Роскомнадзор пока не блокирует Opera VPN, но его пытается блокировать сама Opera, скрывая от пользователей опцию VPN в браузерах. Вот пример того, как это устроено в Windows:
В папке C:\Users\*имя пользователя*\AppData\Roaming\Opera Software\Opera Stable лежит текстовый конфигурационный файл Secure Preferences. Вчера в нем появилась такая строка:
"vpn":{"blacklisted_locations":["cn","ru"],"last_established_location":"RU"}}
И VPN из браузера исчез. К вечеру пользователи сообразили, что если заменить "ru" на что-нибудь другое (например, "ua") или просто убрать в этих двух местах и оставить только "cn", то VPN появляется в интерфейсе браузера и подключение работает.
Сегодня вместо названий стран в этой части конфигурационного файла появились хеши (длинные последовательности букв и цифр), но пока их по-прежнему можно заменить обратно на названия стран, перезагрузить браузер, и VPN начинает работать.
В Ubuntu при установке браузера через snap конфигурационный файл лежит по адресу /home/имя_пользователя/snap/opera/128/.config/opera/Preferences, а внутри там то же самое. Или поищите grep-ом в домашней директории по "blacklisted_locations"
И кстати, VyprVPN в России сегодня работает нормально, не блокируется и не замедлен.
UPD: В комментариях предлагают совсем простой способ вернуть VPN в Opera:
"Заходите в браузере Опера по ссылке: https://addons.opera.com/ru/extensions/details/opera-vpn/ и нажимаете на зеленую кнопку "Включить в Опера". Работает до закрытия браузера, при открытии снова придется нажимать "Включить в Опера". Для удобства этот адрес сразу в закладки."
В папке C:\Users\*имя пользователя*\AppData\Roaming\Opera Software\Opera Stable лежит текстовый конфигурационный файл Secure Preferences. Вчера в нем появилась такая строка:
"vpn":{"blacklisted_locations":["cn","ru"],"last_established_location":"RU"}}
И VPN из браузера исчез. К вечеру пользователи сообразили, что если заменить "ru" на что-нибудь другое (например, "ua") или просто убрать в этих двух местах и оставить только "cn", то VPN появляется в интерфейсе браузера и подключение работает.
Сегодня вместо названий стран в этой части конфигурационного файла появились хеши (длинные последовательности букв и цифр), но пока их по-прежнему можно заменить обратно на названия стран, перезагрузить браузер, и VPN начинает работать.
В Ubuntu при установке браузера через snap конфигурационный файл лежит по адресу /home/имя_пользователя/snap/opera/128/.config/opera/Preferences, а внутри там то же самое. Или поищите grep-ом в домашней директории по "blacklisted_locations"
И кстати, VyprVPN в России сегодня работает нормально, не блокируется и не замедлен.
UPD: В комментариях предлагают совсем простой способ вернуть VPN в Opera:
"Заходите в браузере Опера по ссылке: https://addons.opera.com/ru/extensions/details/opera-vpn/ и нажимаете на зеленую кнопку "Включить в Опера". Работает до закрытия браузера, при открытии снова придется нажимать "Включить в Опера". Для удобства этот адрес сразу в закладки."
В американском штате Массачусетс Google автоматически устанавливает на Android-смартфоны государственное приложение по отслеживанию контактов с больными COVID. Отказаться от установки не получается, и приложение появляется у всех подряд, а не только у тех, кто включил системную опцию "Уведомления о риске инфицирования COVID-19" в настройках Android. Google комментирует, что да, приложение установил, но оно же выключено, пока пользователь сам его не активирует, так что все нормально.
У Googlе/Apple/Amazon действительно есть и права, и техническая возможность добавлять и удалять цифровой контент и приложения с выпущенных ими устройств. Обычно этот функционал используется для борьбы с вредоносным ПО, но бывают и другие истории. Например, Amazon удалял с электронных книг Kindle купленные пользователями книги Оруэлла из-за изменения авторских прав, а Apple один раз закачал пользователям iPhone в подарок альбом группы U2.
Единственный надежный способ отвязать Android устройство от такой связи c Google - это установить альтернативную прошивку без Google-сервисов, например, Graphene OS или или Lineage OS. И если вам интересно про цифровые права и пандемию, на нашем Youtube-канале есть на эту тему видеоролик.
