Админ Пикабу рассказывает историю про утреннее разделегирование.

• 5 июля регистратор Reg.ru просит админа Пикабу актуализировать паспортные данные. Админ по имейлу отвечает, что паспортные данные не менялись, и уезжает в отпуск.
• 8 июля Reg.ru присылает следующий имейл, что при непредоставлении паспортных данных разделегирует домен. Админ в отпуске и не видит этого имейла.
• 13 июля в два часа ночи Reg.ru разделегирует домен, админ понимает это в пять утра и с пяти до десяти утра через поддержку возвращает делегирование.

В посте голосование, кто из них достоин быть принятым в лигу тупых, админ или reg.ru. Большинство ответивших считают, что оба.

Вышла новая версия специализированного дистрибутива Tails 4.20. Tails - это известный liveusb, заточенный под использование Tor. Помимо обновлений версий пакетов, основное нововведение в новой версии - это мастер настройки Tor Connection Assistant, который на старте предлагает пользователю выбрать, соединяться с Tor "автоматически" (обычно) или через obfs4 мост. Называется эта опция "прятать от моей локальной сети, что я пользуюсь Tor (более безопасно)". Чтобы использовать мосты, пользователю нужно вводить их руками, и мастер предлагает отправить имейл на [email protected]. В будущем мастер настройки обещают допиливать, чтобы система запоминала мосты между перезагрузками, пока этого нет.

В общем, в этой версии работу с obfs4 мостами просто сделали немного удобнее. И теперь там Tor Browser 10.5.2 с поддержкой нового типа бриджей Snowflake, про который мы недавно писали. Snowflake позволяет пользователям, у которых Tor заблокирован, соединяться с сетью Tor через компьютеры волонтеров.

ЦОДД (Центр организации дорожного движения) запустил тепловую карту поездок по Москве на такси. Операторы в реальном времени передают обезличенные данные о поездках в ГИС ЕРНИС, и потом данные появляются на этой карте на следующий день, сегодня посмотреть нельзя. При выборе отдельных элементов карта показывает по ним статистику. Можно посмотреть, куда уезжали из сегмента и откуда приезжали. Очень впечатляет.

The Telegraph рассказывает, как сотрудники Facebook следили за пользователями в личных целях: читали их переписку в мессенджерах и отслеживали геолокацию. Эта публикация - отрывок из новой книги-расследования под названием "Ugly Truth: Inside Facebook’s Battle for Domination" ("Уродливая правда: внутри битвы Facebook за господство").

Всего с начала 2014 по август 2015 года Facebook уволил 52 человека за использование служебного положения для слежки за пользователями. Большинство из уволенных - мужчины-инженеры, которые шпионили за женщинами. В материале приводится несколько типичных историй: инженер читает переписку женщины, с которой он сходил на свидание, а она перестала отвечать ему в чате; другой инженер читает закрытую информацию из профиля женщины перед первым свиданием; еще один поехал с женщиной в путешествие, они поссорились и она переехала в другой отель, а он ее там нашел по геолокации. И так далее. Внутренние системы Facebook были слабо защищены от слежки за пользователями со стороны сотрудников до того, как компания наняла известного безопасника Алекса Стамоса в 2015 году на роль директора по безопасности. Стамос стал публично говорить об этой проблеме и пытаться защитить данные пользователей от сотрудников.

Вот для этого и придумали e2ee (end-to-end encryption, оконечное шифрование). Если его нет, то гораздо выше вероятность, что какие-нибудь мудаки-сотрудники будут тихо шпионить за пользователями в личных целях или продавать эту информацию какой-нибудь Саудовской Аравии (как в прошлогодней истории про Twitter).

Известный провайдер бесплатного VPN Psiphon показывает статистику использования на Кубе, где сейчас блокируют мессенджеры и соцсети, но работает VPN. Около 700 тысяч новых пользователей за несколько дней!

