Власти решили ввести тотальную слежку за гражданами в Москве под предлогом карантина — это недопустимо и с этим нужно бороться.
По данным, которые утекли из департамента ИТ Москвы, желающий выйти на улицу обязан будет иметь QR-код, который нужно получить перед выходом на сайте mos.ru. А за соблюдением выхода на улицу по заявке будут следить с помощью патрулей, видеонаблюдения, биллингов мобильной связи и банковских транзакций, за нарушение — штраф.
Усиление слежки под предлогом благих целей — это всегда обман.
Это всегда «временная мера», которая на деле никогда не будет отменена и откручена назад, потому что это против интересов властей.
Для того, чтобы люди сидели под карантином, их не нужно обязывать получать и носить QR-коды, за ними не нужно следить через сотовых операторов и через банковские транзакции.
Вот что на самом деле должно делать государство:
— Выработать чёткие правила карантина.
— Доносить эти правила до граждан — так, чтобы это было просто, однозначно и понятно каждому.
— Спасать бизнес и людей. Вводить налоговые каникулы и буквально раздавать деньги тем, кто потерял работу.
А на деле получается настоящий failed state: Путин объявляет «нерабочую неделю» (преступные меры), Собянин объявляет какой-то странный «карантин», другие представители власти говорят, что Собянин не имеет на это право, Путин прячется под корягой, в итоге никому ничего непонятно, кроме того, что все эти люди не способны даже в такой важной ситуации, причём с кучей положительных примеров под боком, собраться и делать то, что должны — защищать интересы граждан.
Но единственное, что государство делает однозначно и слаженно — это усиливает слежку за гражданами.
В Италии, Испании, Японии, Южной Корее и других странах, где карантин прямо сейчас даёт результаты и снижение количества заболевших, не вводилась тотальная слежка.
Даже не сомневайтесь, что они найдут кучу поводов и причин не откручивать тотальную слежку обратно, когда эпидемия закончится.
Они постоянно ждут момента, чтобы усиливать её, и они дождались самого большого подарка, когда они могут сделать это под радостное улюлюканье значительного количества граждан.
Тотальная слежка — это очень страшно. Почитайте, как работает тотальная слежка в Китае.
Что с этим делать:
— Не позволяйте себя обмануть. Тотальная слежка не нужна для карантина.
— Ломайте систему невыполнением её указаний, касающихся тотальной слежки.
Безусловно, карантин очень важно соблюдать (об этом предыдущий пост в канале), но всё, что касается тотальной слежки, выполнять не нужно. Не получайте никакие QR-коды; думайте, как обмануть её (например, берите с собой отдельный телефон с левой симкой и т.д.).
Остатки свободы дороже любых штрафов, которыми они будут нас пугать.
— Рассказывайте об этом своим знакомым и объясняйте, что так быть не должно.
— Возмущайтесь в соцсетях. Пишите, что они охренели. Они анализируют уровень возмущения в соцсетях и учитывают это при принятии таких решений.
— СМИ — напишите об этом новость, возьмите комментарии у людей, которые борются со слежкой.
Уверен, что Агора (жертвуйте им, они делают важнейшее дело) и их штаб юридической помощи поможет всем, кто столкнётся со штрафами в рамках тотальной слежки — скорее всего, эти штрафы будут отменены ещё в российских судах, а если нет — в ЕСПЧ вы обязательно получите за них компенсацию.
Не ведитесь и сопротивляйтесь. И даже не сомневайтесь, что они и не подумают отменить эти меры после окончания эпидемии, поэтому с ними очень важно бороться.
По данным, которые утекли из департамента ИТ Москвы, желающий выйти на улицу обязан будет иметь QR-код, который нужно получить перед выходом на сайте mos.ru. А за соблюдением выхода на улицу по заявке будут следить с помощью патрулей, видеонаблюдения, биллингов мобильной связи и банковских транзакций, за нарушение — штраф.
Усиление слежки под предлогом благих целей — это всегда обман.
Это всегда «временная мера», которая на деле никогда не будет отменена и откручена назад, потому что это против интересов властей.
