Режим Инкогнито — канал о том, как сохранить свою приватность и безопасность своих данных в современном мире. Для связи: newincognitowindow@protonmail.com
Насколько анонимной будет ваша анкета, если убрать из неё только ваше имя? Много ли в вашем районе живёт людей вашего пола, родившихся в один день с вами?
Британские исследователи обработали несколько сотен датасетов, в том числе из переписи населения США, и создали матмодель, оценивающую вероятность точной идентификации человека по его неполным персональным данным. Гражданина США можно идентифицировать по почтовому индексу, полу и дате рождения с точностью 81%. 15 демографических характеристик дают 99,98% шанс на точную деанонимизацию. Вот здесь вы сами можете добавлять в комбинацию разные данные и смотреть, насколько это меняет точность идентификации.
Удаление строки с именем пользователя ещё не делает базу с персональными данными безопасной. Как показывает эта работа, любой анонимизированный датасет с информацией о вас можно считать таким лишь условно.
И ещё раз посоветую вам прочитать историю о том, как ничего не подозревающих пользователей деанонимизировали по купленным на чёрном рынке историям посещений браузера.
Вот любопытное, кстати: как по-разному компании смотрят на понятие «приватность».
С одной стороны, понятно, что никакой приватности в век биг-даты нет. С другой стороны, вопрос: приватность между кем, где и для кого?
Axios пробует разрбраться в разнице между определениями этого слова в мире Apple, Google и Facebook: https://www.axios.com/what-apple-facebook-and-google-each-mean-by-privacy-e2d82692-49bf-4a73-971c-b0bf62d3b2b9.html
Реклама в браузере может быть очень надоедливой — особенно когда она пытается подстраиваться под ваши предпочтения. Mozilla запустила сервис, с помощью которого можно заставить рекламные сети думать, что вы — совершенно другой человек.
На сайте доступно четыре альтер эго — модник, богач, инфлюенсер и параноик, который готовится к концу света. Выберите один из вариантов, нажмите на кнопку TRACK THIS, и у вас в браузере откроется сразу 100 вкладок с товарами на соответствующую тему. Так вы собьёте рекламные сети с толку и заставите их показывать вам предложения с наборами для выживания или наручными часами с бриллиантами.
Пройдёт несколько дней, и вы снова начнёте замечать привычные объявления. Зато перед этим вы сможете почувствовать себя в шкуре другого человека и насладиться чувством того, что вы обвели рекламные сети вокруг пальца.
Попробовать сервис: https://trackthis.link
Часто пишу здесь об индустрии коммерческой слежки. Интернет-компании с помощью cookies отслеживают, какие сайты вы посещаете, составляют ваши профили и затем продают рекламодателям возможность таргетировать рекламу на посетителей, замеченных в той или иной активности.
Тех-колумнист Джеффри Фаулер провёл эксперимент. Он установил чистый браузер Chrome, неделю просто пользовался интернетом в обычном режиме, а затем насчитал в браузере около 11 000 cookies от разных сайтов. Налицо конфликт интересов: Google — крупнейший продавец рекламы в мире; ожидаемо, Chrome работает таким образом, что избавиться от кукиз очень непросто. Альтернатива — браузеры, которые позволяют блокировать кукиз из коробки. Firefox, Safari, Brave. Или расширения, позволяющие блокировать трекинг — Ghostery, Privacy Badger.
Вы можете сказать: ну и что, пусть себе собирают куки, мне это никак не мешает. Посмотрите это шуточное видео. И представьте, что таких шпионов — тысячи.
Правило 70. Секретных переписок не существует
Если хотите, чтобы что-то сохранилось в тайне, никогда не пишите об этом: ни в письме, ни в мессенджере, ни в смске.
Любая переписка может быть раскрыта:
- Кто-то взломает вашу почту или почту вашего собеседника.
- Вы по ошибке перешлете письмо, в хвосте которого будет секретная информация, о которой вы уже забыли.
- Ваш собеседник не поймет, что это секрет и перешлет кому-то.
- Ваш товарищ вам не товарищ и специально перешлет кому-то ваш секрет или опубликует в соцсетях скриншот вашей переписки.
И еще много-много ситуаций, когда информация из переписки может попасть к тому, кому она не предназначалась.
Что делать? - не писать того, что кто-то не должен видеть:
- коммерческие тайны,
- логины-пароли,
- негативные эмоциональные высказывания в адрес вашего собеседника,
- оскорбительные и ироничные высказывания в адрес третьих лиц.
Еще раз: как проверить себя? Ответить на вопрос «Есть ли человек, который ни при каких обстоятельствах не должен увидеть ваш текст?». Если есть, то, поверьте, он его обязательно увидит. Поэтому просто удалите весь компрометирующий текст из письма. Берегите друг друга.
#почта
Покажите переписку. А если найду?
Две резонансные новости активно разлетелись на прошлой неделе:
1. Китай будет просить пересекающих границу предоставлять доступ к своим телефонам, соцсетям и мессенджерам.
