IT и СОРМ
38.6K subscribers
323 photos
31 videos
15 files
994 links
加入频道
IT и СОРМ
Токен API для identix.one — сервиса распознавания лиц: a2879be8028a654f81c5a94b7a2472e943efb927a14ede776a5f5d039717bffdffad94e14c1e68e0248be4bda355d2b747e156e508ac5fc8dadec5b600ce7bdc Поясняю: это очень ценная служебная информация, которая должна быть обфусцирована…
Владельцы компании identix.one, услугами которой пользуется ДИТ в своём приложении для слежки — Кирилл Широков, проживающий в Таллине, Владимир Алексеев из Хельсинки и Антон Рудов из Санкт-Петербурга.

Страничка CEO Антона Рудова: https://www.linkedin.com/in/antonrudov/
IT и СОРМ
Владельцы компании identix.one, услугами которой пользуется ДИТ в своём приложении для слежки — Кирилл Широков, проживающий в Таллине, Владимир Алексеев из Хельсинки и Антон Рудов из Санкт-Петербурга. Страничка CEO Антона Рудова: https://www.linkedin.com/in/antonrudov/
Чтобы вы понимали: персональные данные россиян (фотографии!) из приложения ДИТа мэрии Москвы передаются на серверы в Эстонии (страна НАТО, на секундочку) и возвращаются обратно в виде их анализа.
Интересно, оштрафует ли мэрию Москвы Роскомнадзор?
Или возбудит уголовное дело Следственный Комитет?

То есть у условного ЦРУ есть вообще все рычаги для сбора массива данных о жителях Москвы. И все это богатство подарили западным спецслужбам ДИТ и Собянин.
Хорошие люди подсказывают, что приложения с рейтингом 1 не удаляются из Play Market.
Нужно прямо жалобы писать, что приложение не использует TLS и передаёт данные в открытом виде.
https://play.google.com/store/apps/details?id=com.askgps.personaltrackerround
Ещё раз список разрешений, которое требует приложение для слежки за жителями Москвы.
Исходники разобранного приложения: https://github.com/iTaysonLab/gorkiy
Промежуточные итоги изучения приложения для слежки за жителями Москвы:

— Приложение получает доступ ко всей информации на телефоне: GPS, камера, местоположение, возможность звонить, просмотр любых данных, доступ к любым настройкам.

— Приложение передаёт собранную информацию на серверы мэрии в открытом виде без какого-либо шифрования. Это провал.

— Для распознавания лиц, приложение использует эстонский сервис identix.one — то есть, передаёт фотографии в эстонскую юрисдикцию и на серверы, расположенные в Германии. Обе страны входят в НАТО.

— Разработкой приложения занимается компания «Гаскар», подрядчик «Инфогорода».

— В QR-кодах зашифрованы MAC и IMEI (индивидуальные идентификаторы) устройства.

— На приложение было потрачено 180 млн рублей. Судя по его качеству, украдено было 99% бюджета.

Это полнейший провал и позорище. ДИТ Москвы должен быть разогнан палками за такое.
​​Утром мэрия вытащила руководителя ДИТа Эдуарда Лысенко отдуваться в эфире Эха Москвы за этот провал.
Он сначала нёс какую-то полнейшую ахинею, что «это тестовая версия приложения» и его выложили для того, чтобы «собрать обратную связь с профессионального сообщества» (в бюджете на 180 млн рублей денег на нормальное закрытое тестирование не нашлось?), потом начал съезжать, что это приложение только для больных, которые лечатся на дому, и вообще, если человек не хочет ставить его на свой телефон, то мы дадим ему свой (что?).

Но после этой нелепой ахинеи, Лысенко начал совсем уж нагло врать:

— Зачем ваше приложение использует эстонский сервис для распознавания лиц identix.one и отправляет персональные данные на серверы в Германии?

Лысенко: Это какие-то домыслы. На самом деле, ничего никуда не передается. Во-первых, не передаются никакие фотографии в принципе. Во-вторых, тот код биометрический, который появляется, он попадает исключительно на сервера ДИТа. То есть у нас система видеоаналитики существует. Она обрабатывает все это здесь. И никаких законов мы не нарушаем.

― Подождите, но сервис эстонский identix.one вы используете?

Лысенко: Мы не используем этот сервис из-за рубежа вообще. Мы используем алгоритмы различные, для того чтобы давать биометрический код. Но туда (в Эстонию) никаких обращений и уже тем более передачи данных не осуществляется.

Да что вы говорите, Эдуард?
В скриншоте под этим постом код вашего приложения, который передаёт персональные данные на сервер api.identix.one.

Проделаем элементарные процедуры:
1. Узнаём IP-адрес домена api.identix.one: 213.239.199.3;
2. Узнаём, кому принадлежит этот IP-адрес и где он находится: немецкий хостер Hetzner, датацентр в Нюрнберге.
Ещё раз, Эдуард Анатольевич: ваше приложение передаёт фотографии жителей Москвы эстонской компании на серверы в Нюрнберге.
Это факт.
Вы не отвертитесь от этого никак.