Для того, чтобы люди сидели под карантином, их не нужно обязывать получать и носить QR-коды, за ними не нужно следить через сотовых операторов и через банковские транзакции.
Вот что на самом деле должно делать государство:
— Выработать чёткие правила карантина.
— Доносить эти правила до граждан — так, чтобы это было просто, однозначно и понятно каждому.
— Спасать бизнес и людей. Вводить налоговые каникулы и буквально раздавать деньги тем, кто потерял работу.
А на деле получается настоящий failed state: Путин объявляет «нерабочую неделю» (преступные меры), Собянин объявляет какой-то странный «карантин», другие представители власти говорят, что Собянин не имеет на это право, Путин прячется под корягой, в итоге никому ничего непонятно, кроме того, что все эти люди не способны даже в такой важной ситуации, причём с кучей положительных примеров под боком, собраться и делать то, что должны — защищать интересы граждан.
Но единственное, что государство делает однозначно и слаженно — это усиливает слежку за гражданами.
В Италии, Испании, Японии, Южной Корее и других странах, где карантин прямо сейчас даёт результаты и снижение количества заболевших, не вводилась тотальная слежка.
Даже не сомневайтесь, что они найдут кучу поводов и причин не откручивать тотальную слежку обратно, когда эпидемия закончится.
Они постоянно ждут момента, чтобы усиливать её, и они дождались самого большого подарка, когда они могут сделать это под радостное улюлюканье значительного количества граждан.
Тотальная слежка — это очень страшно. Почитайте, как работает тотальная слежка в Китае.
Что с этим делать:
— Не позволяйте себя обмануть. Тотальная слежка не нужна для карантина.
— Ломайте систему невыполнением её указаний, касающихся тотальной слежки.
Безусловно, карантин очень важно соблюдать (об этом предыдущий пост в канале), но всё, что касается тотальной слежки, выполнять не нужно. Не получайте никакие QR-коды; думайте, как обмануть её (например, берите с собой отдельный телефон с левой симкой и т.д.).
Остатки свободы дороже любых штрафов, которыми они будут нас пугать.
— Рассказывайте об этом своим знакомым и объясняйте, что так быть не должно.
— Возмущайтесь в соцсетях. Пишите, что они охренели. Они анализируют уровень возмущения в соцсетях и учитывают это при принятии таких решений.
— СМИ — напишите об этом новость, возьмите комментарии у людей, которые борются со слежкой.
Уверен, что Агора (жертвуйте им, они делают важнейшее дело) и их штаб юридической помощи поможет всем, кто столкнётся со штрафами в рамках тотальной слежки — скорее всего, эти штрафы будут отменены ещё в российских судах, а если нет — в ЕСПЧ вы обязательно получите за них компенсацию.
Не ведитесь и сопротивляйтесь. И даже не сомневайтесь, что они и не подумают отменить эти меры после окончания эпидемии, поэтому с ними очень важно бороться.
Forwarded from Leonid Volkov
2020_03_28_Меры_V8.pdf
103.3 KB
То, что делает мэрия Москвы — это не карантин, это цифровой концлагерь.
Не Ухань, а Синьцзянь.
Просто посмотрите на этот документ.
Я сейчас следом еще пару скриншотов выложу.
Заявки через mos.ru на «срочный выход по базовым потребностям», сто разных способов выявления нарушителей и штрафы-штрафы-штрафы (выставляемые автоматически).
Безусловно, необходимо, чтобы граждане соблюдали карантин (который мэрия Москвы стыдливо отказывается называть карантином). Безусловно, нужны четкие регламенты и борьба с нарушениями. Но под видом этой борьбы мэрия Москвы создает беспрецедентную даже по меркам Китая, даже по меркам антиутопий систему тотальной цифровой слежки, не имеющую под собой никаких законных оснований.
И совершенно ясно одно: коронавирус когда-нибудь уйдет, а этот цифровой концлагерь, конечно, останется.
Не Ухань, а Синьцзянь.
Просто посмотрите на этот документ.