2. США добавляет в анкету на визу требование предоставить ссылки на свои социальные сети. И грозит serious immigration issues в случае попыток обмана.
Обе новости по сути про одно и то же. И случаи не первые. Государства под красивым предлогом борьбы с терроризмом и другой нелегальной активностью сами продолжают нелегально вторгаться в личную жизнь для усиления контроля и поддержания исключительно себя самих. Жест США больше выглядит как обозначение сильной позиции, наверняка найти все аккаунты человека они могут и так в полуавтоматическом режиме.
«Всё, что вы скажете, может быть использовано против вас в суде» превращается во «всё, что вы публикуете онлайн, будет использовано для определения, свой вы или чужой» или просто «всё, что вы публикуете онлайн, будет использовано против вас».
Бороться с режимами сложно, но можно. И если кто-то предпочитает баррикады, мы советуем начать с осознанности и просвещения.
Напомним:
* Используйте на всех своих сервисах 2FA.
* Удалите свои аккаунты в соцсетях. Или хотя бы ограничьте публичный доступ и прочистите ненужные и старые публикации.
* Перечитайте нашу инструкцию по сохранению приватности при пересечении границ государств /channel/newincognitowindow/45 .
* Расскажите про эти простые правила родителям и друзьям.
Важная новость для тех, кто пользуется Android: вышла релизная версия Tor Browser для андроид. Она на базе Firefox и это уже просто удобный браузер. https://play.google.com/store/apps/details?id=org.torproject.torbrowser
Читать полностью…Обновления приватности, анонсированные на Google I/O 2019
В начале мая прошла традиционная конференция Гугла. Среди новых телефонов и обновлений голосовых помощников были и интересные для нас новости об обновлениях, касающихся приватности данных и трекинга.
* Появились настройки автоудаления активности пользователя из аккаунта. Они доступны, если сохранение данных включено (мы уже советовали отключить его совсем).
* Аналогичное автоудаление данных о геолокации будет доступно позже в этом году.
* Анонсировано добавление режима инкогнито в приложения Гугла для мобильных телефонов: карты, а потом и поиск. Аналогичный режим был ранее добавлен в приложение YouTube на Android. Конечно, трекинг в этом случае полностью не исчезнет. Но активность не будет привязываться к вашему аккаунту.
* Также было заявлено, что доступ к управлению аккаунтом и настройкам приватности будет упрощен во всех приложениях для мобильников.
Интересно наблюдать за движениями Гугла в эту сторону, ведь с каждым шагом в эту сторону они немного подпиливают сук, на котором сидят.
https://www.engadget.com/2019/05/07/google-incognito-maps-search-chrome/
Как найти аккаунты и личные данные человека в сети
Длинные выходные — хорошее время для основательных статей с кучей картинок и красочных примеров.
На этот раз про то, как с помощью доступных и открытых инструментов найти максимум информации о ком-либо. Полезно не только для того, чтобы кого-то найти или деаноминизировать, но и для того, чтобы осознать, где и какую информацию могут найти про вас.
https://vas3k.ru/blog/389/
Хороший сюжет BBC о рынке "пробива" личных данных, почитайте.
В России расцвел нелегальный рынок "онлайн-пробива", на котором можно за скромные деньги получить данные о перемещениях по городу по сигналу мобильного, детализацию телефонных разговоров или кодовое слово от банковской карты. Для эксперимента корреспондент Би-би-си купил актуальные персональные данные на себя и родственницу.
Чаще всего данные продают рядовые сотрудники мобильных операторов и банков. Они идут на риск ради дополнительного заработка — зарплаты низкие, а наказание за такое преступление — всего лишь штраф.
Tutanota — безопасный и приватный почтовый сервис
Электронная почта — одно из самых уязвимых мест в вашей безопасности онлайн. На неё завязано множество других аккаунтов, в ней содержится куча истории о вас, ваша переписка с друзьями, семьёй, коллегами. Иногда там содержатся вещи, о которых вы жалеете и не хотите вспоминать. Иногда там можно найти на вас отличный компромат.
Поэтому выбор почтового сервиса очень важен. Один из хороших вариантов — Tutanota. И вот почему.
* Анонимность — вам не нужно раскрывать никаких своих личных данных.
* Бесплатность — базовый функционал бесплатен и его более чем достаточно для базовых нужд
* Шифрование — все данные шифруются как только можно в хвост и в гриву
* Open Source — код проекта доступен в открытом виде. Это означает, что можно провести аудит кода на предмет нежелательных действий.
* Отсутствие рекламы и трекинга — одно из главных достоинств сервиса.
При всём этом у него адекватное юзабилити (не идеальное, но жить можно).
Сервис был запущен в 2014 году и активно развивается. Помимо браузерной версии есть приложения для мобильных телефонов. В платной версии есть отличный функционал email aliases, который позволяет использовать разные адреса под одним аккаунтом. Интерфейс сервиса переведён на множество языков, в том числе и русский.
https://tutanota.com/
Как Гугл помогает полиции ловить преступников и арестовывать невиновных
У New York Times вышел ещё один отличный пример качественной журналистики. При просмотре статьи зацените анимацию в самом начале и работу с картами далее по статье.