У Googlе/Apple/Amazon действительно есть и права, и техническая возможность добавлять и удалять цифровой контент и приложения с выпущенных ими устройств. Обычно этот функционал используется для борьбы с вредоносным ПО, но бывают и другие истории. Например, Amazon удалял с электронных книг Kindle купленные пользователями книги Оруэлла из-за изменения авторских прав, а Apple один раз закачал пользователям iPhone в подарок альбом группы U2.
Единственный надежный способ отвязать Android устройство от такой связи c Google - это установить альтернативную прошивку без Google-сервисов, например, Graphene OS или или Lineage OS. И если вам интересно про цифровые права и пандемию, на нашем Youtube-канале есть на эту тему видеоролик.
9to5Google
Massachusetts ‘MassNotify’ Android app auto-installed, but COVID exposure alerts are not enabled [Updated]
According to many user reports over the past day, MassNotify — the Massachusetts exposure notifications app — was auto-installed...
Сегодня сервис зашифрованной почты Tutanota выпустил собственные приложения для Windows, Mac OS и Linux. Их тестировали два года, а теперь выпустили в релиз после успешно пройденного аудита безопасности.
Tutanota - это прямой конкурент Protonmail, только компания немецкая, а не швейцарская. Их бизнес-модель тоже основана на продаже платных аккаунтов (хотя есть и базовые бесплатные), и у них тоже есть оконечное (end-to-end) шифрование почты, адресных книг и календаря, только VPN своего нет. А еще Tutanota тоже заблокирована в России c февраля прошлого года, одновременно с Protonmail и другими почтовыми сервисами с поддержкой оконечного шифрования, вроде Startmail и Scryptmail. Официальная формулировка - за передачу ложных сообщений о минированиях.
Поэтому, если решите пробовать приложения, то только через VPN. И будьте готовы к тому, что почта с российских почтовых провайдеров (типа mail.ru) и от российских сервисов не будет доходить, как на Protonmail не доходит.
Tutanota - это прямой конкурент Protonmail, только компания немецкая, а не швейцарская. Их бизнес-модель тоже основана на продаже платных аккаунтов (хотя есть и базовые бесплатные), и у них тоже есть оконечное (end-to-end) шифрование почты, адресных книг и календаря, только VPN своего нет. А еще Tutanota тоже заблокирована в России c февраля прошлого года, одновременно с Protonmail и другими почтовыми сервисами с поддержкой оконечного шифрования, вроде Startmail и Scryptmail. Официальная формулировка - за передачу ложных сообщений о минированиях.
Поэтому, если решите пробовать приложения, то только через VPN. И будьте готовы к тому, что почта с российских почтовых провайдеров (типа mail.ru) и от российских сервисов не будет доходить, как на Protonmail не доходит.
Tutanota
Tutanota desktop clients end beta phase.
Today we are pushing the Tutanota desktop clients for Windows, MacOS and Linux out of beta!
Tor браузер выпустил новую версию с исправлением обнаруженной в мае атаки, которая позволяла сайтам деанонимизировать пользователей, проверяя, какие приложения установлены в системе. Работало это так: пользователь открывает сайт в двух разных браузерах, сайт пытается открывать ссылки типа skype:// во всплывающих окнах, видит, что оба раза установлен один и тот же набор приложений и делает предположение, что обоих браузерах пользователь один и тот же. Непорядок.
Если хотите посмотреть, как это работает, онлайн-проверялка здесь. И да, проверка получается очень шумная и со всплывающими окнами. И да, фактически в новой версии Tor браузера просто в настройках about:config поменяли все network.protocol-handler.external в значение false. Но сами пользователи менять настройки не полезут, нужно выпускать новую версию. Безопасность приложений определяется настройками по умолчанию.
Если хотите посмотреть, как это работает, онлайн-проверялка здесь. И да, проверка получается очень шумная и со всплывающими окнами. И да, фактически в новой версии Tor браузера просто в настройках about:config поменяли все network.protocol-handler.external в значение false. Но сами пользователи менять настройки не полезут, нужно выпускать новую версию. Безопасность приложений определяется настройками по умолчанию.
blog.torproject.org
New Release: Tor Browser 10.0.18 | Tor Project
Tor Browser 10.0.18 is now available from the Tor Browser download page and also from our distribution directory.
Российское Минобрнауки разослало по подведомственым организациям письмо с просьбой отчитаться, как они пользуются VPN "с целью исключения ... из политик ограничения доступа Роскомнадзора". В отчете надо написать, в каком технологическом процессе используются протоколы OpenVPN и Wireguard и какие исходящие IP-адреса VPN нужны для работы. Информацию собирают до 30 июня.