Я сейчас следом еще пару скриншотов выложу.
Заявки через mos.ru на «срочный выход по базовым потребностям», сто разных способов выявления нарушителей и штрафы-штрафы-штрафы (выставляемые автоматически).
Безусловно, необходимо, чтобы граждане соблюдали карантин (который мэрия Москвы стыдливо отказывается называть карантином). Безусловно, нужны четкие регламенты и борьба с нарушениями. Но под видом этой борьбы мэрия Москвы создает беспрецедентную даже по меркам Китая, даже по меркам антиутопий систему тотальной цифровой слежки, не имеющую под собой никаких законных оснований.
И совершенно ясно одно: коронавирус когда-нибудь уйдет, а этот цифровой концлагерь, конечно, останется.
Смотрите, мэрия выкатила приложение для отслеживания перемещения людей.
Поставьте ему единичку и его выпилят из Google Play https://play.google.com/store/apps/details?id=com.askgps.personaltrackerround
Поставьте ему единичку и его выпилят из Google Play https://play.google.com/store/apps/details?id=com.askgps.personaltrackerround
Кто умеет разбирать приложения, вот apk’шки: https://apkpure.com/ru/социальный-мониторинг/com.askgps.personaltrackerround/variant/0.0.6-XAPK
Можно расковырять.
Интересное из внутренностей присылайте мне в реплаи в твиттере: https://twitter.com/unkn0wnerror
Можно расковырять.
Интересное из внутренностей присылайте мне в реплаи в твиттере: https://twitter.com/unkn0wnerror
http://watch.telemetry.mos.ru — видимо, хост, на который отправляет данные приложение для слежки за жителями Москвы
ААААААА!
Данные отправляются по http! Без шифрования! Какой ад
ААААААА!
Данные отправляются по http! Без шифрования! Какой ад
0. Огромное количество потенциальных разрешений, среди них:
- Вся локация
- BT Admin (управление+паринг)
- Нательные сенсоры (при наличии)
- Камера
- Звонки
- Несколько неизвестных
1. MED Попытка грязным хаком всё равно без прав получить mac-адрес интерфейса
https://twitter.com/nteuxinus/status/1245069889280319488?s=21
- Вся локация
- BT Admin (управление+паринг)
- Нательные сенсоры (при наличии)
- Камера
- Звонки
- Несколько неизвестных
1. MED Попытка грязным хаком всё равно без прав получить mac-адрес интерфейса
https://twitter.com/nteuxinus/status/1245069889280319488?s=21
Identix.one — сервис для распознавания лиц, который использует приложение для слежки за жителями Москвы. Эстонская компания, между прочим: https://twitter.com/Extered/status/1245071442359746560
IT и СОРМ
Identix.one — сервис для распознавания лиц, который использует приложение для слежки за жителями Москвы. Эстонская компания, между прочим: https://twitter.com/Extered/status/1245071442359746560
Токен API для identix.one — сервиса распознавания лиц: a2879be8028a654f81c5a94b7a2472e943efb927a14ede776a5f5d039717bffdffad94e14c1e68e0248be4bda355d2b747e156e508ac5fc8dadec5b600ce7bdc
Поясняю: это очень ценная служебная информация, которая должна быть обфусцирована, но криворукие мудаки из ДИТ не удосужились этим заняться.
Потому что государство — даже тогда, когда у него есть политическая воля (то есть в вопросе тотальной слежки) — неэффективное говно.
Поясняю: это очень ценная служебная информация, которая должна быть обфусцирована, но криворукие мудаки из ДИТ не удосужились этим заняться.
Потому что государство — даже тогда, когда у него есть политическая воля (то есть в вопросе тотальной слежки) — неэффективное говно.
Разработчиком приложения указаны wokkalokka - некие ребята, которые делали приложение для детских смарт часов с трекингом.
