IT и СОРМ
38.7K subscribers
323 photos
31 videos
15 files
994 links
加入频道
​​Власти решили ввести тотальную слежку за гражданами в Москве под предлогом карантина — это недопустимо и с этим нужно бороться.

По данным, которые утекли из департамента ИТ Москвы, желающий выйти на улицу обязан будет иметь QR-код, который нужно получить перед выходом на сайте mos.ru. А за соблюдением выхода на улицу по заявке будут следить с помощью патрулей, видеонаблюдения, биллингов мобильной связи и банковских транзакций, за нарушение — штраф.

Усиление слежки под предлогом благих целей — это всегда обман.
Это всегда «временная мера», которая на деле никогда не будет отменена и откручена назад, потому что это против интересов властей.

Для того, чтобы люди сидели под карантином, их не нужно обязывать получать и носить QR-коды, за ними не нужно следить через сотовых операторов и через банковские транзакции.

Вот что на самом деле должно делать государство:

— Выработать чёткие правила карантина.
— Доносить эти правила до граждан — так, чтобы это было просто, однозначно и понятно каждому.
— Спасать бизнес и людей. Вводить налоговые каникулы и буквально раздавать деньги тем, кто потерял работу.

А на деле получается настоящий failed state: Путин объявляет «нерабочую неделю» (преступные меры), Собянин объявляет какой-то странный «карантин», другие представители власти говорят, что Собянин не имеет на это право, Путин прячется под корягой, в итоге никому ничего непонятно, кроме того, что все эти люди не способны даже в такой важной ситуации, причём с кучей положительных примеров под боком, собраться и делать то, что должны — защищать интересы граждан.

Но единственное, что государство делает однозначно и слаженно — это усиливает слежку за гражданами.

В Италии, Испании, Японии, Южной Корее и других странах, где карантин прямо сейчас даёт результаты и снижение количества заболевших, не вводилась тотальная слежка.

Даже не сомневайтесь, что они найдут кучу поводов и причин не откручивать тотальную слежку обратно, когда эпидемия закончится.
Они постоянно ждут момента, чтобы усиливать её, и они дождались самого большого подарка, когда они могут сделать это под радостное улюлюканье значительного количества граждан.

Тотальная слежка — это очень страшно. Почитайте, как работает тотальная слежка в Китае.

Что с этим делать:
— Не позволяйте себя обмануть. Тотальная слежка не нужна для карантина.

— Ломайте систему невыполнением её указаний, касающихся тотальной слежки.
Безусловно, карантин очень важно соблюдать (об этом предыдущий пост в канале), но всё, что касается тотальной слежки, выполнять не нужно. Не получайте никакие QR-коды; думайте, как обмануть её (например, берите с собой отдельный телефон с левой симкой и т.д.).
Остатки свободы дороже любых штрафов, которыми они будут нас пугать.

— Рассказывайте об этом своим знакомым и объясняйте, что так быть не должно.

— Возмущайтесь в соцсетях. Пишите, что они охренели. Они анализируют уровень возмущения в соцсетях и учитывают это при принятии таких решений.

— СМИ — напишите об этом новость, возьмите комментарии у людей, которые борются со слежкой.

Уверен, что Агора (жертвуйте им, они делают важнейшее дело) и их штаб юридической помощи поможет всем, кто столкнётся со штрафами в рамках тотальной слежки — скорее всего, эти штрафы будут отменены ещё в российских судах, а если нет — в ЕСПЧ вы обязательно получите за них компенсацию.

Не ведитесь и сопротивляйтесь. И даже не сомневайтесь, что они и не подумают отменить эти меры после окончания эпидемии, поэтому с ними очень важно бороться.
Forwarded from Leonid Volkov
2020_03_28_Меры_V8.pdf
103.3 KB
То, что делает мэрия Москвы — это не карантин, это цифровой концлагерь.
Не Ухань, а Синьцзянь.

Просто посмотрите на этот документ.
Я сейчас следом еще пару скриншотов выложу.

Заявки через mos.ru на «срочный выход по базовым потребностям», сто разных способов выявления нарушителей и штрафы-штрафы-штрафы (выставляемые автоматически).

Безусловно, необходимо, чтобы граждане соблюдали карантин (который мэрия Москвы стыдливо отказывается называть карантином). Безусловно, нужны четкие регламенты и борьба с нарушениями. Но под видом этой борьбы мэрия Москвы создает беспрецедентную даже по меркам Китая, даже по меркам антиутопий систему тотальной цифровой слежки, не имеющую под собой никаких законных оснований.