По сути:
* Гугл собирает и хранит информацию по геолокации с телефонов пользователей (которые об этом и не задумываются обычно)
* полиция обращается в Гугл с ордером и просьбой выдать информацию о перемещениях и владельцах телефонов вокруг места и времени совершения преступления
* иногда это помогает аресту преступника
* иногда под арест попадает невиновный
Технологические компании и раньше выдавали органам информацию о пользователях при наличии ордера. Но ситуация уже давно пошла дальше. Теперь полиция берёт информацию, чтобы найти зацепки при отсутствии других источников. И в ход идёт анализ информации о локации, покупках, предпочтениях и действиях на телефонах. Сколько ещё шагов отделяет текущую ситуацию от арестов за мыслепреступления — сложно сказать.
Ещё один любопытный момент из статьи: если вы заходите в свой аккаунт с чужих девайсов — будьте готовы, что и через это действие вас могут связать с преступлением, которого вы не совершали. Даже если вы вышли из аккаунта сразу после проверки почты или других данных.
> "Often, Google employees said, the company responds to a single warrant with location information on dozens or hundreds of devices."
(«Сотрудник Гугла рассказал, что часто компания отвечает на единственный ордер выдачей геолокационных данных на сотни устройств.»)
> "This year, one Google employee said, the company received as many as 180 requests in one week. Google declined to confirm precise numbers."
(«Один из сотрудников Гугла рассказал, что в этом году компания получала до 180 запросов [от полиции] в неделю. Гугл отказался подтверждать точные числа.»)
"if you build it, they will come"
https://www.nytimes.com/interactive/2019/04/13/us/google-location-tracking-police.html
Настройки приватности Фейсбука
Если вы всё ещё не удалили свой профиль в Фейсбуке (мы знаем, что так и есть), то стоит правильно его настроить.
Продраться через все интерфейсы и найти все возможные галочки и отдельные настройки — квест не для слабонервных. Но давайте сделаем первый шаг.
12 апреля на ProductHunt был анонсирован запуск приложения Jumbo — персонального ассистента по приватности. Выглядит красиво, умеет пока мало, но топит за праведные вещи. Сам инструмент мы ещё не опробовали, поэтому рекомендовать его не спешим. Но команда проекта собрала неплохой пост со списком настроек приватности Фейсбука. Спойлер: только в этом списке их больше 30 штук.
Подразумевается, что приложение-ассистент выставит настройки в нужные значения в зависимости от степени вашей паранойи. Но мы советуем пройтись по каждой настройке самостоятельно, сделать сознательный выбор в каждом случае и страдать по пути.
Особенно выделим несколько важных штук:
* скройте список ваших друзей от всех
* Фейсбук не позволяет полностью запретить искать вас по email и номеру телефона, но хотя бы разрешите это только друзьям
* запретите индексацию поисковыми системами
* скройте адреса и телефоны
* запретите распознавание своего лица на фото и видео
* запретите другим впихивать посты в ваш таймлайн
В большинстве случаев используйте значения "Only me", "Not Allowed", "No One".
Эти простые действия могут казаться вам бесполезными. Но это не так. Всё, что вы постите в интернете, может быть использовано против вас.
https://blog.jumboprivacy.com/smart-privacy-for-facebook.html
Помните историю, когда обнаружилось что в фейсбуке иногда пароли пользоватлей в открытом виде сохранялись в лог? Фейсбук еще тогда сказал, что пострадали десятки тысяч пользователей. Так вот, оказалось что не в фейсбуке, а инстаграмме, не тысячи, а миллионы. Короче фейсбук втихоря решил проапдейтить свой пост про эту проблему, но это разумеется заметили! http://www.recode.net/2019/4/18/18485528/facebook-instagram-passwords-stored-unencrypted-security-issue
Читать полностью…Телеграм-каналы посвященные приватности и безопасности
Подборка телеграм-каналов по тематике приватности и информационной безопасности. Каждый из них отличается уклоном в ту или иную сторону, стилем, подачей, но каждый из них делает крутой вклад в общее дело.
✅IT&Безопасность / @TG_security
Актуальные новости о безопасности в мессенджерах и интернете. Авторы канала также поддерживают прокси для обхода блокировок Телеграма.
✅Сайберсекьюрити и Ко. / @alexlitreev_channel
Авторский канал Александра Литреева о безопасности в интернете, различных уязвимостях, утечках данных и последствиях, которые несут подобные утечки.
✅RosKomSvoboda / @roskomsvoboda
Канал проекта РосКомСвобода — если хотите получать актуальную новостную и аналитическую информацию в области защиты наших с вами цифровых прав, следить за актуальными трендами в сфере кибербезопасности, а также узнавать, как развивается интернет в России и мире.
