Русский
Русский
English
Статистика
Реклама

Приватность

Из песочницы Значение VPN для анонимности в эпоху тотальной слежки

02.10.2020 18:16:15 | Автор: admin

Существует ли всё ещё такая вещь, как настоящая анонимность?


В истории наступило подходящее время для того, чтобы выяснить цену анонимности (и конфиденциальности). Помимо пандемии, которая безудержно распространяется по миру, мы наблюдаем также и легкомысленный отказ от наших физических и цифровых свобод. Появляется всё больше предостережений о том, что усиление контроля, связанного со вспышкой коронавируса, может привести к долгосрочному разрушению гражданских свобод.

image

Но как именно мы можем оградиться от архитектуры угнетения, если она насаждается вокруг нас, нами и для нас же самих?


В оригинальном Манифесте Шифропанка от 1993 года Эрик Хьюз писал, что Открытому обществу в электронном веке необходима конфиденциальность. здесь он затрагивает концепции, которые помогут нам сформулировать ответ на вопрос Что делает VPN?, или, скорее, Что должен делать VPN?.
Эрик Хьюз Люди веками защищали частную жизнь при помощи шёпота, темноты, конвертов, закрытых дверей, тайных рукопожатий и курьеров. Технологии прошлого не позволяли обеспечить строгую конфиденциальность, но теперь это позволяют электронные технологии. Эрик Хьюз.
Прошли десятилетия, но эти электронные технологии не принесли спасение, на которое надеялся Хьюз. Технологии будущего, похоже, забрали большую часть нашей конфиденциальности, вместо того чтобы укрепить её. Интернет становится всё менее свободным, с увеличением вмешательства в онлайн-выборы и усилением государственного надзора, который распространяется на социальные сети.

Чем больше мы перемещаем нашу жизнь в цифровую среду, тем труднее обеспечить нашу конфиденциальность. Технологии настолько размыли грань между нашей частной и общественной жизнью, что наши онлайн-образы часто даже более откровенны и выставлены напоказ, чем наши личности в реальности.

Непрерывная и постоянная лента нашей жизни навсегда вписана в историю Интернета. Ваша жизнь теперь в буквальном смысле открытая книга.

На каждом ресурсе или сервисе, на котором мы регистрируемся, нас обязывают оставить личную информацию, либо просто отгораживают нас от системы. Без особой на то необходимости мы жертвуем всё большим количеством деталей о себе, чтобы в итоге компании могли манипулировать нами, заставляя покупать больше вещей.

Подпольная торговля нашими личными данными превратилась в коммерцию и, как и все ценные товары, теперь превращено в оружие. В докладе Свобода сети за 2019 год отмечается, что 89% интернет-пользователей (почти 3 млрд чел.) из 40 исследованных стран подвергаются действию программ мониторинга социальных сетей.

Это и Facebook, установивший рекламные правила, которые позволяют политикам распространять ложь, и Amazon, укрепляющий связи с полицейскими участками и использующий свои умные дверные звонки Ring, а также связанные с ними продукты социальных сетей, для наблюдения за населёнными пунктами.

Восток встречается с Западом


Система социального кредита" в Китае это реально существующий эксперимент, показывающий, как наши персональные данные могут быть обращены против нас. Каждому гражданину присваивается индивидуальный номер, события непрерывно записываются в базу, которая далее влияет на все аспекты жизни, давая оценку поведению гражданина и его благонадёжности. Будучи пойманным на переходе в неположенном месте, не оплатив госпошлину, включив слишком громко музыку в поезде вы можете лишиться определённых прав, например, бронирования авиабилета или билета на поезд.

В сегодняшнее коронавирусное время этот въедливый социальный контроль теперь включает в себя запрет на распространение слухов, подрывающих усилия по борьбе с эпидемией, накопление запасов, нарушение правил торговли, изготовление поддельных или некачественных масок и других предметов медицинского снабжения.

Однако на Западе повсеместный мониторинг онлайн-поведения (во имя национальной безопасности) означает, что государственные органы и интернет-провайдеры могут легально отслеживать деятельность пользователей в интернете. Пока эволюционируют технологии, всё ещё не существует никаких правил, в которых речь заходит о распознавании лиц, а полиция уже запускает экспериментальные программы для слежки в режиме реального времени, прежде чем закон успеет догнать этику всего этого.

По мере того как мир становится цифровым, оказывается всё важнее, чтобы наши данные, конфиденциальность и свободы оставались под нашим контролем.

Конфиденциальность это элементарное человеческое право, а наша цифровая конфиденциальность является его продолжением. Мы неразрывно связаны с нашей сетевой идентичностью просто спросите кого-нибудь, чья жизнь была разрушена кражей личных данных.

Независимо от того, сколько информации мы оставляем в интернете добровольно, конфиденциальность должна быть стержнем и фундаментом сильной и открытой интернет-среды.



Анонимность


image
Я не знаю, почему люди так стремятся публично раскрывать подробности своей частной жизни; они забывают, что таинственность это сверхсила.
Бэнкси.

Текст на стене: Если повторять ложь достаточно часто, она станет правдой политикой

Принципиальная разница между конфиденциальностью и анонимностью


Между конфиденциальностью и анонимностью следует проводить важное различие.

Конфиденциальность скрывает ваше поведение и действия, но при этом вас всё ещё можно идентифицировать. Примером могут служить ваши приватные банковские операции, где вы отправляете и получаете деньги, тем не менее ваши финансовые транзакции видны только вам. То же самое относится к вашей электронной почте, вашим аккаунтам в социальных сетях, вашим текстовым сообщениям вы остаётесь идентифицируемыми, но можете выбирать, какие данные оставлять, а какие нет.

image

Анонимность это почти такая же концепция, только наоборот. Быть анонимным это значит, что ваша личность скрыта, но можно увидеть ваши действия. Кто-то может понять, что вы делаете, но не зная, кто это делает. Блокчейны зачастую являются псевдоанонимными, то есть вы можете просматривать каждую транзакцию, которая производится, но не должны иметь возможность идентифицировать личность отправителя или получателя.

Анонимность, как правило, очерняется, поскольку анонимное поведение часто ассоциируется с нелегальной деятельностью. В какой-то момент сформировался даркнет онлайн-обитель чёрных рынков, таких как Silk Road (Шёлковый Путь), создатель которой отбывает пожизненное заключение.



imageSilk Road должен был дать людям свободу делать собственный выбор, гнаться за собственным счастьем, каким бы они его себе лично ни представляли. Это оказалось наивной и дорогостоящей идеей, о которой я глубоко сожалею. Росс Ульбрихт в письме к своему судье.



Но так исторически сложилось, что анонимные деятели внесли большой вклад в жизнь общества художники, писатели, журналисты, политические и правозащитные активисты. Даже супергерои анонимны, чтобы защитить себя от негодяев и назойливых бывших подруг. Визуальные послания Бэнкси громче и проникновеннее, так как он не позволяет своей личности повлиять на повествование.

image


imageЧеловек меньше всего является собой,
когда говорит от своего лица.
Дайте ему маску, и он скажет вам правду.
Оскар Уайльд.
Анонимность и обеспечивает ту самую свободу слова и самовыражения. Это значит, что вы можете высказывать своё мнение, не опасаясь возмездия. Это значит, что вы можете разоблачать коррупцию, раскрывать её в самых тайных уголках. Это означает наличие свободы прессы, при которой газеты могут проводить свои расследования и публиковать статьи, не опасаясь преследований.

С другой стороны, это значит, что разжигание ненависти и кибербуллинг будет сложнее контролировать, но это обоюдоострый меч, который мы должны принять в продолжающейся битве за свободную и открытую дискуссию в обществе.



Идея может стать самой влиятельной вещью в мире


Для многих людей из регионов, наиболее подверженных цензуре, быть анонимным значит быть свободным. Cтатья 19 Всеобщей декларации прав человека гласит о праве на свободу выражения убеждений, а также свободу искать, получать и распространять информацию и идеи любыми средствами и независимо от государственных границ.

ООН призывает к защите анонимного выражения мнения в интернете. Чтобы избежать масштабной и навязчивой государственной слежки, мы должны защищать онлайн-конфиденциальность и цифровую автономию правозащитников, журналистов и просто граждан, которых заставляют молчать. А это включает в себя свободу от слежки, право использовать шифрование, право на сетевую анонимность, право на сетевой протест.



Несмотря на всеобщую поддержку прав человека в онлайн-среде, по всей видимости, принципы это не панацея. Во всём мире более четверти (27%) интернет-пользователей живут в таких местах, где их могут арестовать за публикации, репосты или даже лайки, оставленные в соцсетях. Аресты, связанные с политическими, социальными или религиозными высказываниями в соцсетях, были произведены в 47 странах. При настоящей анонимности слова могут использоваться для освобождения людей, а не против них. Вы не можете посадить идею в тюрьму.

Исследование, проведённое объединением Article-19, показывает, что анонимность является жизненно важным компонентом защиты свободы слова, а также права на конфиденциальность. Она позволяет людям выражать своё мнение, не опасаясь репрессий, и особенно важна в тех странах, где свобода выражения мнений подвергается жёсткой цензуре.

В настоящее время граждане Гонконга всё больше отдаляются от права на неприкосновенность частной жизни, и это выражается в уникальной, почти научно-фантастической форме. Когда-то Гонконг был тем местом, где наслаждались политически либеральной концепцией конфиденциальности, но поскольку геополитически он передан Китаю, ему пришлось столкнуться с жёсткой политикой слежения и цензуры. Продолжающиеся там протесты это попытка выскользнуть из сжимающихся тисков Пекинского контроля, который включает в себя такие агрессивные меры, как высылка иностранных журналистов, тюремные заключения молодых активистов и ограничение свободы выборов.

В этой продолжительной борьбе между политическими активистами и полицией идентификация уже превращена в оружие. В ходе протестов полиция выслеживала протестных лидеров в интернете, искала их телефонные номера и использовала биометрические данные для того, чтобы выйти на жертву для осуществления ареста.

Закрашивание камеры краской из баллончика



Эпоха слежки


Но цензура и слежка это не просто реалии диктатуры. Правительства повсюду регулярно пытаются предотвратить использование инструментов шифрования и анонимности в любой форме. Это нацелено якобы на то, чтобы препятствовать незаконной деятельности, такой как терроризм и незаконный оборот наркотиков. За последнее десятилетие Управлением по борьбе с наркотиками США конфисковано более 4 миллиардов долларов у граждан на основании одного только подозрения в преступной деятельности. Тем не менее, более 81% этих арестов никогда не приводили к предъявлению официальных обвинений.

Во многих случаях правительство США может законно запрашивать без ордера цифровые данные, которыми владеют компании. Законопроект EARN IT в настоящее время обсуждается на конгрессе, и если он будет принят, он может приковать компании наручниками к сложному для изменения набору процедур. Одним из пунктов в том чек-листе может оказаться устранение сквозного шифрования в мессенджерах, лишающее мир безопасного средства связи.

Несколько лет назад президент Дональд Трамп принял закон, позволяющий интернет-провайдерам собирать и делиться личными данными своих клиентов без их согласия, например, вашей веб-историей и тем, какие приложения вы используете. hightech.fm/2018/01/31/mass-digital-surveillance
Британский Разведывательный Устав предоставляет правительству право легально контролировать использование интернета своими гражданами. Общий посыл заключается в том, что если вы законопослушный гражданин, то вам не о чем беспокоиться.
image
Утверждать, что вам наплевать на право конфиденциальности, потому что вам нечего скрывать это всё равно что утверждать, что вам наплевать на свободу слова, потому что вам нечего сказать. Эдвард Сноуден.



image
Вопрос только в том, почему правительство хочет заполучить ваши персональные данные, когда у вас есть право на конфиденциальность?

Используйте свою цифровую свободу, чтобы дать отпор


В утопическом цифровом мире анонимность, конфиденциальность, безопасность и антицензура слились бы в одно целое для формирования идеального интернета.

Но как нам сделать интернет безопасным, а конфиденциальность настройкой по умолчанию? Законы, которые регулируют нашу частную жизнь и помогают нам свободно высказывать своё мнение, приносят пользу в основном корпорациям, государствам и их органам. Мы не можем полагаться на изменение законов или ждать, когда интернет-провайдеры начнут служить нашим интересам. Децентрализованная VPN (dVPN) это один из способов вернуть себе контроль.

Более четверти пользователей интернета в мире уже используют VPN. Основные мотивы для его использования: получить доступ к соцсетям и новостным службам (34%), сохранить анонимность при выходе в интернет (31%), скрыть от властей информацию о посещении сайтов (18%) и получить доступ к сети Tor (17%). Однако в странах, где граждане больше всего нуждаются в VPN Венесуэле, Китае, России, Турции, Иране, ОАЭ его, разумеется, стремятся запретить и заблокировать.

Для спасения жертв от цензуры и слежки был разработан dVPN. Обычный VPN соединяет вас с дата-центрами, которые управляемы компаниями, что делает их уязвимыми к обнаружению правительствами и интернет-провайдерами. Эти сервисы также часто медлительны, имеют различные ограничения, и что самое неприятное, могут централизованно хранить журналы онлайн-активности всех своих пользователей. Исследование 62 коммерческих провайдеров показало, что у многих из них (возможно, и не преднамеренно) происходит утечка пользовательского трафика различными путями.

В случае с dVPN сервис обслуживается такими же, как вы, интернет-пользователями. Вы выбираете из глобального меню домашних IP-адресов, поэтому этот сервис практически не подвержен отслеживанию и блокировке властями. dVPN это технологическое лекарство против антиконфиденциальности и антианонимности. Если вы живёте в стране, которая пользуется свободой интернета, в данной P2P-сети вы можете сдавать в аренду свой IP-адрес другим пользователям, а взамен зарабатывать криптовалюту. Благодаря распределённой инфраструктуре ваши данные нигде централизованно не сохраняются, а весь трафик, проходящий через эти персональные узлы, усиленно шифруется.

Однако dVPN это больше, чем просто сервис. Это глобальная сеть, второй уровень Интернета, гарантирующий, что он остаётся общественным достоянием пространством для новых идей, сотрудничества и связи. Такое всеобщее движение за децентрализацию наделяет людей возможностью взять под контроль свою цифровую жизнь.

Собственная сеть Mysterium первая в мире dVPN. В ней используются многоуровневые протоколы защиты, чтобы любой желающий мог анонимно выходить в интернет. При установленном подключении реальный IP-адрес и идентификационные данные скрываются от владельцев веб-сайтов, а ваш провайдер не может узнать, какие сайты вы посещаете, таким образом любой пользователь может избежать бесцеремонной слежки за ним. Здесь можно попробовать dVPN для Android.

Также можно присоединиться к сети узлов, чтобы помочь сохранить анонимность самовыражения в интернете, защитив личные данные журналистов, активистов, жертв цензуры и слежки по всему миру.

Пришло время встать на сторону шифропанков наконец появилась технология, которая позволяет создавать анонимные системы по их концепции. В конце концов мы не можем ожидать от правительств, корпораций или других больших безликих организаций предоставления нам конфиденциальности мы должны защищать свою частную жизнь, если мы рассчитываем на её сохранение.

Вперёд.
Подробнее..

Перевод Ваш компьютер больше не принадлежит вам

15.11.2020 14:11:45 | Автор: admin

Все, приплыли, вы заметили?

Заголовок делает отсылку к предсказаниям Ричарда Столлмана 1997 года.

И Кори Докторов также предупреждал нас.

На новых версиях macOS, вы просто не можете запустить ваш компьютер, открыть текстовый редактор, книгу, писать или читать без логирования вашей активности, которая с легкостью отправляется на сторонние сервера и хранится там во веки веков.

Оказывается, что последняя версия macOS отправляетхэшкаждой запущенной вами программы.Большинстволюдей этого не замечают, все делаетсянезаметнои скрытно. А когда выотключеныот интернета, компьютер накапливает данные локально, что бы отправить их при подключении. Но сегодня, сервера началилагать, а владыки похоже не предусмотрели такой вариант. Все кто был подключен к интернету не смогли открыть свои приложения.

Поскольку в этих отношениях замешан интернет, им известен ваш IP адрес, с его помощью хоть не точно, но можно узнать ваш город, ISP (провайдер) геолокацию. В общем мы получаем примерно такую запись на каждый запуск программы:

Date, Time, Computer, ISP, City, State, Application Hash

Apple или любой другой, может вычислять эти хэши для общих программ: все, что в App Store, Creative Cloud, Tor браузер, всевозможные инструменты.

Это означает, что Apple знает когда вы дома. Знает когда вы на работе. Как часто вы открываете ту или иную программу. Или, что вы сейчас наверняка у друга, раз открыли программу для просмотра фильмов и подключились к другому Wi-Fi. А Tor браузер, вы скорей всего используете только в путешествиях.

Кому какое дело? Спросите вы.

Ну, эти данные получает не только Apple:

  • Эти OCSP запросы шагают по просторам интернета в не зашифрованном виде. Любой кто управляет сетью может их видеть, включая ваш ISP и любого кто сидит в комнате 641A.

  • Эти запросы идут через CDN сервера принадлежащие сторонней компании Akamai.

  • С октября 2012 года, Apple является партнером американской военной "фирмы" PRISM, которая занимается слежкой. Это дает возможность федералам, военным получать доступ к данным без какого либо ордера. Только в начале года они сделали это 18 тысяч раз. И еще столько же до конца года.

Все эти данныекасаютсявашей личной жизни, привычек и позволяют кому-то идентифицировать вас, ваши действия и паттерны активности. Для кого-то это может представлять физическую опасность.

До сегодняшнего дня, у нас была возможность решить эту проблему используя программу Little Snitch (только благодаря этой программе я продолжал пользоваться macOS). По умолчанию, эта программа позволяла Apple делать подобные запросы, но вы могли добавить их в черный список. Попросту запретить такие запросы и ваш компьютер спокойно продолжал работать.

С выходом новой версии macOS под названием Big Sur, появилось новое API обеспечивающие работу описанных выше механизмов логирования. Apple попросту не позволяет таким программа как Little Snitch ковыряться в запросах уровня операционной системы. Дополнительно к этому, программы от Apple обходят VPN и firewall.

Новые макбуки не позволяют запускать старые версии macOS, только Big Sur и новей.

Мы узнали, чтоtrustd является процессом отвечающий за все это. Также, он находится в ContentFilterExclusionList, что означается он не может быть заблокирован с помощью firewall или VPN. Также CommCenter который отвечает за звонки с вашего компьютера также обходит VPN и firewall. Приложение карт, которое знает все ваши маршруты и локации - тоже.

Это простые компьютеры общего назначения. Но вы должны делать выбор, вы хотите мощный и эффективный компьютер или же приватный компьютер?. (Мобильные телефоны Apple, уже давно так работают). Если раньше мы могли предотвратить все это используя VPN, firewall, то сейчас на новых устройствах вы попросту не сможете запустить операционную систему, которая не следит за всеми вашими действиями. И этого не изменить, ведь железо проприетарное.

п.c. В постере отсылка к фильму Кингсман. Правда, там злодей раздавал телефоны бесплатно.

п.c. Обходить Firewall теперь может не только "хороший" софт - https://twitter.com/patrickwardle/status/1327726496203476992

Подробнее..

Ваши устройства принадлежат вам. Нужно только

16.11.2020 18:23:29 | Автор: admin

Подходить с умом к выбору устройств и программному обеспечению на них

Варнинг: заметка пишется больше для технически не особо подкованных людей, хабр читают и они. Специалисты и так всё знают. Не у технарей другие профессии и увлечения, для них самый ценный ресурс (время) лучше потратить на интересные вещи, чем разбираться в тонкостях сборки ПО из исходников. У многих моих друзей и знакомых яблоки не потому что они имеют пониженный IQ, как это часто представляют себе IT-вундеркинды, а потому что они хорошо выполняют нужные им задачи и освобождают больше времени для личной жизни. Однако по моему мнению они недостаточно задумываются над тем, что их личные данные и эту самую личную жизнь мониторят корпорации и знают каждый их шаг, отговорки "да кому я нужен" и непонимание проблемы отсутствия приватности - обычное дело. Для корпораций люди чаще всего являются ресурсом, на котором можно заработать, а зная о человеке всё заработать можно максимально, навязывая ему предпочтения, товары и услуги. Я бы даже сказал, что среднестатистический потребитель по большей части состоит из навязанных ему приоритетов и продуктов, ведь сама культура потребления взрастила в нём жажду владения самым лучшим (по мнению маркетологов) и способствует некритическому взгляду на рынок, но это уже совсем другая история.

Если вы не технический специалист и особенно если пользуетесь яблочной продукцией, ответьте лично себе на вопрос - поставили бы вы у себя в туалете и душе камеры для публичной трансляции? А что тут такого, все органы у вас как у всех, ничего особенного в них нет, как и в ваших личных данных на устройствах, не так ли? Однако все ваши данные - контакты, фото и видео (в том числе интимные), записи разговоров и геолокация, поисковые запросы и многое другое доступны корпорациям, а устанавливать камеры всё же желания нет. Возможно, конечно, потому что это не iКамеры, но более вероятная причина в том, что вы не задумываетесь, какие ваши личные данные доступны корпорациям на закрученном со всех сторон устройстве (спойлер: все). Возможно после прочтения этой заметки у вас отложится мысль, что неплохо бы постепенно и с комфортом перейти на устройства без потери приватности, даже первое время пользуясь ими параллельно, а приятным бонусом будет осознание своего контроля над цифровой частью жизни и повышение уровня технической грамотности.

Выбор устройства

В первую очередь устройства не должны иметь известных проблем с безопасностью в аппаратной части. Например, не иметь технической возможности удалённого доступа на аппаратном уровне, а если она есть (IPMI, KVM, Intel AMT) - дополнительно регулироваться внешним брандмауэром, устанавливающим жёсткие ограничения на доступ определённых людей (с дополнительной авторизацией), с указанием определённых адресов, портов и протоколов по схеме "что явно не разрешено - запрещено", желательно с блокировкой неизвестного исходящего трафика.

Также желательно иметь гибко настраиваемый маршрутизатор, который принимает интернет от провайдера и раздаёт его на домашние устройства. Лучшим готовым решением считаю Mikrotik, но при желании и наличии времени можно повозиться с OpenWrt и его производными. Его настройка может быть сложнее обычного роутера, но и возможности ограничиваются только фантазией и техническими характеристиками. К примеру, можно завести несколько провайдеров и настроить автоматическое переключение между ними - всегда доступен интернет и загрузка торрентов с большей скоростью; можно создать несколько Wi-Fi сетей, чтобы гости получали интернет без доступа в вашу личную сеть и многое другое. Это может сделать нанятый специалист один раз и потом оно будет работать годами без вмешательства, Mikrotik может автоматически обновлять свою прошивку.

Далее устройства обязательно должны позволять установку альтернативной прошивки или модификации существующей. Для компьютеров это перезапись BIOS/UEFI и запуск другой или изменённой ОС, для смартфонов - разблокировка загрузчика и также возможность запуска альтернативной или модификации оригинальной ОС. От покупки устройств без этих возможностей лучше отказаться - какими бы елейными речами не пели маркетологи, хозяином на закрытом устройстве вы не будете, а они будут диктовать вам, что такое хорошо и что такое плохо.

Выбор операционной системы

Для компьютеров лучшим выбором по сохранению приватности являются открытые системы на основе Linux, например elementary OS, но с ними не исключена вероятность танца с бубном вокруг редких устройств; однако пробовать стоит, так как здесь всё зависит от задач, и возможно для ваших задач этого будет хватать с головой. Лучшим компромиссным решением будет Windows, сейчас подавляющее большинство персональных компьютеров создаются с учётом работы именно этой системы. Другими словами, когда железо рабочее - Windows будет работать отлично, для неё всегда будут драйвера и обновления, а сбор и отправку телеметрии можно отключить. Комментировать работу macOS не берусь, так как в теории там можно получить доступ к компонентам ОС и перекрыть каналы утечки личной информации, но философия Apple, для которой пользователи - бесправные дойные коровы, ставит крест на покупке такой продукции.

Для отключения сбора телеметрии в Windows есть готовые скрипты, однако не рекомендую применять их бездумно - так добавление доменов производителя в hosts или адресов в брандмауэр запросто может сделать нерабочими часть облачных сервисов. Лучше вдумчиво почитать описание каждой опции, задач в планировщике и соответствующих твиков, примером неплохой реализации является O&O ShutUp10. Для Windows 10 есть официальная программа Diagnostic Data Viewer, которая показывает, какие именно данные собираются и отправляются, если вы не отключили их сбор вообще.

При выборе смартфона следует в первую очередь смотреть на возможность разблокировки загрузчика. Заблокированное устройство на андроиде без доступа к системе ничем не отличается от яблочной продукции - оно точно так же может сливать информацию в зависимости от желания производителя. Поэтому для сохранения приватности яблочные смартфоны не подходят совсем, там нет возможности установить свою систему или хотя бы ограничить отправку данных у оригинальной, а из андроид-смартфонов подходят только те, которыми можно управлять - к счастью, таких большинство. Точную информацию перед покупкой можно узнать на профильных форумах типа 4pda, где собираются инструкции по разблокировке и прошивке конкретных устройств и обсуждаются все подводные камни.

Есть несколько способов подобрать систему для смартфона. Первый - модифицировать оригинальную прошивку. Оригинальная хороша тем, что гарантированно работает на конкретном телефоне и производитель её поддерживает. Все прошивки можно разобрать, исследовать, убрать вредное, добавить полезное и прошить в смартфон, получая таким образом стабильность от оригинальной прошивки и отсутствие анального зонда. К примеру для Xiaomi такие готовые прошивки выкладывают на xiaomi.eu, но при достаточном опыте их можно делать самостоятельно, так как это самый простой вид модификации. Второй способ - использовать универсальные GSI-прошивки, которые собраны из исходников (их можно проверить или собрать самостоятельно) и подходят для любых современных смартфонов начиная с Android 8. Это отличный вариант для недорогих китайских устройств, к которым производитель сделал прошивку "абы было", и даёт возможность пользоваться современным Android 10-11 почти без компромиссов. Почти, потому что в теории на каком-то безымянном аппарате что-то может не заработать, но всё это допиливается, особенно в ходовых моделях. И третий вариант - специализированные прошивки для обеспечения приватности, собранные специалистами для конкретных аппаратов, примером являются такие системы как GrapheneOS для серии Google Pixel или LineageOS для более широкого ряда моделей. Желательным, хотя и необязательным действием является получение root-прав - с ними будет возможность быстро настраивать систему, а без них можно систему заранее настроить и прошить.