Дальше Лысенко снова что-то невнятно мычит про то, что приложение на самом деле не запрашивает доступа к файловой системе телефона, но тут могу только привести скриншот с запросом прав со страницы приложения в Google Play.

Затем Лысенко говорит, что вот-вот доделают систему выдачи QR-кодов, которые должны будут иметь все, кто выходит из дома в Москве.

Это является тотальной слежкой. Понятно, что она будет работать примерно так же, как их приложение, но вы тоже не генерируйте и не носите никакие QR-коды.

Очень важно соблюдать карантин и сидеть дома, кроме крайних случаев, но для этого не нужна тотальная слежка — я писал об этом.
Система не будет работать, если её будет игнорировать значительное количество граждан.
Я тоже не собираюсь носить никакие QR-коды абсолютно принципиально, если мне нужно будет передвигаться по Москве.
Остатки свободы важнее любых штрафов.
Forwarded from The After Times
>"Да, мы слепили говно, НО ГОСПОДА, как быстро мы его слепили!"
Будете ли вы генерировать QR-коды перед каждым выходом из дома при очень низкой вероятности его проверки и штрафа?
Anonymous Poll
7%
Да
50%
Нет
43%
Живу не в Москве
Путин продал аппараты ИВЛ и средства защиты США.
Это какое-то невообразимое преступление против собственного народа.
В России не хватает элементарных масок даже для врачей, а уж обычным людям найти практически нереально, а он продаёт их.
Видимо, совсем скоро начнёт не хватать аппаратов ИВЛ, начнут гибнуть больше людей, которым они нужны, но Путин продал аппараты штатам.
Просто какое-то безумие.

А агент Госдепа всё равно ты.
Ростелеком опять ломает интернет.

Вчера, в 22:28 МСК Ростелеком начал анонсировать в интернет тысячи префиксов, среди которых — сети Akamai, Cloudflare, Hetzner, Digital Ocean, Amazon AWS и многих других, чем примерно на 10 минут нарушил работу сотен тысяч сервисов и сайтов во всём мире.

Это означает, что Ростелеком стал указывать, что сети этих сервисов находятся у него, тем самым заворачивая на себя трафик до них от пользователей.

Причины у этого могут быть следующие:
— Банальные кривые руки.
— Утечка из системы «радикальной» блокировки в определённый момент — например, во время протестов. Дело в том, что фейковые маршруты — это один из способов блокировки ресурсов, но в штатном режиме они не утекают за пределы сети оператора.

Я почти уверен во втором варианте, и вот почему.
Если бы это была случайность, то маршруты анонсировались бы оригинальными размерами, но они были разбиты на более мелкие подсети, чем они анонсируются оригинальными AS.

Очень похоже, что список анонсированных префиксов — результат работы скрипта, который сделал специальную таблицу маршрутизации исходя из ресурсов, которые необходимо заблокировать.
Просто этот список из-за ошибки утёк из служебной таблицы маршрутизации — другим провайдерам.
​​Альянс врачей собрал деньги на маски, купил их и повёз в больницу в Окуловке, где с их наличием плохо.
Их арестовали и везут оформлять.
Российское государство — враг всех жителей России.
Бороться с ним ежедневно — долг каждого.
Придумайте себе способ в рамках закона и боритесь каждый день.

Менты, которые их арестовывают — настоящие фашисты. Без преувеличений.
А Путин, который везёт маски не в больницу в Окуловке, а увозит в США, не арестован. Хотя именно он должен быть арестован.
Это вызывает единственные эмоции: ярость и гнев.
У любого нормального человека такая реакция.
Forwarded from Навальный
This media is not supported in your browser
VIEW IN TELEGRAM
Врач собрала денег. Купила на эти деньги средства защиты для своих коллег-врачей. Отвезла в больницу, отдала.
За что с ней так поступают эти гады. Оделись в гражданку, лица закрыли. Сволочи просто какие-то.
Распространите, пусть все видят. Задержание лидера профсоюза "Альянс Врачей".
IT и СОРМ
Врач собрала денег. Купила на эти деньги средства защиты для своих коллег-врачей. Отвезла в больницу, отдала. За что с ней так поступают эти гады. Оделись в гражданку, лица закрыли. Сволочи просто какие-то. Распространите, пусть все видят. Задержание лидера…
Пусть эти мусора потом не удивляются, если им ИВЛ будут давать в самую последнюю очередь. Если их толком лечить не будут и спасать.
Что их родителей будет некому лечить, потому что врачи все сами будут болеть.
Собянин отложил введение цифровых ошейников в Москве.
Без всяких сомнений, это — в том числе, наша с вами заслуга.
Всех тех, кто ковырялся в говнокоде собянинского приложения для слежки и кто разнёс его в пух и прах.