Выглядит так, как будто РКН собирает информацию, чтобы реализовать "белые списки" то ли разрешенных VPN, то ли разрешенных адресов клиентов VPN. Эта же идея упоминалась в недавнем сообщении о блокировке Opera VPN и VyprVPN. Посмотрим, что из этого выйдет.
Выглядит так, как будто РКН собирает информацию, чтобы реализовать "белые списки" то ли разрешенных VPN, то ли разрешенных адресов клиентов VPN. Эта же идея упоминалась в недавнем сообщении о блокировке Opera VPN и VyprVPN. Посмотрим, что из этого выйдет.
👍1
Компания Brave Software, разработчик браузера Brave, сегодня запустила публичную бету своей собственной поисковой системы, https://search.brave.com/. Это именно собственный поисковик Brave Software, а не результаты, основанные на чужой поисковой выдаче, как у DuckDuckGo и Startpage. Обещают приватность и отсутствие слежки за пользователями.
Браузер Brave - это Chromium с поддержкой Tor, Webtorrent и собственным блокировщиком рекламы. А директор компании Brave Software Брендан Эйх - создатель Javascript и один из основателей Mozilla. При этом репутация у них немного подмоченная: год назад разработчики пробовали тихонько добавлять в браузере реферральные коды в URI криптовалютных бирж (типа печатаешь в адресной строке "binance.us", а фактически переходишь на "binance.us/?ref=35089877"). Но когда больше 90% мирового поиска - это выдача единственной компании-монополиста, новый независимый поисковик с собственным индексом - это отлично!
Браузер Brave - это Chromium с поддержкой Tor, Webtorrent и собственным блокировщиком рекламы. А директор компании Brave Software Брендан Эйх - создатель Javascript и один из основателей Mozilla. При этом репутация у них немного подмоченная: год назад разработчики пробовали тихонько добавлять в браузере реферральные коды в URI криптовалютных бирж (типа печатаешь в адресной строке "binance.us", а фактически переходишь на "binance.us/?ref=35089877"). Но когда больше 90% мирового поиска - это выдача единственной компании-монополиста, новый независимый поисковик с собственным индексом - это отлично!
Эдвард Сноуден завел блог на substack.com и потихоньку туда постит философию. Его последний пост - это комментарий на статью о цензуре и самоцензуре сербского писателя Данилы Киша, которая впервые вышла в 1985 году.
Киш пишет о трех уровнях внешней цензуры: государственных чиновниках, разрабатывающих стандарты и правила, редакторах в газетах и издательствах, которые читали тексты и искали там крамолу, и "техническом звене" - типографиях, которые отказывались ее печатать. Но кроме этой явной системы есть еще все мы, невидимо для остальных цензурирующие сами себя, ориентируясь на то, что цензурируется снаружи.
"Цензура - это внешнее проявление патологического состояния, симптом хронической болезни, которая развивается вместе с ней: самоцензуры. Невидимая но реальная, недоступная взгляду публики, скрытая в самых тайных частях души, самоцензура - гораздо эффективнее [официальной] цензуры... Борьба с цензурой - открытая и опасная, и поэтому героическая, а борьба с самоцензурой - анонимная, одинокая, не имеет свидетелей, и вызывает чувство унижения и стыда за собственное пособничество.
Самоцензура означает читать свой собственный текст глазами другого человека, ситуацию, в которой нужно быть своим собственным судьей, более строгим и подозрительным, чем может быть любой другой человек. Автор знает то, что никогда не узнает никакой внешний цензор: свои самые тайные, невысказанные мысли, которые, как ему кажется, заметны читателям, умеющим читать между строк. Этот воображаемый внутренний цензор наделяется качествами, которых нет у самого автора, а текст начинает казаться важнее, чем он есть. И это альтер-эго присматривается к собственным мыслям автора до той абсурдной точки, когда губительным начинает казаться всё, и любые действия кажутся опасными и осуждаемыми".
Киш пишет о трех уровнях внешней цензуры: государственных чиновниках, разрабатывающих стандарты и правила, редакторах в газетах и издательствах, которые читали тексты и искали там крамолу, и "техническом звене" - типографиях, которые отказывались ее печатать. Но кроме этой явной системы есть еще все мы, невидимо для остальных цензурирующие сами себя, ориентируясь на то, что цензурируется снаружи.
"Цензура - это внешнее проявление патологического состояния, симптом хронической болезни, которая развивается вместе с ней: самоцензуры. Невидимая но реальная, недоступная взгляду публики, скрытая в самых тайных частях души, самоцензура - гораздо эффективнее [официальной] цензуры... Борьба с цензурой - открытая и опасная, и поэтому героическая, а борьба с самоцензурой - анонимная, одинокая, не имеет свидетелей, и вызывает чувство унижения и стыда за собственное пособничество.