Вместо итога

Разумеется это далеко не полный список возможностей и отражает только краткое личное мнение автора, но для начала достаточно. Тема безопасности очень широкая и охватить всё за раз никак нельзя. В стремлении обеспечить свою приватность можно зайти очень далеко (пример эталонной паранойи), но стоит ли это затраченного времени - каждый решает сам. Как по мне, нужно придерживаться золотой середины, когда ты можешь комфортно пользоваться устройствами, но при этом не являешься куклой вуду корпораций.

Подробнее..

Математические бэкдоры в алгоритмах шифрования

07.12.2020 12:09:16 | Автор: admin

Мы привыкли полагаться на современные алгоритмы шифрования. Однако, действительно ли они так безопасно защищают наши данные? Давайте разберёмся с таким понятием как математический бэкдор, что он из себя представляет и как работает.


Введение

На протяжении последних десятилетий мировое сообщество уверенно двигалось в направлении развития гражданских свобод. Право на конфиденциальная частную жизнь, приватность переписки - эти словосочетания давно у нас всех на слуху.

С другой стороны, в новостях периодически всплывают новости о том, что то или иное агенство безопасности требует ту или иную компанию, разрабатывающую продукты для нас, предоставить им бэкдор к алгоритмам шифрования, которые защищают наши данные.

  1. Суд ФБР и Apple

  2. История взаимодействия Роскомнадзора и Telegram

Зачастую, мотивацией таких запросов является борьба с терроризмом. Мол, хорошим людям скрывать нечего, так что давайте все дружно покажем нашу переписку товарищу в погонах.

А вообще, узнать больше про терроризм как феномен информационного общества можно тут.

Inspiration

Данная статья вдохновлена выступлением французских исследователей на конференции Black Hat в 2017 году. Для более детального изучения статья и книга.

Как работают алгоритмы шифрования?

Обобщённо можно сказать, что основой любого шифра является некоторая общая информация доступная только отправителю и получателю. В случае шифра Цезаря это было число, на которое производится сдвиг. Или, например, известна история когда во время Второй мировой войны морские пехотинцы США завербовали и обучили людей из племени индейцев навахо, свободно владеющих языком навахо. Это был привлекательный способ использования кодирования, мало людей не из племени знали этот язык, а также не было никаких опубликованных книг на языке навахо. В данном случае общей информацией было знание языка навахо.

С развитием полупроводниковой логики алгоритмы шифрования стали базироваться на взрослой и суровой математике.

Тут необходимо остановиться и сделать небольшой ликбез, разделить алгоритмы шифрования на две большие группы:

  1. Симметричные

  2. Ассиметричные

В симметричных алгоритмах для зашифровки и расшифровки сообщения используется один и тот же ключ. Такие алгоритмы используются для защищенного обмена сообщениями или для защиты данных на телефонах и компьютерах. Все наши банковские платежи, переводы ионлайн-оплата тоже шифруется симметричным методом.Единственный минус такого шифрования это сложность передачи секретного ключа всамом начале от одного участника кдругому. Если ключ передать по открытому каналу связи, его могут подсмотреть ивпоследствии прочитать всю переписку. Для организации закрытого канал связи необходим ключ шифрования, который тоже нужно как-то передать. Данная проблема решается использованием ассиметричного шифрования. Хороший разбор процесса инициации секретных ключей при начале общения в мессенджерах.

Асимметричные системы ещё зачастую называют криптосистемами с открытым ключом. В них используется два ключа: приватный ключ для зашифровки и соответсвующий ему публичный ключ для расшифровки. Их используют, например, для создания электронной подписи, где пользователь обладающий приватным ключом может зашифровать сообщение, и любой другой пользователь, обладающий открытым (публичным) ключом может это сообщение расшифровать, таким образом подтвердив факт подписания этого сообщения ключом приватным. По такому же принципу работает протокол SSH. Когда публичный ключ выступает в роли замочной скважины, надежно охраняющей сервер от нежелательного проникновения. А приватный ключ выступает в роли ключика, который эту замочную скважину открывает.

В данной статье будет рассмотрен возможный механизм создания уязвимости в системах с симметричным шифрованием.

Про создание уязвимостей в ассиметричных алгоритмах шифрования можно почитать, например, тут.

Современные алгоритмы симметричного шифрования

К симметричным алгоритмам шифрования можно отнести такие игрушечные алгоритмы шифрования, как:

Говоря же о серьёзных алгоритмах, симметричные алгоритмы шифрования можно разбить на две подгруппы: Потоковые, где каждый бит шифруется отдельно с помощью так называемого гаммирования, побитового сложения битов сообщения с битами, получаемыми от генератора псевдослучайных чисел. И блочные , которые оперируют группами бит фиксированной длины - блоками, характерный размер которых меняется в пределах 64256 бит.

Важным достоинством поточных шифров перед блочными является высокая скорость шифрования, информация обрабатывается сразу как поступает, поэтому, обеспечивается шифрование практически в реальном времени не зависимо от объёма поступающих данных. Однако, структура поточного ключа может иметь уязвимые места, которые дают возможность криптоаналитику получить дополнительную информацию о ключе.

Ещё немного занудства

Потоковые шифры в отличие от блочных шифров часто могут быть атакованы при помощилинейной алгебры(так как выходы отдельных регистров сдвига с обратной линейной связью могут иметькорреляциюс гаммой). Также для взлома поточных шифров весьма успешно применяется линейный идифференциальный анализ.

Кроме того, блочные и потоковые фильтры по разному реализуются. Потоковые фильтры, шифрующие и дешифрирующие данные по одному биту, не очень подходят для программных реализаций. Блочные шифры легче реализовывать программно, потому что они часто позволяют избежать дорогостоящих манипуляций с битами и оперируют удобными для компьютера блоками данных. С другой стороны, потоковые фильтры больше подходят для аппаратной реализации, потому что они могут быть очень эффективно реализованы в кремнии.

Эта статья поможет вам детально разобраться с симметричными алгоритмами шифрования.

На данный момент времени, в основном используются блочные шифры. Например, широко известный AES, как раз симметричный блочный алгоритм шифрования. Ровно как и наш подозреваемый - симметричный блочный алгоритм шифрования, который незамысловато называется Backdoored Encryption Algorithm 1, BEA-1 сокращённо. Давайте разберёмся, где же там спрятан бэкдор.

Ещё немного про уязвимости

Для начала стоит обговорить, что уязвимости в алгоритмах шифрования бывают разными. Согласно статье французских исследователей , на данный момент основное внимание уделяется так называемым implementation backdoors, уязвимостям связанные с тем как алгоритм был реализован. То есть сам алгоритм шифрования может быть и надёжен, но, например, его обёртка при каждом шифровании сливает ваши ключи товарищу в погонах.

Цитата

Recent years have shown that more than ever governments and intelligence agencies try to control and bypass the cryptographic means used for the protection of data. Backdooring encryption algorithms is considered as the best way to enforce cryptographic control. Until now, only implementation backdoors (at the protocol, implementation or management level) are generally considered.

Куда более опасными являются уязвимости в самом алгоритме шифрования, которые были заложены в него на уровне математики. Как правило, доказать наличие таких уязвимостей практически невозможно.

Цитата

In this paper we propose to address the most critical issue of backdoors: mathematical backdoors or by-design backdoors, which are put directly at the mathematical design of the encryption algorithm. While the algorithm may be totally public, proving that there is a backdoor, identifying it and exploiting it, may be an intractable problem.

К слову, примерно так и должен выглядеть идеальный бэкдор:
  • сложно обнаружить

  • можно использовать многократно

  • легко отрицать выглядит, как ошибка, и в случае обнаружения, разработчик может сослаться на то, что допустил эту ошибку случайно и злого умысла не имел

  • эксплуатируем только при знании секрета только тот, кто знает, как активируется бэкдор, может им воспользоваться

  • защищён от компрометации предыдущими использованиями даже если бэкдор был обнаружен, то невозможно установить, кем он до этого эксплуатировался, и какой информацией завладел злоумышленник

  • сложно повторить даже если бэкдор был кем-то найден, то его невозможно будет использовать в другом коде или в другом устройстве.

Согласно нынешним стандартам алгоритм должен быть устойчивым как к линейному так и к дифференциальному криптоанализу. BEA-1, по всем критериям текущих стандартов, как раз подходит под описание надёжного алгоритма, он устойчив как к линейному так и дифференциальному криптоанализу.

Цитата

Considering a particular family (among all the possible ones), we present BEA-1, a block cipher algorithm which is similar to the AES and which contains a mathematical backdoor enabling an operational and effective cryptanalysis. The BEA-1 algorithm (80-bit block size, 120-bit key, 11 rounds) is designed to resist to linear and differential cryptanalyses.

Если кратко, то линейный криптоанализ особый род атаки на симметричные шифры, направленный на восстановление неизвестного ключа шифрования, по известным открытым сообщениям и соответствующим им шифртекстам.

В общем случае атака на основе линейного криптоанализа сводится к следующим условиям. Злоумышленник обладает большим количеством пар открытый/зашифрованный текст, полученных с использованием одного и того же ключа шифрования K. Цель атакующего восстановить частично или полностью ключ K. Подробнее.

В свою очередь, дифференциальный криптоанализ работает с парами зашифрованных текстов, открытые тексты которых содержат определенные отличия. Метод анализирует эволюцию этих отличий в процессе прохождения открытых текстов через этапы алгоритма шифрования при использовании одного тем же ключа.

Целью атакующего, применяющего ДК, также является получение некоторой информации о ключе, которая может как полностью скомпрометировать ключ (что бывает очень редко), так и просто дать некоторое преимущество при подборе ключа. Подробнее.

Интересно рассмотреть гипотетические примеры бэкдоров в современных алгоритмах:

Уязвимость псевдослучайного генератора DUAL_EC_DRBG

DUAL_EC_DRBG - был разработан вАНБи стандартизован в качествекриптографически стойкого генератора псевдослучайных чиселнациональным институтом стандартов и технологий СШАNISTв 2006 году. Однако уже в 2007 году независимыми исследователями было высказано предположение, что в этот алгоритм мог быть встроен бэкдор. Раз и два.

Согласно статье о бэкдоре в DUAL_EC_DRBG также говорил Сноуден.

A concrete example is the pseudorandom number generatorDual_EC_DBRG designed by NSA, whose backdoor was revealed by Edward Snowden in 2013 and also in some research works.

Ошибка в реализации протокола проверки сертификатов TLS Apple

Исследователями компании Яндекс была обнаружена уязвимость в реализации протоколаTLSв одном из программных продуктовApple. По их мнению, данная ошибка вполне может оказаться бэкдором, намеренно встроенным в алгоритм кем-то из разработчиков. Ниже участок кода с ошибкой

static DSStatus SSLVerifySignedServerKeyExchnge(....){     DSStatus err;     ....     if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0)          goto fail;          goto fail;     if ((SSHashSHA1.final(&hashCtx, &hashOut)) != 0)          goto fail;     ....     fail:          ....          return err;}

Как можно видеть, после первого оператораifстоят две строчкиgoto fail, и вторая строчка выполняется всегда, независимо от результатаif. Таким образом процедура проверки сертификата проходит не полностью. Злоумышленник, знающий об этой уязвимости, может подделать сертификат и пройти проверку подлинности. Это позволит ему организовать атаку типа"Man-in-the-middle", тем самым вмешаться в защищённое соединение между клиентом и сервером. Исследователи, обнаружившие данную ошибку в реализации, не могут точно сказать, намеренно она была сделана или случайно. Вполне возможно, что это бэкдор, встроенный в алгоритм кем-то из разработчиков.

Таким образом, основной посыл французских исследователей в том, что современные стандарты шифрования не могут защитить нас от уязвимости созданной на уровне математики.

Ну так где же кроется уязвимость в BEA-1?

Для того чтобы разобраться в том, где кроется уязвимость, придётся погрузиться в дебри математики, на которых базируются современные блочные алгоритмы шифрования. Основа теории кодирования - поля Галуа. Очень качественно и детально про это написано вот тут. Облегчая математическую нагрузку, предлагаю для начала разобраться с тем, что такое Substitution-Permutation Networks, основа современных блочных алгоритмов шифрования.

SP сеть - это вычислительная сеть, которая состоит из S-блоков, P-блоков и операций побитового XOR с секретными ключами. Любая двоичная функция может быть сведена к S-блоку, некоторые функции к P-блоку. Например, к P-блоку сводится циклический сдвиг. Такие функции, как правило, легко реализуются в аппаратуре, обеспечивая при этом хорошую криптостойкость. С точки зрения реализации, S и P блоки представляют собой таблицы подстановки.

Substitution-Permutation NetworkSubstitution-Permutation Network

Шифр на основе SP-сети получает на вход блок и ключ и совершает несколько чередующихся раундов, состоящих из чередующихся стадий подстановки (англ. substitution stage) и стадий перестановки (англ. permutation stage). Стоит отметить, что S и P блоки одинаковы для всех раундов. В целях повышения безопасности на каждом раунде используются разные ключи (обозначены как K_i на изображении). Можно обратить внимание, на то что в последнем раунде нет P блока и используется два раунда

Для достижения безопасности достаточно одного S-блока, но такой блок будет требовать большого объёма памяти. Поэтому используются маленькие S-блоки, смешанные с P-блокам. S-блок замещает маленький блок входных бит на другой блок выходных бит. Эта замена должна быть взаимно однозначной, чтобы гарантировать обратимость. Назначение S-блока заключается в нелинейном преобразовании, что препятствует проведению линейного криптоанализа. Одним из свойств S-блока является лавинный эффект, то есть изменение одного бита на входе приводит к изменению всех бит на выходе. S-блок представляет из себя таблицу соответствия.

Так выглядит S-блок для алгоритма шифрования Rijndael, основы стандарта AESТак выглядит S-блок для алгоритма шифрования Rijndael, основы стандарта AES

P-блок перестановка всех бит: блок получает на вход вывод S-блоков, меняет местами все биты и подает результат S-блокам следующего раунда. Важным качеством P-блока является возможность распределить вывод одного S-блока между входами как можно большего количества S-блоков следующего раунда. То есть, P-блок - это линейное, или как его еще называют, аффинное преобразование.

Как было умно написано в Википедии

Нелинейная стадия подстановки перемешивает биты ключа с битами открытого текста, создавая конфузию Шеннона. Линейная стадия перестановки распределяет избыточность по всей структуре данных, порождая диффузию

Для каждого раунда используется свой, получаемый из первоначального, ключ. Подобный ключ называется раундовым. Он может быть получен как делением первоначального ключа на равные части, так и каким-либо преобразованием всего ключа. Первоначальный ключ еще называют "мастер ключ".

Расшифровка происходит с помощью обратного хода процесса, с использованием инвертированных S и P блоков (обратное преобразование) и раундовых ключей. Стоит отметить, что не зная секретный ключ расшифровать зашифрованное таким образом сообщение будет крайне трудно. Это займёт очень много времени.

То есть, подводя итог: алгоритм шифрования состоит из нескольких раундов, где каждый раунд состоит из:

  • Применения нелинейности в виде S-блоков

  • Линейного преобразования в виде P-блока

  • Побитового XOR с раундовым ключом

Последний раунд не содержит P-блока, но в нём используются два раундовых ключа.

Не знаю как вы, но я себя чувствую смотрящим на мастерскую игру напёрсточника. Давайте попробуем угадать, где же нас тут могли обмануть. Перестановка бит выглядит безобидно, суммирование с ключом тоже. Остаётся предположить, что S-блоки выглядят подозрительно.

Действительно, бекдор может скрываться в S-блоках, но всё не так просто. Попытаюсь объяснить максимально просто и не грузить вас сложной математикой полей Галуа. Но если вы чувствуете в себе силы разобраться с математикой сами, прошу сюда .

Чуть более подробно про BEA-1

Для наилучшего понимания того, как устроена уязвимость я приведу некоторую информацию касательно реализации шифра BEA-1, построенного на вычислительной SP сети.

Этот блочный шифр:

  • Оперирует с блоками данных в 80 бит

  • Мастер ключ имеет размер в 120 бит, на базе этого ключа происходит вычисление ключей для каждого раунда, по процедуре ExpandKey, описанной в статье

  • Состоит из 11 раундов, из которых 10 одинаковые, а последний требует два раундовых ключа. Таким образом, необходимо 12 раундовых 80-битных ключей

Цитата

The encryption consists in applying eleven times a simple keyed operation called /round function/to the data block. A different 80-bit round key is used for each iteration of the round function. Since the last round is slightly different and uses two round keys, the encryption requires twelve 80-bit round keys. These round keys are derived from the 120-bit master key using an algorithm called key schedule

Больше деталей!

Для вашего удобства привел реализацию алгоритмов из статьи

Алгоритм генерации раундов ключей на базе мастер ключаАлгоритм генерации раундов ключей на базе мастер ключаАлгоритм шифрованияАлгоритм шифрованияАлгоритм расшифровкиАлгоритм расшифровкиПроцедура генерации раундовых ключей на базе мастер ключаПроцедура генерации раундовых ключей на базе мастер ключаТак выглядит один раунд алгоритма шифрованияТак выглядит один раунд алгоритма шифрования

На Fig. 2. P-блоки обозначены как M

В случае с алгоритмом BEA-1, который удовлетворяет современным стандартам шифрования для взлома в лоб потребуется перебор по огромному числу вариантов. Стоит заметить, что такой перебор невозможен, потому что шифр оперирует с блоками размером 80 бит, то есть множество всех открытых текстов (и шифротекстов) имеет размер равный 2^80.

Цитата

Consequently, a differential cryptanalysis of the 10-round version of our cipher would require at least 2^117 chosen plaintext/ciphertext pairs and a linear cryptanalysis would require 2^100 known plaintext/ciphertext pairs.

Максимально подробное описание данного алгоритма можно найти в оригинальной статье, там приведены все данные.

Загадочные S-блоки и их секретные напарники

Математическая уязвимость в алгоритме BEA-1 кроется в так называемых Secret S-boxes, секретных S-блоках. Их можно условно назвать напарниками обычных S-блоков и они многократно упрощают процесс перебора, необходимого для взлома алгоритма.

Говоря о реализации, секретные S-блоки незначительно отличаются от обычных S-блоков, в небольшом количестве параметров. Однако такое незначительное отличие параметров подобрано специальным образом. Если кратко, то почти для всех входных данных выходные данные секретного S-блока и обычного одинаковы, однако для некоторого заранее известного набора входных данных выходные данные секретного S-блока и обычного отличаются. Именно это знание позволяет значительно упростить процесс перебора, необходимого для взлома алгоритма.

Чтобы не быть голословным, для алгоритма BEA-1 для S0, S1, S2 количество входных данных для которых выходные данные секретного S-блока и обычного одинаковы есть 944 (из 1024, так как блоки работают с сегментами данных по 10 бит) для S3 это число 925 (также из 1024)

Сам процесс взлома заключается в том, что при расшифровке зашифрованного сообщения вместо блоков обратных публичным S-блокам используются блоки обратные секретным S-блокам, и параллельно с этим происходит подбор раундовых ключей.

Для процесса перебора необходимо некоторе количество известных пар (открытий текст, зашифрованный текст). Для взлома BEA-1 необходимо 30.000 таких пар, то есть (2 300 Kb) данных, сам процесс взлома занимает порядка 10 секунд на intel Core i7, 4 cores, 2.50GHz.

Стандарты алгоритмов шифрования

В статье несколько раз упоминалось про стандарты, распространяющиеся на современные алгоритмы шифрования, предлагаю уделить этому моменту больше внимания. Стандарт шифрования подразумевает полное описание алгоритма шифрования с S и P блоками. В рамках стандарта размер ключа и количество раундов может варироваться. Как правило такой стандарт создаётся в процессе конкурса, где разные компании предлагают свои реализации алгоритма шифрования, которые должны быть устойчивы ко всем известным видам криптоанализа. В частности, устаревший ныне стандарт DES был разработан на базе алгоритма шифрования Люцифер компании IBM.

Сейчас в основном используется стандарт AES, например шифрование данных на устройствах компании Apple соответсвует этому стандарту. Упомянутый французскими исследователями. Backdoored Encryption Algorithm 1 был создан по образу и подобию алгоритма Rijndael, который как раз таки лёг в основу стандарта AES. Если вам интересно, то вот тут можно посмотреть S-блоки и реализацию стандарта AES, а тут можно посмотреть хардверную реализацию алгоритма Rijandel.

Предшественником стандарта AES был упомянутый ранее DES, также блочный шифр. Интересна история, когда в конце 1970 к разработке S-блоков приложило руку АНБ. Агенство Национальной Безопасности обвиняли в сознательном снижении криптостойкости данного алгоритма.

Однако в 1990 году Эли Бихам и Ади Шамир провели независимые исследования по дифференциальному криптоанализу основному методу взлома блочных алгоритмов симметричного шифрования. Эти исследования сняли часть подозрений в скрытой слабости S-перестановок. S-блоки алгоритма DES оказались намного более устойчивыми к атакам, чем если бы их выбрали случайно. Это означает, что такая техника анализа была известна АНБ ещё в 1970-х годах. Авторы статьи уделили этому моменту внимание. Они выразили опасение, что алгоритмы начала 1990 могли быть слабыми к дифференциальному криптоанализу.

Цитата

The best historic example is that of the differential cryptanalysis. Following Biham and Shamirs seminal work in 1991, NSA acknowledged that it was aware of that cryptanalysis years ago Most of experts estimate that it was nearly 20 years ahead. However a number of non public, commercial block ciphers in the early 90s might have been be weak with respect to differential cryptanalysis.

Про отечественные стандарты шифрования хорошо написано вот тут. В частности, на блочные шифры распространяется ГОСТ 34.12-2018. Если что, S-блоки там обозначены как \pi , это если вам вдруг захочется поискать бэкдоры в отечественных алгоритмах. Приведу ряд статей про странности S-блоков отечественных алгоритмов шифрования: раз, два и три.

Интересны размышления на тему создания математического бэкдора для уже существующего стандарта шифрования. В комментариях к статье @pelbylна похожую тему возник такой вопрос. Бесспорно, обладая сильной математической базой и хорошей смекалкой для уже существующего стандарта шифрования можно разработать "секретные S-блоки", которые бы могли незначительно ускорить процесс взлома зашифрованного сообщения. Однако на расшифровку сообщения, даже в таком случае, сообщения может потребоваться очень продолжительный промежуток времени. Разработка же "секретных S-блоков", которые могли бы значительно ускорить взлом алгоритма для существующих стандартов шифрования, до минут или хотя бы дней, является невероятно сложной вычислительной задачей. Хотя бы потому что эти стандарты разрабатывают самые умные люди планеты, которые могли сделать защиту от такой атаки. Но нельзя исключать возможность, что кому-то может повезти и он по счастливой случайности сможет вычислить идеальные секретные S-блоки для того же AES. Хочется добавить, что такое открытие может принести очень много денег.

Возвращаясь к новости про взлом айфона террориста, упомянутой в начале статьи, ФБР всё таки удалось его взломать, по разным оценкам они потратили на это около миллиона долларов (1.3M USD). Про сам процесс взлома известно немного.

Что известно

Взято отсюда

В деле фигурирует iPhone 5C под iOS9, в котором установлена система на кристалле A6. В нём тоже может быть включено уничтожение данных после 10 попыток. В телефоне нет аппаратного Secure Enclave. В этой модели многие функции безопасности обеспечиваются на уровне операционной системы. Поэтому для взлома может понадобиться всего лишь специальное обновление операционки. После этого единственным ограничением останется частота получения ключа шифрования раз в 80 миллисекунд. Впрочем, всё это является мнением экспертов.

Суть далеко не в шифровании или технической возможности взломать его. Включённое по умолчанию шифрование в iOSпоявилосьещё в восьмой версии осенью 2014 года. Уже тогда американские спецслужбы начали проявлять беспокойство и недовольство новыми мерами безопасности. ФБР очень не понравилось, что получать доступ к данным будет невозможно. А доступ нужен, чтобы преследовать преступников и предотвращать терроризм, утверждает спецслужба. Директор ФБР Джеймс Коуми предложил ввести прозрачную, понятную процедуру, которую он назвал front door. Также он высказался против бэкдоров. Эксперты по компьютерной безопасности назвали подобное подменой понятий. Позднее ФБРобратилосьс предложением законодательно обязать производителей оставлять лазейки.

Скрытое противостояние переродилось в конфликт после дела о массовом убийстве в Сан-Бернандино. В ходе расследования потребовалось получить доступ к данным на служебном iPhone 5C одного из фигурантов дела. Apple в суде обязали создать инструмент для подбора пользовательского пароля. 16 февраля Тим Кукопубликовалоткрытое письмо, в котором он назвал подобное бэкдором.

Однако летом 2020 китайские хакеры из объединения Pangu сообщили о взломе чипа Secure Enclave. Эти ребята занимаются Jailbreak-ом.

Более подробно про взаимодействие Apple и ФБР касательно предоставления бэкдора (на английском).

А вообще, про безопасность телефонов компании Apple хорошо и и интересно написано в этой статье. Также интересно почитать про брутфорс пароля iPhone 5c c зеркалированием флэш-памяти. Подозреваю, что загрузил вас ссылками, но надеюсь, что они помогут вам полноценно разобраться с этой темой.

Так как теперь шифровать?

После изучения этой темы ко мне начала подкрадываться лёгкая паранойя: как быть, если нет никаких гарантий, что алгоритм, соответсвующий всем современным стандартам безопасности, не содержит в себе бэкдора. Одно дело, когда такая уязвимость была создана непреднамеренно, о ней никто не знает, её сложно обнаружить и вряд ли кто-то сможет сделать это. И другое, когда она была заботливо разработана и расположена в недрах S-блоков.

Основным посылом французских исследователей был вопрос, можем ли мы доверять иностранным алгоритмам шифрования. Бесспорно, для государственных структур, оперирующих потенциально стратегической информацией, важно не допустить внешние силы к этой информации. Понять их мотивацию в разработке своих, гарантировано безопасных для самих себя, алгоритмов шифрования можно.

Тут можно долго рассуждать на тему того, что наши данные могут быть кем-то расшифрованы и к каким последствиям в современном информационном обществе это может привести. В конечном счёте, последствия зависят от намерений людей, использующих этот бэкдор. Стоит всё таки признать факт, что зачастую в криптографии самым уязвимым элементом является человек, будь это человек решивший заложить уязвимость в алгоритм, или человек, использовавший эту уязвимость для достижения своей личной выгоды.

Не могу оставить вас наедине с нарастающей паранойей и тревожностью, поэтому, даже допуская ситуацию, что все доступные алгоритмы шифрования скомпрометированы возможность наладить защищенный обмен информацией всё же существует, этому даже посвящена целая научная статья. Если же вы хотите проникнуться атмосферой поиска уязвимостей в существующих алгоритмах шифрования, то советую почитать эту вдохновляющую статью.

