию не поддерживают. Signal оправдывался, что централизация им нужна, чтобы быстрее исправлять проблемы безопасности.

Поэтому очень приятно читать, что государство вообще может выбрать и успешно внедрить децентрализованный опенсорс мессенджер, а не секретные разработки за миллион денег, которые никто никогда не видел.

Google объявил о всемирном запуске конкурента iMessage. Правда, в России его получат только московские пользователи МТС с Samsung-ами.

Google добавляет поддержку оконечного (end-to-end) шифрования в стандартное приложение "Сообщения", которое есть на Android-смартфонах из коробки. Новинка полностью слизана у Apple iMessage: приложение отправляет и получает обычные смс-ки, но если оба собеседника поддерживают апгрейд до шифрованной версии, то сообщения становятся зашифрованным чатом от Google.

В течение недели обновление должно прийти всем, но для российских пользователей есть одно важное "но": чтобы апгрейд до шифрования заработал, обоим собеседникам нужно в настройках "Сообщений" включить функцию "Функции чата". А получится ли ее включить, зависит от поддержки оператором связи стандарта RCS, который в России поддерживает только московский МТС на телефонах Samsung (список поддерживаемых моделей здесь во вкладке "Кому доступно").

Остальным российским пользователям пока не видать нового Google-овского зашифрованного чата.

Отличный материал на Хабре. Финансовая компания пыталась разобраться, почему клиентам, которым они одобрили кредит, начинают названивать конкуренты. Долго и красиво расследовали, откуда утечка, выяснилось, что компания слала клиентам смску "Поздравляем с одобрением кредита!", а оператор связи официально торгует этой информацией:

"Сотовый оператор «читает» тематические SMS своих абонентов. В данном случае, про одобрение кредита. В онлайне оператор дообогащает информацию по абоненту данными из других источников (например, e-mail), и эти события легально передает компаниям, кому это интересно. По вполне официальному договору. А что с согласиями клиентов на передачу данных? Ну, во-первых, они передают только номер телефона (и иногда email), во-вторых, клиент при заключении договора с сотовым оператором уже дал все согласия".

Генеральный директор Apple Тим Кук дал интервью, в котором ругает готовящееся европейское антимонопольное законодательство. Говорит, что оно уничтожит безопасность iPhone и перечеркнет механизмы приватности в App Store.

Это он про законопроект под названием Digital Markets Act, регулирующий работу интернет-гигантов в Евросоюзе, который должен вступить в силу в 2022 году. Одно из главных требований там - обязательная поддержка альтернативных способов распространения приложений, которой у Apple в IOS сейчас нет.

Если у ЕС все получится, Apple придется придумывать, как защищать пользователей в операционной системе, в которой приложения могут появляться мимо их магазина. А пользователи получат альтернативные магазины приложений в IOS и больше не будут зависеть от решений Apple, какие приложения оставить для конкретных стран, а какие убрать по государственным запросам.

Роскомнадзор пишет, что c сегодняшнего дня блокирует OperaVPN и VyprVPN "в соответствии с регламентом реагирования на угрозы обхода ограничений доступа к детской порнографии, суицидальному, пронаркотическому и иному запрещённому контенту". Блокировки мы пока не видим, прямо сейчас оба сервиса в России работают. Будем держать в курсе.

Opera заявила "Мы решили приостановить поддержку сервисов VPN в наших браузерах на территории РФ в той форме, в которой она оказывалась ранее". В десктопной версии браузера исчез пункт включения VPN - похоже, что Opera выпилила его сама. В браузере Opera на Android в приватных вкладках VPN остался, работает с российских провайдеров нормально.

Роскомнадзор пока не блокирует Opera VPN, но его пытается блокировать сама Opera, скрывая от пользователей опцию VPN в браузерах. Вот пример того, как это устроено в Windows:

В папке C:\Users\*имя пользователя*\AppData\Roaming\Opera Software\Opera Stable лежит текстовый конфигурационный файл Secure Preferences. Вчера в нем появилась такая строка:

"vpn":{"blacklisted_locations":["cn","ru"],"last_established_location":"RU"}}

И VPN из браузера исчез. К вечеру пользователи сообразили, что если заменить "ru" на что-нибудь другое (например, "ua") или просто убрать в этих двух местах и оставить только "cn", то VPN появляется в интерфейсе браузера и подключение работает.

Сегодня вместо названий стран в этой части конфигурационного файла появились хеши (длинные последовательности букв и цифр), но пока их по-прежнему можно заменить обратно на названия стран, перезагрузить браузер, и VPN начинает работать.