Psiphon - это канадская компания, которая отличается от большинства других бесплатных провайдеров VPN бизнес-моделью. Она не торгует данными пользователей (хотя может делиться статистикой со спонсорами и исследователями), а в основном собирает спонсорские деньги на то, чтобы предоставлять бесплатный VPN в ситуациях вроде кубинской. Их часто рекомендуют тем, кому нужен "какой-нибудь бесплатный VPN".

Сайт Psiphon.ca давно занесен в российский реестр запрещенных сайтов, но сам VPN в России работает. И если послать имейл с любым текстом на [email protected], то робот присылает в ответ приложения для Windows и Android аттачментами и прямые ссылки на скачивание приложений с серверов Amazon.

Вчера Whatsapp запустил бета-версию с поддержкой пяти устройств в одном аккаунте. Раньше один телефон с аккаунтом Whatsapp подключался к сети Whatsapp, а уже к телефону можно было подключить один компьютер, который фактически был просто отдельным устройством ввода-вывода для телефона.

Во вчерашней бете разработчики добавили поддержку максимум четырех "несмартфонов", и все они - независимые устройства, которые соединены с инфраструктурой Whatsapp напрямую. На всех подключенных устройствах работают голосовые и видео звонки. При этом Facebook обещает, что оконечное (e2e) шифрование сохранилось и даже объясняет, как это реализовано. В интерфейсе по прежнему видны пользователи, а не их устройства, но "под капотом" разработчики разделили сущности "аккаунт" и "устройство в аккаунте", и теперь отправитель зашифровывает каждое сообщение ключами всех устройств, привязанных к аккаунту получателя. Если вас интересуют дополнительные технические подробности - читайте анонс.

То, что делает Whatsapp, это стандартное решение проблемы "как поженить оконечное шифрование и поддержку нескольких устройств". У этого решения есть стандартное слабое место: если отправитель не знает, какими ключами шифровать и спрашивает сервер, то сервер может в ответ в своих интересах дать не только "хорошие" ключи, а еще и "плохие". Кто-то из американских спецслужб такое публично предлагал Apple по поводу iMessage: "Давайте вы оставите свое оконечное шифрование, а просто будете все (или некоторые) сообщения в сети шифровать дополнительно и нашим ключом тоже".

Но в целом поддержка нескольких устройств - хорошая новость, и теперь ее можно реально попробовать.

История про поддельные письма с требованиями от поддельных правообладателей.

На Reddit есть такой бот, SaveVideo, он сохраняет видео в файлы. На днях владелец объявил о закрытии бота и связанного с ним сайта RedditSave.com, потому что получил от администрации Reddit письмо с угрозой судебного разбирательства. Письмо длинное, убедительное (pdf в материале по ссылке), и вообще, сейчас правообладатели щемят подобные сервисы, так что владелец не удивился. Тут появляется администрация Reddit и говорит, что они никакого письма не посылали, и это подделка.

После этого журналист Torrentfreak решил дополнительно пройтись по базе Lumen, куда попадают официальные жалобы в адрес соцсетей и поисковиков. Он нашел там еще несколько требованиий выкинуть RedditSave из поисковой выдачи Googlе, отправленных от имени Reddit на этой неделе. И заодно он нашел жалобу в адрес Google с требованием выкинуть из результатов поиска еще 29 сайтов, которые умеют сохранять видео с Reddit. Reddit в ответ заявляет, что это - тоже подделка, кто-то ими притворяется. Google пока ссылки не блокирует, может разобрались, что жалобы фейковые, может статью на Torrentfreak прочитали, а может просто времени слишком мало прошло.

В общем, если бы не поднялся шум, хозяин RedditSave бы сам навсегда выключил и бот и сайт, иногда для этого достаточно просто убедительного имейла. Непубличность списков блокировки - потенциальная дыра, которую могут использовать мошенники.

Vice пишет про дата-брокеров, продающих привязку "анонимных" рекламных идентификаторов устройств к персональным данным. Журналисты переписывались с дата-брокером BIGDBM под видом потенциальных покупателей, и выяснили, что по рекламному идентификатору устройства можно получить "имя, фамилию, адрес, номер телефона, привязанные имейлы, данные о собственности" и так далее.