Подробнее..

РосКомСвобода на ОГФ2020 рассказываем про открытые данные о пандемии и праве на приватность

17.12.2020 16:16:33 | Автор: admin
image

РосКомСвобода совместно с Инфокультурой весь день вела на Общероссийском гражданском форуме (ОГФ'2020) площадку Право на приватность и открытость.

Собрали для вас самое важное их всех секций: про приватность, открытые данные в здравоохранении, открытый код, распознавание лиц и слежку.

Ключевые цитаты из выступлений:



Все видео выступлений








Ссылки на полные обзоры в конце статьи.

В рамках дискуссии Открытость и приватность: дисбаланс между правами граждан и действиями государства в эпоху пандемии коронавируса спикеры попытались ответить прежде всего на два вопроса есть ли баланс между интересами государства и общества и, если нет, как его достигнуть. Пожалуй, все они сошлись во мнении, что баланса нет.

image

Руководитель РосКомСвободы Артём Козлюк прямо заявил, что баланса между интересами государства и общества не сложилось. Налицо нарушение личного цифрового пространства, тайны связи, отсутствие защиты коммуникаций. Всё это было и до пандемии, но во время неё тенденции усилились. Спикер обозначил ключевых правонарушителей в этих сферах это государство, корпорации и киберпреступники.

Кто же акторы нарушения наших цифровых прав, нашего права на приватность? Это государства, корпорации и киберпреступники.


У каждого из них свои цели и методы. По мнению Козлюка, у общества нет рычагов давления на госорганы и потому в качестве самозащиты гражданам остаются повышение цифровой грамотности и инструменты общественного давления в виде подачи исков, участия в кампаниях, подписания петиций. К слову, у Роскомсвободы есть кампания против слежки через распознавание лиц Bancam. В рамках неё мы требуем ввести мораторий на массовое распознавание лиц, пока система видеонаблюдения не станет прозрачной и подотчётной и не будет иметь гарантии защиты от подобных злоупотреблений. Вы можете помочь нам, присоединившись к кампании и подписав петицию на сайте Change.org.

image

Координатор проекта Pandemic Big Brother Алёна Рыжикова на примере, собственно, Pandemic Big Brother рассказала о конкретных перекосах в мерах, принятых государствами по всему миру. В частности, она выделила массовые штрафы и даже аресты за т.н. коронафейки (информацию о пандемии, противоречащую официальной) и распознавание лиц, которое стали применять в отслеживании нарушителей карантина, вплоть до автоматического штрафа на основании его результатов. Подобное, по её словам, практикуют не только в России, но и во многих других странах.

Массово стали использовать распознавание лиц не только для борьбы с преступностью, но и для отслеживания нарушителей карантина.


Pandemic Big Brother интерактивная карта, на которой фиксируются случаи нарушения цифровых прав граждан, такие как введение слежки, цензуры и контроля за коммуникациями.

Юристы РосКомСвободы готовы помочь всем, кто пострадал из-за незаконной слежки. Ваши обращения вы можете присылать на адрес legal@roskomsvoboda.org

image

Руководитель юридической практики РосКомСвободы Саркис Дарбинян рассказал, что происходит с точки зрения прав в России, и назвал это вируспруденциией или законорей. По его словам, законодатели десятилетиями думали о том, как защитить детей, как бороться с терроризмом, но совершенно забыли о вирусах. Поэтому в этой области у нас не сложилось практики: нормативно Россия оказалась неготовой к использованию современных технологий вроде геолокации, мобильных приложений, распознавания лиц.

Те законы, которые долго писали, никак не были приспособлены для ситуации пандемии. Российские законодатели о чем только не думали: они думали, как спасти нас от террористов, как спасти наших детей, но они совершенно забыли, что существуют вирусы.


Единственный подходящий закон о защите во время чрезвычайных ситуаций. Он, к слову, не содержит ничего об ограничении прав, которые власти применяли с таким упорством, но только то, что должны делать МЧС и другие органы по координации своих действий во время ЧС. Федеральная власть не хотела рисков и потому поступила хитро, а именно: переложила все решения на субъекты. Как результат Москва начала принимать свои законы, которые вошли в диссонанс с федеральным законодательством. Даже если бы ковида не существовало, его стоило бы придумать, по крайней мере для московских властей, которые годами держали эти технологии под сукном и ждали возможность начать их использовать, сказал Дарбинян. По его словам, различные технологии для слежки у московской мэрии были давно, и пандемия послужила спусковым крючком для их использования.

В секции Открытые данные как инструмент общественного контроля борьбы с пандемией эксперты среди прочего рассказывают, можно ли доверять сайту Стопкоронавирус.рф и почему в общественном здравоохранении с открытыми данными всё плохо.



Кандидат биологических наук, независимый аналитик Алексей Куприянов представил доклад об общественном аудите государственной статистики. С 13 марта эксперт собирает данные по распространению коронавирусной инфекции по России. В апреле он стал публиковать их и в Фейсбуке на страничке инициативной группы Watching Covid-19.ru, где вместе с коллегами, в том числе другими докладчиками Алексеем Ракша и Борисом Овчинниковым, выкладывает аналитику. Основные источники данных Стопкоронавирус.рф и СМИ, на первых порах ещё бюллетени Роспотребнадзора.

Задачи инициативы резервное копирование данных, расчёт их характеристик (к примеру, доля смертей, ускорение и замедление эпидемии), наработка аналитической инфографики для осмысления ситуации и методов выявления манипуляций с данными. Первое на удивление не менее важно, чем всё остальное, поскольку в России нет ресурсов, которые бы давали полную картинку по эпидемии, с самого начала, в динамике. Тот же сайт Стопкоронавирус.рф не имеет памяти: каждый месяц он начинает с начала, а данные за минувшие месяцы уходят.

Куприянов отметил, что это первая пандемия, по которой так много открытых данных, но, к сожалению, они не очень достоверны. Аналитик выявил две главных фальсификации, из-за которых доверять информации невозможно:
избыточное сглаживание данных, когда показатели долгое время находятся на одном уровне (собянинский коридор);
дагестанский скачок, когда все вдруг резко выздоровели (в других регионах тоже такое было, например, в Марий Эл, где добились отрицательного количества заболевших).

Эта пандемия развивается благоприятно в плане открытости данных, но она совершенно проиграна в плане достоверности данных.


Для получения более точных данных, по мнению учёного, необходимы:
машиночитаемые данные;
доступ к дезагрегированным данным;
расширение спектра доступных параметров;
смещение акцента с агрегирования на валидацию.

Для исправления ситуации эксперт советует, например, Росстату как можно раньше опубликовать данные по смертности по датам смерти, а не регистрации, а Роспотребнадзору максимально подробно раскрыть данные по госпитализации (к примеру, количество людей на интенсивной терапии). Последнее поможет гражданам в принятии рациональных решений, уверен Куприянов.

Граждане подросли, а государство обращается с нами по-прежнему, как с малыми детьми, за которых надо всё решать, не предлагать разумные действия, а просто приказывать, посетовал аналитик. Но такая модель устарела, и теперь людьми надо вести более вдумчивый диалог, заявил он.

image

Поистине ужасную картину обрисовал проректор Высшей школы организации и управления здравоохранением Николай Прохоренко, рассказав о недостоверных данных в общественном здравоохранении. По его словам, чем больший интерес представляют данные, тем больше с ними происходит фальсификаций. Эксперт заявил, что в России неточные данные по численности населения, смертности, заболеваемости, потребности в объёмах медицинской помощи, обеспеченности кадрами и плохая обратная связь от населения.

В качестве причин недостоверной статистики спикер назвал:
дефекты нормативной базы;
дефекты управления;
закрытость и несистемность статистики и аналитических данных;
недостаток квалификации;
избыточно сложную систему финансового обеспечения в системе ОМС со смещёнными приоритетами;
разрозненность государственной, частной и ведомственной медицины;
личный интерес в сокрытии или фальсификации данных;
существование рынка с неформальной оплатой медицинской помощи;
политизированность.

Общая численность населения неточна, например, из-за разницы между переписью населения и учётом за обозначаемый период. Также есть проблема подсчёта числа людей в регионах с интенсивной трудовой миграцией. Заболеваемость трудно исчислять из-за проблем диагностики, неучтённости повторных диагнозов и пр. Что касается смертности, то 74% врачей подтверждают в опросах те или иные манипуляции с кодировкой смертности, в двух случаев из трёх это происходит под административным давлением.

Чем больше интерес к какому-то статическому показателю, тем больше этот показатель фальсифицируется.


По потребности в объёмах медпомощи последние исследования проводились ещё в СССР. Заявленные объёмы медорганизаций не обеспечены финансами, они непрозрачны и определены не научными методами. По обеспеченности кадрами нет единых, полных и научно обоснованных нормативов нагрузки. Многие нормативы сформированы 30-40 лет назад и отстают от возможностей современных технологий. Штатные расписания не соответствуют нормативам по медперсоналу. Нагрузка по ставкам искажена требованиями исполнения майских указов президента и не соответствует фактической.

Что касается обратной связи от населения, здесь не проводятся исследования жалоб и запросов (например, на лекарства) от пациентов, нет достоверных данных по употреблению алкоголя и курению, занятию спортом.

Для решения проблем спикер предлагает:
сформировать единую научно обоснованную систему управленческого мониторинга;
открыть данные для профессионального сообщества;
упростить и устранить дублирование отчётности;
изменить управленческий вектор с наказания на мотивацию;
упростить порядок оплаты медпомощи.

Однако, по мнению эксперта, наведение порядка требует ресурсов и высокой квалификации. Достоверная информация может ухудшить показатели управленцев, поэтому большинство акторов системы не заинтересованы в научно обоснованных и прозрачных статистике и аналитике.

В рамках дискуссии Ответственные алгоритмы: как открытость способна повлиять на легитимность технологий в обществе? эксперты ответили на вопросы, ухудшает или улучшает безопасность открытый код и кто может его контролировать.

image

Генеральный директор Zecurion Алексей Раевский порассуждал о том, должен ли код быть открытым с точки зрения безопасности. По его мнению, нельзя однозначно ответить, ухудшает или улучшает ли безопасность открытие исходных кодов. Надо понимать, что в открытых кодах сразу же найдут много дыр, которые придётся оперативно закрывать.
Важно не то, как мы открываем алгоритмы и как их впоследствии сертифицируем, а важно то, каковы последствия использования этих алгоритмов. Не должно быть такого, что, например, штраф начисляется автоматически на основе решения алгоритма.


Помимо этого высокоуровневые логические хакеры могут, используя открытый код, обмануть систему в своих целях. Самый простой пример приложение для автомобилистов, которое показывает, где стоят камеры, следящие за превышением скорости. С точки зрения водителей приложение удобно, потому что позволяет ездить, как хочется, и снижать скорость только там, где камеры. С точки же зрения общей безопасности, наверное, было бы лучше, если такого приложения не было и владельцам автомобилей приходилось бы постоянно думать о подстерегающих неизвестно где камерах и возможных штрафах.



Директор АНО Информационная культура Иван Бегтин говорил об общественном контроле за алгоритмами в аспекте безопасности раскрытия кода. По его словам, большая часть госсистем на данный момент не использует умные алгоритмы, но переход к принятию решений на основе ИИ постепенно происходит и у них. Примеры тому Банк России, Росфин, Правительство. Там, где есть трансфер денег, это используют, резюмировал спикер. Хотя происходит это крайне непублично.

Пока государство приближается к использованию ИИ, компании его уже внедряют ИИ. Однако у государства есть проблема работа с уклоном в наказания.
Если дошёл до суда, тебя либо оштрафуют, либо посадят, но оправдан ты не можешь быть. Главная функция адвоката развалить дело до суда. Шансов, что тебя оправдают, мало. Что хорошего в алгоритме, у которого выборка будет изначально тебя посадить, размышляет Бегтин.


Однако нерелевантную выборку можно поправить. Для этого, к примеру, в ЕС разрабатывается стандарт проверки алгоритмов, по которому ответственность за ИИ несут его разработчики. Если система что-то неправильно распознала оштрафуют её авторов.
Раскрыть данные можно и нужно, убеждён Бегтин. Но в России пока некому проверять их и следить за искусственным интеллектом. Для этого нужно повышать квалификацию чиновников.

image

Глава юридической практики Роскомсвободы, управляющий партнер Digital Rights Center Саркис Дарбинян тоже посетовал, что юриспруденция не развивается экспертно, она давно уже не наука.

По его словам, депутаты действуют в духе Давайте примем закон, а подзаконные акты о том, как их применять, напишет правительство.


Население не особенно доверяет государственным информационным системам, потому что те не раскрывают протекающие внутри процессы. Мы только догадываемся, как всё работает, но кто, когда загружает данные, как использует, с какой целью не знаем. Это ярко иллюстрируют кейсы Сергея Межуева и Антона Леушина первые известные нам случаи ошибки распознавания лица.

Поэтому право должно развиваться постепенно, с учётом специализированных знаний. Это, кстати, одна из причин, почему РосКомСвобода требует ввести мораторий на массовое распознавание лиц: в этой области нет правового и социологического исследования, хотя понятно, под прицелом камерам человек ведёт себя по-другому, нежели без них. Присоединиться к кампании против распознавания лиц можно здесь.

Гости секции Гражданские инициативы по приватности и открытости в период пандемии коронавируса представили конкретные проекты, рассказали о проведённых ими исследованиях и тестах, и даже посвятили в детали расследования, касающегося утечек данных из госструктур. Подобное об этом читайте по ссылке ниже, а сейчас мы расскажем, что сделала непосредственно РосКомСвобода.



Журналист Андрей Каганских продолжил тему приватности и рассказал об утечках данных московской системы распознавания лиц и как благодаря РосКомСвободе в полиции раскрыли занимавшихся пробивом по лицу сотрудников. Он интересовался темой давно, предположив, что, поскольку данные из всех госсистем утекают, скорее всего, сольют их и с камер распознавания лиц. В ноябре 2019 года он обнаружил, что, хоть система и не была запущена в полном объёме, с неё уже появились утечки:

Работали всего 2% камер, но с них уже вовсю банчили данные на чёрный рынок.


Об этом стали писать СМИ, которым Департамент информационных технологий Москвы отвечал одно и то же, хотя это явно противоречило объективной реальности: Доступ к данным ЕЦХД [Единый центр хранения и обработки данных Москвы прим. ред.] имеют только уполномоченные сотрудники органов исполнительной власти и правоохранительных органов.

К началу пандемии система видеонаблюдения заработала полноценно. Весной данные на чёрном рынке стали доступны за 1 тыс. долл. За полгода чиновники так и не остановили утечки данных с московских камер. РосКомСвобода мониторила ситуацию всю весну, а летом провела эксперимент: волонтёр Анна купила полное досье на себя за 15 тыс. руб. Кроме того, выяснилось, что барыги на чёрном рынке на просьбу показать, как работает слив данных, предоставили данные шести человек просто в качестве примера. Если бы я был полицейским, это было бы шесть эпизодов в уголовном деле, сказал Каганских.

ДИТ отвечает, что система анонимна, но на деле возможны так называемые корреляционные атаки, когда фотографии сопоставляются с данными из других систем, в результате чего личность человека раскрывается. Так, в МВД есть система, которая сверяет изображения с данными из системы Российский паспорт. Получается, что анонимность системы по факту формальна. Можно использовать две системы и фото человека и на выходе получить досье на него.

В ноябре мэрия выделила 237 млн на реформу этой системы. Но можно израсходовать раз в 10 меньше денег на систему безопасности МВД, которая просто будет запугивать коррумпированных полицейских, которые сливают данные на чёрном рынке, считает Каганских. По его мнению, власти хотят исправить техническую часть системы, в то время как надо работать над юридической. Полиция, ДИТ не контактируют с людьми, поэтому расследование удалось провести благодаря тому, что полиция любит сливать данные на чёрный рынок и зарабатывать. Зарабатывать, кстати, гроши. Мы только догадываемся, как работает система распознавания лиц. К слову, это ярко иллюстрируют кейсы Сергея Межуева и Антона Леушина первые известные нам случаи ошибки этой системы.

Данные с камер малая часть рынка пробива, где много коррумпированных сотрудников разных ведомств, а также провайдеров и инсайдеров, отметил спикер.
Ни у одной страны нет такой торговли данными, заявил журналист:

В России есть огромная системная проблема со сливами: сотрудники силовых ведомств постоянно что-то сливают. Это значит, что службы безопасности МВД и ФСБ плохо справляются о своей работой.


image

Разработчик плагина CensorTracker РосКомСвободы Вадим Мисбах-Соловьёв представил инструмент для противодействия слежке в интернете.

CensorTracker умеет следующее:
определять наличие домена в реестрах ОРИ и заблокированных сайтов;
проверять блокировки по закону о суверенном Рунете;
предоставлять доступ к заблокированным доменам.

Таким образом, плагин показывает ресурс ориентирован на пользователя или на государство: сливает ли он государству данные по первому зову или же публично отказался от этого.
Для поиска домена в реестрах плагин раз в несколько часов скачивает актуальные слепки на основе реестров в локальный кэш при установке и проверяет наличие в слепках домена сайта, который открыт в текущей вкладке.

При проверке блокировок по закону о суверенном Рунете плагин собирает статистику о недоступности сайта: если сайт недоступен у нескольких человек, вероятно, его блокируют, хотя он может и не быть в соответствующем реестре.

Предоставляя доступ к заблокированным доменам, CensorTracker предлагает открыть сайт через прокси РосКомСвободы, а также составляет локальный PAC-файл (понятный браузеру список сайтов и через какой прокси их открывать) и подсказывает его браузеру.

Мы гарантируем приватность пользователей, заявил Мисбах-Соловьёв.


Если хотите обезопаситься от утечек, вам нужно знать, как собирают ваши данные и куда отдают. Этот плагин полезен в плане информирования, убеждён программист.

Читайте подробные обзоры с секций по ссылкам ниже:
Открытость и приватность: дисбаланс между правами граждан и действиями государства в эпоху пандемии коронавируса здесь.
Открытые данные как инструмент общественного контроля борьбы с пандемией здесь.
Ответственные алгоритмы: как открытость способна повлиять на легитимность технологий в обществе? здесь.
Гражданские инициативы по приватности и открытости в период пандемии коронавируса здесь.
Подробнее..

Визуализация пользователи Parler во время штурма Капитолия США по GPS-метаданным видеороликов

13.01.2021 18:13:38 | Автор: admin


6 января 2021 года толпа протестующих захватила Капитолий США. Несколько десятков проникли внутрь здания в места, обычно закрытые для публики, в том числе в кабинеты парламентариев и зал заседаний. Естественно, они сразу начали делать селфи, снимать видео и тут же публиковать в соцсетях. Некоторые даже стримили в прямом эфире.

Среди бунтующих оказалось и несколько пользователей твиттероподобной соцсети Parler. Это выяснилось по GPS-метаданным с их видеороликов. Дело в том, что Parler не зачищает эти метаданные в стандартном порядке, как это делают остальные соцсети, чтобы защитить приватность людей.

Казалось бы, как провести анализ метаданных, если сайт недоступен с понедельника, когда компания Amazon отказалась его обслуживать. Но благодаря юной хакерше @donk_enby у нас есть архив на 56,71ТБ со всеми данными, опубликованными в соцсети.



donk_enby входит в коллектив Archive Team, который занимается архивированием разных сайтов. Особенно тех, которым грозит закрытие (скажем, Reddit постоянно банит разные коммьюнити за якобы хейтерство, как это произошло с /r/fatpeoplehate, или, например, все сайты на платформе Google Sites точно уйдут в офлайн 1.10.2021). Архивируются также сайты, где размещается важный контент. В случае Parler это было важно, потому что именно здесь ультраправые националисты США планировали свои акции. Они использовали и другие платформы, которые считаются альтернативой мейнстриму: Gab, MeWe, Zello и Telegram.

В архиве Parler за всё время накопилось 1,1млн видеозаписей. Метаданные выглядят примерно так:



Анализ всех файлов, опубликованных 6 января (день мятежа), выявил 618 видеороликов с GPS-координатами на территории Капитолия и рядом с ним. Известно, что аналогичный анализ провела ФБР в рамках масштабной кампании поиска бунтовщиков, по меньшей мере 20 из которых уже находятся под стражей.

Полученные данные дают представление о том, как пользователи сайта Parler роятся на территории Капитолия.

Осада 6 января продолжалась около двух часов и привела к гибели пяти человек, в том числе офицера полиции Капитолия, которого ударили огнетушителем. На стенах 220-летнего здания нанесены граффити, внутри разбиты окна, перевёрнуты столы. Среди видеороликов от повстанцев есть интересная запись из кабинета спикера Палаты представителей Нэнси Пелоси с включённым компьютером, на экране которого открыто письмо с предупреждением от службы безопасности.



Точное местоположение пользователей Parler внутри здания на самом деле трудно определить. Координаты в метаданных не позволяют понять, на каких этажах они находятся. Кроме того, они показывают расстояние с ограничением примерно 11 метров.



Другие точки за пределами Капитолия показывают поток протестующих от Национального торгового центра.

В интервью Gizmodo donk_enby говорит, что начала архивировать сообщения Parler в день сбора протестуюших у Капитолия 6 января. Когда стало ясно, что Amazon намеревается удалить приложение со своих серверов, она удвоила свои усилия, стараясь скачать абсолютно весь контент Parler.

По оценке @donk_enby, ей удалось сохранить более 99% всех сообщений Parler, включая 1,1млн видео с указанием местоположения пользователей. В отличие от большинства своих конкурентов, Parler не смог внедрить механизм удаления конфиденциальных метаданных из видеофайлов до их публикации в интернете.

Анализ фотографий в соцсетях даёт много полезной информации. В понедельник от работы отстранили двух сотрудников полиции Капитолия: один сделал селфи с бунтовщиками, а другой надел красную кепку MAGA и направлял их по зданию.

Деанонимизация человека по его GPS-координатам


Вообще, при анализе GPS-метаданных всех видеозаписей отдельного пользователя Parler за всё время, если их достаточное количество, то можно составить некоторый профиль на человека, вплоть до определения его домашнего адреса и места работы. Даже если это анонимный профиль, мы можем узнать имя человека только по его GPS-координатам.

Нужно иметь в виду, что GPS-записи пользователей можно получить не только в результате бага на сайте Parler. Сбором этих координат занимаются десятки трекинговых компаний. Например, в рамках проекта Privacy газеты NY Times был изучен файл с более 50 миллиардами записей. Каждая запись в базе данных местоположение одного смартфона. Период несколько месяцев в 2016 и 2017 годах.



Журналисты NY Times раздобыли этот файл от трекинговой компании. Это самый крупный и наиболее информативный массив данных, когда-либо утёкший в открытый доступ.


Визуализация GPS-координат из датасета

Мы рассказывали в статье Как отслеживают людей по анонимизированным" датасетам, что такая история перемещений собирается буквально на каждого пользователя мобильного телефона. Трекинг выполняется через любое мобильное приложение, у которого есть разрешение на доступ к информации о местоположении устройства или если нет такого права. Например, приложение Facebook отслеживает местоположение пользователей, даже если запретить это в настройках. Затем информация продаётся брокерам.

Ряд научных исследований показал, что личность человека легко установить по истории его перемещений. Учёные пришли к выводу, что действительно точную и длительную историю геолокации абсолютно невозможно обезличить. Это как отпечатки пальцев или ДНК человека.

В то же время компании продолжают утверждать, что данные являются анонимными, чтобы успокоить людей по поводу столь инвазивного мониторинга. Кроме того, согласно законодательству Российской Федерации и других стран, частным компаниям никто не запрещает свободно собирать и продавать данные о местоположении и другую персональную информацию, пока эта информация считается анонимной. Поэтому компании и пользуются лазейкой для сбора и продажи массивных баз данных с якобы анонимными GPS-координатами.

История геолокации многое говорит о человеке, но трекинговые фирмы собирают гораздо более подробное досье на каждого человека, включая туда информацию с других трекеров, в том числе история действий в интернете, просмотренных страниц и поисковых запросов на персональном компьютере, ноутбуке, планшете и смартфоне; видеоролики, фильмы и передачи, запущенные на экране телевизора и многое другое.

Большинство пользователей не возражает против сбора данных в мобильных приложениях, потому что не осознают масштаба слежки и готовы мириться с ней ради удобства потребления и коммуникации. Самый большой трюк, который когда-либо провернули технологические компании, они убедили общество следить за собой, пишет NY Times.
Подробнее..

Визуализация пользователей Parler во время штурма Капитолия США по GPS-метаданным видеороликов

13.01.2021 20:16:14 | Автор: admin


6 января 2021 года толпа протестующих захватила Капитолий США. Несколько десятков проникли внутрь здания в места, обычно закрытые для публики, в том числе в кабинеты парламентариев и зал заседаний. Естественно, они сразу начали делать селфи, снимать видео и тут же публиковать в соцсетях. Некоторые даже стримили в прямом эфире.

Среди бунтующих оказалось и несколько пользователей твиттероподобной соцсети Parler. Это выяснилось по GPS-метаданным с их видеороликов. Дело в том, что Parler не зачищает эти метаданные в стандартном порядке, как это делают остальные соцсети, чтобы защитить приватность людей.

Казалось бы, как провести анализ метаданных, если сайт недоступен с понедельника, когда компания Amazon отказалась его обслуживать. Но благодаря юной хакерше @donk_enby у нас есть архив на 56,71ТБ со всеми данными, опубликованными в соцсети.



donk_enby входит в коллектив Archive Team, который занимается архивированием разных сайтов. Особенно тех, которым грозит закрытие (скажем, Reddit постоянно банит разные коммьюнити за якобы хейтерство, как это произошло с /r/fatpeoplehate, или, например, все сайты на платформе Google Sites точно уйдут в офлайн 1.10.2021). Архивируются также сайты, где размещается важный контент. В случае Parler это было важно, потому что именно здесь ультраправые националисты США планировали свои акции. Они использовали и другие платформы, которые считаются альтернативой мейнстриму: Gab, MeWe, Zello и Telegram.

В архиве Parler за всё время накопилось 1,1млн видеозаписей. Метаданные выглядят примерно так:



Анализ всех файлов, опубликованных 6 января (день мятежа), выявил 618 видеороликов с GPS-координатами на территории Капитолия и рядом с ним. Известно, что аналогичный анализ провела ФБР в рамках масштабной кампании поиска бунтовщиков, по меньшей мере 20 из которых уже находятся под стражей.

Полученные данные дают представление о том, как пользователи сайта Parler роятся на территории Капитолия.