✅Утечки информации/ @dataleak
Авторские статьи про утечки данных. Информационная безопасность. Сливы, интриги, расследования.
✅Cyber Security / @singlesecurity
Кибербезопасность и тёмная стороне интернета. Как обезопасить себя и своих близких, какие существуют мошеннические схемы в сети.
✅Hacker's TOYS / @hackertoys
Игрушки, в которые играют хакеры. Канал публикует ссылки на разные сервисы и инструменты в сфере IT безопасности и приватности.
✅Большой брат / @mediainsider
Хроника мировой электронной слежки и политики в сфере IT. Грустная повесть о русском интернете.
Мировые практики электронной слежки, тренды регулирования сферы IT, интересные истории о поимке известных хакеров и о том, как общество меняется под воздействием "черных зеркал"
✅ITsec NEWS / @itsec_news
Регулярные подборки новостей и интересных публикаций в сфере ITsec. Подборки публикуются раз в несколько дней и содержат много информации касательно недавних утечек, взломов, обновлений в регуляциях и не только
✅HideMy.name: безопасный интернет / @hidemyname_ru
Канал одноимённой компании, предоставляющей разные утилиты для защиты данных в интернете, в том числе и VPN сервис. Помимо оперативной информации о сервисе, публикуются новости, обзоры и инструкции.
✅Digital Rights Center / @DigitalRightsCenter
Канал юридической компании, которая специализируется на цифровом праве. Здесь можно почитать свежие авторские материалы юристов по различным аспектам права в сети Интернет, узнать о делах в производстве и ознакомиться с наиболее интересными судебными прецедентами и законами, которые влияют на жизнь пользователей и бизнеса в цифровом пространстве
✅Режим Инкогнито / @newincognitowindow
О том, как сохранить свою приватность и безопасность своих данных в современном мире. Практические советы, инструкции, настройки, новости, истории, мысли и постоянная паранойя.
Фильм “Nothing to hide”
Нельзя было выбрать название лучше, чем это. «Мне нечего скрывать» — то, что люди произносят первым, когда им начинаешь рассказывать, как их приватность систематично нарушается каждый день.
Очень крутой контраргумент приводит в фильме один из героев. Каждый раз в ответ на эту фразу он просит в таком случае передать ему все пароли, данные кредитных карт, ключи от дома. Не соглашается никто. Как удивительно.
Документальный фильм в 2017-м начал распространяться по лицензии Creative Commons Attribution, т.е. смотреть его можно бесплатно и даже устраивать совместные показы.
Уделите вечер пятницы или время на выходных для просмотра.
https://vimeo.com/189016018/description
Нам пишут №1
> Бодрого дня! Наблюдения.
> iOS последний.
> 1. В Whatsup’е в группе обсуждали что товарища разбудил ремонт у соседей и строительные работы на улице. Через час пришло оповещение от приложения youdo с предложением прочитать статью о звукоизоляции в помещении. И да! Это первое сообщение о статьях от этого приложения.
> 2. Гуляли на Патриарших на той неделе. Обсуждали вслух стоимость квартир в этом районе. И тут через час от instagram прилетает в сторис реклама с продажей квартир в этом районе. Раньше рекламы с продажей квартир не было.
> Совпадение? Не думаю.
Спасибо за письмо, давайте разберём. Имейте в виду, что все написанное ниже — гипотезы.
1. Вацапом владеет Фейсбук. Фейсбук зарабатывает на рекламе. Чтобы лучше продавать рекламу, анализу подвергаются все действия пользователя от просмотров и реакций до сообщений. Это касается и действий в Инстаграме и переписок в Вацапе, посещений страниц, где есть кнопки лайков, виджеты логинов и рекламные пиксели. Конечно, анализ идёт ананимизировано (будем надеяться), то есть нет выделенной слежки специально за вами. Есть общая за всеми, и эта слежка очень быстро раскладывает вас по ящичкам и прикрепляет ярлычки. Рекламная платформа Фейсбука позволяет настраивать сегментацию показов рекламы достаточно гранулярно. Уверен, что YouDo их клиент и имеет техническую возможность на своей стороне в том числе связать вас в фб с профилем на их платформе (это особая магия маркетинга). Звезды сошлись, пришёл пуш. На самом Фейсбуке можно посмотреть, есть ли доступ у YouDo к вашей информации для рекламных целей https://www.facebook.com/ads/preferences/?entry_product=ad_settings_screen .
2. Посмотрите, для каких приложений у вас включён доступ к геолокации даже при неактивном приложении. Чаще всего подобная реклама связана с геолокацией и анализом пользователя в целом. Разговоры анализируются при использовании голосовых помощников, типа Сири, напрямую, в фоне — очень редко
Для обоих кейсов возможен и другой сценарий. Люди в массе своей очень предсказуемы. История, как американский сетевой супермаркет определял по покупкам и другим факторам беременность женщин ещё до того, как они рассказывали об этом окружающим, а иногда и до того, как сами узнавали, побывала во многих книгах.