Самоцензура означает читать свой собственный текст глазами другого человека, ситуацию, в которой нужно быть своим собственным судьей, более строгим и подозрительным, чем может быть любой другой человек. Автор знает то, что никогда не узнает никакой внешний цензор: свои самые тайные, невысказанные мысли, которые, как ему кажется, заметны читателям, умеющим читать между строк. Этот воображаемый внутренний цензор наделяется качествами, которых нет у самого автора, а текст начинает казаться важнее, чем он есть. И это альтер-эго присматривается к собственным мыслям автора до той абсурдной точки, когда губительным начинает казаться всё, и любые действия кажутся опасными и осуждаемыми".
Substack
Continuing Ed — with Edward Snowden | Substack
The world's most famous whistleblower writes from exile on the intersection of technology, humanity, and power. Click to read Continuing Ed — with Edward Snowden, a Substack publication with hundreds of thousands of subscribers.
Вчера Минюст США заблокировал домены 33 иранских новостных сайтов, принадлежавших Иранскому исламскому радио и телевизионному союзу, в основном в доменных зонах ".net", ".com" и ".tv". Например это сайты https://www.alalamtv.net/ и https://www.presstv.com/, они сейчас показывают заглушку "Домен был заблокирован правительством США". Американский Минюст объясняет, что эти доменные имена принадлежат американской компании и из-за режима санкций иранцам нужно было до начала использования доменов получить официальную лицензию OFAC.
Сайты вроде быстро поднялись на других доменах, но сам факт! И оказывается, это происходит не в первый раз: в октябре прошлого года США уже разделегировали 92 доменных имени иранских сайтов за то, что они "незаконно использовались Корпусом стражей Исламской революции Ирана для участия в глобальной кампании по распространению дезинформации."
Сайты вроде быстро поднялись на других доменах, но сам факт! И оказывается, это происходит не в первый раз: в октябре прошлого года США уже разделегировали 92 доменных имени иранских сайтов за то, что они "незаконно использовались Корпусом стражей Исламской революции Ирана для участия в глобальной кампании по распространению дезинформации."
www.justice.gov
United States Seizes Websites Used by the Iranian Islamic Radio and
Pursuant to court orders, the United States today seized 33 websites used by the Iranian Islamic Radio and Television Union (IRTVU) and three websites operated by Kata’ib Hizballah (KH), in violation of U.S. sanctions against Iran.
Компания Sony Music добилась в немецком суде решения о блокировке нескольких пиратских ресурсов на уровне публичного DNS-ресолвера Quad9 (9.9.9.9). Quad9 - это некоммерческая организация, представляющая услугу публичного DNS-сервера (вроде Google-овских 8.8.8.8 и 8.8.4.4, или принадлежащего Cloudflare 1.1.1.1). То есть Quad9 - не регистратор доменных имен и вообще никаких отношений с этими пиратскими сайтами не имеет.
Зачем это все нужно Sony Music? Блокировка по DNS в Германии сейчас работает на уровне отдельных провайдеров. Пиратов типа ThePirateBay заносят в черный список и провайдеры на уровне своих DNS обязаны блокировать такие запросы. А пользователи в ответ меняют у себя на устройствах настройки DNS на публичные ресолверы и успешно обходят блокировки. Вот эту возможность Sony Music и пытается прикрыть.
В ответ Quad9 собирается судиться. Компания выпустила заявление о том, что они - не против авторских прав, просто публичный DNS-прокси - это неправильное место для блокировки, такое же неправильное, как антивирус на компьютере пользователя, или файрвол в локальной сети. Если Sony Music хочет бороться с пиратством, пусть разбирается с теми, кто напрямую продает услуги пиратам.
Очень интересно, чем закончится.
Зачем это все нужно Sony Music? Блокировка по DNS в Германии сейчас работает на уровне отдельных провайдеров. Пиратов типа ThePirateBay заносят в черный список и провайдеры на уровне своих DNS обязаны блокировать такие запросы. А пользователи в ответ меняют у себя на устройствах настройки DNS на публичные ресолверы и успешно обходят блокировки. Вот эту возможность Sony Music и пытается прикрыть.