Осада 6 января продолжалась около двух часов и привела к гибели пяти человек, в том числе офицера полиции Капитолия, которого ударили огнетушителем. На стенах 220-летнего здания нанесены граффити, внутри разбиты окна, перевёрнуты столы. Среди видеороликов от повстанцев есть интересная запись из кабинета спикера Палаты представителей Нэнси Пелоси с включённым компьютером, на экране которого открыто письмо с предупреждением от службы безопасности.



Точное местоположение пользователей Parler внутри здания на самом деле трудно определить. Координаты в метаданных не позволяют понять, на каких этажах они находятся. Кроме того, они показывают расстояние с ограничением примерно 11 метров.



Другие точки за пределами Капитолия показывают поток протестующих от Национального торгового центра.

В интервью Gizmodo donk_enby говорит, что начала архивировать сообщения Parler в день сбора протестуюших у Капитолия 6 января. Когда стало ясно, что Amazon намеревается удалить приложение со своих серверов, она удвоила свои усилия, стараясь скачать абсолютно весь контент Parler.

По оценке @donk_enby, ей удалось сохранить более 99% всех сообщений Parler, включая 1,1млн видео с указанием местоположения пользователей. В отличие от большинства своих конкурентов, Parler не смог внедрить механизм удаления конфиденциальных метаданных из видеофайлов до их публикации в интернете.

Анализ фотографий в соцсетях даёт много полезной информации. В понедельник от работы отстранили двух сотрудников полиции Капитолия: один сделал селфи с бунтовщиками, а другой надел красную кепку MAGA и направлял их по зданию.

Деанонимизация человека по его GPS-координатам


Вообще, при анализе GPS-метаданных всех видеозаписей отдельного пользователя Parler за всё время, если их достаточное количество, то можно составить некоторый профиль на человека, вплоть до определения его домашнего адреса и места работы. Даже если это анонимный профиль, мы можем узнать имя человека только по его GPS-координатам.

Нужно иметь в виду, что GPS-записи пользователей можно получить не только в результате бага на сайте Parler. Сбором этих координат занимаются десятки трекинговых компаний. Например, в рамках проекта Privacy газеты NY Times был изучен файл с более 50 миллиардами записей. Каждая запись в базе данных местоположение одного смартфона. Период несколько месяцев в 2016 и 2017 годах.



Журналисты NY Times раздобыли этот файл от трекинговой компании. Это самый крупный и наиболее информативный массив данных, когда-либо утёкший в открытый доступ.


Визуализация GPS-координат из датасета

Мы рассказывали в статье Как отслеживают людей по анонимизированным" датасетам, что такая история перемещений собирается буквально на каждого пользователя мобильного телефона. Трекинг выполняется через любое мобильное приложение, у которого есть разрешение на доступ к информации о местоположении устройства или если нет такого права. Например, приложение Facebook отслеживает местоположение пользователей, даже если запретить это в настройках. Затем информация продаётся брокерам.

Ряд научных исследований показал, что личность человека легко установить по истории его перемещений. Учёные пришли к выводу, что действительно точную и длительную историю геолокации абсолютно невозможно обезличить. Это как отпечатки пальцев или ДНК человека.

В то же время компании продолжают утверждать, что данные являются анонимными, чтобы успокоить людей по поводу столь инвазивного мониторинга. Кроме того, согласно законодательству Российской Федерации и других стран, частным компаниям никто не запрещает свободно собирать и продавать данные о местоположении и другую персональную информацию, пока эта информация считается анонимной. Поэтому компании и пользуются лазейкой для сбора и продажи массивных баз данных с якобы анонимными GPS-координатами.

История геолокации многое говорит о человеке, но трекинговые фирмы собирают гораздо более подробное досье на каждого человека, включая туда информацию с других трекеров, в том числе история действий в интернете, просмотренных страниц и поисковых запросов на персональном компьютере, ноутбуке, планшете и смартфоне; видеоролики, фильмы и передачи, запущенные на экране телевизора и многое другое.

Большинство пользователей не возражает против сбора данных в мобильных приложениях, потому что не осознают масштаба слежки и готовы мириться с ней ради удобства потребления и коммуникации. Самый большой трюк, который когда-либо провернули технологические компании, они убедили общество следить за собой, пишет NY Times.
Подробнее..

Privacy Day 2021 важные дискуссии о приватности и проекты Privacy Accelerator

03.03.2021 16:23:30 | Автор: admin

В День защиты персональных данных 28 января РосКомСвобода совместно с Digital Rights Center и Privacy Accelerator провела ежегодную международную конференцию Privacy Day 2021. На ней подвели итоги 2020 года и очертили тренды 2021-го. Обсуждённые экспертами темы, такие как слежка на фоне пандемии COVID-19, непонимание государством, как правильно защищать персональные данные граждан и утечки информации из компаний, всё ещё остаются актуальными. Ниже мы осветим важные моменты из этих обсуждений, но начнём с представления проектов Privacy Accelerator, который был запущен при участии РосКомСвободы.

Проекты Privacy Accelerator

Privacy Accelerator онлайн-программаинтенсивного развития коммерческих и некоммерческих проектов в области приватности, анонимности, доступа к информации и свободы слова и цифровых прав.

В 2020 году для контроля за распространением коронавируса были введены новые инструменты отслеживания через мобильные приложения. Также власти продолжают внедрять системы распознавания лиц, процесс непрозрачен и не подконтролен обществу, происходят утечки данных и их неправомерное использование. Угроза для свободы слова и самовыражения возрастает. В сентябре 2020 был выпущен первый поток Privacy Acceleratorи отобрала для участия четыре проекта в области цифровой грамотности и защиты коммуникаций в Сети.

Мы хотим увеличить число качественных проектов, обеспечивающих цифровые права граждан и их личную безопасность, благодаря менторским консультациям ведущих экспертов по направлениям и поддержке наставников, рассказала координатор Privacy AcceleratorДарья Горбачёва.

Программу поддержали Хабр, ProtonMail, Qrator Labs и ряд экспертов. Мы помогли участникам реализовать продукты от идеи до запуска. Рассказываем о некоторых из них ниже. В скором времени планируем запуск нового потока с хакатоном на старте. В планах проведение минимум двух таких программ в год.

Тех технологий, что есть, либо недостаточно, либо о них плохо знают. Мы хотим, чтобы тема приватности вышла на более широкую аудиторию, заключила Горбачёва.

Personalka

Проект-победительPandemic Hackathon, который прошёл в мае 2020 года.

Представляет собой сервис анализа и хранения соглашений об обработке персональных данных. Как говорят авторы проекта, он призван повысить осознанность людей при подписании согласия на обработку их личной информации и привлечь внимание общества к проблеме нецелевого использования персональных данных. Рассчитан на два сценария онлайн и офлайн.

Онлайн-сценарий учитывает сайты и интернет-сервисы, на которых согласие прячется за мелким шрифтом. Офлайн бумажные соглашения, которые дают на подпись в магазинах, гостиницах. Проект предлагает сопровождение и помощь на всех этапах взаимодействия с компанией и её политикой.

Сначала авторы хотели сервис по отзыву соглашений. Но оказалось, что это всего лишь часть процесса. Поэтому в итоге сервис из трёх компонентов.

  1. Сайт, на который можно загрузить текст соглашения. Сервис проводит анализ соглашения по двум критериям: кто операторы данных и какие есть риски (реклама, передача данных третьим лицам). Также он предлагает шаблон отзыва согласия.

  2. Плагин в браузере, который находит все точки, требующие передачи данных (кнопочки, галочки).

  3. Бот для бумажных документов, который умеет обрабатывать фото и скриншоты в процессе анализа соглашений.

SelfPrivacy

Open-source сервер-платформа на хостинге пользователя для развертывания персональных приватных сервисов, управляемых с помощью мобильного приложения через API провайдеров (Hetzner, AWS, Cloudflare). Все сервисы, такие как почта, VPN, мессенджер, менеджер паролей, файловое хранилище, будут собраны в одном месте.

Лицензионное соглашение не требуется. Приложение предполагает открытый код, отсутствие регистрации, телеметрии, трекинга и, по словам авторов, полную независимость даже от разработчиков. Скачали, установили и всё, говорят они.

В планах у команды тестирование, развитие платформы и релиз на площадках (F-droid, Play Market, App Store).

Amnezia

Проект-победительхакатона DemHack, который состоялся осенью 2020 года.

Сервис на основе полностью открытого исходного кода (серверной и клиентской части) для самостоятельного развертывания VPN-сервера, максимально безопасного и конфиденциального.

Рынок коммерческих VPN растёт каждый год, поскольку VPN решает две важные проблемы обхода блокировки сайтов и сохранения приватности пользователей. Авторы хотят положить начало новой тенденции развитию простых и понятных интерфейсов с дешёвыми тарифами и установкой в один клик.

Мы планируем убедить провайдеров сделать удобный интерфейс, чтобы купить VPS сервер было не сложнее, чем оплатить любой известный коммерческий VPN сервис, говорят разработчики. Настроить собственный VPN сервер в 2021-м так же полезно, как купить биткоины в 2011-м.

Алексей Сидоренко: Четыре всадника апокалипсиса приватности: кто они и как их победить

Руководитель Теплицы социальных технологий Алексей Сидоренко в личном выступлении иронично представил проблемы с приватностью в виде четырёх всадников апокалипсиса, которые являются результатом асимметрии власти, когда у граждан и пользователей есть значительно меньше возможностей управлять своими персональными данными, чем у разработчиков и чиновников.

Четыре всадника дата-апокалипсиса выглядят следующим образом.

Избыточная коммерциализация. Она, что интересно, подразумевает не столько чрезмерный сбор данных Facebook (хотя и это тоже), сколько нелегальность сбора, например, на рынке пробивки данных.

Махровая безалаберность. Появляется в силу человеческого фактора и отношения к человеку не как к человеку, а как строчке в базе данных.

Тоталитарный оппортунизм. Работает по принципу а давайте соберём как можно больше, а что с ними делать, разберёмся потом.

Адская игрофикация. Максимальный сбор данных и сегментация. Уже находит своё воплощение в виде Социального мониторинга в Китае.

Для борьбы со всадниками необходимы законодательные меры, как в Европе, где система построена вокруг людей и их интересов, а вокруг не строчек в базе данных. Сидоренко призвал изменить мышление в сторону гуманизма не только законодателей, но и разработчиков.

Давайте подойдём к приватности как к задаче для разработчиков, головоломке, заявил он.

Дискуссия Большой Брат знает всё: зачем госорганам всё больше информации о нас?

Интернет-омбудсмен Дмитрий Мариничев на конференции был настроен серьёзно и при том пессимистично. По его мнению, через 10-20 лет с приватностью в России будет только хуже. При авторитарной модели управления нет граждан, а есть поданные, которые представляют для государства просто ресурс, по которому есть определённые данные и метаданные. Наша страна пойдёт по пути Китая, когда государство стремится к содержанию всей информации в реестрах.

В горизонте пяти лет мы увидим обработку всех собранных нейросетями массивов, на основе которых будут делаться выводы о людях и прогнозирование их поведения.

По словам Мариничева, система наблюдения станет внушать человеку паттерны поведения, но он будет думать, что принимает решение сам. Сложится цифровая диктатура, однако в ней, как ни странно, людям будет комфортно, потому что жить они станут не задумываясь над тем, как они принимают решения. Сознательных же людей, которые видят, что что-то не так, довольно мало.

В этих условиях может появиться тренд тотальной открытости данных, когда всё будет открыто, но действия с данными только с разрешения их владельцев. Грубо говоря, шифровать ничего не будем, но для действий с данными понадобится разрешение, пояснил Мариничев.

Директор Общества защиты интернетаМихаил Климарёврассказал, как в рамках составления (совместно с РосКомСвободой)Рейтинга соблюдения цифровых прав 2020он оценил приложениеГосуслугипо степени защиты данных пользователей.

Исследование проводилось по методикеRanking Digital Rights, которая при изучении публичной позиции и политик компаний по соблюдению прав человека использует официальные веб-ресурсы компаний (технические домены третьего и более высокого уровня), веб-ресурсы материнских компаний/группы компаний, в которые входят сервисы (например, Mail.ru Group), официальные блоги компаний, а также открытые источники информации, в т.ч. СМИ и медиа-ресурсы.

В рамках этой методики рассматриваемые вопросы группировались по четырём темам:

транспарентность;
права потребителя;
приватность;
свобода информации.

Климарёв проанализировал Госуслуги по этим четырём пунктам (в каждом есть ещё множество подпунктов) и представил итоги в сжатом виде. Так, принципа свободы информации приложение не придерживается, transparency report не публикует, приватность защищает только на 30%, права потребителей на 20%.

В итоге приложение Госуслуги занимает почётное последнее место в списке приложений. На первых трёх, к слову, расположились Хабр, ВКонтакте и Яндекс. Более детально ознакомиться с Рейтингом соблюдения цифровых прав 2020 можноздесь. Подробная методология исследования представлена поэтой ссылке. Ждите наш Рейтинг соблюдения цифровых прав 2021 он выйдет уже скоро!

Директор АНО Информационная культура Иван Бегтин представил исследование Государственные мобильные приложения. Куда передаются данные из приложений, созданных органами власти.

В рамках него специалисты разобрали, какие данные собирают 44 государственных приложения (Мои Документы Онлайн, Добродел, Госуслуги, Активный гражданин, Парковки Москвы и др.) из разных регионов и что могут с ними делать. Оказалось, что 39 приложения включают код сторонних трекеров, 38 при этом код трекеров в зарубежных юрисдикциях.

Данные передаются компаниям в США и Японии. Всего 5 сервисов не содержат сторонних трекеров. Это ЕГР ЗАГС, Госуслуги.Дороги, Липецкая область, HISTARS, Работа в России. В одном приложении может быть до 10 трекеров (Moscow transport).

Вопрос не в том, можно или нельзя так делать, а в двуличности власти, которая говорит об импортозамещении и одновременно сама поставляет данные за рубеж, сделал важное замечание Бегтин.

Как и Сидоренко, Бегтин полагает, что разработчикам следует быть более ответственными. Так, им стоит подумать о саморегулировании и внимательнее относиться к юридическим вопросам передачи данных сторонним сервисам.

В одних случаях использование сторонних сервисах, впрочем, может быть оправдано (Google Crashlytics, Google Firebase), отметил Бегтин. В других это совсем необъяснимо и сделано исключительно для удобства разработчиков: Flurry, HockeyApp, Estimote, Amplitud, Mapbox. Следствием этого удобства и является передача данных компаниям, которые торгуют данными на рынке.

Чем больше разрешений, тем больше шансов, что данные о вас передадутся в любой момент, заключил спикер. Пока регуляторы бездействуют, а разработчики не думают о приватности, Бегтин советует пользователям

тщательно взвешивать, стоит ли устанавливать на смартфон то или иное приложение;

проверять приложения на безопасность через такие сервисы, как Expodus Privacy.

Директор Центра ИТ-исследований РАНХиГС Михаил Брауде-Золотарёв не согласился с Иваном Бегтиным, что риски по утечке данных за рубеж выше, чем в России, особенно если это данные про данные, а не сами пользовательские данные. Он считает, что это не так. Помимо этого спикер указал, что для эффективной работы законов надо отделить плохое от хорошего. В России для этого механизма нет.

Не согласен Золотарёв с Бегтиным и в том, что регулирования в России нет. По его словам, оно есть формальное. Но нет инструментов его реализации, соответствующей культуры в обществе и надзора над его исполнением.

По мнению спикера, с инструментальной точки зрения, следует выделять не чёрные зоны законодательства, что тоже важно, а белые и работать с ними.

Механизм защиты данных понятен. При наличии политической воли и осознании потребности проблему можно решить за год-полтора и покрыть 80% законов о данных.

Журналист-расследовательАндрей Каганскихрассказал о том, как целый год вместе с РосКомСвободой он указывал Департаменту информационных технологий Москвы на отдельно взятую уязвимость в системе распознавания лиц. Никакой реакции на это не последовало (чиновники так и не остановили утечки данных с московских камер), а ответ для СМИбылвсегда один никаких утечек нет.

Это попытка моделирования реальности, когда говорят, что ничего не утекает, отметил Каганских.

Напомним, РосКомСвободамониториласитуацию всю весну, а летом провела эксперимент: волонтёр Аннакупилаполное досье на себя за 15 тыс. руб. Кроме того, выяснилось, что барыги на чёрном рынке на просьбу показать, как работает слив данных, предоставили данные шести человек просто в качестве примера.

ДИТ отвечает, что система анонимна, но на делевозможнытак называемые корреляционные атаки, когда фотографии сопоставляются с данными из других систем, в результате чего личность человека раскрывается, напомнил Каганских. К примеру, в МВД есть система, которая сверяет изображения с данными из системы Российский паспорт. Получается, что анонимность системы по факту формальна. Можно использовать две системы и фото человека и на выходе получить досье на него.

Юрист РосКомСвободы Екатерина Абашина рассказала, как должно реагировать общество на вызовы приватности. Она дала слушателям несколько конкретных советов.

Знать свои права как субъектов персональных данных.

Быть проактивными.

Понимать границы допустимого для государства.

Я призываю граждан внимательнее относиться к тому, какую информацию они передают госорганам и коммерческим организациям, разобраться, где требования законны, а где нет, и стараться отстаивать свои права, в том числе через суд, потому что другого порядка, к сожалению, во многих случаях нет. РосКомСвобода готова в этом помогать, заявила Абашина.

Юрист напомнила, что РосКомСвобода проводит кампанию за введение моратория на использование системы распознавания лиц Bancam и собирает случаи нарушения цифровых прав в в пандемию на карте Pandemic Big Brother. В первом случае вы можете помочь нам, присоединившись к кампании и подписав петицию на сайте, во втором сообщив о соответствующих нарушениях.

Помимо этого юристы РосКомСвободы оказывают юридическую помощь как отдельным лицам, например, Сергею Межуеву, так и в целом обжалуют постановления госорганов, как в случае с указом мэра Москвы Собянина о сборе персональных данных ушедших на удалённую работу сотрудников столичных организаций.

По юридическим вопросам к нам можно обращаться на legal@roskomsvoboda.org.

Подробнее о дискуссии читайте здесь.

На чьей стороне приватность? Мировые практики и болевые точки

Эксперты из Беларуси, Казахстана, Кыргызстана, Германии, а также из РосКомСвободы и Access Now рассказали о цифровых практиках государств в борьбе с коронавирусом, подвели итоги за год и сделали прогноз на будущее.

Интересно отметить, что, как и на первой панели, в выступлениях спикеров звучали тезисы об ответственности разработчиков за производимые технологии, которые используются правительствами для слежки за гражданами. И грустно осознавать, что российская модель обращения с персональными данными на сравнительной шкале адекватной защиты всё чаще оказывается рядом с репрессивным Китаем. Самое печальное предпосылок к позитивным изменениям в нашей стране нет.

2020 год оказался годом пандемии, а вместе с ней ещё и тотальной слежки за гражданами, рассказала координатор проекта Pandemic Big Brother Алёна Рыжикова. В апреле РосКомСвобода и Human Constanta запустили карту Pandemic Big Brother, на которой собирают случаи нарушения цифровых прав.

Почти вся карта окрашена в красный цвет, что означает, что введённые ограничения продолжают там действовать.

Самым популярными средством слежки стали государственные мобильные приложения. Так, 116 стран запустили собственные коронавирусные приложения

для отслеживания контактов с заражёнными;

для выдачи цифровых пропусков;

для самодиагностики;

для отслеживания соблюдения обязательного карантина больными.

Только в России в прошлом году было запущено четыре приложения:

Госуслуги СТОП Коронавирус (выдача цифровых пропусков);

Социальный мониторинг (контроль за соблюдением карантина);

Карантин (проверка цифровых пропусков у водителей);

Госуслуги. COVID-трекер (отслеживание контактов с больными коронавирусом).

Запуск таких приложения в ускоренном режиме приводит к тому, что приложения оказываются недоработанными, а собираемые данные лишены надёжной защиты, что приводит к утечкам , заявила Рыжикова и напомнила, как сервис Социальный мониторинг автоматически выписывал штрафы за нарушение карантина даже тем людям, которые этот карантин вовсе не нарушали.

Во время пандемии усилилась интернет-цензура и охота на фейки , отдельно отметила спикер. В России весной был принят соответствующий закон, по которому на журналистов и СМИ посыпались штрафы. Подобные законы были приняты в более чем десяти странах мира. В Арабских Эмиратах могут оштрафовать на сумму до 5,5 тыс. долл., а в Марокко посадить на срок до трёх лет.

Это грубо нарушает право на свободу слова граждан. Наказание за такие преступления избыточны, резюмировала Рыжикова.

Эксперт правозащитной организации Human Constanta Алексей Казлюк отметил, что в Беларуси повестку коронавируса перебивает повестка протестов, которые начались после выборов президента в августе 2020 года. В стране имеет место слежка за протестующими.

Власть внедряет технологии слежения это плохо. Но все инструменты слежки хорошо работают и им можно противостоять это хорошо. Более того, государство не успевает внедрять всё то, что хочет. Государства, которым не хватит денег на слежку, не успеют в полной внедрить соответствующие технологии. Это, собственно, Беларусь. А вот Казахстан и Россия вызывают более тревожные ощущения, отметил правозащитник.

2021 год возможно, последний год, когда можно протестовать безнаказанно. Потому что потом все инструменты для борьбы с коронавирусом получат новое применение.

Между тем, как считает Казлюк, безответственность производителя технологий уходит в прошлое. Так, компания по распознаванию лиц Synesis попала в санкционный список Евросоюза. Международное адвокатирование один из инструментов борьбы со слежкой. Правозащитники добивались подобного давно, но только сейчас тенденция наконец-то проявилась.

Мы должны просвещать и учить людей защищать свои данные, уверен правозащитник. По его словам, это повестка на ближайший год.

Заместитель председателя немецкой Pirate Parties International Грегори Энгельс рассказал об опыте Германии, представив два примера использования технологий в стране, один положительный, другой негативный.

Положительный пример приложение Corona Warn-app, которое спроектировано так, что исключает слежку за гражданами благодаря протоколу DP-3T Decentralised (данные сохраняются исключительно на телефоне). Близлежащие устройства обмениваются загружаемыми результатами тестов своих владельцев, но только таким образом, что понять, был ли человек в зоне риска, можно, а узнать, кто именно из контактов болен, нельзя. Результаты сразу тестов идут со специальным QR-кодом, которые сохраняет в безопасности персональные данные владельца.

Использование приложения анонимно и добровольно. Сервис не собирает данные, которые не нужны для отслеживания контактов, например, геолокацию, хотя и в Германии есть политики, которые, не понимая, как работают технологии, говорят, что надо собирать о людях больше данных.

Хорошо, что приложения спроектированы так, что данные, которые требуют политики, не только не существуют, но их и невозможно собрать, отметил Энгельс.

Негативный пример рестораны оказались вынуждены вести списки посетителей и время посещения. Позже полиция стала забирать эти списки для своих нужд по причинам, не связанных с коронавирусом. Для конфискации этих данных нужно решение суда, его, разумеется, не было. К сожалению, рестораны, чтобы не связываться с полицией, отдавали эту информацию и даже сливали её в централизованное приложение, которое довольно быстро вскрыли хакеры.

Основатель Eurasian Digital Foundation Руслан Дайырбеков заявил, что пандемия потребовала от государств принятия срочных цифровых решений. В том числе Казахстан внедрил разного рода технологии слежения, силу которых граждане ощутили в полной мере. За нарушителями режима самоизоляции следили при помощи мобильного приложения Smart Astana, систем городских камер видеонаблюдения Сергек, Карты мобильных абонентов, дронов и прочих цифровых инструментов.

Дайырбеков отметил недостаточность механизмов обеспечения приватности и оценки влияния технологий. Кроме того, многие проекты свернули, но уничтожат ли собранные данные, непонятно.

К сожалению, нет правовых механизмов оценки влияния технологий на права человека.

Спикер рассказал и о позитивном развитии законодательства в сфере персональных данных: прошедший год ознаменовался большим шагом в развитии этой области.

Так, был принят закон о регулировании цифровых технологий, представляющий собой пакет поправок в существующие законы. Речь идёт о действительно позитивных изменениях, поскольку государство имплементировало международный стандарт минимизации данных, а также установило правила дактилоскопической, геномной и биометрической регистрации.

Помимо этого появился уполномоченный орган по защите персональных данных, который, правда, пока сложно назвать независимым, поскольку представляет министерство цифрового развития.

Юрист Гражданской инициативы интернет-политики в Кыргызстане Ирина Байкулова подтвердила, что в её стране было много вещей, которые отразились на карте Pandemic Big Brother. В Кыргызстане происходили следующие вещи.

Ограничение свободы слова онлайн, преследование за посты в социальных сетях в рамках борьбы с коронафейками. Врачей и активистов и заставляли отречься от слов и приносить извинения всему кыргызскому народу.

Ужесточение санкций за нарушение санитарно-эпидемиологических норм, условий карантина и самоизоляции, распространение в Сети ложной информации. Были внесены изменения в кодексы об ответственности (приняты по ускоренной процедуре, без общественного обсуждения), введены штрафы за распространение недостоверной информации, если она нарушает общественный порядок и спокойствие граждан на территории, где объявлен режим ЧП.

Ограничение доступа к официальной информации. Журналистов не аккредитовывали на брифинги госорганов.

Несоблюдение конфиденциальности пациентов. В парламенте обсуждалась необходимость опубликования списков лиц, заразившихся коронавирусом. Подразумевалось, что люди, которые контактировали с заболевшими, сами пойдут сдавать анализы. Имели место утечки данных о больных (факты распространения в мессенджерах данных о пациентах), что к стигматизации, особенно в первые месяцы распространения инфекции.

Слежка через государственные цифровые сервисы, использование технологий для отслеживания, нарушающих право на частную жизнь, в частности, мобильное приложение Stop COVID-19 KG.

Максимальный сбор данных трекерами на приложениями, вплоть до местоположения, при отсутствии положений конфиденциальности о том, кто собирает данные, как хранит, куда передаёт.

Утечки данных. В социальных сетях и мессенджерах было распространено видео с описанием работы приложения, фактические разгласившее особо чувствительные персональные (медицинские) данных. Информация оказалась общедоступна.

Электронные пропуска на разрешённые виды деятельности, такие как логистика, доставка продуктов в маркеты, оказание медицинской помощи, волонтёрство.

Электронный маршрутный лист (обязательный документ онлайн или офлайн формы для возможности передвижения по городу в период ЧП/ЧС).

Как хранятся собранные данные, сейчас неизвестно. Неясно, какое количество ПД было собрано, как они использовались, где и в каком виде они хранятся, кто имел к этим данным доступ, защищены ли эти данные от утечек.