В общем, такой "пробив" на максималках. Вначале приложения собирают анонимные данные пользователей, а потом эти данные можно деанонимизировать в другом месте. Например, Vice писал про напоминалку о молитве для мусульман Salaat First с 10 миллионами скачиваний в Play Store, которая продавала дата-брокерам данные геолокации пользователей, но там нет персональных данных, только обезличенные идентификаторы!

Рекламные идентификаторы - это IFDA на устройствах Apple и AAID от Google, уникальные номера девайсов, которые используются для таргетированной рекламы и аналитики. Начиная с версии IOS 14.5, которая вышла в апреле, IFDA в IOS доступен приложениям только с явного разрешения пользователя и в среднем около 90% пользователей Apple отказываются.

Google собирается внедрить отдельное разрешение для передачи рекламного идентификатора приложениям только в 2022 году, но уже в конце этого года обещают, что если выключить персонализацию рекламы, ID поменяется на нули. Пока не сделали, ждем.

Крупные мировые СМИ скоординированно публикуют (1,2) результаты утечки данных израильской компании NSO Group, разработчика малвари Pegasus, которую израильтяне продают государствам. У NSO утек список 50 тысяч номеров телефонов людей, которых их "клиенты" заражали этой малварью. Исследователи Amnesty International получили доступ к 67 смартфонам из этого списка и действительно нашли на 37 из них Pegasus или его следы. В списке целей малвари - журналисты, правозащитники, бизнесмены и госслужащие, в том числе министры, дипломаты, и даже главы государств. NSO Group не продает малварь в Россию, но в списке стран-клиентов есть Казахстан и Азербайджан.

Пока что все телефоны, на которых обнаружили Pegasus - это iPhone, просто потому, что под эту платформу заточена текущая методология исследования Amnesty International. Это не значит, что Android надежнее или что его не ломают, просто iPhone удобнее анализировать. Самый свежий IOS 14.6 Pegasus ломает.

Атаки могут выглядеть как ссылки через sms, Whatsapp и iMessage, на которые жертва должна нажать, но в последнее время Pegasus также стал также использовать уязвимости zero-click, то есть не требующие от пользователя никаких действий для заражения. После заражения малварь получает доступ ко всему содержимому телефона, в том числе камере, микрофону, данным геолокации, логу звонков и мессенджерам. Исторически так уже случалось, что когда производитель закрывал уязвимость, которую использовал Pegasus, NSO тут же выкатывала обновление продукта с изменением технологии атаки. Конечный пользователь никак не может защититься от такой атаки, никакое шифрование, VPN или защищенные мессенджеры тут не помогают.

В общем, компания NSO скупает уязвимости нулевого дня (zero-day), и делает на их основе крутой продукт для удаленного взлома и слежки за пользователями через смартфоны. Потом она продает этот продукт в 40 одобренных стран, которые обещают, что будут использовать его только для борьбы с преступностью и терроризмом, а потом страны-клиенты NSO используют Pegasus и для решения других задач. Причем NSO - далеко не единственный поставщик таких решений, и в результате утечки мы скорее начинаем лучше понимать масштаб происходящего, и как устроен сам этот рынок.

Как теперь продолжать доверять своему смартфону?

В продолжение предыдущего поста: после выхода утечки NSO директор Whatsapp сразу напомнил, что два года назад его компания воевала с NSO по поводу Pegasus. Действительно, в 2019 году Whatsapp обнаружил, что NSO Group заражала смартфоны клиентов своей малварью через уязвимость в функции видеозвонков, исправил уязвимость, опубликовал информацию в крупных СМИ и даже подал на NSO Group в американский суд. Тогда NSO заявил, что никого не атакует и за атаки не отвечает, а только инструмент продает.

Это такая гонка вооружений: NSO и подобные компании скупают (или ищут сами) и используют уязвимости нулевого дня и зарабатывают на этом, производители типа Apple и Whatsapp их исправляют в новых версиях, и так до бесконечности. И продолжаться это будет тех пор, пока атаковать - выгоднее, чем защищаться, так работает экономика безопасности.

