Google объявил о всемирном запуске конкурента iMessage. Правда, в России его получат только московские пользователи МТС с Samsung-ами.

Google добавляет поддержку оконечного (end-to-end) шифрования в стандартное приложение "Сообщения", которое есть на Android-смартфонах из коробки. Новинка полностью слизана у Apple iMessage: приложение отправляет и получает обычные смс-ки, но если оба собеседника поддерживают апгрейд до шифрованной версии, то сообщения становятся зашифрованным чатом от Google.

В течение недели обновление должно прийти всем, но для российских пользователей есть одно важное "но": чтобы апгрейд до шифрования заработал, обоим собеседникам нужно в настройках "Сообщений" включить функцию "Функции чата". А получится ли ее включить, зависит от поддержки оператором связи стандарта RCS, который в России поддерживает только московский МТС на телефонах Samsung (список поддерживаемых моделей здесь во вкладке "Кому доступно").

Остальным российским пользователям пока не видать нового Google-овского зашифрованного чата.

Отличный материал на Хабре. Финансовая компания пыталась разобраться, почему клиентам, которым они одобрили кредит, начинают названивать конкуренты. Долго и красиво расследовали, откуда утечка, выяснилось, что компания слала клиентам смску "Поздравляем с одобрением кредита!", а оператор связи официально торгует этой информацией:

"Сотовый оператор «читает» тематические SMS своих абонентов. В данном случае, про одобрение кредита. В онлайне оператор дообогащает информацию по абоненту данными из других источников (например, e-mail), и эти события легально передает компаниям, кому это интересно. По вполне официальному договору. А что с согласиями клиентов на передачу данных? Ну, во-первых, они передают только номер телефона (и иногда email), во-вторых, клиент при заключении договора с сотовым оператором уже дал все согласия".

Генеральный директор Apple Тим Кук дал интервью, в котором ругает готовящееся европейское антимонопольное законодательство. Говорит, что оно уничтожит безопасность iPhone и перечеркнет механизмы приватности в App Store.

Это он про законопроект под названием Digital Markets Act, регулирующий работу интернет-гигантов в Евросоюзе, который должен вступить в силу в 2022 году. Одно из главных требований там - обязательная поддержка альтернативных способов распространения приложений, которой у Apple в IOS сейчас нет.

Если у ЕС все получится, Apple придется придумывать, как защищать пользователей в операционной системе, в которой приложения могут появляться мимо их магазина. А пользователи получат альтернативные магазины приложений в IOS и больше не будут зависеть от решений Apple, какие приложения оставить для конкретных стран, а какие убрать по государственным запросам.

Роскомнадзор пишет, что c сегодняшнего дня блокирует OperaVPN и VyprVPN "в соответствии с регламентом реагирования на угрозы обхода ограничений доступа к детской порнографии, суицидальному, пронаркотическому и иному запрещённому контенту". Блокировки мы пока не видим, прямо сейчас оба сервиса в России работают. Будем держать в курсе.

Opera заявила "Мы решили приостановить поддержку сервисов VPN в наших браузерах на территории РФ в той форме, в которой она оказывалась ранее". В десктопной версии браузера исчез пункт включения VPN - похоже, что Opera выпилила его сама. В браузере Opera на Android в приватных вкладках VPN остался, работает с российских провайдеров нормально.

Роскомнадзор пока не блокирует Opera VPN, но его пытается блокировать сама Opera, скрывая от пользователей опцию VPN в браузерах. Вот пример того, как это устроено в Windows:

В папке C:\Users\*имя пользователя*\AppData\Roaming\Opera Software\Opera Stable лежит текстовый конфигурационный файл Secure Preferences. Вчера в нем появилась такая строка:

"vpn":{"blacklisted_locations":["cn","ru"],"last_established_location":"RU"}}

И VPN из браузера исчез. К вечеру пользователи сообразили, что если заменить "ru" на что-нибудь другое (например, "ua") или просто убрать в этих двух местах и оставить только "cn", то VPN появляется в интерфейсе браузера и подключение работает.

Сегодня вместо названий стран в этой части конфигурационного файла появились хеши (длинные последовательности букв и цифр), но пока их по-прежнему можно заменить обратно на названия стран, перезагрузить браузер, и VPN начинает работать.