Ссылка на них же есть в privacy policy приложения.
https://wokkalokka.com/ru/
UPD: «Это компания "Гаскар", подрядчик "Инфогорода", я до него дозвонился, он сначала отрицал все, потом в ДИТ отправил:» https://twitter.com/skazal_on/status/1245075483223621635
Ссылка на них же есть в privacy policy приложения.
https://wokkalokka.com/ru/
UPD: «Это компания "Гаскар", подрядчик "Инфогорода", я до него дозвонился, он сначала отрицал все, потом в ДИТ отправил:» https://twitter.com/skazal_on/status/1245075483223621635
Wokka Lokka
Wokka lokka. Детские смарт часы-телефон с gps трекером
Wokka lokka. Детские смарт часы-телефон с gps трекером для наблюдения за перемещением ребенка. Цены от 1490 руб. Доставка по всей россии. Гарантия- 12 мес. Наш тел.: 8(800)775-53-60
IT и СОРМ
Смотрите, мэрия выкатила приложение для отслеживания перемещения людей. Поставьте ему единичку и его выпилят из Google Play https://play.google.com/store/apps/details?id=com.askgps.personaltrackerround
Тем временем, рейтинг приложения уже 1.1. Продолжайте минусить!
IT и СОРМ
Токен API для identix.one — сервиса распознавания лиц: a2879be8028a654f81c5a94b7a2472e943efb927a14ede776a5f5d039717bffdffad94e14c1e68e0248be4bda355d2b747e156e508ac5fc8dadec5b600ce7bdc Поясняю: это очень ценная служебная информация, которая должна быть обфусцирована…
Владельцы компании identix.one, услугами которой пользуется ДИТ в своём приложении для слежки — Кирилл Широков, проживающий в Таллине, Владимир Алексеев из Хельсинки и Антон Рудов из Санкт-Петербурга.
Страничка CEO Антона Рудова: https://www.linkedin.com/in/antonrudov/
Страничка CEO Антона Рудова: https://www.linkedin.com/in/antonrudov/
IT и СОРМ
Владельцы компании identix.one, услугами которой пользуется ДИТ в своём приложении для слежки — Кирилл Широков, проживающий в Таллине, Владимир Алексеев из Хельсинки и Антон Рудов из Санкт-Петербурга. Страничка CEO Антона Рудова: https://www.linkedin.com/in/antonrudov/
Чтобы вы понимали: персональные данные россиян (фотографии!) из приложения ДИТа мэрии Москвы передаются на серверы в Эстонии (страна НАТО, на секундочку) и возвращаются обратно в виде их анализа.
Интересно, оштрафует ли мэрию Москвы Роскомнадзор?
Или возбудит уголовное дело Следственный Комитет?
То есть у условного ЦРУ есть вообще все рычаги для сбора массива данных о жителях Москвы. И все это богатство подарили западным спецслужбам ДИТ и Собянин.
Интересно, оштрафует ли мэрию Москвы Роскомнадзор?
Или возбудит уголовное дело Следственный Комитет?
То есть у условного ЦРУ есть вообще все рычаги для сбора массива данных о жителях Москвы. И все это богатство подарили западным спецслужбам ДИТ и Собянин.
Хорошие люди подсказывают, что приложения с рейтингом 1 не удаляются из Play Market.
Нужно прямо жалобы писать, что приложение не использует TLS и передаёт данные в открытом виде.
https://play.google.com/store/apps/details?id=com.askgps.personaltrackerround
Нужно прямо жалобы писать, что приложение не использует TLS и передаёт данные в открытом виде.
https://play.google.com/store/apps/details?id=com.askgps.personaltrackerround
В QR-кодах приложения для слежки за жителями Москвы зашифрованы MAC/IMEI девайса:
https://github.com/iTaysonLab/gorkiy/blob/0ed9ca5be84df0c94fb07934ac89f841032f5778/src/main/java/com/askgps/personaltrackercore/extension/ContextExtensionKt.java#L51
https://github.com/iTaysonLab/gorkiy/blob/0ed9ca5be84df0c94fb07934ac89f841032f5778/src/main/java/com/askgps/personaltrackercore/ui/QrDialog.java#L86
https://github.com/iTaysonLab/gorkiy/blob/0ed9ca5be84df0c94fb07934ac89f841032f5778/src/main/java/com/askgps/personaltrackercore/extension/ContextExtensionKt.java#L51
https://github.com/iTaysonLab/gorkiy/blob/0ed9ca5be84df0c94fb07934ac89f841032f5778/src/main/java/com/askgps/personaltrackercore/ui/QrDialog.java#L86
Промежуточные итоги изучения приложения для слежки за жителями Москвы:
— Приложение получает доступ ко всей информации на телефоне: GPS, камера, местоположение, возможность звонить, просмотр любых данных, доступ к любым настройкам.