Сейчас все ещё проще с точки зрения данных, и предсказывать состояния и нужды людей становится проще.
Присылайте ваши вопросы и наблюдения — обсудим, email есть в описании канала.
#нампишут
Фантастические заработки компании Google на интернет-рекламе (85% выручки гугла) и гегемония браузера Google Chrome (62% рынка) кажутся мне единой историей.
Совсем недавно гугл убрал из хрома методы (API), на которых построены лучшие свободные расширения для хрома, блокирующие рекламу. Хочется надеяться, что это — начало конца их доминирования, но речь идет о крупнейшей компании в мире и она вряд ли сдастся без боя.
Safari имеет долю в 15% (благодаря популярности iOS), Firefox — 5%.
Есть три живых и развивающихся движка отображения (рендеринга) веб-страниц: Blink (основа Chrome, контролируется Google), WebKit (основа Safari, контролируется Apple) и Quantum — свежая основа Firefox, единственный свободный движок, неуловимый Джо из анекдота. Раньше свои движки были у Microsoft (Internet Explorer) и у Opera, но они все перешли на Chromium.
Их всего три, потому что веб стал безумно сложным. Хромиум состоит из 34 миллионов строк кода, Webkit — 16 миллионов, Firefox — 20 миллионов. Для сравнения, ядро линукс — 35 миллионов, Андроид — около 34 миллионов. Говорят, что весь фейсбук в 2017 году занимал 61 миллион строк кода (Гугл заявлял о 2 миллиардах).
Я рассказываю всё это, чтобы передать контекст новости в последнем абзаце, и попытаться объяснить, почему она классная.
Короче, представьте, что коммерческие двигатели для самолетов в мире производят не только GE, Rolls-Royce и Pratt & Whitney (Google & Apple), но ещё и пацаны (и поцонессы) с района — Mozilla Firefox.
Ребята устали объяснять, почему массовая слежка в интернете и рекламная корпорация владеющая ведущим браузером — плохо (всем пофиг) и начала над этим смеяться. Новый проект от Mozilla позволяет прикинуться перед рекламными сетями кем-то другим. На выбор предлагаются: «модный парень», «богач», «преппер» (субкультура, готовящихся к скорому концу света и запасающихся консервами), и «инфлюенсер» (владелец большого ютуб канала). Работает всё гениально просто: при нажатии на кнопку ваш браузер откроет 100 вкладок с специально подобранными страницами. Рекламные сети понимают, кто мы и что нам интересно по сайтам, которые мы посещаем. 100 новых страниц сбросят ваш рекламный профиль в нужное положение. Приготовьтесь видеть рекламу только консерв и боеприпасов ближайшие пару недель. 💘
❧
Я вспоминаю AdNauseam — расширение для хрома, которое в фоне кликает на каждый рекламный баннер на посещаемых вами страницах. При достаточном распространении этот экстеншен может сломать экосистему веб-рекламы. Гугл запретил его практически мгновенно.
❧
Конечно, тут стоит поговорить про альтернативные способы заработка в интернете, историю возникновения баннерной рекламы и обязательно ли собирать о нас так много информации, но этот пост и так получился очень длинным — в следующий раз. Уверен, поводов для этих бесед будет много.
Будни. 2025
“Hide Yourself or Block People In Real Life using Apple's ARKit by Zach Lieberman”
Пароли пользователей Netflix и Minecraft утекли в сеть
В сеть выложили текстовый файл, содержащий 708 тысяч логинов и паролей пользователей Netflix, Deezer, Fortnite, Spotify, Origin, Fibit и Minecraft. Судя по логинам и адресам электронной почты, утечка коснулась в том числе и российских пользователей.
При этом интересен не столько сам факт утечки, сколько пароли, используемые пользователями. Так, число 12345 фигурирует в 10 процентах утекших паролей, а сочетание «qwerty» выбрало около одного процента пострадавших юзеров. Остальные пароли также наглядно демонстрируют, что брутфорс по словарю еще долго останется актуальным.
Ну и естественно данная утечка служит еще одним напоминанием о том, что не стоит использовать один пароль для доступа ко всем сервисам сразу, да и менять пароли время от времени – тоже неплохая идея.
@In4security
Приватность номера телефона в телеграме
С последним обновлением телеграм добавил очень полезную возможность — скрыть свой номер телефона от всех, даже своих контактов.
Settings -> Privacy and Security -> Phone number
К сожалению, если ваш номер уже был добавлен у кого-то в контакты, он у них не пропадёт. Настройка нацелена в другую сторону: гранулярное управление, кому номер показывать самому по умолчанию. Например, теперь можно показать свой номер людям в одном чате (семья, друзья) и скрыть для всех других чатов.