В ответ Quad9 собирается судиться. Компания выпустила заявление о том, что они - не против авторских прав, просто публичный DNS-прокси - это неправильное место для блокировки, такое же неправильное, как антивирус на компьютере пользователя, или файрвол в локальной сети. Если Sony Music хочет бороться с пиратством, пусть разбирается с теми, кто напрямую продает услуги пиратам.
Очень интересно, чем закончится.
www.opennet.ru
Sony Music добилась в суде блокировки пиратских сайтов на уровне DNS-резолвера Quad9
Звукозаписывающая компания Sony Music добилась в окружном суде Гамбурга (Германия) предписания о блокировке пиратских сайтов на уровне проекта Quad9, предоставляющего бесплатный доступ к публично доступному DNS-резолверу "9.9.9.9", а также сервисам "DNS over…
Похоже, в Windows 11 будет поддержка полнодискового шифрования для всех.
Вчера Microsoft представил Windows 11, и одно из системных требований новой операционной системы - это поддержка аппаратного модуля безопасности TPM 2.0. Что это может значить? Самая очевидная догадка - Microsoft решил дать всем пользователям Windows 11 полнодисковое шифрование. В 2021 году домашние версии Windows фактически остались последней операционной системой без полнодискового шифрования — защиты от того, что злоумышленник украдет компьютер пользователя, достанет оттуда диск и прочитает файлы (да, да, а еще изменит и запишет свои). В Mac OS, дистрибутивах Linux, в Android и IOS опция шифрования "из коробки" давно есть, и только клиентам Windows приходилось либо докупать профессиональную версию, чтобы получить майкрософтовский Bitlocker, либо использовать сторонние приложения, например Veracrypt.
А модуль TPM - это такой железный чип, который умеет хранить криптографические ключи и управляет доступом к ним, он как раз нужен для работы майкрософтовского фирменного шифрования Bitloсker из профессиональных Windows. Подобная железяка - это удобно для шифрования, потому что она, например, ограничивает скорость и количество попыток перебора паролей. В устройствах Applе есть похожий чип, и из-за него ФБР не мог взломать iPhone террориста из Сан-Бернардино.
Кстати, чипы TPM можно еще использовать для DRM, управления лицензиями и авторскими правами и других способов защиты владельцев авторских прав от пользователей, а не защиты самих пользователей. Если вам интересен этот аспект - у Ричарда нашего Столлмана есть на эту тему целый манифест, старый, но вполне актуальный (вот русский перевод).
Вчера Microsoft представил Windows 11, и одно из системных требований новой операционной системы - это поддержка аппаратного модуля безопасности TPM 2.0. Что это может значить? Самая очевидная догадка - Microsoft решил дать всем пользователям Windows 11 полнодисковое шифрование. В 2021 году домашние версии Windows фактически остались последней операционной системой без полнодискового шифрования — защиты от того, что злоумышленник украдет компьютер пользователя, достанет оттуда диск и прочитает файлы (да, да, а еще изменит и запишет свои). В Mac OS, дистрибутивах Linux, в Android и IOS опция шифрования "из коробки" давно есть, и только клиентам Windows приходилось либо докупать профессиональную версию, чтобы получить майкрософтовский Bitlocker, либо использовать сторонние приложения, например Veracrypt.
А модуль TPM - это такой железный чип, который умеет хранить криптографические ключи и управляет доступом к ним, он как раз нужен для работы майкрософтовского фирменного шифрования Bitloсker из профессиональных Windows. Подобная железяка - это удобно для шифрования, потому что она, например, ограничивает скорость и количество попыток перебора паролей. В устройствах Applе есть похожий чип, и из-за него ФБР не мог взломать iPhone террориста из Сан-Бернардино.
Кстати, чипы TPM можно еще использовать для DRM, управления лицензиями и авторскими правами и других способов защиты владельцев авторских прав от пользователей, а не защиты самих пользователей. Если вам интересен этот аспект - у Ричарда нашего Столлмана есть на эту тему целый манифест, старый, но вполне актуальный (вот русский перевод).
Разработчик RedShieldVPN Владислав Здольников анонсирует запуск проекта GlobalCheck - онлайн-сервиса для исследования блокировок в России и странах СНГ, например, в Беларуси и Казахстане.
Идея проекта в том, что современные блокировки и замедления могут быть непубличными, работать по-разному у разных провайдеров и не попадать в официальный Реестр запрещенных сайтов. Но если много волонтеров поставят у себя сенсоры на базе небольших роутеров, то при помощи проекта можно будет в реальном времени проверять, что и как блокируется. Немножко собственных сенсоров работает уже сейчас, их можно потыкать на офсайте проекта. Если хотите быть волонтером и поставить у себя бесплатный сенсор - оставляйте заявку на сайте https://globalcheck.net/ru/support.