В Ubuntu при установке браузера через snap конфигурационный файл лежит по адресу /home/имя_пользователя/snap/opera/128/.config/opera/Preferences, а внутри там то же самое. Или поищите grep-ом в домашней директории по "blacklisted_locations"

И кстати, VyprVPN в России сегодня работает нормально, не блокируется и не замедлен.

UPD: В комментариях предлагают совсем простой способ вернуть VPN в Opera:

"Заходите в браузере Опера по ссылке: https://addons.opera.com/ru/extensions/details/opera-vpn/ и нажимаете на зеленую кнопку "Включить в Опера". Работает до закрытия браузера, при открытии снова придется нажимать "Включить в Опера". Для удобства этот адрес сразу в закладки."

В американском штате Массачусетс Google автоматически устанавливает на Android-смартфоны государственное приложение по отслеживанию контактов с больными COVID. Отказаться от установки не получается, и приложение появляется у всех подряд, а не только у тех, кто включил системную опцию "Уведомления о риске инфицирования COVID-19" в настройках Android. Google комментирует, что да, приложение установил, но оно же выключено, пока пользователь сам его не активирует, так что все нормально.

У Googlе/Apple/Amazon действительно есть и права, и техническая возможность добавлять и удалять цифровой контент и приложения с выпущенных ими устройств. Обычно этот функционал используется для борьбы с вредоносным ПО, но бывают и другие истории. Например, Amazon удалял с электронных книг Kindle купленные пользователями книги Оруэлла из-за изменения авторских прав, а Apple один раз закачал пользователям iPhone в подарок альбом группы U2.

Единственный надежный способ отвязать Android устройство от такой связи c Google - это установить альтернативную прошивку без Google-сервисов, например, Graphene OS или или Lineage OS. И если вам интересно про цифровые права и пандемию, на нашем Youtube-канале есть на эту тему видеоролик.

Сегодня сервис зашифрованной почты Tutanota выпустил собственные приложения для Windows, Mac OS и Linux. Их тестировали два года, а теперь выпустили в релиз после успешно пройденного аудита безопасности.

Tutanota - это прямой конкурент Protonmail, только компания немецкая, а не швейцарская. Их бизнес-модель тоже основана на продаже платных аккаунтов (хотя есть и базовые бесплатные), и у них тоже есть оконечное (end-to-end) шифрование почты, адресных книг и календаря, только VPN своего нет. А еще Tutanota тоже заблокирована в России c февраля прошлого года, одновременно с Protonmail и другими почтовыми сервисами с поддержкой оконечного шифрования, вроде Startmail и Scryptmail. Официальная формулировка - за передачу ложных сообщений о минированиях.

Поэтому, если решите пробовать приложения, то только через VPN. И будьте готовы к тому, что почта с российских почтовых провайдеров (типа mail.ru) и от российских сервисов не будет доходить, как на Protonmail не доходит.

Tor браузер выпустил новую версию с исправлением обнаруженной в мае атаки, которая позволяла сайтам деанонимизировать пользователей, проверяя, какие приложения установлены в системе. Работало это так: пользователь открывает сайт в двух разных браузерах, сайт пытается открывать ссылки типа skype:// во всплывающих окнах, видит, что оба раза установлен один и тот же набор приложений и делает предположение, что обоих браузерах пользователь один и тот же. Непорядок.

Если хотите посмотреть, как это работает, онлайн-проверялка здесь. И да, проверка получается очень шумная и со всплывающими окнами. И да, фактически в новой версии Tor браузера просто в настройках about:config поменяли все network.protocol-handler.external в значение false. Но сами пользователи менять настройки не полезут, нужно выпускать новую версию. Безопасность приложений определяется настройками по умолчанию.

Российское Минобрнауки разослало по подведомственым организациям письмо с просьбой отчитаться, как они пользуются VPN "с целью исключения ... из политик ограничения доступа Роскомнадзора". В отчете надо написать, в каком технологическом процессе используются протоколы OpenVPN и Wireguard и какие исходящие IP-адреса VPN нужны для работы. Информацию собирают до 30 июня.

Выглядит так, как будто РКН собирает информацию, чтобы реализовать "белые списки" то ли разрешенных VPN, то ли разрешенных адресов клиентов VPN. Эта же идея упоминалась в недавнем сообщении о блокировке Opera VPN и VyprVPN. Посмотрим, что из этого выйдет.

Компания Brave Software, разработчик браузера Brave, сегодня запустила публичную бету своей собственной поисковой системы, https://search.brave.com/. Это именно собственный поисковик Brave Software, а не результаты, основанные на чужой поисковой выдаче, как у DuckDuckGo и Startpage. Обещают приватность и отсутствие слежки за пользователями.