Продолжение истории про вредоносное ПО NSO Group. Большинство уже исследованных телефонов, (13 из 23 подтвержденных заражений и еще 6 из 11 гаджетов со следами атаки) взломали именно через уязвимости в iMessage. Последние заражения происходили без участия пользователя, на новых моделях iPhone c последней прошивкой IOS14.6. Журналисты приводят совсем свежую историю живущей во Франции жены марокканского диссидента, которой таким способом взломали iPhone 11, она дала об этом интервью исследователям, а потом попросила у знакомых во временное пользование другой iPhone, и ей сразу удаленно взломали и его.

Комментаторы советуют пользователям отключать iMessage (в IOS "Настройки-Сообщения-iMessage"), но это поможет только от новых заражений через этот мессенджер, а уже зараженные устройства такими и останутся. Amnesty International выпустил технический документ для компьютерных криминалистов, позволяющий найти Pegasus на устройствах с IOS, но для обычных пользователей он слишком сложный.

А кроме этого, Amazon Web Services сегодня объявил, что после выхода расследования отключил аккаунты и инфраструктуру, связанную с NSO Group. Это важно, потому что Pegasus - не коробочный продукт, который производитель отдает клиентам, и те уже отдельно разворачивают его на своих серверах. Это именно Saas, ПО как услуга: софт и инфраструктуру, которую используют клиенты Pegasus, поддерживает сама израильская компания. Исследователь, знакомый с устройством основного конкурента и аналога NSO Pegasus - продукта Hacking Team Galileo, прокомментировал, что у государственных клиентов нет технических навыков обслуживать такие сложные системы самостоятельно, это делает за них производитель. Поэтому, когда израильская компания заявляет, что она не имеет отношения к действиям клиентов с использованием Pegasus, она просто предпочитает не смотреть в ту сторону.

Продолжает развиваться скандал со шпионским ПО NSO Group Pegasus. Пока журналисты публикуют истории про новых жертв, Amnesty International опубликовала у себя на github список 1400 доменов, связанных с Pegasus. Теперь системные администраторы могут блокировать эти домены на собственном сетевом оборудовании.

А публичный DNS-сервер NextDNS уже объявил, что блокирует эти домены для всех своих пользователей. NextDNS - это публичный DNS-провайдер с дополнительными наворотами типа блокирования известных фишинговых сайтов, трекеров, рекламы и подобных вещей. Требует регистрации, 300 000 запросов в месяц бесплатно, а потом либо все навороты отключаются и он до конца месяца становится просто публичным ресолвером (как 8.8.8.8 от Google или 1.1.1.1 от Cloudflare), либо 149 рублей в месяц. В общем, постепенно появляются возможности блокировать сервера, связанные с NSO Group.

А тем временем TechCrunch публикует инструкцию, как обнаружить малварь Pegasus на самих устройствах. Нужен набор утилит Mobile Verification Toolkit, конфигурация из github Amnesty International и опытный айтишник. Обычные пользователи такое не потянут, но уже можно хотя бы попросить помощи у айтишников.

Кстати, загрузили вчера Censor Tracker на ProductHunt. Это наш плагин для браузера, который не только позволяет обходить блокировки, но и помогает выявить то, что блокируется ТСПУ по "суверенному рунету".

У кого там есть аккаунт будем рады апвоту!

Работает сейчас и для Firefox и для Chrome.
С багрепортами и тестами будем рады видеть вас в этой группе!

Поисковая система DuckDuckGo объявила о запуске тестирования функции "Защита Email". Это их сервис пересылки электронной почты с очисткой писем от трекинга, аналог Firefox Relay, Simplelogin.io и грядущей Apple-овской функции Hide My Email.

Пользователи DuckDuckGo получат бесплатный постоянный адрес для пересылки в домене @duck.com и смогут генерировать временные адреса для форвардинга подписок в мобильных приложениях и браузерных расширениях DuckDuckGo. При пересылке система будет автоматически вырезать весь трекинг из писем. В анонсе написано, что трекинговые элементы встроены примерно в 70% сообщений электронной почты.