— Приложение передаёт собранную информацию на серверы мэрии в открытом виде без какого-либо шифрования. Это провал.
— Для распознавания лиц, приложение использует эстонский сервис identix.one — то есть, передаёт фотографии в эстонскую юрисдикцию и на серверы, расположенные в Германии. Обе страны входят в НАТО.
— Разработкой приложения занимается компания «Гаскар», подрядчик «Инфогорода».
— В QR-кодах зашифрованы MAC и IMEI (индивидуальные идентификаторы) устройства.
— На приложение было потрачено 180 млн рублей. Судя по его качеству, украдено было 99% бюджета.
Это полнейший провал и позорище. ДИТ Москвы должен быть разогнан палками за такое.
— Приложение получает доступ ко всей информации на телефоне: GPS, камера, местоположение, возможность звонить, просмотр любых данных, доступ к любым настройкам.
— Приложение передаёт собранную информацию на серверы мэрии в открытом виде без какого-либо шифрования. Это провал.
— Для распознавания лиц, приложение использует эстонский сервис identix.one — то есть, передаёт фотографии в эстонскую юрисдикцию и на серверы, расположенные в Германии. Обе страны входят в НАТО.
— Разработкой приложения занимается компания «Гаскар», подрядчик «Инфогорода».
— В QR-кодах зашифрованы MAC и IMEI (индивидуальные идентификаторы) устройства.
— На приложение было потрачено 180 млн рублей. Судя по его качеству, украдено было 99% бюджета.
Это полнейший провал и позорище. ДИТ Москвы должен быть разогнан палками за такое.
Утром мэрия вытащила руководителя ДИТа Эдуарда Лысенко отдуваться в эфире Эха Москвы за этот провал.
Он сначала нёс какую-то полнейшую ахинею, что «это тестовая версия приложения» и его выложили для того, чтобы «собрать обратную связь с профессионального сообщества» (в бюджете на 180 млн рублей денег на нормальное закрытое тестирование не нашлось?), потом начал съезжать, что это приложение только для больных, которые лечатся на дому, и вообще, если человек не хочет ставить его на свой телефон, то мы дадим ему свой (что?).
Но после этой нелепой ахинеи, Лысенко начал совсем уж нагло врать:
— Зачем ваше приложение использует эстонский сервис для распознавания лиц identix.one и отправляет персональные данные на серверы в Германии?
Лысенко: Это какие-то домыслы. На самом деле, ничего никуда не передается. Во-первых, не передаются никакие фотографии в принципе. Во-вторых, тот код биометрический, который появляется, он попадает исключительно на сервера ДИТа. То есть у нас система видеоаналитики существует. Она обрабатывает все это здесь. И никаких законов мы не нарушаем.
― Подождите, но сервис эстонский identix.one вы используете?
Лысенко: Мы не используем этот сервис из-за рубежа вообще. Мы используем алгоритмы различные, для того чтобы давать биометрический код. Но туда (в Эстонию) никаких обращений и уже тем более передачи данных не осуществляется.
Да что вы говорите, Эдуард?
В скриншоте под этим постом код вашего приложения, который передаёт персональные данные на сервер api.identix.one.
Проделаем элементарные процедуры:
1. Узнаём IP-адрес домена api.identix.one: 213.239.199.3;
2. Узнаём, кому принадлежит этот IP-адрес и где он находится: немецкий хостер Hetzner, датацентр в Нюрнберге.