Привязка к номеру телефона во всех сервисах, на наш взгляд, должна в какой-то момент начать отмирать. Это было удобно на старте многих сервисов, но выглядит серьезной потенциальной уязвимостью сейчас. Самое неприятное, что синхронизация с контактами при этом совсем неуправляема: вы можете сохранить номер человека, с которым случайно встретились один раз, и не подозревать, что он теперь знает, какими мессенджерах вы пользуетесь. Даже при смене такие контакты могут получить ваш обновлённый номер автоматически.
Так что будьте внимательны и параноидальны. Хорошей недели!
https://telegram.org/blog/privacy-discussions-web-bots
⚡️Команда WhatsApp нашла критическую уязвимость в мессенджере, которая позволяла установить на телефон программу-шпион.
Как работало: на iPhone, Windows Phone или Android-смартфон поступал звонок через WhatsApp, после которого на гаджет устанавливалась зловредная программа, позволявшая отслеживать передвижение владельца с помощью камеры и микрофона. Запись о звонке могла удалиться из памяти устройства, пользователю даже не требовалось отвечать на звонок.
Шпионскую программу разработала израильская фирма NSO Group, называемая в узких кругах «торговцами кибероружием». В основном, её услугами пользуются западные и ближневосточные спецслужбы и правительства.
Уязвимые версии согласно источнику:
WhatsApp for Android prior to v2.19.134
WhatsApp Business for Android prior to v2.19.44
WhatsApp for iOS prior to v2.19.51
WhatsApp Business for iOS prior to v2.19.51
WhatsApp for Windows Phone prior to v2.18.348
WhatsApp for Tizen prior to v2.18.15.
Проблема выявлена 10 дней назад и устранена в актуальной версии для iOS, ждём Android.
🤫 Все больше разработчиков задумываются о реальной приватности своих пользователей в интернете. Скоро в Firefox появится режим Super Private Browsing, который будет использовать технологии из Tor Browser.
Как отмечается на официальном сайте Mozilla, подобная функциональность «необходима в современную эпоху массового наблюдения, отслеживания и снятия отпечатков».
https://kod.ru/firefox-get-spb-from-tor/
Прекрасное. В публичный доступ попали внутренности "умного" города, а именно — база данных пекинской системы видеонаблюдения.
Система следит за жителями нескольких микрорайонов Пекина, в том числе района, в котором расположены посольства. Камеры наблюдения автоматически распознают лица людей и могут находить их в общей базе.
Данные системы позволяют определить, куда шёл определённый человек, когда и как долго. Фактически - составить картину его ежедневной жизни.
Что умеет система:
- детектит, открыты ли глаза и рот человека;
- детектит очки либо маску (китайцы часто носят маски из-за смога);
- примерно оценивает возраст и привлекательность человека;
- определяет этническую принадлежность человека.
Система сравнивает распознанные лица с базой полиции, и сообщает, если находит на камерах людей, находящихся в базе. Помимо преступников в базе есть категории граждан "наркозависимый" и "недавно вышел из тюрьмы".
Также система может собирать данные о мобильных устройствах прохожих (IMEI, IMSI) с помощью специального оборудования.
Много читал про такие системы, но все равно, как же стремно это выглядит изнутри.
Ещё более стремно то, что база находилась на серверах Alibaba без пароля - её мог найти и скачать любой.
🤷♂
I only have one rule №7: удалите ненужные аккаунты
В прошлый раз мы советовали удалить ненужные приложения с ваших телефонов. Давайте пойдём немного дальше.
Опять обратимся к статистике: средний пользователь интернета имеет от 90 и больше аккаунтов в разного рода сервисах онлайн. ДЕВЯНОСТО! Это очень много. Оперативная память того же среднего пользователя вряд ли вспомнит хотя бы о 10. И это проблема. Ведь в каждом аккаунте есть хотя бы немного информации о вас. Сервисы склонны умирать, продаваться, терять или сливать свои данные вместе с паролями в открытом виде. За всеми данными не уследишь. Поэтому есть простое правило:
I only have one rule: удалите все ненужные аккаунты.
К сожалению, это как раз тот случай, когда сказать проще, чем сделать. Во-первых, средний сервис не очень-то заинтересован, чтобы его пользователи удаляли информацию о себе. Во-вторых, попробуйте сами вспомнить, где вы только не регистрировались за всю свою жизнь. Добавим ещё сюда, что ваши данные от регистрации в одном сервисе могли расплодиться в аккаунты других сервисов при разного рода сделках, покупках и прочем.
Но вот несколько советов.
* Многие сервисы любят присылать письма с напоминаниями о себе. Получили письмо — подумайте, а нужен ли вам аккаунт в этом сервисе. Если нет, то смело ищите, как удалить.
* Если вы используете менеджер паролей, то пройтись по списку аккаунтов будет хорошей идеей.
* Многие сервисы в прошлом году благодаря GDPR озаботились и дали пользователям кнопки delete или deactivate. Число таких сервисов растёт и это хорошо.
* Если таких кнопок нет, не стесняйтесь написать по контактным адресам сервиса с просьбой свои данные удалить. Вы имеете на это право.