Чтобы принять участие в тестировании, нужно встать в очередь в мобильных приложениях в разделе "Настройки-Email protection".

На Хабре - история про свежую дыру в онлайн-инфраструктуре проекта "Умное Голосование". 24 июня автор получил от проекта имейл с адреса в домене @rus.vote, удивился, полез искать этот домен поисковой системой и на второй странице выдачи нашел открытую вебпанель админки Kubernetes. А в ней - лог всех имейлов, которые проект рассылал в последние 40 дней с адресами получателей, а также "доступы до внутренних сервисов; доступы до БД; ключи от сервисов Amazon, Google, ботов Telegram; пароли от Facebook и Instagram, ключ от mailgun" (внешнего сервиса рассылки почты). И все эти секреты автор нашел просто поисковиком, это даже не взлом. На момент, когда автор нашел админку, она висела в поисковиках в открытом доступе как минимум 10 дней. Дыру автор зарепортил, проект ее закрыл и ключи поменял.

Если эта история - правда, то вот такие у "Умного голосования" админы. Нет слов.
https://habr.com/ru/post/568842/

Мессенджер Nextcloud Talk обновился до версии 12. Новая версия поддерживает голосовые сообщения, возможность делиться геолокацией и контактами из мобильных приложений и удаление сообщений из чата в первые шесть часов после отправки.

Nextcloud Talk - это децентрализованный мессенджер, использующий собственные сервера пользователей или готовые настроенные сервера у провайдеров Nextcloud. В такой системе не нужно доверять единому центральному серверу, что он будет "хорошим" и не будет собирать все метаданные, как это может делать Skype или Whatsapp. Но поскольку сервер - доверенный, сквозного (end-to-end) шифрования у Nextcloud Talk нет и не предвидится. Такая концепция.

Если вы хотите попробовать новую версию Talk, самый быстрый и дешевый способ это сделать - выбрать провайдера на https://nextcloud.com/signup/, который дает аккаунты с бесплатным пробным периодом и возможностями администрирования для добавления пользователей. Например, https://webo.cloud/nextcloud-admin/. Регистрируете аккаунт, добавляете двух пользователей в разделе Пользователи, устанавливаете на два телефона Nextcloud Talk из Play Market или App Store - и вперед, можно чатиться и звонить через собственный сервер. Если понравится - самый дешевый сервер стоит примерно от 300 рублей в месяц. Или поднимайте свой собственный.

Кстати, все же понимают, что для этих взломов госуслуг никакой rocket science не требуется.
Взяли какую-нибудь базу данных слитых паролей (Озон, например, раньше любил пароли хранить вообще в открытом виде), процентов десять пар подойдет и к госуслугам (многие же любят использовать одни и те же пароли в разных сервисах). Двухфакторки у таких людей традиционно также нет. Ну и дальше можно на праймариз Единой России пойти, можно микрозайм оформить, а можно и недвижку переписать.

Скорее всего у тех, кто читает этот канал такой проблемы и с паролем и 2fa нет, но вот у ваших родителей скорее всего есть.
Поэтому заставьте их зайти через десктоп по этой ссылке: https://lk.gosuslugi.ru/settings/login
И пусть включат Вход с подтверждением по SMS. Да, как 2fa - смс так себе решение, но тут хватит.

И еще про двухфакторную аутентификацию (2fa): у Twitter вышел свежий отчет о прозрачности, в нем написано, что 2fa на декабрь 2020 года пользовались 2.3% пользователей платформы, из них 79.6% - через смс.

Вдумайтесь, 2.3% пользователей! Есть небольшая вероятность, что эти люди просто не считают Twitter важным, а Госуслуги у них хорошо настроены. Но скорее это данные в поддержку теории, что у людей просто массово не включена двухфакторная. А потом инциденты происходят, потому что они сами вводят пароли на фишинговых страницах, либо используют одинаковый пароль в разных местах (reuse), а потом его можно найти поиском на Dehashed.com.