Браузер Brave - это Chromium с поддержкой Tor, Webtorrent и собственным блокировщиком рекламы. А директор компании Brave Software Брендан Эйх - создатель Javascript и один из основателей Mozilla. При этом репутация у них немного подмоченная: год назад разработчики пробовали тихонько добавлять в браузере реферральные коды в URI криптовалютных бирж (типа печатаешь в адресной строке "binance.us", а фактически переходишь на "binance.us/?ref=35089877"). Но когда больше 90% мирового поиска - это выдача единственной компании-монополиста, новый независимый поисковик с собственным индексом - это отлично!

Эдвард Сноуден завел блог на substack.com и потихоньку туда постит философию. Его последний пост - это комментарий на статью о цензуре и самоцензуре сербского писателя Данилы Киша, которая впервые вышла в 1985 году.

Киш пишет о трех уровнях внешней цензуры: государственных чиновниках, разрабатывающих стандарты и правила, редакторах в газетах и издательствах, которые читали тексты и искали там крамолу, и "техническом звене" - типографиях, которые отказывались ее печатать. Но кроме этой явной системы есть еще все мы, невидимо для остальных цензурирующие сами себя, ориентируясь на то, что цензурируется снаружи.

"Цензура - это внешнее проявление патологического состояния, симптом хронической болезни, которая развивается вместе с ней: самоцензуры. Невидимая но реальная, недоступная взгляду публики, скрытая в самых тайных частях души, самоцензура - гораздо эффективнее [официальной] цензуры... Борьба с цензурой - открытая и опасная, и поэтому героическая, а борьба с самоцензурой - анонимная, одинокая, не имеет свидетелей, и вызывает чувство унижения и стыда за собственное пособничество.

Самоцензура означает читать свой собственный текст глазами другого человека, ситуацию, в которой нужно быть своим собственным судьей, более строгим и подозрительным, чем может быть любой другой человек. Автор знает то, что никогда не узнает никакой внешний цензор: свои самые тайные, невысказанные мысли, которые, как ему кажется, заметны читателям, умеющим читать между строк. Этот воображаемый внутренний цензор наделяется качествами, которых нет у самого автора, а текст начинает казаться важнее, чем он есть. И это альтер-эго присматривается к собственным мыслям автора до той абсурдной точки, когда губительным начинает казаться всё, и любые действия кажутся опасными и осуждаемыми".

Вчера Минюст США заблокировал домены 33 иранских новостных сайтов, принадлежавших Иранскому исламскому радио и телевизионному союзу, в основном в доменных зонах ".net", ".com" и ".tv". Например это сайты https://www.alalamtv.net/ и https://www.presstv.com/, они сейчас показывают заглушку "Домен был заблокирован правительством США". Американский Минюст объясняет, что эти доменные имена принадлежат американской компании и из-за режима санкций иранцам нужно было до начала использования доменов получить официальную лицензию OFAC.

Сайты вроде быстро поднялись на других доменах, но сам факт! И оказывается, это происходит не в первый раз: в октябре прошлого года США уже разделегировали 92 доменных имени иранских сайтов за то, что они "незаконно использовались Корпусом стражей Исламской революции Ирана для участия в глобальной кампании по распространению дезинформации."

Компания Sony Music добилась в немецком суде решения о блокировке нескольких пиратских ресурсов на уровне публичного DNS-ресолвера Quad9 (9.9.9.9). Quad9 - это некоммерческая организация, представляющая услугу публичного DNS-сервера (вроде Google-овских 8.8.8.8 и 8.8.4.4, или принадлежащего Cloudflare 1.1.1.1). То есть Quad9 - не регистратор доменных имен и вообще никаких отношений с этими пиратскими сайтами не имеет.

Зачем это все нужно Sony Music? Блокировка по DNS в Германии сейчас работает на уровне отдельных провайдеров. Пиратов типа ThePirateBay заносят в черный список и провайдеры на уровне своих DNS обязаны блокировать такие запросы. А пользователи в ответ меняют у себя на устройствах настройки DNS на публичные ресолверы и успешно обходят блокировки. Вот эту возможность Sony Music и пытается прикрыть.

В ответ Quad9 собирается судиться. Компания выпустила заявление о том, что они - не против авторских прав, просто публичный DNS-прокси - это неправильное место для блокировки, такое же неправильное, как антивирус на компьютере пользователя, или файрвол в локальной сети. Если Sony Music хочет бороться с пиратством, пусть разбирается с теми, кто напрямую продает услуги пиратам.