* Вы точно регистрировались где-то через аккаунты в соцсетях. Посмотрите на списки этих приложений в настройках ваших твиттеров, фейсбуков и гуглоаккаунтов.
Небольшой хак на будущее: заведите себе отдельный email для регистраций онлайн и всегда используйте только его. И не используйте его для каких-либо других целей, например, общения с друзьями или по работе. По истории писем в этом ящике будет легко найти уже ненужные аккаунты. Разделяй и властвуй.
Последнее замечание: существуют сервисы, которые предложат вам найти и удалить ненужные аккаунты за вас. Кто-то из них просит для этого доступ к вашей почте и анализирует письма. Будьте очень аккуратны с ними и пользуйтесь только в случае безусловного доверия (а лучше не пользуйтесь), ведь давать доступы к своей почте не стоит никому.
#минуткапрактическойпользы для владельцев компьютеров на базе Windows. Речь пойдет про шифрование и защиту данных на жестком диске.
☝️ Напомним, что для безопасности хранимой на компьютере информации недостаточно стандартного пароля на вход в систему.
Готовя заметку, мы рассмотрели три самых популярных варианта решения задачи: Bitlocker, TrueCrypt и VeraCrypt.
Bitlocker https://docs.microsoft.com/ — самый простой и доступный. Встроен в Windows начиная с Vista, и это его единственное преимущество. Безопасность решения оставляет желать лучшего, просто вбейте в поисковик «взлом bitlocker». Если вкратце, то мы не рекомендуем его использовать. Может подойти только для компьютеров без чувствительной информации.
TrueCrypt http://truecrypt.sourceforge.net/ — когда-то очень популярная программа для шифрования. Было проведено две стадии независимого аудита, который не выявил никаких уязвимостей или серьёзных недостатков в архитектуре приложения.
По неизвестным причинам был закрыт в 2014 году на пике популярности. Ходят слухи, что не обошлось без интереса в этом спецслужб. После прекращения разработки TrueCrypt на основе его исходных кодов появилось несколько аналогов.
VeraCrypt https://www.veracrypt.fr/ — создан на основе исходного кода TrueCrypt и является усовершенствованным «форком» (ответвление — использование кодовой базы программного проекта в качестве старта для другого). Разработка началась ещё до закрытия TrueCrypt и основной целью было усиления методов защиты ключей шифрования (заменой алгоритма RIPEMD-160 на SHA-512 и SHA-256).
Впоследствии был проведен независимый аудит, выявивший несколько специфических уязвимостей. Все проблемы оперативно исправили в обновлениях. Имеет собственные контейнеры и поддерживает контейнеры TrueCrypt. Рекомендуем использовать именно этот шифровальщик и вот почему:
1. Проект имеет открытый исходный код и активно поддерживается.
2. Устойчивость к брутфорсу, т.е. попыткам подобрать ключ, благодаря более совершенному методу генерации ключей.
3. Случайная скорость монтирования контейнера. Работает так: вне зависимости от того ввели вы верный или неверный пароль, ожидание до сообщения об успешном или неуспешном открытии займет случайный период времени до 30 секунд. Это существенно замедляет возможность подбора пароля.
4. Поддерживает контейнеры TrueCrypt. Но лучше использовать стандартные усовершенствованные контейнеры VeraCrypt.
5. Кроссплатформенность. Можно использовать не только в Windows, но и в macOS, Linux, FreeBSD.
6. Скрытые разделы. Функция появилась изначально в TrueCrypt и позволяет зашифровать данные одним контейнером, встоив в него ещё скрытый контейнер. Определить наличие скрытого контейнера внутри обычного невозможно. Может пригодиться, если пароль от основного контейнера у вас могут теоретически получить через силу.
7. Позволяет шифровать целые разделы, включая системный и MBR область.
8. Может шифровать внешние накопители, включая флэшки.
🕹 Что в итоге делать с VeraCrypt:
- Зашифровать диск на котором хранится операционная система.
- Создать зашифрованные контейнеры для хранения ваших данных.
- Внутри одного из контейнеров создать скрытый контейнер для самой чувствительной информации.
- Делайте резервные копии контейнеров и храните их в облаке.
- Пароль для шифрования выбирайте надежный. Это очень важно! Длина не менее 15 символов и присутствие маленьких и заглавных букв, цифр, символ. Не ленитесь, создавайте хороший пароль, от этого зависит ваша безопасность.
Пошаговая инструкция по VeraCrypt со скриншотами есть на сайте коллег из Роскомсвободы.
I only have one rule №6: удалите ненужные приложения с ваших телефонов
Среднее число приложений, установленных на телефоне обычного человека — 80. При этом только 40 из них в среднем используется в течение месяца. Статистика такая же беспощадная сука, как и гравитация.
Эти факты подводят нас к одному важному выводу: практически половина приложений на вашем телефоне вам не нужна. При этом они вполне могут в фоне выполнять операции, о которых вы не знаете. Например, собирать информацию о ваших перемещениях, а то и ещё что-нибудь покруче. Или в случае попадания телефона в чужие руки могут рассказать о вас много лишнего. Зачем вам это?