Конечно, они сейчас в срочном порядке дорабатывают всё: и бэкенд, и это убогое приложение, и сайт для генерации QR-кодов.
Поэтому нам нужно очень чутко мониторить все изменения и рассказывать о том, как всё позорно и непрофессионально сделано.
Только так мы можем бороться с цифровым ГУЛАГ'ом, который хотят под шумок ввести власть.
Forwarded from Marshal's channel (‎‌‎Il`ya (Marshal))
Не хотелось бы конечно сделать дикий вброс, НО, авторизации там нет! Регистрация проходит отправкой информации о вашем девайсе (телефоне). Туда входит адрес, номер телефона, ФИО и т.д.

Сразу после регистрации с вас требуют фотку и загружают уже её к “вам в профиль”. На самом деле для того, чтобы указать чья эта фотка, указывается доп параметр в запросе - IMEI. Как я понимаю, он находится в поле deviceId модели Device, которую мы отправили при первом шаге регистрации.

И знаете в чем рофл? Нуу, например, что я могу всем какашку на фотку залить, только IMEI перебрать.

Вы могли сказать что Илья, смотри, вверху есть запрос пароля! Ага, да, есть. Только вот с обработки ответа этого эндпоинта я ору в голос (скрин ниже). Он просто отнимает попытки если запрос не прошел, а если прошел - возвращает true. Опять для запроса передаются данные устройства.

И так везде! Получение информации (статуса) об акке - пожалуйста, только IMEI введи. Не важно твой это или нет.

Отправить фейковую локацию и подставить человека? Ок, только придумай на какие острова его киданем и опять же давай IMEI.

Ну и да, что уж тут говорить, что мы, имея фотку любого человека из РОССИИ, можем отправить его на распознавание И ПОЛУЧИТЬ ДАННЫЕ О ЧЕЛОВЕКЕ? ОЧЕНЬ УДОБНОЕ ПРИЛОЖЕНИЕ СО СЛИВОМ ВСЕХ ГРАЖДАН.

Многое из этого чисто факт по коду, с паролем лютый кек, возможно, тут декомпилятор орнул.

Классный метод с запросом пароля

Кста, они логируют абсолютно все. Любой пук летит в файл. Любой запрос к апи, его ответ, всё тааам.

Очень хорошо, что они оффнули сервера и убили свой токен от сервиса для распознавания, я бы не удержался покекать 🌚

Upd. Регистрация устройства возвращает какой-то код (authCode), но он не используются в других запросах (просто сохраняется)
​​АААААААААА!
Ведущий канала @Most_bank попросил пресс-службу Ростелекома прокомментировать случай, когда Ростелеком ненадолго положил половину интернета во всём мире.

Ответ ему в личку прислала вице-президент Ростелекома Кира Кирюхина.

И вот такие уроды и хамы работают в госкомпании и получают зарплату из наших денег.
С них спрашивают за крупный и важный инцидент, а они в ответ себя так по-свински ведут.
Сегодня дед поручил правительству заставить операторов давать бесплатный доступ к «российским интернет-ресурсам, в том числе для получения государственных услуг, дистанционного обучения, дистанционного заказа лекарственных препаратов».

В поручении нет ни списка «российских интернет-ресурсов», ничего больше вообще. Формулировка вполне укладывается в популярное последние несколько дней «кто вместо Путина? — Да хоть кто».

Масштабы последствий катастрофы (то есть этого поручения) зависят, во многом, от конкретного перечня интернет-ресурсов.
Непонятно, кто, как и когда его будут составлять.
Но независимо от того, какие ресурсы будут в списке «с бесплатным доступом», это повлечёт за собой очень печальные последствия.
И с технической, и с экономической сторон:

— Телекоммуникационные сети устроены так, что архитектуры многих операторов просто не позволяют вот прямо сейчас взять, и открыть доступ к списку ресурсов всем абонентам, которые не платят за интернет. И в любом случае, чем больше и неоднозначнее будет список этих ресурсов, тем сложнее будет это сделать.
Сейчас каждый оператор начнёт городить костыли для того, чтобы это работало, но в любом случае, хотя бы 70% операторов сделают это точно не раньше окончания эпидемии.

— Этот трафик стоит денег. Это особенно ощущается на бюджетах операторов сейчас — когда каналы перегружены и операторы их срочно расширяют.
Почему в поручении нет ничего о компенсации стоимости этого трафика?
Почему государство обдирает операторов, как липку — СОРМ, отчисления в УУС, блокировки сайтов, Яровая, а сейчас не поможет оплатить им хотя бы этот трафик?
А заплатят за этот «бесплатный» трафик те, кто платит за интернет. То есть, граждане России, которые сейчас массово теряют работу.