И напоминаем: наше расширение для браузеров для обхода блокировок, Censor Tracker (https://censortracker.org/) также помогает собирать информацию о внереестровых блокировках.
Идея проекта в том, что современные блокировки и замедления могут быть непубличными, работать по-разному у разных провайдеров и не попадать в официальный Реестр запрещенных сайтов. Но если много волонтеров поставят у себя сенсоры на базе небольших роутеров, то при помощи проекта можно будет в реальном времени проверять, что и как блокируется. Немножко собственных сенсоров работает уже сейчас, их можно потыкать на офсайте проекта. Если хотите быть волонтером и поставить у себя бесплатный сенсор - оставляйте заявку на сайте https://globalcheck.net/ru/support.
И напоминаем: наше расширение для браузеров для обхода блокировок, Censor Tracker (https://censortracker.org/) также помогает собирать информацию о внереестровых блокировках.
С сегодняшнего дня в кафе и ресторанах в Москве нужно предъявлять COVID-ный QR-код. Коды получают на https://immune.mos.ru, на сайте Госуслуг в разделе "Здоровье" (и еще на паре официальных сайтов), а потом их должны проверять на входе и сверять с паспортом.
Специального софта для проверки пока нет, QR-код - это просто ссылка на веб-страницы типа https://immune.mos.ru/qr?id=[идентификатор] или https://www.gosuslugi.ru/vaccine/cert/verify/[идентификатор]. Идентификаторы одного и того же пользователя на mos.ru и Госуслугах - разные.
Какую информацию о посетителях видит на экране персонал кафе (а значит, теоретически может ее собирать)?
• первые буквы ФИО вакцинированного/переболевшего и количество букв в имени (типа И***** И*** И******)
• дату рождения
• на mos.ru - срок действия сертификата
• на Госуслугах - две первые и три последние цифры номера паспорта. На mos.ru эту информацию не показывает.
Всё, других данных там нет. Вчера в программе "Точка" на Эхе ведущий рассказывал, что нашел в исходном коде страницы проверки QR-кода на Госуслугах кучу персональных данных, но он напутал - это не персональные данные вакцинированного, это персональные данные того, кто открывает страницы Госуслуг, если он залогинен. То есть условный охранник на входе будет там видеть свои полные ФИО, телефон и адрес (если при проверке он залогинен на сайте Госуслуг), а не данные клиента.
В результате, хотите ходить в кафе в Москве и оставлять меньше информации о себе - пользуйтесь QR-кодом от mos.ru, там нет пяти цифр номера паспорта. И выходит, что гораздо больше персональных данных - в открытом для сверки паспорте, который по идее нужно будет показывать вместе с QR-кодом, чтобы люди не ходили по кафе с чужими кодами.
Специального софта для проверки пока нет, QR-код - это просто ссылка на веб-страницы типа https://immune.mos.ru/qr?id=[идентификатор] или https://www.gosuslugi.ru/vaccine/cert/verify/[идентификатор]. Идентификаторы одного и того же пользователя на mos.ru и Госуслугах - разные.
Какую информацию о посетителях видит на экране персонал кафе (а значит, теоретически может ее собирать)?
• первые буквы ФИО вакцинированного/переболевшего и количество букв в имени (типа И***** И*** И******)
• дату рождения
• на mos.ru - срок действия сертификата
• на Госуслугах - две первые и три последние цифры номера паспорта. На mos.ru эту информацию не показывает.
Всё, других данных там нет. Вчера в программе "Точка" на Эхе ведущий рассказывал, что нашел в исходном коде страницы проверки QR-кода на Госуслугах кучу персональных данных, но он напутал - это не персональные данные вакцинированного, это персональные данные того, кто открывает страницы Госуслуг, если он залогинен. То есть условный охранник на входе будет там видеть свои полные ФИО, телефон и адрес (если при проверке он залогинен на сайте Госуслуг), а не данные клиента.
В результате, хотите ходить в кафе в Москве и оставлять меньше информации о себе - пользуйтесь QR-кодом от mos.ru, там нет пяти цифр номера паспорта. И выходит, что гораздо больше персональных данных - в открытом для сверки паспорте, который по идее нужно будет показывать вместе с QR-кодом, чтобы люди не ходили по кафе с чужими кодами.