I only have one rule: удалите все ненужные приложения с вашего телефона.
Можно дополнить: удалите и те приложения, которые думаете, что нужные, но они на самом деле не такие.
Сделать это очень просто. Пройтись по всему списку и удалить. За это вы получаете не только бонус к собственной безопасности, но больше свободного места на телефоне, улучшение способности фокусироваться, да и волосы становятся гладкими и шелковистыми.
#реклама #текстприслан
23 мая 2019 г. состоится IT конференция, посвященная вопросам информационной безопасности. Мы расскажем о передовом направлении в области шифрования информации — квантовой криптографии и реализуемых проектах в этой области нашей компанией, о способах защиты каналов в высоконагруженном комплексе обнаружения и предотвращения компьютерных атак, о современных технологиях для обеспечения безопасности.
Вход свободный.
Проходить будет в Санкт-Петербурге, Коворкинг «Ясная поляна», ул. Льва Толстого 1-3.
Более подробно: https://infotecs.ru/od/?utm_source=telegram&utm_campaign=OpendaySpb
Как Китай использует искусственный интеллект для слежки за мусульманским меньшинством
На западе Китая есть регион под названием Синьцзян, в котором проживает большая часть народа под названием Уйгуры. По вероисповеданию они мусульмане. А по внешности отличаются от большей части китайцев и более близки к жителям средней Азии.
Уйгуры в Китае живут под особым контролем, власти их преследуют, собирают их ДНК, следят за ними с помощью GPS-трекеров и иногда помещают в воспитательные лагеря. Теперь в этот список добавляется ещё и слежка с помощью технологий распознавания лиц.
Системы видеонаблюдения распространяются в Китае с огромной скоростью. Компании, занимающиеся искусственным интеллектом тоже. Одно с другим хорошо складывается. В итоге появляются технологии, которые по факту служат для притеснения по расовым признакам.
> "The practice makes China a pioneer in applying next-generation technology to watch its people, potentially ushering in a new era of automated racism."
(«Такая практика делает Китай пионером в применении технологий нового поколения для наблюдения за своими людьми, что потенциально открывает новую эру автоматизированного расизма.»)
> "If you make a technology that can classify people by an ethnicity, someone will use it to repress that ethnicity."
(«Если вы создаете технологию, которая может классифицировать людей по этнической принадлежности, кто-то будет использовать ее для подавления определённых этнических групп.»)
Почитайте, вдохновляющая статья.
https://www.nytimes.com/2019/04/14/technology/china-surveillance-artificial-intelligence-racial-profiling.html
Как удалить свои старые твиты с помощь Cardigan
Как любили говорить наши бабушки: «слово не воробей, вылетит — не поймаешь». Они явно предчувствовали появление интернета и эпохи сетевого эксгибиционизма.
В отличие от устных слов написанное в сети остаётся там дольше, чем мы хотим и подозреваем. Но частично с этим можно что-то сделать.
Твитер до сих пор достаточно популярная социальная сеть. И благодаря её формату коротких сообщений содержит много лишней информации, которую пользователи бездумно продолжают постить каждый день.
Зачем вообще удалять старые твиты:
* вы писали откровенный бред, за который уже стыдно. Просто перечитайте свои твиты за пару лет назад, а то и 5-10, мы подождём.
* вне контекста времени ваши твиты могут быть трактованы совершенно по-новому и часто в плохую сторону
* старые мысли уже неактуальны, взгляды поменялись
Твит как явление подразумевает лишь временную актуальность. День-два и она за редким исключением сходит на нет. Историческо-ностальгическую ценность он с большой вероятностью будет иметь только для вас. В этом случае просто выгружайте архив и храните его локально.
Руками удалять сотни или тысячи твитов — очень медитативно, но не слишком продуктивно. Cardigan решает эту боль. Сервис простой, угловатый, но отлично выполняет свою работу. Большинство вопросов хорошо раскрыто в FAQ сервиса (даже про название, группу The Cardigans и песню "Erase and Rewind").
https://www.gocardigan.com/
* авторизуетесь через твиттер
* сервис сканирует ваш профиль
* дальше либо удаляете выборочно, либо всё
* аналогичную процедуру можно провести и с лайками
Есть нюансы.
Надо давать доступ к своему твиттеру — плохо.
Прав на постинг нет — хорошо.
Есть функция «забыть меня» https://www.gocardigan.com/forget_me/ — хорошо.
Проверить, действительно ли после всех чисток, на сервере разработчика не осталось ваших данных не получится — плохо. Поэтому надо делать выбор, доверять или нет.
Ограничения Твитера не дают разработчикам залезть в историю твитов дальше чем на 3200 штук. В этом случае сервис использует хак через загрузку архива.
После использования не забудьте отозвать доступ у приложения в настройках самого Твитера https://twitter.com/settings/sessions