В Ubuntu при установке браузера через snap конфигурационный файл лежит по адресу /home/имя_пользователя/snap/opera/128/.config/opera/Preferences, а внутри там то же самое. Или поищите grep-ом в домашней директории по "blacklisted_locations"

И кстати, VyprVPN в России сегодня работает нормально, не блокируется и не замедлен.

UPD: В комментариях предлагают совсем простой способ вернуть VPN в Opera:

"Заходите в браузере Опера по ссылке: https://addons.opera.com/ru/extensions/details/opera-vpn/ и нажимаете на зеленую кнопку "Включить в Опера". Работает до закрытия браузера, при открытии снова придется нажимать "Включить в Опера". Для удобства этот адрес сразу в закладки."

В американском штате Массачусетс Google автоматически устанавливает на Android-смартфоны государственное приложение по отслеживанию контактов с больными COVID. Отказаться от установки не получается, и приложение появляется у всех подряд, а не только у тех, кто включил системную опцию "Уведомления о риске инфицирования COVID-19" в настройках Android. Google комментирует, что да, приложение установил, но оно же выключено, пока пользователь сам его не активирует, так что все нормально.

У Googlе/Apple/Amazon действительно есть и права, и техническая возможность добавлять и удалять цифровой контент и приложения с выпущенных ими устройств. Обычно этот функционал используется для борьбы с вредоносным ПО, но бывают и другие истории. Например, Amazon удалял с электронных книг Kindle купленные пользователями книги Оруэлла из-за изменения авторских прав, а Apple один раз закачал пользователям iPhone в подарок альбом группы U2.

Единственный надежный способ отвязать Android устройство от такой связи c Google - это установить альтернативную прошивку без Google-сервисов, например, Graphene OS или или Lineage OS. И если вам интересно про цифровые права и пандемию, на нашем Youtube-канале есть на эту тему видеоролик.

Сегодня сервис зашифрованной почты Tutanota выпустил собственные приложения для Windows, Mac OS и Linux. Их тестировали два года, а теперь выпустили в релиз после успешно пройденного аудита безопасности.

Tutanota - это прямой конкурент Protonmail, только компания немецкая, а не швейцарская. Их бизнес-модель тоже основана на продаже платных аккаунтов (хотя есть и базовые бесплатные), и у них тоже есть оконечное (end-to-end) шифрование почты, адресных книг и календаря, только VPN своего нет. А еще Tutanota тоже заблокирована в России c февраля прошлого года, одновременно с Protonmail и другими почтовыми сервисами с поддержкой оконечного шифрования, вроде Startmail и Scryptmail. Официальная формулировка - за передачу ложных сообщений о минированиях.

Поэтому, если решите пробовать приложения, то только через VPN. И будьте готовы к тому, что почта с российских почтовых провайдеров (типа mail.ru) и от российских сервисов не будет доходить, как на Protonmail не доходит.

Tor браузер выпустил новую версию с исправлением обнаруженной в мае атаки, которая позволяла сайтам деанонимизировать пользователей, проверяя, какие приложения установлены в системе. Работало это так: пользователь открывает сайт в двух разных браузерах, сайт пытается открывать ссылки типа skype:// во всплывающих окнах, видит, что оба раза установлен один и тот же набор приложений и делает предположение, что обоих браузерах пользователь один и тот же. Непорядок.

Если хотите посмотреть, как это работает, онлайн-проверялка здесь. И да, проверка получается очень шумная и со всплывающими окнами. И да, фактически в новой версии Tor браузера просто в настройках about:config поменяли все network.protocol-handler.external в значение false. Но сами пользователи менять настройки не полезут, нужно выпускать новую версию. Безопасность приложений определяется настройками по умолчанию.

Российское Минобрнауки разослало по подведомственым организациям письмо с просьбой отчитаться, как они пользуются VPN "с целью исключения ... из политик ограничения доступа Роскомнадзора". В отчете надо написать, в каком технологическом процессе используются протоколы OpenVPN и Wireguard и какие исходящие IP-адреса VPN нужны для работы. Информацию собирают до 30 июня.