Несмотря на многочисленные нарушения, были и положительные моменты. Это оказание услуг связи и интернета абонентам, у которых сформировалась задолженность в оплате, и разработка большого числа бесплатных приложений по предоставлению информации об инфекции и консультаций врачей. Кроме того, невозможность получить многие государственные и банковские услуги позволила переоценить важность цифровизации, безналичных расчетов. Это ускорило цифровую трансформацию и государства, и бизнеса, считает Байкулова. Но вместе с тем, к сожалению, усилило и слежку.

Мы видим, что госорганы всё больше присматриваются к опыту других стран по использованию технологических механизмов контроля, и к сожалению всё больше обращаются не к европейскому опыту (защите privacy), а к китайскому и российскому. Причём скорее вне зависимости от пандемии COVID-19, этот тренд достаточно устойчивый, заключила эксперт.

Эксперт по защите цифровых прав из международной некоммерческой организации Access Now Наталья Крапива сделала прогноз о том, развитие каких трендов стоит ожидать в 2021 году. В их числе распознавание лиц, наблюдение за коммуникациями, применение искусственного интеллекта.

Спикер также выделила следующие тенденции в проводимых политиках разных государств.

1. Правительства станут требовать от людей паспорта вакцинации, что грозит раскрытием и утечкой персональных данных людей и дискриминацией. При этом не существует доказательств, что такие паспорта могут защитить от инфекции.

2. Страны будут продвигать идею суверенитета данных. Отсюда вытекает положительный момент независимость от технологических компаний. Однако Китай, Россия, Чили и даже страны Евросоюза понимают суверенитет как возможность тотальной слежки за гражданами.

3. Регуляторы продолжат рассматривать защиту данных и конкуренцию совместно для контроля над BigTech. Политика защиты данных и антимонопольное законодательство будут совпадать, что проиллюстрировало антимонопольное заседание Конгресса США. Это хорошо, потому что не позволяет компаниям упрочить свою власть.

4. Произойдёт реформа законодательства, связанного со слежкой, для обеспечения передачи данных с Евросоюзом. США уже потеряли возможность переносить данные из Европы к себе.

5. Многие страны, где нет строгих законов о защите данных, начнут двигаться в этом направлении. Это США, Тунис, Эквадор, Индия, Австралия, Боливия. В России, к сожалению, предпосылок к этому нет.

Будем оптимистами и станем надеяться, что как можно больше стран подпишут, ратифицируют и полностью имплементируют Конвенцию о защите физических лиц при автоматизированной обработке персональных данных и её протокол. Эти документы способствуют продвижению концепции прав человека и защите данных во всём мире.

Подробнее о дискуссии читайте здесь.

Соглашайся или уходи: почему интернет-платформы собирают наши данные и куда они утекают?

Представители компаний и сами пользователи представили совершенно разные точки зрения на то, что компании имеют право делать с пользовательскими данными. Так, разработчик решений для финансовых организаций Double Data считает, что может анализировать данные из соцсетей, потому что они общедоступны по своей форме. Фармацевтическая компания Novartis, напротив, уверена, что данные не должны продаваться, если в их суть не заложена коммерциализация, поскольку пользователи соцсетей по умолчанию не предполагают, что их данные будут использоваться в подобных целях. Управляющий партнёр LT Consulting рассказал о своём иске к Apple, а представитель РосКомСвободы о том, как можно влиять на отношение компаний к приватности клиентов.

Заместитель генерального директора по правовым вопросам Double Data Екатерина Калугина представила доклад на тему Пользовательские данные как инструмент конкурентной борьбы.

Юрист рассказала, что данные пользователей нужны компаниям в областях применения искусственного интеллекта, больших данных, анализа данных словом, везде, где необходимо обучать нейронные сети.

Пользовательские данные огромный ресурс, который может использоваться в том числе для устранения потенциальных конкурентов не только с рынка социальных сетей, но и со смежных рынков. Компания с доступом к данных пользователей получает преимущество. Ограничивая доступ к данным своим конкурентам, платформы пользуются двумя инструментами:

законодательством о персональных данных (кейс Facebook);

иммунитетом интеллектуальной собственности (Double Data против ВКонтакте).

Российский опыт в области иммунитетов интеллектуальной собственности представлен, хотя и не исчерпывается, спором Double Data и ВКонтакте. Напомним, социальная сеть в 2017 году подала в суд на компанию ООО Дабл, которая собирала общедоступные персональные данные пользователей. Поначалу соцсети было отказано в иске, затем апелляционная инстанция отменила это решение, дело дошло до кассационного суда, который отправил его на новое рассмотрение в первую инстанцию Арбитражный суд Москвы. Дабл утверждает, что их программа работает как поисковик и клиентам даёт только ссылки на профили пользователей. ВКонтакте же полагает, что Дабл именно извлекает данные пользователей из открытых профилей и использует в своих интересах, в то время как база данных собственность соцсети.

Развитие технологий возможно только в случае, если компании имеют равноправный доступ к открытым данным, уверена спикер. Претензии ВКонтакте способ конкурентной борьбы, считает и гендиректор Double Data Максим Гинжук.

Впрочем, в аналогичном споре Национального бюро кредитных историй, к которому у ВКонтакте тоже есть иск, и Роскомнадзора, проверившего НБКИ, Арбитражный суд Москвы признал, что социальные сети не являются источником общедоступных персональных данных применительно к положению ст. 8 закона Об информации.

Руководитель направления по защите персональных данных Novartis Россия/СНГ Илья Пикулин дополнил фразу Сергея Сидоренко: Я не строчка в базе данных, а личность. Спикер рассказал о компании, которая является примером ответственного подхода к пользовательским данным.

Транснациональная фармацевтическая компания Novartis заинтересована в данных и является потребителем сервисов, которые предоставляют данные. Но она старается трезво смотреть на то, что предлагают ей поставщики данных, например, рекламирующие программу поддержки клиентов. Как правило, они собирают о людях очень много данных и либо легко отдают их все, вплоть до скана паспорта, результатов медицинского тестирования или сведений о редких заболеваниях, либо просто убирают имена владельцев этих данных, не понимаю, что и без имени вычислить человека легко. А значит, настоящую деперсонализацию они не провели.

Процесс, которым мы можем управлять, попытка снизить аппетиты поставщиков, убеждая, что людям некомфортно делиться данными и лучше их минимизировать. Ведь чем больше данных, чем выше шанс, что они утекут и попадут в руки к мошенникам. Это нарушает права пользователей, а нам такие данные не нужны, сказал Пикулин.

При этом Novartis не отказывается от продукции сразу, но проверяет, насколько использовании данных законно. Конечно, иногда это приводит к потере коммерческой выгоды, однако компания нацелена на privacy by design.

Важно понимать, что чем больше данных задействовано, тем выше риск нарушений.

Как потребители мы должны менять культуру в отношении поставщиков услуг, чтобы соблюдался баланс между коммерческими интересами и правами субъектов. Когда они делятся в открытом доступе, не думают, что данные будут продаваться.

Данные не должны продаваться, если в их суть не заложена общедоступность, заключил эксперт.

Управляющий партнёр LT Consulting Тигран Оганян рассказал о своём иске к Apple. Модератор Алексей Мунтян заметил, что благодаря таким кейсам репутация компаний становится всё более важной в аспекте приватности.

В Нью-Йорке в своё время он приобрёл iPhone 6s и сим-карту T-Mobile, привязал телефон к своему Apple ID и использовал полученный телефонный номер около года. После этого, как потом выяснилось, гражданин США Реджи Лопес в Нью-Йорке купил iPhone 6 plus, а также новую сим-карту T-Mobile. Как только Лопес активировал сим-карту на новом iPhone, все сервисы Apple сразу привязались к его номеру телефона, в то время как старый телефонный номер Оганяна (он же новый номер Лопеса) оставался привязанным к Apple ID Оганяна.

Лопесу было неизвестно, что ранее этот номер принадлежал Оганяну. И хотя Оганян деактивировал и даже не вставлял сим-карту в свой телефон, он стал получать сообщения и звонки по iMessage и FaceTime, адресованные новому владельцу телефонного номера Лопесу. При этом Apple никогда не предупреждала своих клиентов о необходимости вручную отвязать старые номера, используемые на iPhone, от аккаунтов Apple.

Оганян получил более 100 сообщений и звонков, среди которых были личные фотографии и сообщения, явно адресованные Реджи Лопесу. Многочисленные попытки урегулировать данную проблему, включая обращение лично к Тиму Куку с просьбой провести внутреннее расследование, не увенчались успехом.

В Apple только посоветовали удалить телефонный номер и сим-карту, которая и так давно не использовалась и была заблокирована.

Сейчас Оганян судится с Apple с целью возмещения ущерба от обманных действий корпорации, умолчание которой о такой бреши в защите конфиденциальности нарушило права потребителей.

Это исключительно привилегия устройств Apple, отметил Оганян особенность смартфонов корпорации.

Юристы Оганяна доказали, что Apple в ходе маркетинговых кампаний предоставляла пользователям ложную информацию о защите их данных. Она позиционировала свои устройства как обладающие специальной защитой конфиденциальности. По этой причине компания назначала и премиальные цены. Оператор ItMobile также обманывал пользователей насчёт защищённости переписки и не требовал от прежних владельцев отвязывать номера от устройств, считает спикер.

Неразглашение Apple и ItMobile привело к тому, что пользователи стали ничего не подозревающими жертвами утечки их корреспонденции, заявил Оганян.

Примечательно, что iOS12 предположительно решала такие проблемы, но Apple так и не проинформировала потребителей о факте обнаружения бреши, которая существовала на протяжении семи лет. И важно, что даже сегодня далеко не все обновили ПО, поэтому указанные нарушения всё ещё могут иметь место.

Пока борьба не обретёт бизнес-очертания, выйдя за рамки правозащиты, она будет не результативна, убеждён Оганян. На такие корпорации суммы возмещения ущерба серьёзно не влияют. Более того, юристы компаний затягивают судебные разбирательства, что позволяет организации и дальше зарабатывать деньги.

Люди должны объединяться для решения таких задачи и привлекать инвестиции в свои кейсы, поскольку путь разбирательств очень длинный, уверен Оганян.

Все усилия правозащитного же сообщества должны быть направлены на создание условий быстрого развития кейсов. Тем быстрее будут результаты, заключил он.

Юрист РосКомсвободы Анна Карнауховарассказала про то, как составлялсяРейтинг соблюдения цифровых прав 2020. Об этом можно почитать выше в рамках выступления Михаила Климарёва.

Рейтинг написан простым языком, чтобы любой желающий мог понять, о чём речь, и, не теряясь в юридических терминах, мог оценить соблюдение компаниями своих прав перед началом использования сервисов, рассказала Карнаухова. Также есть случаи, когда компании обратились за рекомендациями, по которым можно проверить соответствие требованиям.

У нас есть основания полагать, что мы положительно влияем на компании, поскольку в новом отчёте лидеры поменялись. Считаем, реакция есть и изменения в лучшую сторону тоже, заявила Карнаухова.

К слову, октябре 2020 году Яндекс впервыепредставилотчёт о прозрачности, что, безусловно, повлияет на место компании в рейтинге 2021 года.

Мы верим, что Яндекс в том числе прислушался к ним, и рады, что нам удается положительно влиять на отрасль, заявила тогда юрист.

Подробнее о дискуссии читайте здесь.

Ждём вас на нашей конференции в следующем году! А пока смотрите Privacy Day 2021 на нашем канале на YouTube тут - подборка по отдельным видео в плейлисте):

Подробнее..

Администратор узла сети I2P. Полный курс

31.03.2021 22:18:24 | Автор: admin

I2P (Invisible Internet Project, Проект невидимого интернета) одноранговая сеть с открытым исходным кодом, где анонимность участников главная повестка всех архитектурных решений.

В I2P присутствует две основные сущности: роутер и конечная точка. Роутером называется программный клиент, который необходимо установить для использования I2P. По умолчанию роутер публикует реальные IP-адреса и активно взаимодействует с другими подобными участниками, выступая в роли транзитного узла и расширяя собственный рисунок сети, т.е. накапливает информацию о других доступных роутерах для их дальнейшего использования в своих туннелях. Конечная точка это осмысленная сущность сети, ведущая скрытую активность. Например, скрытый сайт, или выходной прокси обычного пользователя. Фактор анонимности I2P заключается в секретности месторасположений конечных точек: выявить роутер, являющийся родителем конечной точки, крайне сложно, а при должном подходе администратора невозможно.

Этот мануал посвящен администрированию роутера, т.е. пониманию конфигурации рядового узла, обеспечивающего функционирование скрытой сети.

Установка

I2Pd (Invisible Internet Protocol Daemon) роутер от преимущественно русскоговорящего сообщества PurpleI2P. Разрабатывается с 2013 года. Реализован на языке программирования C++, использует библиотеки OpenSSL и Boost. I2Pd является кроссплатформенным, готовые бинарники распространяются для платформ Windows, Linux, MacOS и Android. Очевидна возможность ручной компиляции, в том числе под операционные системы, не перечисленные выше. I2Pd имеется в стандартных репозиториях некоторых дистрибутивов Linux, однако для использования актуальной версии рекомендуется репозиторий сообщества. Основным местом распространения исходных кодов и бинарных файлов является репозиторий GitHub.

К счастью, администрирование I2P-роутера на всех платформах фактически идентично: веб-консоль на локальном адресе главный источник информации о текущей активности роутера. Адрес веб-консоли по умолчанию: http://127.0.0.1:7070.

Webconsole: Main page

Разберем всё по порядку:

Uptime Показывает прошедшее время с момента запуска.

Network status Сообщает сетевой статус роутера. В версиях выше 2.37.0 присутствует Network status 6 для отдельного отображения состояния сети на интерфейсах IPv6. Принимает значения:

  • Testing: Тестирование сетевых возможностей роутера.

  • OK: Всё в норме. Означает, что роутер работает в штатном режиме и доступен для соединений извне по протоколу TCP и UDP. Как правило, статус ОК появляется, когда порт I2Pd в операционной системе открыт, а IP-адрес доступен глобально, т.е. является выделенным, или белым (либо через NAT прокинут порт для I2Pd).

  • Firewalled: Является индикатором недоступности порта TCP извне. Может быть сигналом о блокировке рабочего порта I2Pd файерволом операционной системы. В большинстве случаев статус Firewalled видят пользователи за NAT-сервером, не имеющие выделенного IP-адреса: главным образом пользователи сотовых операторов.

  • Proxy: Работа роутера через прокси. Подразумевает работу только по протоколу NTCP2 (криптоаналог TCP), так как SSU (криптоаналог UDP) через прокси не ходит. Настраивается вручную через конфиг.

  • Mesh: Работа роутера в меш-сети. На момент написания статьи поддерживается работа в Yggdrasil Network. Статус Mesh подразумевает работу роутера исключительно через меш-сеть, минуя обычный интернет. В случае использования режима Mesh вместе с прокси, или непосредственной работой через интернет, статус Mesh не выводится.

  • Unknown: Отсутствует трафик SSU, при этом конфигурация роутера не соответствует индикаторам Proxy или Mesh.

Tunnel creation success rate Процент успешно построенных туннелей, т.е. процент успешно созданных туннелей от числа инициированных роутером. В среднем варьируется от 20 до 50%.

Received и Sent Объем полученной и отправленной информации с момента запуска роутера. В скобках указывается скорость передачи в настоящий момент.

Transit Объем транзитного трафика и актуальная скорость его потока.

Data path Рабочая директория роутера, где хранятся ключи и локальная база сети.

I2Pd поддерживает портабельный режим работы, когда все необходимые файлы приложения хранятся в одной директории рядом с исполняемым файлом. I2Pd автоматически начинает работать в портабельном режиме, если рядом с исполняемым файлом находится конфигурационный файл i2pd.conf.

Hidden content. Press on text to see Спойлер с чувствительной информацией о роутере. По умолчанию скрыт. Здесь отображаются IP-адреса с указанием протокола: SSU, SSUv6, NTCP2 и NTCP2v6 (приставка v6 обозначает работу по IPv6), а также криптографическое имя роутера (Router Ident), образуемое от публичного ключа router.keys. Этим ключом шифруется информация, адресуемая нашему роутеру.

В секции Our external address отображаются внешние IP-адреса роутера с указанием рабочего порта, на который роутер принимает внешние обращения. Случайный порт генерируется при первом запуске и сохраняется в файле router.info. Также есть возможность указать случайный рабочий порт вручную при запуске или в конфигурационном файле. Если в веб-консоли вы видите локальный адрес или нули, это сигнал о том, что рабочий порт роутера закрыт файерволом, либо ваш IP-адрес недоступен извне (т.е. не является выделенным). В случае протокола SSU при работе за NAT-сервером (например, через USB-модем), в списке внешних адресов роутера появится адрес NAT-сервера провайдера и порт, который в настоящее время закреплен за вами (Hole punch).

Особый интерес вызывает графа Router Caps по-русски: флаги роутера. Это специальные маркеры, публикуемые роутером, по которым другие участники сети получают представление о возможностях нашего роутера. Вы можете встретить следующие флаги:

  • f: Floodfill роутер является флудфилом.

  • H: Hidden роутер не публикует свои IP-адреса.

  • K: Канал для транзитного трафика до 12КБ/сек.

  • L: Канал для транзитного трафика до 48 КБ/сек (по умолчанию).

  • M: Канал для транзитного трафика до 64 КБ/сек.

  • N: Канал для транзитного трафика до 128 КБ/сек.

  • O: Канал для транзитного трафика до 256 КБ/сек.

  • P: Канал для транзитного трафика до 2000 КБ/сек.

  • X: Канал для транзитного трафика 2000 КБ/сек и выше (значение по умолчанию для флудфила).

  • R: Reachable роутер доступен для обращений извне, имеет выделенный адрес и открытый порт.

  • U: Unreachable роутер недоступен для внешних обращений.

Флаги роутера R и U в I2Pd указываются для корректной работы морально устаревшего Java-роутера. I2Pd эти флаги игнорирует и использует аналогичные флаги из Router Info (RI). Логично, что для каждого адреса флаги доступности могут различаться (например, для IPv4 за NAT и выделенного IPv6). В RI флаги указываются для каждого IP-адреса отдельно.

Router Info информация, публикуемая роутером о себе, которая включает ключи, флаги и IP-адреса. Файл router.info генерируется после каждого изменения состояния роутера и находится в рабочей директории Data path.

Помимо перечисленных флагов R и U, к адресам в Router Info опционально добавляются следующие:

  • 4: Скрытый адрес IPv4.

  • 6: Скрытый адрес IPv6.

  • B: Означает, что SSU-адрес обрабатывает пиртесты, т.е. может быть привлечен для проверки доступности роутера извне.

  • С: Означает, что адрес может быть интродьюсером (introducer) сущностью, выступающей в роли связующего звена для обращения к узлу со скрытым IP-адресом. Информация об использовании конечным узлом IPv4 или IPv6 необходима для совместимости на уровне транспорта после ответа связующего звена (флаги 4 и 6). Интродьюсер весьма емкая тема, которая будет подробно рассмотрена в отдельной статье.

Routers Отображает актуальное количество известных роутеров сети в локальной базе.

Floodfills Отображает актуальное количество роутеров в локальной базе, являющихся флудфилами досками объявлений, где информацию о себе публикую серверные конечные точки. Обращение к флудфилам происходит для получения входных данных (ключи и туннели) для любого ресурса в I2P, к которому мы обращаемся.

LeaseSets Количество актуальных локальных лизсетов пакетов информации для подключения к скрытым ресурсам сети. Свои лизсеты скрытые конечные точки публикуют самостоятельно. Параметр актуален только для роутеров, являющихся флудфилами и имеющими хороший сетевой статус ОК, т.е. доступных для обращения извне с целью публикации лизсета.

Client Tunnels Количество построенных и используемых туннелей нашим локальным роутером в настоящий момент времени. Отображаются только успешно построенные туннели: как серверные, т.е. принимающие соединение, так и клиентские, через которые мы подключаемся к другим скрытым ресурсам сети.

Transit Tunnels Количество транзитных туннелей, частью которых является роутер в настоящий момент времени.

В нижней части страницы, под заголовком Services обозначено состояние служб (активна или нет):

  • HTTP Proxy HTTP-прокси пользователя для выхода в скрытую сеть. По умолчанию доступен на адресе 127.0.0.1:4444.

  • SOCKS Proxy Пользовательский SOCKS-прокси для выхода в скрытую сеть. По умолчанию доступен на адресе 127.0.0.1:4447.

  • BOB (Basic Open Bridge) Является интерфейсом для прикладных программ, работающих через I2P. Основная задача заключается в создании динамических туннелей. В Java-роутере считается устаревшим из-за подписи DSA, ненадежной из-за успешной практики взлома хеша SHA1, используемого в этой подписи. В I2Pd BOB активно поддерживается, использует актуальные алгоритмы подписи, а также имеет расширения протокола, вовсе отсутствующие в Java-роутере. В общем, является актуальным инструментом.

  • SAM (Simple Anonymous Messaging) Является интерфейсом для прикладных программ, работающих через I2P. Основная задача также заключается в создании динамических туннелей. В I2Pd SAM является равноценной альтернативой BOB, а в Java-роутере единственным протоколом в своем роде.

    Сходство BOB и SAM обусловлено изначальной разработкой разными людьми со схожими целями: BOB для торрент-клиента Robert, SAM для iMule. В итоге и Robert и iMule ушли на задний план, а протоколы взаимодействия приложений с I2P-роутером остались.

  • I2CP (I2P Control Protocol) протокол взаимодействия внешних программ с роутером, строго разделяющий I2P-роутер с программой, обращающейся в скрытую сеть. Концепция заключается в том, что работой с данными должно заниматься некое внешнее по отношению к маршрутизатору приложение. На практике это означает, что внешнее приложение должно содержать ~2/3 кода I2P-роутера, чтобы делать что-то осмысленное. В Java-роутере абсолютно весь трафик проходит через протокол I2CP, что сильно влияет на падение гибкости: стримы (сессии TCP фактически вся активность пользователя) не могут контролировать доступ к туннелям и лизсетам.

    С практической точки зрения это означает, что любое внешнее приложение должно иметь большую часть весьма сложного кода роутера, не иметь доступа к туннелям, которых всегда у одной конечной точки несколько, и было бы хорошо иметь возможность выбирать подходящий, а также переключаться между ними. В конце концов I2CP, как и любая прослойка, влечет за собой падение производительности.

    В I2Pd протокол I2CP существует, как инструмент совместимости с приложениями, написанными в парадигме Java-роутера. Из рабочей логики I2Pd этот протокол убран, а все клиентские данные обрабатываются в рамках внутренних библиотек libi2pd и libi2pd_client, что позволяет прикладным программам полностью контролировать свою активность в скрытой сети.

  • I2PControl протокол, позволяющий получить информацию о работе роутера в виде запросов и ответов в формате JSON. Является альтернативой веб-консоли и используется редко, поэтому в рамках статьи рассмотрен не будет.

Webconsole: Router commands

На этой странице представлено несколько интуитивно понятных команд, не изменяющих конфигурационный файл и действующих до рестарта роутера:

  • Run peer test запустить проверку доступности роутера. Может понадобиться, если при запуске роутера рабочий порт был закрыт и статус сети отображается, как Firewalled. Роутер автоматически проверяет свою доступность примерно раз в час, но есть возможность ускорить процесс вручную.

  • Decline transit tunnels отклонять новые транзитные туннели (жизненный цикл уже созданных транзитных туннелей прерван не будет). Узлы, предлагающие нам стать частью туннелей, будут получать отказ. Команда может пригодиться при изучении сетевой активности сервера, чтобы убрать все мусорные подключения, при этом сохранив работоспособность скрытых сервисов I2P, в том числе сессию SSH.

  • Start graceful shutdown запустить корректную остановку роутера. После запуска в течение 10 минут роутер продолжит обычную работу, не принимая новые транзитные подключения. Так как все туннели живут 10 минут, этого достаточно, чтобы выключить роутер, не оборвав туннели других участников сети.

  • Force shutdown незамедлительная остановка I2P-роутера.

  • Logging level (none, error, warn, info, debug) смена режима логирования. Может пригодиться при неожиданно возникшей потребности в дебаге. Логи продолжат писаться в стандартный файл (/var/log/i2pd/i2pd.log).

  • Transit tunnels limit позволяет сменить лимит количества транзитных туннелей. По умолчанию 2500.

Webconsole: Local Destinations

Здесь представлен список конечных точек, расположенных на роутере. Каждый адрес образуется уникальным ключом, однако на одном ключе может располагаться несколько туннелей, поэтому в большинстве случаев удобно пользоваться пунктом I2P tunnels, чтобы анализировать туннели в отдельности (сравнимо с доменным именем в обычной сети и отдельными службами, работающими на домене на разных портах). Увидеть детальную информацию о конечной точке можно кликнув на ее имя.

Base64 полный адрес конечной точки, закодированный в base64. Включает в себя публичный ключ шифрования, публичный ключ подписи и прочую служебную информацию. Обычно этот массив составляет 391 байт. Кстати, хеш SHA256 в кодировке base32 от этого массива Base64 образует привычный адрес *.b32.i2p.

Address registration line позволяет получить строку для регистрации домена на ресурсах reg.i2p (поддерживается сообществом разработчиков i2pd) и stats.i2p (поддерживается командой Java-роутера). Домен будет привязан к актуальному ключу, для которого открыта строка регистрации.

Регистрация коротких доменов будет подробно рассмотрена в следующей.

LeaseSets количество опубликованных лизсетов (их публикуют только серверные туннели, чтобы к ним могли обратиться другие участники сети).

Inbound tunnels и Outbound tunnels входящие и исходящие туннели конечной точки, размещенной на локальном роутере. Суть обозначений входящего туннеля приведена на иллюстрации, для исходящих туннелей всё аналогично.

Количество туннелей (входящих или исходящих) не может превышать 16. По умолчанию серверные конечные точки создают по пять входящих и исходящих туннелей, а клиентские по три. Наличие нескольких туннелей, проложенных через разные узлы, но ведущих к одной конечной точке, затрудняют анализ трафика и являются решающим фактором доступности: при обрыве одного туннеля, трафик начинает идти по другому, не нарушая сессию передачи информации.

Tags список адресов, при взаимодействии с которыми локальная конечная точка использовала одноразовые криптографические ключи, называемые тегами. Amount это количество тегов. Минимальное число генерируемых тегов, как видно на скриншоте, равняется четырем. Нулевое количество означает израсходование ранее сгенерированных тегов. Применяется при использовании алгоритма ElGamal (внутреннее обозначение типа шифрования 0).