Очень интересно, чем закончится.

Похоже, в Windows 11 будет поддержка полнодискового шифрования для всех.

Вчера Microsoft представил Windows 11, и одно из системных требований новой операционной системы - это поддержка аппаратного модуля безопасности TPM 2.0. Что это может значить? Самая очевидная догадка - Microsoft решил дать всем пользователям Windows 11 полнодисковое шифрование. В 2021 году домашние версии Windows фактически остались последней операционной системой без полнодискового шифрования — защиты от того, что злоумышленник украдет компьютер пользователя, достанет оттуда диск и прочитает файлы (да, да, а еще изменит и запишет свои). В Mac OS, дистрибутивах Linux, в Android и IOS опция шифрования "из коробки" давно есть, и только клиентам Windows приходилось либо докупать профессиональную версию, чтобы получить майкрософтовский Bitlocker, либо использовать сторонние приложения, например Veracrypt.

А модуль TPM - это такой железный чип, который умеет хранить криптографические ключи и управляет доступом к ним, он как раз нужен для работы майкрософтовского фирменного шифрования Bitloсker из профессиональных Windows. Подобная железяка - это удобно для шифрования, потому что она, например, ограничивает скорость и количество попыток перебора паролей. В устройствах Applе есть похожий чип, и из-за него ФБР не мог взломать iPhone террориста из Сан-Бернардино.

Кстати, чипы TPM можно еще использовать для DRM, управления лицензиями и авторскими правами и других способов защиты владельцев авторских прав от пользователей, а не защиты самих пользователей. Если вам интересен этот аспект - у Ричарда нашего Столлмана есть на эту тему целый манифест, старый, но вполне актуальный (вот русский перевод).

Разработчик RedShieldVPN Владислав Здольников анонсирует запуск проекта GlobalCheck - онлайн-сервиса для исследования блокировок в России и странах СНГ, например, в Беларуси и Казахстане.

Идея проекта в том, что современные блокировки и замедления могут быть непубличными, работать по-разному у разных провайдеров и не попадать в официальный Реестр запрещенных сайтов. Но если много волонтеров поставят у себя сенсоры на базе небольших роутеров, то при помощи проекта можно будет в реальном времени проверять, что и как блокируется. Немножко собственных сенсоров работает уже сейчас, их можно потыкать на офсайте проекта. Если хотите быть волонтером и поставить у себя бесплатный сенсор - оставляйте заявку на сайте https://globalcheck.net/ru/support.

И напоминаем: наше расширение для браузеров для обхода блокировок, Censor Tracker (https://censortracker.org/) также помогает собирать информацию о внереестровых блокировках.

С сегодняшнего дня в кафе и ресторанах в Москве нужно предъявлять COVID-ный QR-код. Коды получают на https://immune.mos.ru, на сайте Госуслуг в разделе "Здоровье" (и еще на паре официальных сайтов), а потом их должны проверять на входе и сверять с паспортом.

Специального софта для проверки пока нет, QR-код - это просто ссылка на веб-страницы типа https://immune.mos.ru/qr?id=[идентификатор] или https://www.gosuslugi.ru/vaccine/cert/verify/[идентификатор]. Идентификаторы одного и того же пользователя на mos.ru и Госуслугах - разные.

Какую информацию о посетителях видит на экране персонал кафе (а значит, теоретически может ее собирать)?
• первые буквы ФИО вакцинированного/переболевшего и количество букв в имени (типа И***** И*** И******)
• дату рождения
• на mos.ru - срок действия сертификата
• на Госуслугах - две первые и три последние цифры номера паспорта. На mos.ru эту информацию не показывает.

Всё, других данных там нет. Вчера в программе "Точка" на Эхе ведущий рассказывал, что нашел в исходном коде страницы проверки QR-кода на Госуслугах кучу персональных данных, но он напутал - это не персональные данные вакцинированного, это персональные данные того, кто открывает страницы Госуслуг, если он залогинен. То есть условный охранник на входе будет там видеть свои полные ФИО, телефон и адрес (если при проверке он залогинен на сайте Госуслуг), а не данные клиента.

В результате, хотите ходить в кафе в Москве и оставлять меньше информации о себе - пользуйтесь QR-кодом от mos.ru, там нет пяти цифр номера паспорта. И выходит, что гораздо больше персональных данных - в открытом для сверки паспорте, который по идее нужно будет показывать вместе с QR-кодом, чтобы люди не ходили по кафе с чужими кодами.