Выглядит так, как будто РКН собирает информацию, чтобы реализовать "белые списки" то ли разрешенных VPN, то ли разрешенных адресов клиентов VPN. Эта же идея упоминалась в недавнем сообщении о блокировке Opera VPN и VyprVPN. Посмотрим, что из этого выйдет.

Компания Brave Software, разработчик браузера Brave, сегодня запустила публичную бету своей собственной поисковой системы, https://search.brave.com/. Это именно собственный поисковик Brave Software, а не результаты, основанные на чужой поисковой выдаче, как у DuckDuckGo и Startpage. Обещают приватность и отсутствие слежки за пользователями.

Браузер Brave - это Chromium с поддержкой Tor, Webtorrent и собственным блокировщиком рекламы. А директор компании Brave Software Брендан Эйх - создатель Javascript и один из основателей Mozilla. При этом репутация у них немного подмоченная: год назад разработчики пробовали тихонько добавлять в браузере реферральные коды в URI криптовалютных бирж (типа печатаешь в адресной строке "binance.us", а фактически переходишь на "binance.us/?ref=35089877"). Но когда больше 90% мирового поиска - это выдача единственной компании-монополиста, новый независимый поисковик с собственным индексом - это отлично!

Эдвард Сноуден завел блог на substack.com и потихоньку туда постит философию. Его последний пост - это комментарий на статью о цензуре и самоцензуре сербского писателя Данилы Киша, которая впервые вышла в 1985 году.

Киш пишет о трех уровнях внешней цензуры: государственных чиновниках, разрабатывающих стандарты и правила, редакторах в газетах и издательствах, которые читали тексты и искали там крамолу, и "техническом звене" - типографиях, которые отказывались ее печатать. Но кроме этой явной системы есть еще все мы, невидимо для остальных цензурирующие сами себя, ориентируясь на то, что цензурируется снаружи.

"Цензура - это внешнее проявление патологического состояния, симптом хронической болезни, которая развивается вместе с ней: самоцензуры. Невидимая но реальная, недоступная взгляду публики, скрытая в самых тайных частях души, самоцензура - гораздо эффективнее [официальной] цензуры... Борьба с цензурой - открытая и опасная, и поэтому героическая, а борьба с самоцензурой - анонимная, одинокая, не имеет свидетелей, и вызывает чувство унижения и стыда за собственное пособничество.

Самоцензура означает читать свой собственный текст глазами другого человека, ситуацию, в которой нужно быть своим собственным судьей, более строгим и подозрительным, чем может быть любой другой человек. Автор знает то, что никогда не узнает никакой внешний цензор: свои самые тайные, невысказанные мысли, которые, как ему кажется, заметны читателям, умеющим читать между строк. Этот воображаемый внутренний цензор наделяется качествами, которых нет у самого автора, а текст начинает казаться важнее, чем он есть. И это альтер-эго присматривается к собственным мыслям автора до той абсурдной точки, когда губительным начинает казаться всё, и любые действия кажутся опасными и осуждаемыми".

Вчера Минюст США заблокировал домены 33 иранских новостных сайтов, принадлежавших Иранскому исламскому радио и телевизионному союзу, в основном в доменных зонах ".net", ".com" и ".tv". Например это сайты https://www.alalamtv.net/ и https://www.presstv.com/, они сейчас показывают заглушку "Домен был заблокирован правительством США". Американский Минюст объясняет, что эти доменные имена принадлежат американской компании и из-за режима санкций иранцам нужно было до начала использования доменов получить официальную лицензию OFAC.

Сайты вроде быстро поднялись на других доменах, но сам факт! И оказывается, это происходит не в первый раз: в октябре прошлого года США уже разделегировали 92 доменных имени иранских сайтов за то, что они "незаконно использовались Корпусом стражей Исламской революции Ирана для участия в глобальной кампании по распространению дезинформации."

Компания Sony Music добилась в немецком суде решения о блокировке нескольких пиратских ресурсов на уровне публичного DNS-ресолвера Quad9 (9.9.9.9). Quad9 - это некоммерческая организация, представляющая услугу публичного DNS-сервера (вроде Google-овских 8.8.8.8 и 8.8.4.4, или принадлежащего Cloudflare 1.1.1.1). То есть Quad9 - не регистратор доменных имен и вообще никаких отношений с этими пиратскими сайтами не имеет.