ElGamal считается очень ресурсоемким и устаревшим алгоритмом. На смену ему приходит тип шифрования 4 новый быстрый протокол сквозного шифрования ECIES-X25519-AEAD-Ratchet. Теги здесь тоже присутствуют, но в другом виде.

При этом алгоритме ключи не передаются по сети: каждый абонент выводит их математическим путем локально. Параметр Incoming Tags обозначает количество выведенных тегов на будущее, а Tags sessions отображает количество сессий и адреса, с которыми они установлены. Status говорит о состоянии сессии, где 4 означает Established, а всё, что меньше сессия по каким-то причинам зависла. Больше 4 тоже норма.

Streams стримы (TCP-сессии передачи информации), активные подключения внешнего приложения к I2P через локальный роутер. Соответствуют клиентским соединениям TCP/IP. Stream ID номер туннеля. Необходим для возможности различать разные потоки, сравним с номером порта. Пиктограмма с крестиком позволяет закрыть, т.е. прервать стрим. Destination адрес конечной точки на другом конце провода. Sent и Received объем отправленной и полученной информации в байтах.

RTT время в миллисекундах от отправки пакета до подтверждения его получения. Window текущий размер окна для отправки, измеряется в пакетах. Buf количество неотправленных байт, ожидающих места в окне. Out количество пакетов, находящихся в окне без подтверждения. In количество полученных пакетов, которые клиентское приложение еще не приняло. Status состояние стрима, где 1 означает открытое соединение.

Размеры пакетов: 1730 байт для ElGamal и 1812 байт для ECIES-X25519-AEAD-Ratchet.


Чтобы было проще понять сетевую архитектуру I2P, которая включает в себя целый стек протоколов с криптотранспортами, туннелями и тонной шифрования, а также найти в этой связке место для клиентского приложения, приведена специальная иллюстрация. В своем роде это модель OSI сети I2P.

Основываясь на этой общей модели, можно сказать, что транзитные туннели работают на втором уровне (на самом его низу, если разобраться), задействуя минимум логических ресурсов роутера. Благодаря этому стандартные 2500 транзитных туннелей не перегружают роутер даже на одноплатных компьютерах. Работа флудфила несколько накладнее по ресурсам, т.к. задействует сквозное шифрование, поэтому флудфил-одноплатник со слабым процессором может начать сбоить.

Webconsole: LeaseSets

Пункт, актуальный для роутеров, являющихся флудфилами. Содержит список лизсетов, опубликованных у нас скрытыми ресурсами, т.е. анонимными конечными точками сети. Имя лизсета является доменом *.b32.i2p без обозначения этого окончания. Лизсет содержит информацию о входном туннеле целевого ресурса и срок годности (в среднем 10 минут). Также существуют зашифрованные лизсеты, не поддающиеся очевидному анализу. Подробно тема лизсетов будет рассмотрена в следующей статье.

Webconsole: Tunnels / Transit tunnels

Во вкладке Tunnels можно увидеть все входящие и исходящие туннели роутера, инициированные самим роутером. Туннели с пометкой exploratory являются зондирующими они строятся автоматически через небольшой промежуток времени, имеют низкое движение трафика и служат для исследования сети: получение трех случайных роутеров от случайного флудфила. Также через них иногда ходят служебные запросы роутера и публикация своего Router Info.

Transit tunnels отображает только транзитные туннели. Информация тут более, чем скудная, так как все туннели в I2P являются однонаправленными и транзитный роутер знает лишь откуда принимать и куда передавать чужие пакеты информации (с соответствующей манипуляцией с симметричным ключом шифрования, который был выдан его при создании транзитного туннеля).

Стрелки демонстрируют место в туннеле, а последнее число показывает объем переданных байт. В теории сюда же можно вывести дополнительную информацию о статусе туннеля, адреса соседних роутеров, но, возможно, это не случится, т.к. мониторить транзитные туннели не джентельменское дело.

Webconsole: Transports

Страница с отображением прямого взаимодействия с другими роутерами с указанием количества соединений по каждому протоколу (NTCP2, NTCP2v6, SSU, SSUv6). В квадратных скобках указывается количество [отправленных : полученных] байт. Стрелки демонстрируют статус соединения: входящее или исходящее.

Webconsole: I2P Tunnels

Страница схожа с Local destinations, но удобнее в практическом применении, т.к. позволяет анализировать каждый туннель в отдельности, даже если несколько туннелей используют один ключ (один адрес). Название туннеля берется из его конфигурационного файла.

Отображается три типа туннелей: клиентские, серверные и Server Forwards. Туннели типа Forwards являются UDP-туннелями: могут быть как серверными, так и клиентскими.

Webconsole: SAM sessions

Страница со списком сессий внешних приложений с роутером по протоколу SAM. Имя сессии задается приложением. Кликнув по сессии, можно увидеть внешний I2P-адрес сессии и список локальных подключений к роутеру в рамках SAM-сессии. Протокол BOB может иметь подобный интерфейс, но в силу малой популярности страница в веб-консоли отсутствует (но теоретически может быть добавлена в будущем). Короче, если будете писать приложения для I2P, лучше ориентироваться на API в виде протокола SAM, чтобы бедные пользователи Java-роутера тоже могли пользоваться вашим продуктом.

Подключение к веб-консоли удаленного роутера

Веб-консоль I2Pd поддерживает конфигурацию с доступом по внешнему адресу и позволяет включить авторизацию пользователя по логину и паролю. Пример такой конфигурации приведен на иллюстрации (показано два вида синтаксиса, поддерживаемых конфигом I2Pd).

Такой подход чреват уязвимостью в случае, когда подключение к веб-консоли осуществляется через обычный интернет без использования дополнительного шифрования трафика (https). Одним из самых практичных и безопасных способов является подключение к веб-консоли через SSH с прокинутым портом. Протокол SSH не нуждается в дополнительной защите, так как имеет встроенное шифрование, и отлично подходит для повседневного использования в силу простоты и распространенности. Локальный порт прокидывается на удаленную машину через флаг -D: ssh -D 8888 user@<server ip> -p <ssh port>.

Приведенная команда позволит подключиться в браузере на SOCKS-прокси по адресу 127.0.0.1:8888 и выходить в глобальную сеть с IP-адреса сервера, а также иметь доступ к локальным ресурсам удаленной машины, словно браузер запущен на ней. В том числе получится подключиться по локальному адресу 127.0.0.1:7070 к веб-консоли I2P-роутера, развернутого на сервере.

Конфигурационный файл

Несмотря на способность роутера работать с передаваемыми значениями (параметры при запуске), распространенной практикой является использование конфигурационного файла. На Debian при установке из пакета конфиг i2pd.conf находится в директории /etc/i2pd/. При запуске бинарника без установки (например, после ручной компиляции роутера), конфигурационный файл читается из директории ~./i2pd/. На Android все рабочие файлы роутера (в том числе конфиг) лежат в одной папке, чаще всего это /sdcard/i2pd/. На Windows стандартной рабочей директорией является %AppData%\i2pd.

Конфигурационные файлы на разных операционных системах принимают одинаковые значения с небольшими исключениями, с которыми можно ознакомиться в официальной документации. Стандартный конфиг с комментариями можно найти в исходниках, в папке contrib (при установке из пакета в системе появляется именно он).

Конфигурационный файл поддерживает два вида синтаксиса:

  1. Указание конфигурируемой секции в квадратных скобках с перечислением параметров этой секции ниже до следующих квадратных скобок;

  2. Указание параметра через точку после имени секции.

Параметры по умолчанию (в том числе при запуске без конфигурационного файла):

  • Веб-консоль включена, доступна по адресу http://127.0.0.1:7070

  • HTTP-прокси включен, доступен по адресу 127.0.0.1:4444

  • SOCKS-прокси включен, доступен по адресу 127.0.0.1:4447

  • SAM включен, доступен по адресу 127.0.0.1:7656

  • Активен фоновый режим работы роутера (демон)

  • Логирование на уровне warn (от warning внимание!)

  • IPv4 включен, IPv6 отключен

    Неупомянутые параметры по умолчанию неактивны.

Очевидно, что описывать здесь весь конфиг, без этого имеющий комментарии, излишне. Поэтому остановимся только пунктах, которые часто вызывают вопросы, или являются граблями для начинающих пользователей.

family дополнительный опознавательный признак роутера. В концепции, в которую поверили лишь единицы, в том числе ведущий разработчик Java-роутера с ником zzz, family указывается добропорядочными пользователями для того, чтобы роутеры одного админа не появились вместе в одном туннеле. Как не трудно понять, эта опция никем и никогда не используется, а злонамеренными людьми, которые хотят захватывать как можно больше туннелей для попытки мониторинга сети, family не используется тем более.


[reseed] Параметры получения стартового пакета (ресида) с несколькими роутерами для начала взаимодействия с сетью I2P. В первую очередь, ресид важен при первом запуске, когда локальная база сети пуста (папка netDb).

verify Проверка подписи полученного ресида. По умолчанию параметр является отключенным. Однако, в стандартном конфиге в состоянии true. Подразумевается, что экземпляр конфигурационного файла имеется после установки из пакета, в который входят сертификаты стартовых узлов (папка certificates). Если верификацию включить, не имея сертификатов, роутер не сможет стартовать.

urls веб-адреса, с которых будет скачен ресид (например, https://example.ru/).

yggurls адрес IPv6 Yggdrasil, с которого будет скачен ресид.

file путь до локального .su3-файла, или прямая ссылка https.

zipfile путь до локального zip-архива базы роутера, или прямая ссылка https.

proxy прокси, используемый при обращении к ресиду.

threshold минимальное количество известных роутеров, при достижении которого произойдет обращение к одному из ресидов. По умолчанию 25.


[persist] Секция, отвечающая за сохранение на диск некоторой динамической информации.

profiles отвечает за сохранение профайлов роутеров на диск, что делает их доступными при следующем запуске. Профайлы представляют из себя текстовые файлы с информацией о качестве взаимодействия с роутером. Например, роутеры, которые не позволяют строить через них транзитные туннели, удаляются из локальной базы.

addressbook отвечает за сохранение полных адресов. При отключении уменьшает нагрузку на диск.

Послесловие

В этой статье опущены некоторые технические вопросы, касающиеся настройки операционной системы, т.к. главная тема не системное администрирование для новичков, а управление I2P-роутером. Не забывайте про функцию --help, встроенную в роутер, а также про официальную документацию. Эти инструменты помогут вам при практической конфигурации.

Продолжение следует: в статье Администратор скрытого ресурса в I2P: Практический курс рассмотрим конфигурацию туннелей, безопасное хранение ключей, мультихоуминг и регистрацию коротких доменов в зоне .i2p.

Подробнее..

Demhack 2 пришел, напрогал, победил

20.04.2021 12:16:22 | Автор: admin

20 и 21 марта 2021 года прошел хакатон проектов в сфере приватности и открытости информации DemHack 2, организованный Роскомсвободой и Privacy Accelerator. Хакатон собрал интересные идеи и талантливых разработчиков, выявил несколько по-настоящему перспективных проектов и наградил два из них! Некоторые решения были высоко оценены жюри и менторами, что дает им отличные шансы на дальнейшую экспертную поддержку, нетворкинг и дальнейшее сотрудничество с бизнес-инвесторами или профильными НКО.

Как готовился и проходил DemHack 2

Demhack 2 - второй - потому что первый состоялся осенью 2020 года. Тогда победителями стали три команды, одна из которых, Amnezia VPN, уже через полгода зарелизила готовое решение - сервис для создания личного VPN на собственном сервере. Проект после хакатона участвовал в Privacy Accelerator и прокачался от идеи до выпуска готового продукта. Сейчас команда Amnezia исправляет баги, дорабатывает новые фичи и готовится выйти на международный рынок!

Второй Demhack было решено проводить так, чтобы разу после его завершения перспективные команды смогли начать дополнительную акселерацию. Как показал опыт, даже лучшие проекты после хакатона остро нуждаются в помощи менторов, объясняющих, как наладить бизнес-процессы, понять потребительские запросы и выпустить продукт на рынок.

Еще одним важным этапом подготовки хакатона стали консультации с экспертами, которые участвовали в фокус-группах и обсуждали актуальные вызовы в сфере прайваси и доступа к информации. По итогам этих обсуждений был сформирован список задач, которые команды могли взять за основу для решения на хакатоне. И многие команды с успехом воспользовались возможностью. Например, в треке Приватность и цифровая безопасность можно было взять задачу и разработать трекер привычек по информационной безопасности или систему проверки разрешений для установленных мобильных приложений, систему обнаружения взлома мессенджеров и пр. А в треке Доступ к информации и свобода передачи данных предлагалось придумать, как мониторить использование технологий слежки за гражданами на основе анализа госзакупок, документировать шатдауны или разрабатывать технологии Internet over gsm.

Кроме списка задач от экспертов, участники могли предложить собственные идеи. Предложенные проекты проходили специальный отбор конкурсной комиссии, которая оценивала их перспективность, а также соответствие ценностям хакатона и актуальность поднятой проблемы.

На хакатон было подано более 70 заявок, которые пришли из из 21 региона России, а также Сербии, Таджикистана, Республики Беларусь, Украины.Сформировалось и приступило к работе на хакатоне 15 команд.

Хакатон проводился полностью онлайн от момента открытия до объявления победителей. Субботним утром 20 марта состоялся старт конкурса, команды встретились со своими наставниками - ведущими менторами, которые сопровождали их на протяжении всего хакатона и следили за развитием проекта. Помимо наставников, команды встречались с узкоспециализированными экспертами. А уже в конце второго дня команды заполнили финальные чек-поинты, сформировали презентацию и вышли на питчинг перед жюри. После презентаций судьи назвали лучшие проекты, а организаторы распределили призы.

Победители хакатона Demhack 2

В треке Прайваси и цифровая безопасность победителем стал проект Security Addon, в лице единственного члена, юного разработчика Захарова Алексея. Он спроектировал приложение, запускающее безвозвратное удаление и шифрование папок в экстренных ситуациях, когда безопасность и приватность на первом месте. Приложение предназначено для использования широким кругом лиц в пов

В треке Доступ к информации и свобода передачи данных лучшими стали ребята из команды mr.bot, предложившие проект Deep Silent, куда входят два андроид-приложения: первое - кнопка SOS делает звонок абоненту и передает DTMF-код; второе - умеет кодировать информацию с помощью высокого и низкого сигнала принимать и обрабатывать ее.

Победитель Security Addon получил приглашение стать резидентом второго набора Privacy Accelerator. А с командой mr.bot взялись далее сотрудничать менторы, в том числе для того, чтобы помочь им найти поддержку заинтересованных организаций и выйти на целевую аудиторию.

Некоторые перспективные проекты хакатона DemHack 2 также получили приглашение в акселератор.

Среди них Nemezida DNT (второе место в треке Прайваси и цифровая безопасность), плагин для браузеров, функционирующих на основе Chromium, который позволяет обеспечить максимальную защиту пользователя от сбора информации о нем и его устройстве. К сожалению, у команды сейчас нет ссылки на активный гитхаб. А также проект Соlaba (третье место в треке Прайваси и цифровая безопасность), который позволяет проверить себя на умение распознавать фишинговые рассылки, проверить свою команду на устойчивость к фишинговым атакам.

Второе место в треке Доступ к информации и свобода передачи данных занял проект Shutdown Scout, веб-сервис для определения скорости соединения и наличия блокировки сетевых ресурсов для каждой страны мира. Третьи в этом треке - команда UNDEFINED, которая разработала систему мониторинга инфраструктуры слежки за гражданами в виде общедоступного ресурса с визуализацией данных.

Проект Kitty Cloud не занял почетного места, но был высоко оценен менторами и судьями хакатона, что дало ему возможность также попасть в новый набор Privacy Accelerator. Проект представляет собой облачное хранилище данных с полным p2p-шифрованием.

Что будет дальше

Новый хакатон не за горами! Мы уже сейчас начинаем готовиться к нему и планируем вскоре встретиться с нашими экспертами для обсуждения новых угроз и трансформаций в сфере прайваси и доступа к информации. Мы обновим карту вызовов и придумаем новые форматы работы.

А еще мы надеемся, что новый хакатон будет - наконец! - оффлайн. И мы сможем не только хорошо поработать и сделать крутые проекты, но и славно потусить все вместе. Как в старые добрые!

Подробнее..

Разбор атаки на пользователя I2P

23.04.2021 22:09:05 | Автор: admin

История сети I2P берет свое начало в 2003 году, в связи с чем обросла слухами, домыслами и статьями об уязвимостях, часть из которых уже неактуальна. Перед началом основного повествования обозначим решенные проблемы, упоминание которых вы можете встретить до сих пор. Пусть они вас не смущают.

Распространенные заблуждения

Байка номер один: I2P плохо масштабируется и при большом приросте узлов сеть будет парализована, т.к. справочные узлы - флудфилы - не справятся с потоком информации. Дескать I2P работает только пока не популярна, а стоит общей нагрузке вырасти - сеть ляжет.

F - флудфилыF - флудфилы

На самом деле количество флудфилов растет вместе с сетью, а для обращения к определенному скрытому сервису все флудфилы вовсе не требуются. Каждый скрытый сервис публикует свой полный адрес (называемый лизсетом) на двух флудфилах, ближайших по DHT. В свою очередь координаты DHT меняются каждые сутки практически случайным образом.
При получении публикуемого лизсета, каждый из двух флудфилов дублирует информацию трем другим флудфилам, являющимся наиболее близкими в логическом смысле. Итого лизсет публикуется не менее, чем на четырех практически случайных роутерах, к которым и происходит обращение при поиске адреса конкретного сайта или другого скрытого ресурса. Короче говоря: сеть является распределенной и ресурсы для обработки лизсетов растут вместе с общим количеством узлов. Со времен зарождения байки о плохой масштабируемости I2P, сеть многократно выросла и до сих пор остается функциональной без каких-либо намеков на перегрузку флудфилов. Также стоит добавить, что осуществляется переход на новое шифрование, призванное снизить нагрузку на флудфилы.

Байка номер два: роутер, на котором располагается конкретный скрытый сервис, можно определить по ключу шифрования роутера в лизсете скрытого ресурса. Модель строится на том, что луковичное шифрование, используемое в туннелях, не является достаточным, и в первую очередь к сообщению применяется сквозное шифрование ключом роутера, который должен расшифровать сообщение и передать его локальной конечной точке.

Подразумевается, что ключи у скрытых сервисов уникальные, а у роутера - один единственный и, имея идентификатор этого ключа, можно отслеживать другие туннели пользователя. На самом деле эта угроза была ликвидирована на ранних стадиях разработки I2P. Современный лизсет содержит ключ шифрования, никак не связанный с роутером. Для каждого скрытого сервиса используется уникальный ключ, поэтому сопоставление ключей от лизсетов различных скрытых сервисов одного администратора не дает почвы для предположений, что они находятся на одном роутере.

Байка номер три: туннели I2P можно перехватить. Под перехватом подразумевается не дешифровка трафика, а выявление хозяина туннеля. Для атаки требуется максимально возможное количество роутеров с хорошим аптаймом для постоянного их участия в транзитных туннелях. Суть атаки заключается в ожидании момента, когда туннель жертвы будет в большей части (или целиком) состоять из злонамеренных роутеров. Транзитные узлы ничего не знают об общем количестве роутеров в цепочке, однако длина туннелей по умолчанию составляет три хопа. Если допустить, что три роутера подконтрольных злоумышленнику сообщаются между собой в рамках одного туннеля, он может с большой вероятностью предположить, что конечное звено известной цепочки является хозяином туннеля.

В случае перехвата исходящего туннеля пользователя, злоумышленник может узнать куда пользователь обращается, если по нереальному везению в этот момент ему будет известен лизсет, содержащий в себе данные входного туннеля скрытого ресурса, которые совпадут с теми, куда прямо сейчас передается информация. На самом деле эта атака практически не осуществима в настоящий момент, когда количество узлов в сети составляет многие десятки тысяч. При каком бы то ни было перехвате туннеля нельзя с полной уверенностью сказать, что узел, предполагаемый, как владелец туннеля, не является всего лишь еще одним транзитным роутером. Также подобная атака не может называться нацеленной, а скорее случайной, непредсказуемой и очень затратной. Шанс хоть какого-то успешного исполнения всегда остается ничтожно малым.

Ресид

Самым простым способом борьбы с I2P является блокировка ресид-серверов, к одному из которых происходит обращение за начальным рисунком сети при первом запуске роутера. Ресид представляет из себя архив с некоторым количеством файлов routerInfo, по сути - пакет с информацией о случайных роутерах, через которые строятся первые пользовательские туннели и начинается автоматическое расширение локальной базы сети. Все ресид-серверы держат энтузиасты, а сами адреса ресидов имеются в общем доступе. Обращение к ним происходит по доменным именам и на известные IP-адреса, поэтому собрать всё в список и централизованно заблокировать - задача не из сложных. Однако, затруднить первый запуск вовсе не означает заблокировать работу сети I2P! На случай блокировки поддерживается использование прокси при обращении к ресиду, что с легкостью позволяет обойти ограничения локального провайдера. Помимо этого любой роутер может быть запущен с уже имеющейся базой сети, например, взятой с другого I2P-роутера. Новым шагом в борьбе с возможной блокировкой является использование дополнительных зашифрованных каналов связи. В настоящее время таким инструментом является Yggdrasil Network, который служит не только для обращения к ресиду, но и для полноценного использования сети I2P. Для стороннего наблюдателя активность Yggdrasil сравнима с подключением через VPN. На момент выхода статьи работа I2P через Yggdrsail и прокси реализованы только в i2pd, что является дополнительным аргументом против морально устаревшего роутера на Java.

Второй сценарий манипуляций с ресидом - попытка перехвата архива с роутерами по пути до пользователя, чтобы повредить, или подменить. От этого защищает протокол HTTPS, а также криптографическая подпись. Сертификаты держателей ресид-серверов, т.е. их криптографические удостоверения, распространяются в комплекте с I2P-роутером. После получения стартового пакета роутер проверяет его подпись. Если подпись соответствует сертификату, можно быть уверенным, что ресид не был подменен.

Держатели ресидеров - обычные пользователи, энтузиасты. Они не проходят какую-либо проверку и чаще всего остаются инкогнито. Актуальность ресид-серверов регулярно проверяется сообществом и, в случае нарушения работоспособности, в ближайшем релизе I2P-роутера сервер убирается из списка.

Атака Сивиллы и Затмение

Атака Сивиллы (Sybil) и атака Затмение (Eclipse) имеют схожую реализацию. Их смысл заключается в наводнении сети узлами, подконтрольными злоумышленнику, которые будут работать ради одной цели: держать пользователя в песочнице. Изолирующие роутеры не сообщают информацию об обычных узлах, чтобы пользователь не вышел из блокады. Это позволяет мониторить список ресурсов, которые атакуемый пользователь размещает на своем роутере, а также список тех, которые он посещает. Чтобы получить информацию о входных туннелях скрытого ресурса, необходимо получить его лизсет от ближайшего флудфила, равно также как опубликовать лизсет своего ресурса, чтобы его могли найти.

В случае успешной атаки, все туннели пользователя состоят из узлов, подконтрольных злоумышленнику, также как и доступные флудфилы. Основное отличие атаки Сивиллы от Затмения заключается в том, что модель Сивиллы не направлена на заранее известного пользователя, а Затмение наоборот подразумевает изоляцию изначально известной цели. В любом случае названные модели атак подразумевают использование модифицированных I2P-роутеров и высокую грамотность атакующего. Отойдя от обобщенной теории, разберем возможность осуществления этих угроз.

Атаку Затмение на практике можно считать не реализуемой. Это связано с системой ресидов, которые защищены от перехвата. В случае, когда роутер производит первый старт со скопированной базой сети, т.е. по сути дела со стартовым пакетом не от общеизвестного ресида, а от другого I2P-роутера, будем полагать, что источник априори надежный. Логично заключим, что стартовый пакет из недоверенного источника использовать неследует. Если допустить, что злоумышленник выступит в роли энтузиаста и разместит общеизвестный ресид-сервер, надо особо отметить, что в I2P-роутере используется несколько независимых ресидеров, один из которых выбирается случайным образом. Это делает вероятность таргетированной атаки крайне малой из-за чего теряется смысл попытки ее осуществления.

Атака Сивиллы, нацеленная на мониторинг сети в общем, кажется более подходящей для только что описанной модели со злонамеренным ресидом. Но при подробном рассмотрении окажется, что профит фальшивого ресида не окупит средства, затраченные на его организацию. Во-первых, необходимо иметь большие мощности, чтобы ввести в сеть максимально возможное количество подконтрольных узлов. Во-вторвых, нужно разработать программное обеспечение, которое будет гибко объединять в одну базу данных информацию, собираемую с подконтрольных узлов. В-третьих, атака, направленная на анализ, подразумевает большую длительность, которой не получится, т.к. злонамеренный ресид будет скоро выявлен сообществом. Самый очевидный признак такой атаки - не увеличивающееся, или слишком малое количество известных роутеров, которое отображается в веб-консоли. В параноидальном случае следует удалить всю локальную базу роутера, которая хранится в папке netDb и перезапустить роутер, что спровоцирует новое обращение к случайному ресиду. Если у вас достаточно оснований полагать, что какой-то ресид скомпрометирован, обязательно сообщите об этом сообществу разработчиков. На момент выхода статьи не было зарегистрировано ни одной попытки подобной атаки.

Java router destination attack

Последняя модель атаки весьма сложная, но критически опасная в случае успешного исполнения. Проблема обнародована ведущим разработчиком I2Pd и в роутере на C++ отсутствует, однако в Java-роутере долгое время не исправляется. Модель позволяет определить факт нахождения двух и более конечных точек на одном роутере, т.е. фактически определить, что несколько анонимных сущностей физически расположены на одном компьютере. Возможность атаки заключается в том, что все лизсеты в Java-роутере хранятся в одном месте.

В рамках атаки осуществляется полноценное обращение к некоторой конечной точке (в англоязычной терминологии - destination), которая отвечает и сохраняет лизсет атакующего. Затем происходит обращение к другой конечной точке, однако лизсет для ответа не сообщается, и ответа по логике быть не должно. Если ответ приходит, атакующий с уверенностью заключает, что ответившая конечная точка, которой не был отправлен лизсет для ответа, находится на том же роутере, где и первый ресурс, которому был дан лизсет.

В I2Pd проблема решена просто и изящно: для каждой конечной точки создается отдельное хранилище лизсетов, к которому не могут обратиться другие скрытые сервисы, расположенные на роутере.