В Словакии пару дней назад крупный провайдер 02 целиком заблокировал стриминговую платформу Twitch.tv из-за единственного пользователя (правда, достаточно популярного), который играл в онлайн-покер. Местный госорган, который регулирует азартные игры, внес его страницу (https://twitch.tv/ddandis) в черный список и суд предписал словацким провайдерам ее блокировать.
Но такой адрес невозможно заблокировать отдельно от остальной платформы, потому что во-первых HTTPS, а во-вторых это не отдельный домен, который можно было бы блокировать DPI-оборудованием провайдера по заголовкам SNI. Поэтому O2 просто заблокировал Twitch целиком, и Twitch сам быстренько удалил нужный аккаунт.
Вполне распространенная стратегия современной интернет-цензуры: создавать условия, в которых платформа сама будет делать то, что от нее требуется.
Но такой адрес невозможно заблокировать отдельно от остальной платформы, потому что во-первых HTTPS, а во-вторых это не отдельный домен, который можно было бы блокировать DPI-оборудованием провайдера по заголовкам SNI. Поэтому O2 просто заблокировал Twitch целиком, и Twitch сам быстренько удалил нужный аккаунт.
Вполне распространенная стратегия современной интернет-цензуры: создавать условия, в которых платформа сама будет делать то, что от нее требуется.
Вчера вечером редакция заблокированного в Беларуси новостного сайта Tut.by удалила из соцсетей весь контент, опубликованный с 1 января 2020 года. Tut.by было крупнейшим по охвату пользователей изданием в Беларуси, но с мая редакция работала только в соцсетях после блокировки сайта и изъятия оборудования.
Вчера, когда посты стали исчезать, читатели Tut.by забеспокоились, что это кто-то перехватил аккаунты и стирает архивы, но редакция отписалась, что они "удалили публикации из-за дела об "экстремизме" наших соцсетей и сайта. Мы сделали это для безопасности наших читателей и сотрудников." Такая вот онлайн-самоцензура.
Вчера, когда посты стали исчезать, читатели Tut.by забеспокоились, что это кто-то перехватил аккаунты и стирает архивы, но редакция отписалась, что они "удалили публикации из-за дела об "экстремизме" наших соцсетей и сайта. Мы сделали это для безопасности наших читателей и сотрудников." Такая вот онлайн-самоцензура.
Ковидные QR-коды в ресторанах в Москве начали проверять только вчера, а сегодня в интернете - уже 29 поддельных сайтов, имитирующих Госуслуги, на которых лежат поддельные подтверждения. Коммерсант пишет, что коды для посещения кафе и ресторанов продают через Telegram-каналы.
Идея простая и понятная: охрана в кафе не обязана и не станет внимательно проверять подлинность домена, на котором размещено подтверждение. Это можно было бы сделать, если бы проверка работала через приложение, которое бы обращалось только к "хорошим" сайтам, но браузер - он же на то и браузер, чтобы открывать любые сайты. А QR-код - это просто ссылка, он может вести и на какие-нибудь g0suslugi.tk. Чтобы сделать подтверждение, которое выглядит как настоящее, пользователь должен передать мошенническому серверу только первые буквы ФИО, дату рождения и пять цифр паспорта.
Департамент информационных технологий Москвы говорит, что использование поддельных QR-кодов - это типа статья УК 327 о подделке и использовании официальных документов, но другие юристы считают, что QR-код - это вообще не документ. В общем, пока система проверки не очень удалась, видимо, ее будут переделывать.
Идея простая и понятная: охрана в кафе не обязана и не станет внимательно проверять подлинность домена, на котором размещено подтверждение. Это можно было бы сделать, если бы проверка работала через приложение, которое бы обращалось только к "хорошим" сайтам, но браузер - он же на то и браузер, чтобы открывать любые сайты. А QR-код - это просто ссылка, он может вести и на какие-нибудь g0suslugi.tk. Чтобы сделать подтверждение, которое выглядит как настоящее, пользователь должен передать мошенническому серверу только первые буквы ФИО, дату рождения и пять цифр паспорта.
Департамент информационных технологий Москвы говорит, что использование поддельных QR-кодов - это типа статья УК 327 о подделке и использовании официальных документов, но другие юристы считают, что QR-код - это вообще не документ. В общем, пока система проверки не очень удалась, видимо, ее будут переделывать.
РБК
Эксперты предупредили о схеме подделки QR-кодов для прохода в рестораны
Мошенники предлагают купить сгенерированный QR-код, который ведет на поддельный сайт, имитирующий «Госуслуги». Эксперты сообщили, что число таких доменных имен выросло с двух до 29
Ну вот, кто-то уже запилил инструкцию по генерации поддельных QR-кодов и сайта с подтверждениями, и положил на Github https://github.com/IDQDD/qrmosru
UPD: Удалена, но форков - куча.
