Интересный западный кейс:

Хостинговая компания Quadranet обратилась в федеральный суд Флориды с просьбой отклонить иск о пиратстве VPN, поданный несколькими независимыми кинокомпаниями. Хостинговая компания утверждает, что не может нести ответственности за пиратскую деятельность пользователей LiquidVPN просто потому, что провайдер VPN арендует серверы в Quadranet.

Подробнее: https://torrentfreak.com/hosting-company-quadranet-asks-court-to-dismiss-vpn-piracy-lawsuit-210910/

Отличный лонгрид: Влад Здольников (Red Shield VPN, проект Globalcheck, канал IT и СОРМ), Михаил Климарев ("ОЗИ", канал ЗаТелеком), Фил Кулин (канал Эшер II) и Станислав Селезнев (проект Сетевые Свободы) отвечают на одни и те же вопросы про ТСПУ и блокировки VPN в России.

Интересный технический момент: VPN-провайдеры планируют сопротивляться блокировкам себя.

Здольников: "Некоторые платные сервисы, которые закладывают это в стоимость подписки, и у которых есть соответствующие механизмы, могут активно сопротивляться блокировкам: ротировать адреса API и самих VPN-серверов. Это делает ExpressVPN и отчасти NordVPN в Китае, это делают некоторые сервисы в ОАЭ, Индии и других регионах. Наш Red Shield VPN будет сопротивляться блокировкам[...]"

Климарев: "С кем я общаюсь, по крайней мере, почти все в голос говорят, что будут [сопротивляться], и Nord VPN, и Tunnel Bear будет. У них бизнес-модель такая, они же деньги зарабатывают именно с того, что они обходят блокировки."

Ссылка: https://zona.media/article/2021/09/13/rknvsvpn

Российские власти начали блокировать Red Shield VPN на ТСПУ сегодня в 15:00 МСК.
Очевидно, блокировка связана с публикацией списков Умного Голосования.

Сейчас у нас два вектора борьбы:

- Технический.
У нас есть механизмы для обхода блокировок, но это сложная и достаточно долгая работа.
Она стала её сложнее и дольше, чем во время предыдущих двух блокировок несколько лет назад.
Мы благодарим всех наших пользователей за терпение.
Пока просим перезагружать приложения и пробовать выбирать в настройках разные протоколы.
Все рекомендации по действиям со стороны пользователей, если они понадобятся, мы пришлём на почту и через бота.

- Юридический.
Уловка с ТСПУ, кроме сильного технического усложнения, заключается в том, что блокируемых адресов нет в официальных реестрах Роскомнадзора. Это сделано для того, чтобы не было оснований для подачи жалобы в суд.
Мы сейчас фиксируем её с юридической точки зрения, чтобы снова подавать в суд на Роскомнадзор, а затем - и в ЕСПЧ.

Мы сделаем всё, что можем.

Вчера вышла IOS 15/IpadOS 15.

Обещанная функция "Частный узел", которая должна была быть новым крутым VPN от Apple, "не поддерживается в некоторых странах и регионах, в числе которых - Россия." Поэтому в настройках Safari опцию "скрытие IP-адреса от вебсайтов" (тот же "Частный узел", только настройка в другом месте) в России тоже не завезли.

Все остальное вроде есть:

• Теперь в Safari можно скрывать IP-адрес от трекеров: Настройки - Safari - Конфиденциальность и безопасность - Скрытие IP-адреса - От трекеров.
• В почтовом клиенте появилась опция "Защита конфиденциальности": Настройки - Почта - Защита конфиденциальности. Она сама скачивает картинки из email-ов в промежуточное хранилище, Apple Privacy Cache, а потом показывает пользователю уже оттуда, когда он их запросит. Это мешает компаниям, рассылающим маркетинговые имейлы, следить за тем, открывали ли их имейл, и откуда.
• В "Настройки - Конфиденциальность - Отслеживание активности" можно смотреть, какие приложения запрашивали какие разрешения (например, геопозицию и микрофон) за последние семь дней.
• Появилась возможность сохранять коды двухфакторной аутентификации во встроенной хранилке паролей и подставлять оттуда: "Настройки - Пароли - Настроить код проверки".
• Ссылки звонков мессенджера Facetime теперь можно отправлять пользователям, у которых нет гаджетов Apple. Это ссылки типа https://facetime.apple.com/join/#, они открываются браузером.
• Появилась возможность разрешить приложению доступ к геопозиции однократно.
• Только для платных подписчиков iCloud+ (50 гигабайт за 59 рублей в месяц) завезли функцию "iСloud - Скрыть e-мейл". Это алиасы для пересылки в домене @icloud.com.

А еще Apple больше не заставляет переходить на последнюю мажорную (в смысле "большую") версию своей мобильной операционной системы, чтобы получать обновления безопасности. Можно остаться на IOS 14 и продолжать их получать, это само по себе новость.

Ссылка: https://www.apple.com/ios/ios-15/

Теперь русский стал третьим официальным языком известного плагина для шифрования.

Все тексты сервиса шифрования сообщений и файлов Mailvelope доступны на русском языке: сайт, инструкции и FAQ.

Mailvelope довольно давно известен как один из лучших браузерных шифровальщиков почты. Создан он на базе OpenPGP и работает во всех браузерах на основе Chromium (включая Chrome, разумеется) и в FireFox и Edge. Этот плагин можно интегрировать в веб-интерфейс многих популярных почтовиков, например, Gmail и Mail.ru. Кроме того, он работает под любыми операционными системами. Недавно Mailvelope научили шифровать еще и любые файлы непосредственно на пользовательских компьютерах. И что важно — он совершенно бесплатен.

Подробнее про сервис и как его установить и настроить на нашем сайте.

Вышло новое исследование о том, сколько и какой информации передают производителям Android-смартфоны разных производителей без установленных приложений, а через встроенные сервисы и предустановленные приложения. Исследователи тестировали смартфоны от Samsung, Xiaomi, Huawei, Realme, а также телефоны с установленной сборкой LineageOS (с OpenGapps!!) и /e/OS (с MicroG). По условиям эксперимента телефоны не были залогинены в облака производителей и был отключен весь возможный сбор данных диагностики.

▪️(Почти) ничего не передает только /e/OS, поэтому эту сборку исследователи считают лучшей для приватности (но Calyx и Graphene они не тестировали). Все остальные телефоны передают много данных в Google через Google Play Services и Google Play (Google прокомментировал: оно так и работает, это пуши, обновления и все такое). Кроме этих данных LineageOS не передает больше ничего (наш коммент: а могли бы в Lineage поставить MicroG для чистоты эксперимента).
▪️Телефоны Realme собирают и передают в Realme идентификаторы устройства и список установленных приложений, но больше ничего. Само по себе это потенциально нехорошо, потому что во-первых список может содержать приложения, само наличие которых пользователь хочет скрыть, а во-вторых сам список может быть уникальным и на его основе можно фингерпринтить.
▪️Samsung, Xiaomi и Huawei записывают и передают на свои сервера то же, что Realme плюс данные о том, что делает пользователь на смартфоне (какие окна когда активны в некоторых или всех приложениях). Из них Xiaomi передает больше всего данных. Несколько системных приложений Samsung собирают данные о действиях пользователя (когда и сколько приложения были открыты) через встроенный Google Analytics.
▪️Телефоны Huawei записывают и передают данные в Microsoft через установленную по умолчанию клавиатуру Microsoft Swiftkey.
▪️На телефонах Xiaomi и Huawei в качестве системного приложения для работы с смс используется Google Messaging, который записывает и отправляет в Google действия пользователя, в том числе когда отправлены смски.