Если вы - такой пользователь, то включите 2fa прямо сейчас везде, где можно, - в почтах, соцсетях, мессенджерах (там второй фактор - пароль) и Госуслугах. По статистике Microsoft и Google ЛЮБАЯ включенная двухфакторная в аккаунте пользователя снижает вероятность взлома аккаунта на их платформах на 95-99%.

Да, смс это не самый идеальный способ, и есть нарушители безопасности, которые умеют его перехватывать. Да, существуют крутые "конструкторы" фишинговых сайтов, которые предлагают пользователю ввести на поддельном сайте второй фактор ToTP из приложения и в реальном времени передают код второго фактора в Googlе, чтобы установить сессию. Да, аппаратный ключ FIDO/U2F можно потерять. Но вдумайтесь, 95-99% снижения вероятности, это же очень круто.

Как включить двухфакторную в сервиcе n? Забиваете в своей любимой поисковой системе "двухфакторная "название сервиса n", идете на официальную страницу и следуете инструкциям.

Новый скандал про продажу "обезличенных" данных геолокации. Приложение знакомств для геев Grindr собирает данные пользователей, "обезличивает" их и продает дата-брокерам, в том числе геолокацию с точным временем. Редакция католического сайта Pillar покупает у дата-брокера набор данных Grindr за два года, предположительно связанный с высокопоставленным американским католическим бюрократом, Джеффри Буррелом. Редакция деанонимизирует данные геолокации по координатам его дома, работы и известных мест рабочих встреч и поездок, этого достаточно. Как только редакция убеждается, что данные действительно принадлежат Буррелу, она наносит остальные точки на карту, и видит там гей-клубы и прочие подобные места. Pillar делает об этом материал, Буррела увольняют.

Публикация этой истории вызвала очередные обсуждения про приватность геолокации, американский сенатор Вайден высказывается в ключе, "ого, а оно реально так работает, это же не анонимность, давайте как-нибудь это регулировать"!

Люди постепенно начинают понимать, что данные геолокации - это персданные, и они не должны так просто в открытую продаваться, а приложения и брокеры данных просто врут про степень анонимности - у них такой бизнес. Большинство людей спит дома и работает в одном и том же месте, то есть у нас есть уникальный деанонимизирующий "фингерпринт локаций". И редакция сайта - это никакая не спецслужба, если они смогли купить, значит, любой сможет. Ну и наконец, данные геолокации часто можно сопоставить с данными камер видеонаблюдения, которые теперь везде.

Конечно, пользователи могут следить за тем, какие приложения устанавливают, или отключать геолокацию, когда она не нужна. Но пользователи не умеют, и этих защит недостаточно - похоже, надо "гасить" саму бизнес-модель. Только как?

Команда "Умного голосования" отреагировала на историю, как их админка месяц назад торчала в открытом доступе, а логи рассылки с имейлами получателей были доступны в поисковиках. Команда подтверждает, что да, был такой косяк, ошибка в конфигурационном файле. Когда пользователь сообщил им о проблеме, админы поменяли ключи доступа и закрыли админку от посторонних.

"Мы признаем ошибку с публичной доступностью внутреннего сервиса. Мы установили ее причины и исправили ее, предприняли технические и организационные меры, чтобы устранить целые классы возможных проблем безопасности. Мы очень надеемся на вашу поддержку и постараемся заслужить ваше доверие вновь."

Заодно команда описывает, какие технологии они используют, как их инфраструктура защищена от атак и зачем им вообще Kubernetes на таком проекте. Если вы веб-разработчик или веб-админ, интересно почитать.

Сайт "Ведомостей" не открывается, издатель говорит о DDoS-атаке. "Ведомости" сегодня опубликовали колонку Ивана Сафронова о том, как следствие работает с подозреваемыми до и после ареста. Потом колонка исчезла с сайта (но осталась в кеше Google), а теперь сам сайт лежит. Интересно, что там у них происходит.

UPD: Сайт заработал, лежал больше трех часов. Пишут, что это был технический сбой.