Зачем это все нужно Sony Music? Блокировка по DNS в Германии сейчас работает на уровне отдельных провайдеров. Пиратов типа ThePirateBay заносят в черный список и провайдеры на уровне своих DNS обязаны блокировать такие запросы. А пользователи в ответ меняют у себя на устройствах настройки DNS на публичные ресолверы и успешно обходят блокировки. Вот эту возможность Sony Music и пытается прикрыть.

В ответ Quad9 собирается судиться. Компания выпустила заявление о том, что они - не против авторских прав, просто публичный DNS-прокси - это неправильное место для блокировки, такое же неправильное, как антивирус на компьютере пользователя, или файрвол в локальной сети. Если Sony Music хочет бороться с пиратством, пусть разбирается с теми, кто напрямую продает услуги пиратам.

Очень интересно, чем закончится.

Похоже, в Windows 11 будет поддержка полнодискового шифрования для всех.

Вчера Microsoft представил Windows 11, и одно из системных требований новой операционной системы - это поддержка аппаратного модуля безопасности TPM 2.0. Что это может значить? Самая очевидная догадка - Microsoft решил дать всем пользователям Windows 11 полнодисковое шифрование. В 2021 году домашние версии Windows фактически остались последней операционной системой без полнодискового шифрования — защиты от того, что злоумышленник украдет компьютер пользователя, достанет оттуда диск и прочитает файлы (да, да, а еще изменит и запишет свои). В Mac OS, дистрибутивах Linux, в Android и IOS опция шифрования "из коробки" давно есть, и только клиентам Windows приходилось либо докупать профессиональную версию, чтобы получить майкрософтовский Bitlocker, либо использовать сторонние приложения, например Veracrypt.

А модуль TPM - это такой железный чип, который умеет хранить криптографические ключи и управляет доступом к ним, он как раз нужен для работы майкрософтовского фирменного шифрования Bitloсker из профессиональных Windows. Подобная железяка - это удобно для шифрования, потому что она, например, ограничивает скорость и количество попыток перебора паролей. В устройствах Applе есть похожий чип, и из-за него ФБР не мог взломать iPhone террориста из Сан-Бернардино.

Кстати, чипы TPM можно еще использовать для DRM, управления лицензиями и авторскими правами и других способов защиты владельцев авторских прав от пользователей, а не защиты самих пользователей. Если вам интересен этот аспект - у Ричарда нашего Столлмана есть на эту тему целый манифест, старый, но вполне актуальный (вот русский перевод).

Разработчик RedShieldVPN Владислав Здольников анонсирует запуск проекта GlobalCheck - онлайн-сервиса для исследования блокировок в России и странах СНГ, например, в Беларуси и Казахстане.

Идея проекта в том, что современные блокировки и замедления могут быть непубличными, работать по-разному у разных провайдеров и не попадать в официальный Реестр запрещенных сайтов. Но если много волонтеров поставят у себя сенсоры на базе небольших роутеров, то при помощи проекта можно будет в реальном времени проверять, что и как блокируется. Немножко собственных сенсоров работает уже сейчас, их можно потыкать на офсайте проекта. Если хотите быть волонтером и поставить у себя бесплатный сенсор - оставляйте заявку на сайте https://globalcheck.net/ru/support.

И напоминаем: наше расширение для браузеров для обхода блокировок, Censor Tracker (https://censortracker.org/) также помогает собирать информацию о внереестровых блокировках.

С сегодняшнего дня в кафе и ресторанах в Москве нужно предъявлять COVID-ный QR-код. Коды получают на https://immune.mos.ru, на сайте Госуслуг в разделе "Здоровье" (и еще на паре официальных сайтов), а потом их должны проверять на входе и сверять с паспортом.

Специального софта для проверки пока нет, QR-код - это просто ссылка на веб-страницы типа https://immune.mos.ru/qr?id=[идентификатор] или https://www.gosuslugi.ru/vaccine/cert/verify/[идентификатор]. Идентификаторы одного и того же пользователя на mos.ru и Госуслугах - разные.