Проблема в том, что это [почти] неотключаемая передача, обычные пользователи не могут просто выбрать в настройках, чтобы этого не было. Еще из интересных результатов: исследователи отмечают, что вместе с изменяемыми идентификаторами (типа рекламным идентификатором AAID Google, который можно сбросить), обычно передаются неизменяемые (типа IMEI), поэтому при сбросе рекламного идентификатора можно все равно понять, что пользователь - один и тот же.

Остальные подробности читайте в самом исследовании (вот pdf на английском).

Злоумышленники использовали 0-day уязвимость FatPipe VPN более полугода

ФБР сообщило, что некая хакерская группа довольно долго использовала уязвимость нулевого дня в устройствах FatPipe, чтобы взламывать компании и проникать в их внутренние сети. Баг позволял хакерам использовать функцию загрузки файлов в прошивке устройств и устанавливать веб-шеллы с root-доступом.

Более того, 0-day эксплоит использовался не только против устройств FatPipe MPVPN , уязвимость также представляла угрозу для других продуктов компании, включая IPVPN и WARP. Все перечисленное — разные типы VPN-серверов, которые компании устанавливают в периметре своих корпоративных сетей и используют для предоставления сотрудникам удаленного доступа к внутренним приложениям через интернет. Эти решения работают как гибрид сетевых шлюзов и файрволов.

https://xakep.ru/2021/11/18/fatpipe-vpn-0day

ProtonVPN опубликовал у себя в блоге сравнение VPN протоколов OpenVPN и Wireguard. Если вкратце:

OpenVPN:
Плюсы: опенсорц, безопасный, проверенный (в смысле давно используется), проходил аудиты (хотя ниже пишут, что и Wireguard проходил), может использоваться для обхода цензуры (в смысле можно настроить TCP на 443 порт).
Минусы: медленный, нужно больше ресурсов CPU, быстрее жрет батарейку на мобильных устройствах.

Wireguard:
Плюсы: опенсорц, быстрый, эффективный, быстро устанавливает соединение, безопасный
Минусы: Безопасность пока теоретическая (в смысле, в отличие от OpenVPN у исследователей не было возможности 20 лет его ковырять), хуже с обходом цензуры (в смысле не поддерживает TCP), поддерживается на меньшем количестве устройств (это они про роутеры), приватность требует дополнительных усилий со стороны провайдера.

В целом, советуют пользователям всегда выбирать Wireguard, кроме трех случаев:

1. Если нужна гарантированная высокая безопасность - OpenVPN гораздо дольше тестировали.
2. Если нужен обход цензуры - в смысле OpenVPN можно переключать в режим TCP. При этом они уточняют, что хорошо настроенный DPI может блокировать и тот, и другой протокол.
3. Если ваше устройство просто не поддерживает Wireguard.

А вы в каких случаях выбираете OpenVPN?

https://protonvpn.com/blog/openvpn-vs-wireguard/

Роскомнадзор вновь собирает данные об использовании ведомствами VPN. Под блокировку?

Регулятор направил запрос в ведомства, где потребовал отчитаться об использовании следующих VPN-сервисов: Betternet, Lantern, X-VPN, Cloudflare WARP, Tachyon VPN и PrivateTunnel.

В мае этого года после аналогичного запроса относительно других VPN все сервисы были внесены в реестр запрещённых сайтов:

➡️ https://roskomsvoboda.org/post/vpn-rkn-noyabr/

Российские пользователи стали жаловаться на блокировку Tor

Наши подписчики из Москвы и регионов сообщают о проблемах в работе Tor. Это также зафиксировал проект OONI, отслеживающий интернет-цензуру по всему миру.

Технический специалист «Роскомсвободы» Вадим Мисбах-Соловьёв отмечает, что любой трафик можно отследить по косвенным признакам (метаинформации в пакетах) и обратил внимание, что пока доступ можно восстановить:

💬«Пока что помогает использование "мостов" (подключение не к тем серверам, список которых идёт с самим пакетом Tor, а к юзерским, взятым из интернета), но списки мостов тоже вполне себе публичны, и если провайдеры зададутся целью, то им не составит труда и эти списки скачивать и добавлять в блок-лист».