При детальном рассмотрении часто упоминаемых угроз оказалось, что уязвимостей в I2P гораздо меньше, чем об этом любят говорить псевдо-эксперты. Поддерживайте свободные проекты, сообщайте о багах и недочетах. Свободное ПО - это когда без финансирования и чаще всего без рекламы, но на совесть. Не забывайте, что СМС при регистрации - это не норма!

Материал составлен по тексту и иллюстрациям из видео. Оригинальная статья размещена в блоге дата-центра ITSOFT.

Подробнее..

Можно ли анонимно оплачивать через Apple Pay?

18.05.2021 12:12:57 | Автор: admin

Конечно, нельзя называть Apple Pay анонимным в принципе, хотя бы потому что к ней привязана наша банковская карта. Однако, в момент оплаты что о нас узнаёт продавец? Какие наши персональные данные получает продавец от Apple Pay? Можно ли избежать передачи данных и, тем самым, сделать оплату анонимной в глазах продавца?

Когда мы полагаем, что оплачиваем через Apple Pay, то можем заблуждаться. В зависимости от того что мы приобретаем, используется один из двух механизмов Apple. При покупке любой материальной услуги действительно применяется Apple Pay. Однако, когда мы приобретаем цифровой контент в экосистеме Apple, применяется In-App Purchase. Заказываете Uber через Apple Pay? Верно, это Apple Pay. Оформляете подписку в Apple Music? Это уже In-App Purchase.

Ниже мы рассказываем, какие данные утекают продавцу при оплате внутри приложений. Мы не стали разбирать ситуацию, когда товар оплачивается через POS-терминал, так как она требует отдельного внимания.

Визуально оба механизма очень похожи, но под капотом все иначе. Визуально оба механизма очень похожи, но под капотом все иначе.

In-App Purchase

Как уже было сказано выше, данный механизм оплаты используется только для цифрового контента. Электронные книги в Amazon Kindle, дополнительное пространство в Dropbox, скины в PUBG - это всё примеры цифрового контента.

При анализе In-App Purchase выяснилось, что мы анонимны перед продавцом. Некоторая информация о нас все же передается продавцу, но в обезличенном виде. Если мы купим неприличную книгу в LitRes, то разработчики приложения не узнают, что именно мы её приобрели. При условии, что мы не поделились с приложением личной информацией иным путем.

Какие данные передаются продавцу

Ниже представлена таблица, где мы видим какие данные In-App Purchase передает продавцу.

In-App Purchase

Как предотвратить передачу?

Дата первой установки приложения

Никак

Список всех сделанных покупок

Никак

Биллинговая ошибка на стороне клиента (не хватает денег, карта неактивна)

Никак

Дата первой установки приложения

Можно определить, когда мы первый раз скачали приложение, даже если удалим сейчас, но скачаем заново через пол года.

Список всех сделанных покупок

По сути, только дата покупки и что за продукт был приобретен.

Биллинговая ошибка на стороне клиента

Если мы оформим автовозобновляемую подписку, а потом на карте закончатся деньги или карта будет неактивной, то разработчик узнает об этом.

Технические подробности

Спойлер
  1. Приложение предлагает пользователю какой-то контент.

  2. Пользователь инициирует процесс покупки.

  3. Приложение показывает ему окно для совершения транзакции.

  4. После подтверждения приложение какое-то время думает.

  5. Контент предоставлен.

В это время в приложении происходит целая череда событий. Большая часть из них скрыта внутри самой операционной системы, а именно системной библиотеки StoreKit. В результате покупки разработчик получит специальную строку receipt.

Пример receipt

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

receipt нужен для того, чтобы приложение смогло проверить, действительно ли пользователь совершил эту покупку. Обычно приложение передает эту строку на свой бекенд, а тот - в Apple, чтобы проверить покупку. Apple в ответ на запрос пришлет JSON. Он то нам и нужен:

{    "receipt": {        "receipt_type": "ProductionSandbox",        "adam_id": 0,        "app_item_id": 0,        "bundle_id": "com.belive.app.ios",        "application_version": "3",        "download_id": 0,        "version_external_identifier": 0,        "receipt_creation_date": "2018-11-13 16:46:31 Etc/GMT",        "receipt_creation_date_ms": "1542127591000",        "receipt_creation_date_pst": "2018-11-13 08:46:31 America/Los_Angeles",        "request_date": "2018-11-13 17:10:31 Etc/GMT",        "request_date_ms": "1542129031280",        "request_date_pst": "2018-11-13 09:10:31 America/Los_Angeles",        "original_purchase_date": "2013-08-01 07:00:00 Etc/GMT",        "original_purchase_date_ms": "1375340400000",        "original_purchase_date_pst": "2013-08-01 00:00:00 America/Los_Angeles",        "original_application_version": "1.0",        "in_app": [{            "quantity": "1",            "product_id": "test2",            "transaction_id": "1000000472106082",            "original_transaction_id": "1000000472106082",            "purchase_date": "2018-11-13 16:46:31 Etc/GMT",            "purchase_date_ms": "1542127591000",            "purchase_date_pst": "2018-11-13 08:46:31 America/Los_Angeles",            "original_purchase_date": "2018-11-13 16:46:31 Etc/GMT",            "original_purchase_date_ms": "1542127591000",            "original_purchase_date_pst": "2018-11-13 08:46:31 America/Los_Angeles",            "is_trial_period": "false"        }]    },    "status": 0,    "environment": "Sandbox"}

Оба примера взяты со StackOverflow.

Чтобы определить дату первой установки, в JSON необходимо найти поле original_purchase_date. Это просто дата, когда приложение было скачано тем самым iTunes аккаунтом, через который совершается покупка.

Поле in_app даст информацию о почти всех покупках, совершенных с этого iTunes аккаунта. Почти, потому что в нем не хранится информация о всех consumable покупках, только о текущей (как в примере выше). Consumable покупки - это покупки, которые можно совершать любое число раз, например, наборы монеток или кристаллов, за которые в приложении можно купить что-то. Все остальные покупки будут всегда храниться в этом поле. Причем, что интересно, если мы сделаем возврат покупки через Apple, то это действие также отобразится в этом массиве. То есть, когда мы в следующий раз придем покупать или восстанавливать покупку, разработчик может узнать не только как часто мы покупаем, но и как часто отменяем покупку.

О нехватке баланса на карте можно будет узнать только в случае продления автовозобновляемой подписки. Эту информацию можно получить через App Store Server Notifications. Это система нотификаций от App Store, на которую подписывается бекенд и может обрабатывать разного рода сообщения. В конкретном случае нас интересует событие DID_FAIL_TO_RENEW

Apple Pay

Просто напомню, что Apple Pay предназначен для материальных товаров и услуг. Примерами могут быть: доставка еды в UberEATS, аренда дома в Airbnb, авиабилеты в Skyscanner.

Исследование Apple Pay показало нам, что продавец однозначно понимает, кто у него покупает товар/услугу. Мы полностью открыты в глазах продавца. Можно ограничить доступ к некоторой информации о себе, но кардинально ситуацию не изменить.

Какие данные передаются продавцу

Ниже представлена таблица, где мы видим какие данные Apple Pay передает продавцу.

До подтверждения оплаты

В момент, когда у нас выскакивает шторка с просьбой подтвердить оплату, продавец уже получает о нас информацию.

Поле

Значение

Как предотвратить передачу?

Тип карты

Дебетовая/Кредитная

Никак

Примерный адрес доставки пользователя

Страна, область, город, почтовый индекс

Исказить или убрать в iOS. Настройки iOS Wallet и Apple Pay Параметры оплаты по умолчанию

Примерный платежный адрес пользователя (если не запрошен адрес доставки)

Страна, область, город, почтовый индекс

Исказить или убрать в iOS. Приложение Wallet Карта Настройки Адрес плательщика[1]

Информация о банке эмитенте карты (при наличии договоренности между разработчиком и банком)

Название банка

Никак

После подтверждения оплаты

Как только мы подтверждаем оплату с помощью Face ID, Touch ID или пароля, продавец получает новую порцию данных.

Поле

Значение

Как предотвратить передачу?

Платежная система

Mastercard

Никак

Название карты с последними символами реальной карты

MasterCard 2780

Никак

Точный адрес доставки пользователя

Страна, область, город, почтовый индекс, улица, дом, квартира

До подтверждения оплаты исказить текст в самой шторке

Точный платежный адрес пользователя

Страна, область, город, почтовый индекс, улица, дом, квартира

Исказить или убрать в iOS. Приложение Wallet Карта Настройки Адрес плательщика[1]

Имя Фамилия

Иван Иванов

Исказить или убрать в iOS. Находится там же, где и адрес доставки или платежный адрес.

Номер телефона

+77990001122

1. Либо до подтверждения оплаты исказить текст в самой шторке

2. Либо исказить/убрать в iOS. Настройки Wallet и Apple Pay Параметры оплаты по умолчанию[2]

Email

Ivan@gmail.com

От банка-эквайера

После успешной оплаты продавец может запросить дополнительную информацию о нас. Информация запрашивается у того, кто непосредственно обрабатывает нашу оплату (эквайер).

Поле

Значение

Как предотвратить передачу?

IP покупателя

81.18.144.51

Никак

Страна банка эмитента

Россия

Никак

Имя держателя карты

IVAN IVANOV

Никак

Срок истечения действия карты

202109

Никак

Маскированный номер карты, использованной для оплаты (указывается не реальный номер карты, а токен, который был привязан к устройству)

520424**0010

Никак

Как выглядит подтверждение оплаты

Шторка с подтверждением оплаты может выглядеть по-разному. Все зависит от того, какую информацию о нас запрашивает продавец. Любая запрошенная информация обязательна к заполнению.

Технические подробности

Спойлер

Обратимся к официальной документации и к тестовому приложению и попробуем сделать в нем платеж. Как только приложение показывает окно с суммой и просьбой подтвердить покупку, вызывается метод:

func paymentAuthorizationController(_ controller: PKPaymentAuthorizationController, didSelectPaymentMethod paymentMethod: PKPaymentMethod, handler completion: @escaping (PKPaymentRequestPaymentMethodUpdate) -> Void)

Eсли при формировании let paymentRequest = PKPaymentRequest() еще запросить requiredShippingContactFields, то вызывается следующее:

func paymentAuthorizationController(_ controller: PKPaymentAuthorizationController, didSelectShippingContact contact: PKContact, handler completion: @escaping (PKPaymentRequestShippingContactUpdate) -> Void)

Целью этих методов является предоставление разработчикам возможности посчитать стоимость доставки, налогов или сделать скидку пользователям определенных карт. Они то и являются источником данных о типе карты, частичном адресе и информации о банке эмитенте. Если пользователь будет выбирать разные карты или адреса доставки, то эти методы будут вызываться при каждом изменении.

По умолчанию адрес возвращаться не будет, но его можно запросить при показе окна с подтверждением. Сделать это можно, передав в соответствующие поля requiredShippingContactFields и requiredBillingContactFields те данные о пользователе, которые мы хотим получить.

let paymentRequest = PKPaymentRequest()paymentRequest.requiredShippingContactFields = [  .postalAddress,   .name,  .phoneNumber,  .emailAddress]paymentRequest.requiredBillingContactFields = [  .postalAddress,  .name,  .phoneNumber,  .emailAddress]

Стоит отметить, что если запрашивать requiredBillingContactFields вместе с requiredShippingContactFields, то billingAddress не будет возвращаться до подтверждения покупки.

Если запросить только requiredBillingContactFields, то при выборе карты вызовется метод:

func paymentAuthorizationController(_ controller: PKPaymentAuthorizationController, didSelectPaymentMethod paymentMethod: PKPaymentMethod, handler completion: @escaping (PKPaymentRequestPaymentMethodUpdate) -> Void)

Из объекта paymentMethod: PKPaymentMethod мы получим:

payment.token.paymentMethod.billingAddress givenName nilpayment.token.paymentMethod.billingAddress middleName nilpayment.token.paymentMethod.billingAddress familyName nilpayment.token.paymentMethod.billingAddress                              street=,                             subLocality=,                             city=Москва,                             subAdministrativeArea=,                             state=Москва,                             postalCode=125009,                             country=Россия,                             countryCode=RUpayment.token.paymentMethod.type 2

А если запросим requiredShippingContactFields, то из метода didSelectShippingContact мы получим:

payment.shippingContact email nilpayment.shippingContact name                          namePrefix:                          givenName:                          middleName:                          familyName:                          nameSuffix:                          nickname:                          phoneticRepresentation:                         givenName:                          middleName:                          familyName:   payment.shippingContact postalAddress                         street=,                         subLocality=,                         city=Москва,                         subAdministrativeArea=,                         state=Москва,                         postalCode=125009,                         country=Россия,                         countryCode=RUpayment.shippingContact phoneNumber nil

Пользователь узнает требуются ли эти данные только после того, как окно платежа уже покажется, а данные - уйдут.

Но если пользователь подтвердит покупку - мы получим еще больше:

payment.billingContact          street=Тверская улица 1 123,         subLocality=,         city=Москва,         subAdministrativeArea=,         state=Москва,         postalCode=125009,         country=Россия,         countryCode=RU

Кроме адреса можно запросить еще ФИО, email и номер телефона. Они будут получены после подтверждения оплаты:

payment.shippingContact email ivan@ivanov.rupayment.shippingContact name                         namePrefix:                          givenName: Иван                         middleName:                          familyName: Иванов                         nameSuffix:                          nickname:                          phoneticRepresentation:                           givenName: Ivan                           middleName:                            familyName: Ivanovpayment.shippingContact phoneNumber stringValue=+77990001122

Но email и номер телефона можно получить только в случае запроса адреса доставки. При запросе адреса платежа такая информация не возвращается:

payment.billingContact email nilpayment.billingContact name                        namePrefix:                         givenName: Иван                        middleName:                         familyName: Иванов                        nameSuffix:                         nickname:                         phoneticRepresentation:                           givenName: Ivan                           middleName:                            familyName: Ivanov  payment.billingContact phoneNumber nil

Также после подтверждения платежа мы получим последние 4 цифры карты, ее платежную систему и название. Ниже пример такой информации для одной из тестовых карт Apple:

paymentMethod.displayName Discover 2780payment.token.paymentMethod.network PKPaymentNetwork(_rawValue: Discover)

Чтобы разобраться с тем, что можно получить от эквайера, обратимся к документации Сбербанка

Там много разной информации, но самыми интересными выглядят следующие параметры:

  • ip - IP покупателя

  • bankInfo - наименование страны банка-эмитента, если доступно

  • cardAuthInfo - данные карты, привязанной к устройству

    • expiration - срок истечения действия карты

    • pan - маскированный номер карты

      • номер, привязанный к мобильному устройству покупателя и выполняющий функции номера платёжной карты в системе Apple Pay

    • cardholderName - имя держателя карты латиницей, если доступно

Примечания

  1. Если адрес не выбран явно, то будет подтягиваться тот, что указан в адресе доставки.

  2. В этих настройках данные могут быть заданы напрямую, либо подтягиваться из карточки контакта из телефонной книги. Если данные были заданы здесь, то в телефонной книге их нельзя будет найти. Если же данные были введены в телефонной книге, то здесь они будут видны, но удалить их можно только через телефонную книгу. Это будет заметно по подписи под email или телефоном (домашний, рабочий и тд) и по тому, что не будет возможности удалить его.

Подробнее..

Наша анонимность утрачена?

04.06.2021 22:07:07 | Автор: admin

IT-технологии развиваются с каждым годом. Многие корпорации полным ходом развивают технологические подходы в области сбора и обработки полученной информации. Одним из таких подходов является использование баз данных цифровых отпечатков пользователей сети Интернет.

Отпечатки цифровых устройств или цифровые портреты применяются третьими лицами, не только для генерации рекламы, но и для мошенничества и кражи личности. Пользователи сети сами того не подозревая отдают персональные и корпоративные данные, не только без согласия, но и без необходимого контроля. А Вы защищаете свой цифровой портрет?

1. Ip-адрес. Провайдеры годами хранят статистику на каком ip-адресе работал их пользователь. Зная ip-адрес можно легко вычислить расположение пользователя.

2. DNS-запросы. Каждый раз, когда Ваш браузер хочет получить доступ к определенной службе, например Google, обратившись к www.google.com, Ваш браузер запросит службу DNS, чтобы найти IP-адреса веб-серверов Google. Таким образом, интернет-провайдер DNS-записей сможет рассказать обо всем, что Вы делали в сети, просто просмотрев те журналы, которые, в свою очередь, могут быть предоставлены злоумышленнику.

3. NFC-платежи через устройства. Данная технология используется для выполнения бесконтактных платежей. По сути это радиочастотная идентификация. Вы заходите в магазин и на рамке происходит сканирование любых RFID-чипов, которые есть у вас: бесконтактные карты, транспортные карты, рабочие карты доступа, ключи от машины. Эти данные можно собирать и использовать для поиска людей.

4. Устройства Wi-Fi и Bluetooth вокруг Вас. Производители смартфонов заложили функции поиска Вашего местонахождения без использования GPS-функций. Достаточно сканировать Wi-Fi сети вокруг устройства. Данные о Вашем местоположении отправляются на сервера третьих компаний.

5. Использование Wi-Fi на смартфоне. Чтобы получить Ваши данные хакеры могут использовать специальные устройства, которые будут мешать работе wi-fi точек доступа и вынуждать Ваш смартфон подключиться к их устройству вместо публичной wi-fi точки доступа. В этом случае все Ваши данные становятся доступными для злоумышленника. В данном случае используются технологии MITM (Man-In-The-Middle) или человек посередине.

6. Использование Tor/VPN. За прошедшие годы было разработано и изучено множество передовых методов деанонимизации зашифрованного трафика Tor. Атака по корреляционным отпечаткам пальцев: эта атака будет отпечатывать ваш зашифрованный трафик (например, веб-сайты, которые вы посещали) только на основе анализа вашего зашифрованного трафика (без его расшифровки). Он может сделать это с колоссальным успехом в 96%. Такие отпечатки пальцев могут использоваться злоумышленником, имеющим доступ к вашей исходной сети (например, Ваш интернет-провайдер), для выяснения некоторых ваших зашифрованных действий (например, какие веб-сайты вы посещали).

7. Современные смартфоны на Android, IOS.
После выключения такого устройства оно будет продолжать передавать идентификационную информацию на близлежащие устройства даже в автономном режиме с использованием Bluetooth Low-Energy. Это дает способ найти Вас даже если Ваш телефон выключен, но имеет подключенный аккумулятор.

8. IMEI идентификатор Вашего оборудования. IMEI привязан непосредственно к телефону, который вы используете. Этот номер известен и отслеживается операторами мобильной связи, а также известен производителями. Каждый раз, когда ваш телефон подключается к мобильной сети, он регистрирует IMEI в сети. Он также используется многими приложениями (например, банковскими приложениями, злоупотребляющими разрешением телефона на Android) и операционными системами смартфонов (Android/IOS) для идентификации устройства. Сегодня предоставление вашего реального номера телефона в основном то же самое или лучше, чем предоставление вашего паспорта. Журналы антенн оператора мобильной связи также хранят некоторые данные о подключении. Они знают и регистрируют, например, что телефон с IMEI, подключен к набору мобильных антенн, и насколько мощный сигнал каждой из этих антенн. Это позволяет легко выполнять триангуляцию/геолокацию сигнала. Они также знают, какие другие телефоны (например, ваш настоящий) подключены в одно и то же время к тем же антеннам с тем же сигналом, что позволит точно знать, что этот телефон всегда был подключен в том же месте и в то же время, что и этот другой телефон, который появляется каждый раз, когда используется записывающий телефон. Эта информация может использоваться различными третьими сторонами для точного определения вашего местоположения/отслеживания.

9. Ваш браузер. При посещении любых сайтов ваш браузер получает уникальные cookie-данные с каждого сайта. Ваши данные в браузере становятся уникальными, а это значит, что веб-порталы знают кто зашел через браузер. На смену cookies приходят supercookies и Ваша анонимность сводится практически к нулю.

10. Покупки через карты. Банк собирает информацию о ваших покупках. Банк знает сколько, на что и где вы тратите деньги. Банк видит ваши предпочтения, может предсказать Ваши последующие действия проанализировав предыдущий период, в нужный момент предложить финансовые услуги. Этими данными банк может поделиться с третьими организациями.

11. Google-сервисы. Данные сервисы анализируют ваше географическое положение, звуки вокруг устройства. Эти данные могут использоваться компанией в рекламных целях или быть переданными третьим лицам.

12. Использование антивируса. Антивирус кроме основных своих целей по поиску и обезвреживанию вирусов анализирует вашу сетевую активность, данные браузеров. Эти данные могут быть переданы третьим лицам.

При повышении количества собранных данных формируется цифровой профиль человека, которые содержат в себе:

  • пол;

  • возраст;

  • семейное положение;

  • политические, религиозные взгляды;

  • финансовое состояние;

  • интересы;

  • привычки;

  • и многие другие.

Согласно результатам исследования EFF (Electronic Frontier Foundation), уникальность отпечатка браузера очень высока и он содержит в себе ниже описанные данные:

  • User-agent (включая не только браузер, но и версию ОС, тип устройства, языковые настройки, панели инструментов и т.п.);

  • Часовой пояс;

  • Разрешение экрана и глубину цвета;

  • Supercookies;

  • Настройки куки;

  • Системные шрифты;

  • Плагины к браузеру и их версии;

  • Журнал посещений;

  • И другие данные.

Если говорить о статистике, то только раз на 286777 случаев случается полное совпадение отпечатков браузеров двух разных пользователей.

Согласно исследованию Browser Fingerprinting via OS and Hardware Level Features, точность идентификации пользователя при помощи отпечатка браузера составляет 99,24%.

Как же сохранить анонимность сегодня? Возможно только если уехать в лес и не пользоваться никакими техническими благами цивилизации или же ждать разработок, которые решат эти проблемы.

Статья написана в соавторстве:
1. Меньшиков Ярослав
2. Беляев Дмитрий

Подробнее..

Текущее положение дел по распознаванию лиц и камерам наблюдений в Москве и мире

20.04.2021 22:19:53 | Автор: admin
image

Количество камер наблюдения в столицах и ключевых городах мира. Слева направо, сверху вниз: Москва 193 000, Лондон 627 707, Нью-Йорк 31 490, Пекин 1 150 000, Париж 26 834, Шэньчжэнь 400 000.

Как развивались события и росла (нейро)сеть камер наблюдения в Москве.

2016 год


Февраль 2016 года. NtechLab выпустила в открытый доступ FindFace: пользователи могли находить людей во ВКонтакте по фотографии на улице или в транспорте.

20 апреля 2016 года пользователи Двача деанонимизировали российских порноактрис с помощью FindFace.

7 июля 2016 года Даниил Туровский рассказал о приложении FindFace и технологиях тотальной слежки

2017


28 сентября 2017 года власти Москвы начали подключать к городской системе видеонаблюдения технологию распознавания лиц российской компании NTechLab. За два месяца работы системы в тестовом режиме с её помощью удалось задержать шестерых преступников, которые находились в федеральном розыске.

2018 год


FindFace Security от NtechLab позволила задержать более 180 правонарушителей на ЧМ-2018, часть задержанных находилась в федеральном розыске.

2019 год


27 июня 2019 года. МВД раскрыло результаты тестового внедрения систем распознавания лиц в метро и на улицах Москвы. С помощью 1000 камер снаружи подъездов жилых домов сотрудники правоохранительных органов задержали 90 человек.

В ноябре 2019 года мэрия заказала 258 серверов, 105 компьютеров и систему хранения данных общей емкостью 9 петабайт на 1,2 млрд руб.

2020 год


В январе 2020 года был объявлен конкурс на 1,9 млрд руб. на поставку оборудования для системы распознавания лиц на транспорте.

С 1 сентября 2020 года в московском метрополитене заработала система видеонаблюдения. Она охватывает все станции метро. Теперь планируется развивать эту систему в направлении пассажирских сервисов. Одним из них станет FacePay, который позволяет оплачивать проезд по скану лица.

15 ноября 2020 года Департамент правительства Москвы по конкурентной политике выделил 252,6 млн руб. для расширения системы хранения данных интеллектуальной системы видеонаблюдения (ИСВН) в метро. Соответствующий тендер опубликован на портале госзакупок. Подрядчик должен будет установить не менее 2220 жестких дисков объемом не менее 4 Тбайт. Общая вместимость хранилища записей с камер наблюдения увеличится минимум на 8880 Тбайт. (Источник)

Национальный институт стандартов и технологий США (NIST) провёл исследование и подтвердил, что системы не справляются с масками. Но уже спустя полгода компании решили эту проблему в исследовании NIST от декабря 2020 года все три компании из России попали в список тех, кто совершает меньше всего ошибок.

2021


2 марта 2021 года. Более 900 преступников задержали благодаря системе распознавания лиц в Московском метрополитене за полгода.

Мэрия Москвы до 2025 года потратит 2,917 млрд руб. на систему видеонаблюдения с функцией распознавания лиц в Новой Москве.

Затраты Москвы на модернизацию систем умного видеонаблюдения и анализа информации о гражданах постоянно растут. Если в 2019 году ДИТ потратил на эти цели 60,8 млрд руб., в 2020-м около 68 млрд руб., то по итогам 2021 года расходы ожидаются на уровне 70,8 млрд руб., следует из информации на сайте Мосгордумы.

image

Центр видеонаблюдения, куда стекаются данные ДИТ. Фото Антона Тушина для ТАСС

Мировая статистика по камерам слежения


Отчет Surfshark.

  • Ченнаи в Индии город с самой высокой плотностью камер видеонаблюдения: 657,28 на км2.
  • В Лондоне, Англия, больше всего камер видеонаблюдения на кв. км за пределами Азии: 399,27/ км2.
  • Нью-Йорк город США с самой высокой плотностью камер видеонаблюдения: 25,97/км2.
  • В Пекине в Китае больше всего камер (1,15 млн), но он занимает 10-е место по плотности (277,51/км2).
  • Шесть из 10 городов с наибольшей плотностью камер видеонаблюдения находятся в Китае, три Индии.


image


Топ-9 городов по количеству установленных камер. С 4 по 22 места Индия и Китай. Москва на 23 месте.

image


Топ-9 городов по концентрации на кв км. Париж 12 место, Багдад 16 место, Гвадалахара 17 место, Сингапур 23 место, Буэнос-Айрес 29 место, Москва 30 место, Санкт-Петербург 46 место

Не только камеры, не только лицо


image

2 февраля 2021 года. Министерство внутренних дел России намерено при помощи искусственного интеллекта определять преступников по голосу. Тендер на соответствующую программу и оборудование был размещен на официальном сайте.