Какую информацию о посетителях видит на экране персонал кафе (а значит, теоретически может ее собирать)?
• первые буквы ФИО вакцинированного/переболевшего и количество букв в имени (типа И***** И*** И******)
• дату рождения
• на mos.ru - срок действия сертификата
• на Госуслугах - две первые и три последние цифры номера паспорта. На mos.ru эту информацию не показывает.

Всё, других данных там нет. Вчера в программе "Точка" на Эхе ведущий рассказывал, что нашел в исходном коде страницы проверки QR-кода на Госуслугах кучу персональных данных, но он напутал - это не персональные данные вакцинированного, это персональные данные того, кто открывает страницы Госуслуг, если он залогинен. То есть условный охранник на входе будет там видеть свои полные ФИО, телефон и адрес (если при проверке он залогинен на сайте Госуслуг), а не данные клиента.

В результате, хотите ходить в кафе в Москве и оставлять меньше информации о себе - пользуйтесь QR-кодом от mos.ru, там нет пяти цифр номера паспорта. И выходит, что гораздо больше персональных данных - в открытом для сверки паспорте, который по идее нужно будет показывать вместе с QR-кодом, чтобы люди не ходили по кафе с чужими кодами.

Уточнение по предыдущему посту: во вчерашней программе Точка на Эхе Москвы через полчаса после обсуждения про QR-коды участники разобрались, что утечки персональных данных нет, и исправились. А мы зря стали ссылаться на их ошибку, не досмотрев стрим до конца((

В Словакии пару дней назад крупный провайдер 02 целиком заблокировал стриминговую платформу Twitch.tv из-за единственного пользователя (правда, достаточно популярного), который играл в онлайн-покер. Местный госорган, который регулирует азартные игры, внес его страницу (https://twitch.tv/ddandis) в черный список и суд предписал словацким провайдерам ее блокировать.

Но такой адрес невозможно заблокировать отдельно от остальной платформы, потому что во-первых HTTPS, а во-вторых это не отдельный домен, который можно было бы блокировать DPI-оборудованием провайдера по заголовкам SNI. Поэтому O2 просто заблокировал Twitch целиком, и Twitch сам быстренько удалил нужный аккаунт.

Вполне распространенная стратегия современной интернет-цензуры: создавать условия, в которых платформа сама будет делать то, что от нее требуется.

Вчера вечером редакция заблокированного в Беларуси новостного сайта Tut.by удалила из соцсетей весь контент, опубликованный с 1 января 2020 года. Tut.by было крупнейшим по охвату пользователей изданием в Беларуси, но с мая редакция работала только в соцсетях после блокировки сайта и изъятия оборудования.

Вчера, когда посты стали исчезать, читатели Tut.by забеспокоились, что это кто-то перехватил аккаунты и стирает архивы, но редакция отписалась, что они "удалили публикации из-за дела об "экстремизме" наших соцсетей и сайта. Мы сделали это для безопасности наших читателей и сотрудников." Такая вот онлайн-самоцензура.

Ковидные QR-коды в ресторанах в Москве начали проверять только вчера, а сегодня в интернете - уже 29 поддельных сайтов, имитирующих Госуслуги, на которых лежат поддельные подтверждения. Коммерсант пишет, что коды для посещения кафе и ресторанов продают через Telegram-каналы.

Идея простая и понятная: охрана в кафе не обязана и не станет внимательно проверять подлинность домена, на котором размещено подтверждение. Это можно было бы сделать, если бы проверка работала через приложение, которое бы обращалось только к "хорошим" сайтам, но браузер - он же на то и браузер, чтобы открывать любые сайты. А QR-код - это просто ссылка, он может вести и на какие-нибудь g0suslugi.tk. Чтобы сделать подтверждение, которое выглядит как настоящее, пользователь должен передать мошенническому серверу только первые буквы ФИО, дату рождения и пять цифр паспорта.

Департамент информационных технологий Москвы говорит, что использование поддельных QR-кодов - это типа статья УК 327 о подделке и использовании официальных документов, но другие юристы считают, что QR-код - это вообще не документ. В общем, пока система проверки не очень удалась, видимо, ее будут переделывать.