Масштабная блокировка или очередное тестирование оборудования?

➡️ https://roskomsvoboda.org/post/blokiruyut-tor-v-rf/

⚡️ В России начали блокировать Tor.
Мы подтверждаем начало блокировки на ТСПУ.
Блокируется часть узлов, к которым подключаются клиенты Tor.

Мы готовим отчёт по результатам изучения этой блокировки.

Lantern задействует децентрализованный инструмент обхода госблокировок в РФ

В начале декабря Роскомнадзор обратился к компаниям с просьбой отчитаться об использовании ими различных сервисов VPN, в числе которых также был Lantern. Как правило, такие запросы связаны с желанием в скором времени их заблокировать.

💡Команда Lantern выпустила официальный пресс-релиз, которым «отреагировала на российскую цензуру и угрозы, следуя примеру Tor Project»:

«В своих неоправданных попытках по созданию централизованно контролируемого Интернета российское правительство все туже затягивает петлю вокруг способности российских граждан использовать современные технологии для реализации основополагающих прав человека».

❗️Мы связались с представителями Lantern. Попыток ограничения доступа на территории России они пока не фиксировали, но случай с блокировкой Tor на компанию оказал большое впечатление.

➡️ Подробнее

Группа разработчиков запустила игру VPN-Jump, которая поможет узнать больше о цифровой безопасности и познакомиться с функциями VPN.

Идею и прототип игры VPN-Jump представили в июле 2021 года на онлайн-хакатоне SSL, организованном Теплицей социальных технологий. Команда проекта стала победителем хакатона. Участники получили поддержку Теплицы, благодаря которой запустили игру. Теперь она доступна всем пользователям.

​Как обойти блокировку интернета

Отключение интернета во время протестов — это самый простой и одновременно самый глупый способ скрыть происходящее в стране: большинство не сможет передать происходящее прямо сейчас, но никто не запретит это сделать, когда все включат.

Итак, если вы оказались в ситуации, когда интернет отключен, но этот пост все же как-то до вас добрался, инструкция следующая:

Скачайте VPN, подойдут любые, но лучше всех в таких ситуациях себя показывает Psiphon. Во времена блокировок в Беларуси, это был главный канал выхода в интернет, за счет чего и набрал свою популярность. Скачайте приложение с AppStore или Google Play, установите и нажмите «Подключиться».

О том, как защитить себя и свои данные на протестах мы уже писали здесь. Сохраните этот пост и поделитесь с друзьями и родными, он может кому-то очень сильно помочь.

#полезно

Мокси Марлинспайк (криптограф и основатель защищенного мессенджера Signal) написал в своем блоге пост о том, что с популярным сегодня web3 и крипто миром все не так сладко.

Перевод тут

⚡️28 января, в Международный день защиты персональных данных, мы проведём четвертую тематическую конференцию Privacy Day 2022

Главная тема этого года – сбор биометрических данных для бизнес-процессов, для госуслуг и в образовательных учреждениях. 

Программа Privacy Day 2022 поделена на три тематических блока, каждый из которых по-своему рассмотрит актуальные проблемы и тренды:

🔹биометрия и другие персональные данные в школах: в чем опасность единой базы данных о детях;

🔹цена лица и биометрическая идентификация в бизнес-процессах;

🔹шатдауны в Казахстане, блокировка Тор-браузера и питчинг новых проектов по защите приватности.

📍Онлайн-трансляция будет доступна в нашем YouTube-канале.
⏰Начинаем в 11:00 28 января.

Полная программа конференции, имена спикеров и все подробности на сайте Privacy Day 2022.