И совершенно ясно одно: коронавирус когда-нибудь уйдет, а этот цифровой концлагерь, конечно, останется.
Смотрите, мэрия выкатила приложение для отслеживания перемещения людей.
Поставьте ему единичку и его выпилят из Google Play https://play.google.com/store/apps/details?id=com.askgps.personaltrackerround
Кто умеет разбирать приложения, вот apk’шки: https://apkpure.com/ru/социальный-мониторинг/com.askgps.personaltrackerround/variant/0.0.6-XAPK
Можно расковырять.

Интересное из внутренностей присылайте мне в реплаи в твиттере: https://twitter.com/unkn0wnerror
http://watch.telemetry.mos.ru — видимо, хост, на который отправляет данные приложение для слежки за жителями Москвы

ААААААА!
Данные отправляются по http! Без шифрования! Какой ад
Другие хосты, к которым обращается приложение для слежки. И снова http — никакого шифрования. Государство способно выпускать только дырявое говно
​​0. Огромное количество потенциальных разрешений, среди них:
- Вся локация
- BT Admin (управление+паринг)
- Нательные сенсоры (при наличии)
- Камера
- Звонки
- Несколько неизвестных

1. MED Попытка грязным хаком всё равно без прав получить mac-адрес интерфейса


https://twitter.com/nteuxinus/status/1245069889280319488?s=21
Identix.one — сервис для распознавания лиц, который использует приложение для слежки за жителями Москвы. Эстонская компания, между прочим: https://twitter.com/Extered/status/1245071442359746560
IT и СОРМ
Identix.one — сервис для распознавания лиц, который использует приложение для слежки за жителями Москвы. Эстонская компания, между прочим: https://twitter.com/Extered/status/1245071442359746560
Токен API для identix.one — сервиса распознавания лиц: a2879be8028a654f81c5a94b7a2472e943efb927a14ede776a5f5d039717bffdffad94e14c1e68e0248be4bda355d2b747e156e508ac5fc8dadec5b600ce7bdc

Поясняю: это очень ценная служебная информация, которая должна быть обфусцирована, но криворукие мудаки из ДИТ не удосужились этим заняться.
Потому что государство — даже тогда, когда у него есть политическая воля (то есть в вопросе тотальной слежки) — неэффективное говно.
Разработчиком приложения указаны wokkalokka - некие ребята, которые делали приложение для детских смарт часов с трекингом.
Ссылка на них же есть в privacy policy приложения.

https://wokkalokka.com/ru/

UPD: «Это компания "Гаскар", подрядчик "Инфогорода", я до него дозвонился, он сначала отрицал все, потом в ДИТ отправил:» https://twitter.com/skazal_on/status/1245075483223621635
IT и СОРМ
Токен API для identix.one — сервиса распознавания лиц: a2879be8028a654f81c5a94b7a2472e943efb927a14ede776a5f5d039717bffdffad94e14c1e68e0248be4bda355d2b747e156e508ac5fc8dadec5b600ce7bdc Поясняю: это очень ценная служебная информация, которая должна быть обфусцирована…
Владельцы компании identix.one, услугами которой пользуется ДИТ в своём приложении для слежки — Кирилл Широков, проживающий в Таллине, Владимир Алексеев из Хельсинки и Антон Рудов из Санкт-Петербурга.

Страничка CEO Антона Рудова: https://www.linkedin.com/in/antonrudov/
IT и СОРМ
Владельцы компании identix.one, услугами которой пользуется ДИТ в своём приложении для слежки — Кирилл Широков, проживающий в Таллине, Владимир Алексеев из Хельсинки и Антон Рудов из Санкт-Петербурга. Страничка CEO Антона Рудова: https://www.linkedin.com/in/antonrudov/
Чтобы вы понимали: персональные данные россиян (фотографии!) из приложения ДИТа мэрии Москвы передаются на серверы в Эстонии (страна НАТО, на секундочку) и возвращаются обратно в виде их анализа.
Интересно, оштрафует ли мэрию Москвы Роскомнадзор?
Или возбудит уголовное дело Следственный Комитет?