Ещё раз, Эдуард Анатольевич: ваше приложение передаёт фотографии жителей Москвы эстонской компании на серверы в Нюрнберге.
Это факт.
Вы не отвертитесь от этого никак.
Дальше Лысенко снова что-то невнятно мычит про то, что приложение на самом деле не запрашивает доступа к файловой системе телефона, но тут могу только привести скриншот с запросом прав со страницы приложения в Google Play.
Затем Лысенко говорит, что вот-вот доделают систему выдачи QR-кодов, которые должны будут иметь все, кто выходит из дома в Москве.
Это является тотальной слежкой. Понятно, что она будет работать примерно так же, как их приложение, но вы тоже не генерируйте и не носите никакие QR-коды.
Очень важно соблюдать карантин и сидеть дома, кроме крайних случаев, но для этого не нужна тотальная слежка — я писал об этом.
Система не будет работать, если её будет игнорировать значительное количество граждан.
Я тоже не собираюсь носить никакие QR-коды абсолютно принципиально, если мне нужно будет передвигаться по Москве.
Остатки свободы важнее любых штрафов.
Он сначала нёс какую-то полнейшую ахинею, что «это тестовая версия приложения» и его выложили для того, чтобы «собрать обратную связь с профессионального сообщества» (в бюджете на 180 млн рублей денег на нормальное закрытое тестирование не нашлось?), потом начал съезжать, что это приложение только для больных, которые лечатся на дому, и вообще, если человек не хочет ставить его на свой телефон, то мы дадим ему свой (что?).
Но после этой нелепой ахинеи, Лысенко начал совсем уж нагло врать:
— Зачем ваше приложение использует эстонский сервис для распознавания лиц identix.one и отправляет персональные данные на серверы в Германии?
Лысенко: Это какие-то домыслы. На самом деле, ничего никуда не передается. Во-первых, не передаются никакие фотографии в принципе. Во-вторых, тот код биометрический, который появляется, он попадает исключительно на сервера ДИТа. То есть у нас система видеоаналитики существует. Она обрабатывает все это здесь. И никаких законов мы не нарушаем.
― Подождите, но сервис эстонский identix.one вы используете?
Лысенко: Мы не используем этот сервис из-за рубежа вообще. Мы используем алгоритмы различные, для того чтобы давать биометрический код. Но туда (в Эстонию) никаких обращений и уже тем более передачи данных не осуществляется.
Да что вы говорите, Эдуард?
В скриншоте под этим постом код вашего приложения, который передаёт персональные данные на сервер api.identix.one.
Проделаем элементарные процедуры:
1. Узнаём IP-адрес домена api.identix.one: 213.239.199.3;
2. Узнаём, кому принадлежит этот IP-адрес и где он находится: немецкий хостер Hetzner, датацентр в Нюрнберге.
Ещё раз, Эдуард Анатольевич: ваше приложение передаёт фотографии жителей Москвы эстонской компании на серверы в Нюрнберге.
Это факт.
Вы не отвертитесь от этого никак.
Дальше Лысенко снова что-то невнятно мычит про то, что приложение на самом деле не запрашивает доступа к файловой системе телефона, но тут могу только привести скриншот с запросом прав со страницы приложения в Google Play.
Затем Лысенко говорит, что вот-вот доделают систему выдачи QR-кодов, которые должны будут иметь все, кто выходит из дома в Москве.
Это является тотальной слежкой. Понятно, что она будет работать примерно так же, как их приложение, но вы тоже не генерируйте и не носите никакие QR-коды.
Очень важно соблюдать карантин и сидеть дома, кроме крайних случаев, но для этого не нужна тотальная слежка — я писал об этом.
Система не будет работать, если её будет игнорировать значительное количество граждан.
Я тоже не собираюсь носить никакие QR-коды абсолютно принципиально, если мне нужно будет передвигаться по Москве.
Остатки свободы важнее любых штрафов.
Будете ли вы генерировать QR-коды перед каждым выходом из дома при очень низкой вероятности его проверки и штрафа?
Anonymous Poll
7%
Да
50%
Нет
43%
Живу не в Москве