UPD: Удалена, но форков - куча.
Тут читатель пишет важную вещь про нынешнюю систему проверки QR-кодов. Мы обратили внимание на то, какие данные может собирать само кафе, и их немного. А какие данные могут в процессе собирать Госуслуги (или mos.ru)?
Сейчас при проверке QR-кода Госуслугам видно, "кто" и "когда" ходит в кафе (и это уже немало), но не очень понятно "куда". Но достаточно изменить систему так, чтобы кафе тоже должно было аутентифицироваться для проверки, и мы получим систему, способную фиксировать "кто", "когда" и "куда" ходит.
Сейчас при проверке QR-кода Госуслугам видно, "кто" и "когда" ходит в кафе (и это уже немало), но не очень понятно "куда". Но достаточно изменить систему так, чтобы кафе тоже должно было аутентифицироваться для проверки, и мы получим систему, способную фиксировать "кто", "когда" и "куда" ходит.
В прошлую пятницу Twitter временно заблокировал аккаунт индийского министра связи, электроники и информационных технологий Рави Шанкар Прасада за нарушение авторских прав. В одном из его твитов 2017 года была ссылка на его же интервью, где присутствовал фрагмент песни A.R. Rahman - Maa Tujhe Salaam. Twitter получил об этом жалобу от Международной федерации производителей фонограмм, твит заблокировали, а аккаунт восстановили после того, как министр просмотрел твиттеровскую Политику в отношении авторских прав и нажал на синюю кнопочку, что соглашается не нарушать. Теперь министр теперь ужасно ругается на правовой беспредел, кстати, в Твиттере же.
Это вообще известная проблема - такие жалобы массово автоматически генерируют боты, которые парсят контент соцсетей. Google как-то жаловался, что автоматических жалоб от ботов им приходит больше 99%. А потом соцсети по этим жалобам блокируют лишнее, потому что внимательно обработать столько вручную - просто нереально.
Это вообще известная проблема - такие жалобы массово автоматически генерируют боты, которые парсят контент соцсетей. Google как-то жаловался, что автоматических жалоб от ботов им приходит больше 99%. А потом соцсети по этим жалобам блокируют лишнее, потому что внимательно обработать столько вручную - просто нереально.
Twitter
Сервера российского VPN-провайдера DoubleVPN арестованы в результате международной полицейской операции. DoubleVPN предлагал клиентам цепочку из двух последовательных VPN-серверов, их очень хвалили на форумах в даркнете и ими часто пользовались киберпреступники для доступа к своей инфраструктуре. Сервис обещал, что логов не хранит, а теперь на заглушке на сайте написано, что какие-то логи и информация клиентов захвачены полицией. Либо имеются в виду разные логи, либо кто-то врет.
На тему доверия к VPN-провайдерам недавно очень точно писал гуру безопасности Брюс Шнайер: "Мы об этом нечасто говорим, но вообще использование VPN целиком основано на доверии. Потребители понятия не имеют, какой провайдер лучше защитит их приватность. Мы не знаем, какие законы о защите данных работают в Панаме или Сейшеллах [где часто зарегистрированы VPN-провайдеры]. Мы не знаем, какие страны могут оказывать незаконное давление на провайдеров, работающих в их юрисдикциях. Мы не знаем, кто фактически владеет этими сервисами и не знаем людей, которые обслуживают сервера. Наконец, мы не знаем, какие зарубежные компании NSA (АНБ США) взломал, чтобы потом использовать украденные у них данные для массовой слежки. Все, что мы можем, это попытаться правильно угадать."
На тему доверия к VPN-провайдерам недавно очень точно писал гуру безопасности Брюс Шнайер: "Мы об этом нечасто говорим, но вообще использование VPN целиком основано на доверии. Потребители понятия не имеют, какой провайдер лучше защитит их приватность. Мы не знаем, какие законы о защите данных работают в Панаме или Сейшеллах [где часто зарегистрированы VPN-провайдеры]. Мы не знаем, какие страны могут оказывать незаконное давление на провайдеров, работающих в их юрисдикциях. Мы не знаем, кто фактически владеет этими сервисами и не знаем людей, которые обслуживают сервера. Наконец, мы не знаем, какие зарубежные компании NSA (АНБ США) взломал, чтобы потом использовать украденные у них данные для массовой слежки. Все, что мы можем, это попытаться правильно угадать."