В компании ProtonMail сообщили, что вводят «расширенную защиту от слежки», и теперь сервис будет блокировать пиксели-трекеры в письмах и скрывать IP-адреса

Почти в половине всех отправленных и полученных электронных писем присутствуют различные трекеры, которые передают информацию обратно отправителю. Такие данные могут сообщать, когда получатель открывал электронное письмо, сколько раз оно было повторно просмотрено, на каком устройстве это происходило, а также могут содержать IP-адрес получателя.

Как правило, такие трекеры невидимы пользователю, ведь они представляют собой отдельные пиксели, встроенное в тело письма в виде изображения. Чаще всего они используются для целевой рекламы, но также могут применяться для деанонимизации людей, сбора информации о получателях и просто для отслеживания того, кто и когда читал конкретное письмо.

ProtonMail сообщает, что теперь сервис блокирует такие трекеры по умолчанию во всех учетных записях, включая бесплатные. Сервис будет блокировать пиксели-трекеры, которые сочтет опасными, а также будет скрывать IP-адрес пользователя, чтобы его местоположение не стало известно третьим лицам.

https://xakep.ru/2022/01/20/protonmail-tracking-pixels

⛔️В России перестал работать популярный VPN-сервис Tunnelbear

⚖️Решение о блокировке было вынесено Дюртюлинским районным судом Республики Башкортостан ещё в 2017 году, и до недавнего времени пользователям помогала опция GhostBear в настройках клиента, но теперь она не спасает ситуацию. Как следует из карточки на сайте суда, дело TunnelBear рассматривалось единолично судьёй Нагаевым И.З. в категории дел особого производства. Информация об истце, а также само решение суда скрыты.

Руководитель проекта GlobalCheck и Red Shield VPN Владислав Здольников отметил, что доступ к TunnelBear начали ограничивать непосредственно по IP-адресам VPN-серверов. Проблемы с функцией GhostBear он связал с расширением пула блокируемых адресов. При этом в случае с TunnelBear пока не используются «умные возможности» государственного DPI вроде блокировки по протоколам (анализируя сертификат, который известен для каждого конкретного сервиса). Эксперт отметил, что такие инструменты Роскомнадзор начинает применять, если сервис пытается обойти блокировку.

➡️ https://roskomsvoboda.org/post/tunnelbear-nedostupen

Военные власти Мьянмы планируют ввести уголовную ответственность за использование криптовалют и VPN, следует из попавшего в сеть законопроекта.

Предполагается, что за цифровые активы будет грозить от одного до трех лет тюремного заключения или штраф до 6 млн кьят (~$3374).

Пользователей VPN будут приговаривать на сроки от шести месяцев до года или к штрафу до 6 млн кьят.

https://forklog.com/v-myanme-predlozhili-lishat-svobody-za-ispolzovanie-bitkoina-i-vpn

​​⌨️ Как защититься от биометрии нажатия клавиш.

Когда человек набирает текст на клавиатуре, задействуется порядка сорока разных мышц одновременно. И каждый использует их по-разному! Важную роль играет время, но не только поиска клавиш, а ещё и удержания. Это длится несколько микросекунд, и у каждого свой индивидуальный тайминг. Что всё это значит? Путём сложных математических преобразований, основанных на теории вероятности и статистике, удаётся идентифицировать пользователя компьютера с точностью до 96%. Это называется «биометрия нажатия клавиш».

Anti Keystroke Denonymization — специальный инструмент для маскировки реального интервала нажатия и отпускания кнопок на клавиатуре. Можно (и нужно!) использовать цепочку «VPN → Whonix → VPN», защититься от тайминг-атаки, поменять лингвистическое поведение, но всё это бесполезно, когда в сети есть тексты, набранные вашей рукой. Причём речь даже о паролях и логинах! Чтобы идентифицировать личность при помощи биометрии нажатия клавиш, достаточно четырёх-шести символов.

#анонимность

Обсудить в чате 👉 https://t.me/+jrxm2KHbIl9kMDQy