То есть у условного ЦРУ есть вообще все рычаги для сбора массива данных о жителях Москвы. И все это богатство подарили западным спецслужбам ДИТ и Собянин.
Хорошие люди подсказывают, что приложения с рейтингом 1 не удаляются из Play Market.
Нужно прямо жалобы писать, что приложение не использует TLS и передаёт данные в открытом виде.
https://play.google.com/store/apps/details?id=com.askgps.personaltrackerround
Ещё раз список разрешений, которое требует приложение для слежки за жителями Москвы.
Исходники разобранного приложения: https://github.com/iTaysonLab/gorkiy
Промежуточные итоги изучения приложения для слежки за жителями Москвы:

— Приложение получает доступ ко всей информации на телефоне: GPS, камера, местоположение, возможность звонить, просмотр любых данных, доступ к любым настройкам.

— Приложение передаёт собранную информацию на серверы мэрии в открытом виде без какого-либо шифрования. Это провал.

— Для распознавания лиц, приложение использует эстонский сервис identix.one — то есть, передаёт фотографии в эстонскую юрисдикцию и на серверы, расположенные в Германии. Обе страны входят в НАТО.

— Разработкой приложения занимается компания «Гаскар», подрядчик «Инфогорода».

— В QR-кодах зашифрованы MAC и IMEI (индивидуальные идентификаторы) устройства.

— На приложение было потрачено 180 млн рублей. Судя по его качеству, украдено было 99% бюджета.

Это полнейший провал и позорище. ДИТ Москвы должен быть разогнан палками за такое.
​​Утром мэрия вытащила руководителя ДИТа Эдуарда Лысенко отдуваться в эфире Эха Москвы за этот провал.
Он сначала нёс какую-то полнейшую ахинею, что «это тестовая версия приложения» и его выложили для того, чтобы «собрать обратную связь с профессионального сообщества» (в бюджете на 180 млн рублей денег на нормальное закрытое тестирование не нашлось?), потом начал съезжать, что это приложение только для больных, которые лечатся на дому, и вообще, если человек не хочет ставить его на свой телефон, то мы дадим ему свой (что?).

Но после этой нелепой ахинеи, Лысенко начал совсем уж нагло врать:

— Зачем ваше приложение использует эстонский сервис для распознавания лиц identix.one и отправляет персональные данные на серверы в Германии?

Лысенко: Это какие-то домыслы. На самом деле, ничего никуда не передается. Во-первых, не передаются никакие фотографии в принципе. Во-вторых, тот код биометрический, который появляется, он попадает исключительно на сервера ДИТа. То есть у нас система видеоаналитики существует. Она обрабатывает все это здесь. И никаких законов мы не нарушаем.

― Подождите, но сервис эстонский identix.one вы используете?

Лысенко: Мы не используем этот сервис из-за рубежа вообще. Мы используем алгоритмы различные, для того чтобы давать биометрический код. Но туда (в Эстонию) никаких обращений и уже тем более передачи данных не осуществляется.

Да что вы говорите, Эдуард?
В скриншоте под этим постом код вашего приложения, который передаёт персональные данные на сервер api.identix.one.

Проделаем элементарные процедуры:
1. Узнаём IP-адрес домена api.identix.one: 213.239.199.3;
2. Узнаём, кому принадлежит этот IP-адрес и где он находится: немецкий хостер Hetzner, датацентр в Нюрнберге.
Ещё раз, Эдуард Анатольевич: ваше приложение передаёт фотографии жителей Москвы эстонской компании на серверы в Нюрнберге.
Это факт.
Вы не отвертитесь от этого никак.

Дальше Лысенко снова что-то невнятно мычит про то, что приложение на самом деле не запрашивает доступа к файловой системе телефона, но тут могу только привести скриншот с запросом прав со страницы приложения в Google Play.

Затем Лысенко говорит, что вот-вот доделают систему выдачи QR-кодов, которые должны будут иметь все, кто выходит из дома в Москве.

Это является тотальной слежкой. Понятно, что она будет работать примерно так же, как их приложение, но вы тоже не генерируйте и не носите никакие QR-коды.

Очень важно соблюдать карантин и сидеть дома, кроме крайних случаев, но для этого не нужна тотальная слежка — я писал об этом.
Система не будет работать, если её будет игнорировать значительное количество граждан.
Я тоже не собираюсь носить никакие QR-коды абсолютно принципиально, если мне нужно будет передвигаться по Москве.
Остатки свободы важнее любых штрафов.
Forwarded from The After Times
>"Да, мы слепили говно, НО ГОСПОДА, как быстро мы его слепили!"
Будете ли вы генерировать QR-коды перед каждым выходом из дома при очень низкой вероятности его проверки и штрафа?
Anonymous Poll
7%
Да
50%
Нет
43%
Живу не в Москве