А разработки MIT позволяют видеть сквозь стены:

image

Статья на Хабре: Машинное (радио)зрение видит сквозь стены



Выводы


Москвичи стали материалом для обучения и развития нейронных сетей системы. Благодаря тому, что люди пользуемся системами идентификации, гос. услугами, заходят в метро, система понимает о людях и лицах всё больше и больше.

Понятие приватности нужно оставить в XX веке. В XXI оно не применимо. Все будут знать про вас всё, это лишь вопрос времени. И вы от этого только выиграете.
Александр Минин, гендиректор NtechLab


Источники


Подробнее..

Абсолютная приватность сервиса в I2P зашифрованый лизсет

03.05.2021 22:12:52 | Автор: admin

Принцип анонимности I2P заключается в неизвестном месторасположении скрытого сервиса. Каждый скрытый сервис (например, сайт или пользователь, который его посещает) взаимодействует с другими ресурсами исключительно через анонимизирующие туннели. Туннели строятся через роутеры участников сети также, как другие пользователи строят туннели через наш роутер. Такая модель создает множество прямых соединений между I2P-роутерами, в которых нельзя определить на каком роутере начался или закончился тот или иной туннель: тысячи одновременных зашифрованных подключений не дают такой возможности.

Чтобы связаться с любым скрытым сервисом, необходимо получить его лизсет (LeaseSet), который содержит информацию о входных туннелях и криптографических ключах. Для этого все серверные конечные точки, ожидающие подключение, публикуют свои лизсеты на флудфилах (Floodfill) роутерах, выступающих в роли справочной книги или доски объявлений. Несмотря на то, что флудфил получает лишь информацию о первых узлах входных туннелей и криптографические ключи, т.е. никакой компрометирующей информации в лизсете нет, архитектура I2P предусматривает использование зашифрованных лизсетов. Это позволяет скрыть наличие конечной точки (она же скрытый сервис и destination) от возможного мониторинга на флудфилах.

Идентификатор незашифрованного лизсета обычный внутрисетевой адрес скрытого ресурса, только без окончания .b32.i2p. Это позволяет держателям флудфилов видеть в открытом виде адреса ресурсов, которые у них опубликовались. Если вы подняли в I2P личный ресурс и не хотите, чтобы о нем случайно узнал кто-то еще, зашифрованный лизсет специально для вас!

Незашифрованный лизсет на флудфилеНезашифрованный лизсет на флудфиле

Сокрытие идентификатора лизсета в англоязычной терминологии называется blinding (ослепление). Отсюда происходит название адреса скрытого сервиса с зашифрованным лизсетом bb32 blinded-b32. В свою очередь b32 во всех доменах сети является сокращением от названия кодировки base32, которой кодируется информация, образующая домен.

Идентификатор лизсета типа bb32 (который видит флудфил) не соотносится с адресом, поэтому не может сообщить владельцу флудфила фактическое имя опубликованного у него ресурса. Также к адресу типа bb32 нельзя привязать короткий домен в зоне i2p. Единственный способ обратиться к подобному скрытому сервису иметь полную строку его адреса. Получая на вход bb32-адрес, I2P-роутер запрашивает у флудфила соответствующий зашифрованный лизсет, а затем расшифровывает его содержимое, используя дополнительную информацию, закодированную в домене.

Доменное имя обыкновенной конечной точки целиком состоит из хеша полного адреса (набор криптографических ключей, который затем приходит вместе с лизсетом), а адрес с зашифрованным лизсетом это публичный ключ подписи скрытого ресурса, а также три байта специальной информации: флаги, тип подписи и тип зашифрованной подписи.

Ознакомиться с криптографическими подробностями блиндинга, т.е. сокрытием идентификатора лизсета, а также с шифрованием его содержимого, можно в официальном документе. Согласно приведенной документации в зашифрованном лизсете поддерживается два типа подписи: EDDSA_SHA512_ED25519 (тип 7) и REDDSA_SHA512_ED25519 (тип 11), однако настоятельно рекомендуется использовать только второй из приведенных. В случае i2pd нерекомендуемый вариант вовсе не реализован, т.к. считается практически бессмысленным.

Это связано с тем, что, во-первых, тип подписи 11 алгоритмически является более оптимальным для использования в зашифрованном лизсете, во-вторых, тип подписи 7 применяется по умолчанию и допускает неумышленное использование уже существующего адреса в связке с зашифрованным лизсетом. Теоретически это является уязвимостью, т.к. позволяет флудфилу-злоумышленнику раскрыть очередной зашифрованный лизсет сервиса, который до этого с тем же ключом подписи использовал лизсет обычного типа. Это возможно из-за алгоритма вычисления блиндинга, который можно воспроизвести, заранее зная полный адрес конечной точки, включаемый в лизсет. Подразумевается, что пользователь, назначивший вручную тип подписи 11 наверняка сразу укажет и нужный ему тип лизсета, что предотвратит утечку.

Минимальная конфигурация туннеля конечной точки типа bb32 (которая иногда почему-то называется b33, что не имеет какой-либо логики) выглядит следующим образом (принципиальны последние две строки):

[SUPER-HIDDEN-SERVICE]type = serverhost = 127.0.0.1port = 8080inport = 80signaturetype = 11i2cp.leaseSetType = 5

Чуть раньше были упомянуты флаги, содержащиеся в первом байте адреса с зашифрованным лизсетом. Все, что нас интересует в контексте данной статьи, это флаг авторизации. Настраивается через дополнительный параметр конфигурации i2cp.leaseSetAuthType. Вкратце: это позволяет сделать доступ к приватному ресурсу еще более контролируемым, создавая список по ключам или парольным фразам для каждого пользователя, а в случае чего убрать конкретный идентификатор из списка, после чего соответствующий пользователь уже не получит лизсет, следовательно, и доступ к ресурсу. Подробнее об этом вы можете узнать из документации (параметры i2cp.leaseSetPrivKey, i2cp.leaseSetClient.dh.nnn, i2cp.leaseSetClient.psk.nnn).

Оригинальная статья опубликована в блоге дата-центра ITSOFT.

Подробнее..

Библиотека дляработы сiOS-пермишенами, отидеи дорелиза (часть1)

07.12.2020 20:14:08 | Автор: admin

Привет! Из этого мини-цикла статей ты узнаешь:

  • Как унаследовать Swift-класс не целиком, а лишь то в нём, что тебе нужно?

  • Как позволить юзеру твоей CocoaPods- или Carthage-библиотеки компилировать лишь те её части, что он действительно использует?

  • Как раздербанить ресурсы iOS, чтобы достать оттуда конкретные системные иконки и локализованные строки?

  • Как поддержать completion blocks даже там, где это не предусмотрено дефолтным API системных разрешений?

А вообще, здесь о том, как я попытался написать ультимативную библиотеку для работы с пермишенами в iOS с какими неожиданностями столкнулся и какие неочевидные решения нашёл для некоторых проблем. Буду рад, если окажется интересно и полезно!

Немного о самой либе

Однажды мне пришла в голову следующая мысль всем мобильным разработчикам то и дело приходится работать с системными разрешениями. Хочешь использовать камеру? Получи у юзера пермишен. Решил присылать ему уведомления? Получи разрешение.

В каждой подобной ситуации идеальный разработчик ходит изучать документацию на сайте Apple, но чаще мы экономим время и просто гуглим готовое решение на Stack Overflow. Не сказал бы, что это всегда плохо, но так оказывается слишком легко упустить какой-нибудь важный нюанс.

Быстрый поиск по GitHub показывает, что либы для работы с пермишенами уже давно существуют, причём их не одна и не две. Но какую ни возьми, везде одно и то же либо перестала обновляться, либо что-то не поддерживает, либо документация на китайском.

В итоге я решил написать собственную библиотеку. Попытаться сделать идеально. Буду благодарен, если напишете в комментариях, получилось ли. А вообще, PermissionWizard...

  • Поддерживает новейшие фичи iOS 14 и macOS 11 Big Sur

  • Отлично работает с Mac Catalyst

  • Поддерживает все существующие типы системных разрешений

  • Валидирует твой Info.plist и защищает от падений, если с ним что-то не так

  • Поддерживает коллбэки даже там, где этого нет в дефолтном системном API

  • Позволяет не париться о том, что ответ на запрос какого-нибудь разрешения вернётся вневедомом потоке, пока ты его ждёшь, например, в DispatchQueue.main

  • Полностью написан на чистом Swift

  • Обеспечивает унифицированное API вне зависимости от типа разрешения, с которым ты прямо сейчас работаешь

  • Опционально включает нативные иконки и локализованные строки для твоего UI

  • Модульный, подключай лишь те компоненты, что тебе нужны

Но перейдём наконец-то к действительно интересному...

Как унаследовать класс не целиком, а лишь то в нём, что тебе нужно?

Начав работать над PermissionWizard, я довольно быстро понял, что для большинства поддерживаемых типов разрешений мне нужны одни и те же элементы:

  • Свойство usageDescriptionPlistKey

  • Методы checkStatus и requestAccess

Было бы странно не унаследовать каждый класс, отвечающий за тот или иной тип пермишена, от универсального родительского класса, где всё это уже объявлено и частично имплементировано.

Кроме того, я собирался задокументировать каждый метод, каждое свойство в библиотеке, а поскольку Swift и Xcode не позволяют переиспользовать комментарии к коду, подобное наследование убивает сразу двух зайцев мне не нужно из класса в класс копировать одни итеже комментарии.

Только вот оказалось всё сложнее, чем можно было ожидать:

  • Некоторые типы пермишенов (например, дом и локальная сеть) не позволяют проверить текущий статус разрешения, не выполнив собственно запрос на доступ к нему, и унаследованное объявление checkStatus оказывается в таком случае неуместным. Оно лишь сбивает с толку торчит в автоподстановке, хотя не имеет имплементации.

  • Для работы с пермишеном геолокации не годится стандартное объявление requestAccess(completion:), поскольку для запроса на доступ необходимо определиться, нужен он нам всегда, или только когда юзер активно пользуется приложением. Здесь подходит requestAccess(whenInUseOnly:completion:), но тогда опять-таки выходит, что унаследованная перегрузка метода болтается не в тему.

  • Пермишен на доступ к фотографиям использует сразу два разных plist-ключа один на полный доступ (NSPhotoLibraryUsageDescription) и один, чтобы только добавлять новые фото и видео (NSPhotoLibraryAddUsageDescription). Видим, что опять-таки наследуемое свойство usageDescriptionPlistKey получается лишним логичнее иметь два отдельных и с более говорящими названиями.

Я привёл лишь несколько примеров возникших проблем. Однако подобных исключений потребовали только некоторые типы пермишенов. Большинство, а всего их целых 18 штук, строится по одному и тому же неизменному скелету, отказываться от наследования которого совершенно не хочется.

Решить подобную ситуацию можно по-разному. Например, раскидать все эти объявления свойств и методов по разным протоколам и в каждом отдельном случае наследовать лишь нужные. Но это громоздко и неудобно, в данном случае нашёлся способ изящнее атрибут.

class SupportedType {    func requestAccess(completion: (Status) -> Void) { }}final class Bluetooth: SupportedType { ... }final class Location: SupportedType {    @available(*, unavailable)    override func requestAccess(completion: (Status) -> Void) { }        func requestAccess(whenInUseOnly: Bool, completion: (Status) -> Void) { ... }}

Переопределение метода, помеченное атрибутом @available(*, unavailable), не только делает его вызов невозможным, возвращая при сборке ошибку, но и полностью скрывает его из автоподстановки в Xcode, то есть фактически как будто исключает метод из наследования.

Разумеется, я не открыл здесь никакой Америки, однако решение оказалось не слишком широко известным, поэтому решил им поделиться.

Как позволить юзеру твоей CocoaPods- или Carthage-библиотеки компилировать лишь те её части, что он действительно использует?

PermissionWizard поддерживает 18 видов системных разрешений от фото и контактов до Siri и появившегося в iOS 14 трекинга. Это в свою очередь означает, что библиотека импортирует и использует AVKit, CoreBluetooth, CoreLocation, CoreMotion, EventKit, HealthKit, HomeKit и ещё много разных системных фреймворков.

Нетрудно догадаться, что если ты подключишь такую либу к своему проекту целиком, пусть даже будешь использовать её исключительно для работы с каким-то одним пермишеном, Apple не пропустит твоё приложение в App Store, поскольку увидит, что оно использует подозрительно много разных API конфиденциальности. Да и собираться такой проект будет чуть дольше, а готовое приложение весить чуть больше. Требуется какой-то выход.

CocoaPods

В случае с этим менеджером зависимостей решение найти относительно просто. Разбиваем библиотеку на независимые компоненты, позволяя выборочно устанавливать лишь те, что нужны разработчику. Заодно отделяем компонент с иконками и локализованными строками, поскольку нужны они далеко не всем.

pod 'PermissionWizard/Assets' # Icons and localized stringspod 'PermissionWizard/Bluetooth'pod 'PermissionWizard/Calendars'pod 'PermissionWizard/Camera'pod 'PermissionWizard/Contacts'pod 'PermissionWizard/FaceID'pod 'PermissionWizard/Health'pod 'PermissionWizard/Home'pod 'PermissionWizard/LocalNetwork'pod 'PermissionWizard/Location'pod 'PermissionWizard/Microphone'pod 'PermissionWizard/Motion'pod 'PermissionWizard/Music'pod 'PermissionWizard/Notifications'pod 'PermissionWizard/Photos'pod 'PermissionWizard/Reminders'pod 'PermissionWizard/Siri'pod 'PermissionWizard/SpeechRecognition'pod 'PermissionWizard/Tracking'

В свою очередь, Podspec нашей библиотеки (файл, описывающий её для CocoaPods) выглядит примерно следующим образом:

Pod::Spec.new do |spec|    ...    spec.subspec 'Core' do |core|    core.source_files = 'Source/Permission.swift', 'Source/Framework'  end    spec.subspec 'Assets' do |assets|    assets.dependency 'PermissionWizard/Core'    assets.pod_target_xcconfig = { 'SWIFT_ACTIVE_COMPILATION_CONDITIONS' => 'ASSETS' }        assets.resource_bundles = {      'Icons' => 'Source/Icons.xcassets',      'Localizations' => 'Source/Localizations/*.lproj'    }  end    spec.subspec 'Bluetooth' do |bluetooth|    bluetooth.dependency 'PermissionWizard/Core'    bluetooth.pod_target_xcconfig = { 'SWIFT_ACTIVE_COMPILATION_CONDITIONS' => 'BLUETOOTH' }    bluetooth.source_files = 'Source/Supported Types/Bluetooth*.swift'  end    ...    spec.default_subspec = 'Assets', 'Bluetooth', 'Calendars', 'Camera', 'Contacts', 'FaceID', 'Health', 'Home', 'LocalNetwork', 'Location', 'Microphone', 'Motion', 'Music', 'Notifications', 'Photos', 'Reminders', 'Siri', 'SpeechRecognition', 'Tracking'  end

Подключение каждого нового компонента не только добавляет в устанавливаемый дистрибутив библиотеки новые файлы с кодом, но и проставляет в настройках проекта флаги, на основе которых мы можем исключать из сборки те или иные участки кода.

#if BLUETOOTH    final class Bluetooth { ... }#endif

Carthage

Здесь всё оказывается немного сложнее. Этот менеджер зависимостей не поддерживает дробление библиотек, если только не разделить их по-настоящему на разные репозитории, к примеру. Выходит, нужен какой-то обходной путь.

В корне нашей либы создаём файл Settings.xcconfig и пишем в нём следующее:

#include? "../../../../PermissionWizard.xcconfig"

По умолчанию Carthage устанавливает зависимости в директорию Carthage/Build/iOS, так что вышеприведённая инструкция ссылается на некий файл PermissionWizard.xcconfig, который может быть расположен юзером нашей библиотеки в корневой папке своего проекта.

Очертим и его примерное содержимое:

ENABLED_FEATURES = ASSETS BLUETOOTH ...SWIFT_ACTIVE_COMPILATION_CONDITIONS = $(inherited) $(ENABLED_FEATURES) CUSTOM_SETTINGS

Наконец, необходимо указать нашей либе, что она должна ссылаться на Settings.xcconfig как на дополнительный источник настроек для сборки. Чтобы это сделать, добавляем в проект библиотеки ссылку на указанный файл, а затем открываем project.pbxproj любым удобным текстовым редактором. Здесь ищем идентификатор, присвоенный только что добавленному в проект файлу, как на примере ниже.

A53DFF50255AAB8200995A85 /* Settings.xcconfig */ = {isa = PBXFileReference; lastKnownFileType = text.xcconfig; path = Settings.xcconfig; sourceTree = "<group>"; };

Теперь для каждого имеющегося у нас блока XCBuildConfiguration добавляем строку с базовыми настройками по следующему образцу (строка 3):

B6DAF0412528D771002483A6 /* Release */ = {isa = XCBuildConfiguration;baseConfigurationReference = A53DFF50255AAB8200995A85 /* Settings.xcconfig */;buildSettings = {...};name = Release;};

Ты можешь спросить, зачем помимо флагов с нужными компонентами мы также проставляем некое CUSTOM_SETTINGS. Всё просто в отсутствие этого флага мы считаем, что юзер библиотеки не попытался её настроить, то есть не создал PermissionWizard.xcconfig в корне своего проекта, и включаем сразу все поддерживаемые либой компоненты.

#if BLUETOOTH || !CUSTOM_SETTINGS    final class Bluetooth { ... }#endif

На этом пока всё

В следующей части поговорим о том, как я среди 5 гигабайт прошивки iOS 14 нашёл нужные мне локализованные строки и как добыл иконки всех системных пермишенов. А ещё расскажу, как мне удалось запилить requestAccess(completion:) даже там, где дефолтное системное API разрешений не поддерживает коллбэки.

Спасибо за внимание!

Подробнее..

В следующем обновлении Firefox появится функция сетевого разделения

21.12.2020 20:05:25 | Автор: admin


В Firefox 85 разработчики добавят функцию сетевого разделения для улучшения защиты от слежения за действиями пользователей. Релиз версии запланирован на январь 2021 года.

Сетевое разделение развитие стандарта Client-Side Storage Partitioning (разделение хранилища на стороне клиента). Стандарт разрабатывает группа из Консорциума Всемирной паутины. Члены Консорциума во главе с Тимом Бернерс-Ли, создают и внедряют технологические стандарты для интернета.

Разработчики Mozilla в обновлении версии 85 для Firefox добавят разделение следующих типов данных:

  • HTTP-кэш;
  • Кэш изображений;
  • Кэш для фавиконов;
  • Пул соединений;
  • DNS;
  • Аутентификация HTTP;
  • Заголовки Alt-Svc;
  • Спекулятивные предварительные соединения;
  • Кэширование шрифтов;
  • HSTS;
  • OCSP;
  • Промежуточный кэш центра сертификации (CA);
  • Клиентские сертификаты TLS;
  • Идентификаторы сеансов TLS;
  • CORS-кэш;
  • Теги Prefetch и Preconnect.

Браузер после добавления сетевого разделения также сможет лучше блокировать суперкуки. Они используют общие хранилища для данных пользователей, с которыми рекламодатели отслеживают перемещения пользователей в сети.

Разработчики Firefox добавляют наибольшее количество категорий для разделения данных, развивая функцию, уже интегрированную в Safari и Chrome. Apple хранит HTTP-кэш отдельно с 2013 года и постепенно добавляет другие категории. Google в прошлом месяце выпустила обновление Chrome 86, в котором также отделила HTTP-кэш.

При внедрении сетевого разделения возникает проблема некорректной работы сервисов, работа которых выстроена на cookie. Так, в прошлом месяце возникла проблема с Google Fonts, теперь шрифты кэшируются по другому. Команда разработки Mozilla рассказала, что готова принять удар только для того, чтобы улучшить конфиденциальность пользователей.

В браузерах, кроме файлов cookie, есть большое количество способов для хранения данных с веб-сайтов. Среди них есть различные виды кэширования: HTTP, изображений, фавиконов, шрифтов, CORS и многие другие механизмы, которые можно использовать для отслеживания действий пользователей на сайтах. К такому отслеживанию прибегает большинство популярных сайтов. Но добавление сетевого разделения в Firefox позволит сохранять эти данные раздельно для каждого ресурса, пока что они хранятся в общем пуле. Разделение усложнит работу по отслеживанию пользователей рекламным и аналитическим компаниям. Они не получат доступ к информации в общем пуле. Об этом рассказал исследователь конфиденциальности Зак Эдвардс в интервью изданию ZDNet.
Подробнее..

Перевод Сторонние куки хранить нельзя блокировать? Браузер Brave подходит к снаряду

23.03.2021 18:09:53 | Автор: admin

Сторонним вход воспрещён

С давних времён и до наших дней отслеживание сайтами действий пользователя, по большому счёту, основано на эксплуатации одного из самых старых пороков интернета сторонних (по-иностранному, third-party) данных: кук, записей в localStorage и т. д. Разумеется, в древние времена мало кто мог предположить, что браузерными куками будет вскормлен бессердечный спрут индустрии слежки и рекламных сетей, а конфиденциальность абонентов сети будет пожертвована во славу Больших Данных, принадлежащих Большим Корпорациям.

Как уже было сказано, простая блокировка сторонних кук спорное решение, поскольку мешает нормальной работе множества обычных сайтов. Причём нередко ломаются важные сценарии: вход на сайт или процесс оплаты. Дело в том, что до недавних пор основные браузеры позволяли этим хранилищам работать без каких-то ограничений соответственно и сайты не ждут подвоха или недоступности сторонних данных. Такое отсутствие ограничений позволяет всем разновидностям аналитических скриптов, следящих пикселей и рекламных сетей выдавать вашему браузеру уникальную куку и вести журнал её жизнедеятельности (в хромоподобных браузерах куки можно увидеть на странице chrome://settings/siteData)

Пример

Cайты shop.com, school.edu и bank.ru добавляют на свои страницы следящий пиксель <img src=https://trackingcorp.com/track.gif>. При первом запросе за этим пикселем, сайт trackingcorp.com сохранит в браузере куку с уникальным номером. При последующих запросах с сайтов магазина, школы и банка, сервер trackingcorp будет записывать историю визитов для этого номера и продавать её всем желающим за пригоршню долларов.

До недавнего времени мы балансировали между сохранением приватности и обеспечением корректности работы сайтов путём всевозможного колдунства, монтажа костылей и инжекта скриптов. Некоторые сайты приходилось просто добавлять в список исключений, иначе они отказывались работать. Это более или менее помогало оборонять наших пользователей, но стратегически это глубоко ущербный подход, который не решает проблему в целом.

Усилиями наших лучших умов (и с помощью наблюдений за другими браузерами на рынке) было придумано эфемерное хранилище сторонних данных новая конструкция, которая не кормит трекеры, рекламные сети и Корпорации Добра данными пользователей, и при этом сильно реже ломает посещаемые сайты. На момент публикации мы включили эфемерное хранилище в бете и раскатываем на пользователей релизного канала.

В чем сила

Эфемерное веб-хранилище по сути представляет собой комбинацию решений по хранению данных, каждое из которых мы опишем подробнее, с оговоркой, что по результатам работы некоторые пункты могут быть пересмотрены.

  1. Никаких кук по запросам за ресурсами (картинки, скрипты и т. д.) на сторонних доменах. Brave шлет куки по запросам на поддомены текущего сайта (например, sub.habr.com), но если это cross-origin запрос (например, за evilcorp.com/tracking_pixel.gif), ни одна кука не будет выдана.

  2. Секционированное (то есть, раздельное) хранилище для сторонних фреймов. Скрипты, которые исполняются в таких фреймах, могут обращаться к кукам документа, localStorage или sessionStorage API (остальные API пока что, как и раньше, полностью отключены для сторонних запросов), однако фактически им будут предоставлены разные хранилища. Например, если фрейм trackingcorp.com встроен в сайты example.org и other.org, то будут созданы два хранилища: одно для trackingcorp.com + example.org, другое для trackingcorp.com + other.org. Таким образом, исключается возможность сохранения в браузере уникальной куки (или записи в localStorage) имени trackingcorp.com.

  3. На одном и том же сайте все сущности используют одно хранилище. Например, у вас открыты две вкладки сайта first.example.org и second.example.org, на каждой вкладке есть фрейм с видео с YouTube. Оба фрейма будут обращаться к одному хранилищу. А вот если тот же YouTube-фрейм встроен в other.org или на одной из вкладок открыто то же самое видео на сайте YouTube хранилище example.org ни тот, ни другой фрейм не увидят, ибо не положено.

  4. Все сторонние хранилища для first-party сайта очищаются, как только закрывается последняя вкладка с этим сайтом. Соответственно, сторонние фреймы, о которых мы говорили в примерах выше, теряют данные в этих хранилищах. Пока открыта хоть одна страница для данного сайта, сторонние хранилища для фреймов существуют. Если закрыть последнюю и открыть заново появятся новые, пустые хранилища.

  5. После закрытия браузера очищаются все сегменты всех сторонних хранилищ. Даже при включенном восстановлении вкладок, после рестарта, хранилища будут новыми. Этот подход совпадает с алгоритмом рандомизации браузерных отпечатков в Brave, о которым мы расскажем в следующих сериях.

Пока что мы умеем только секционировать куки и localStorage, на подходе indexedDB и другие API например, предстоит интегрироваться с Storage Access API (которое в Chromium внедряла команда Edge).

Что у других браузеров?

Пионеры секционирования сторонних хранилищ это Safari и Tor Browser, примером которых мы и вдохновились. В отличие от Safari, Brave очищает сторонние хранилища при закрытии сайта, а не всего браузера, что существенно усиливает защиту многие пользователи крайне редко перезапускают браузер.

Секционированное хранилище (в отличие от нас не эфемерное, а персистентное) для обороны от суперкук сделали в Firefox. Chromium же в этой области догоняющий на сегодня в нём секционируется только кэш, и ведётся работа по другим компонентам. C 2019 года Firefox блокирует сторонние куки, принадлежащие доменам известных трекеров. А совсем недавно авторы Chromium объявили о курсе на полный запрет сторонних кук этот процесс растянется надолго, но одной исторической ошибкой в интернете станет меньше.

Подробнее..

Перевод Нет, Google! Vivaldi не будет поддерживать FLoC

14.04.2021 16:05:26 | Автор: admin

Трудно избавляться от старых привычек.

Новый инструмент Google по сбору данных отвратителен. FLoC (Federated Learning of Cohorts объединённое обучение по группам) это новая рекламная технология, призванная заменить сторонние Cookies и подобные средства вроде localStorage. Это откровенно опасный шаг, нарушающий приватность пользователей.

В данный момент технология проходит тестирование в Google Chrome и она также является частью браузерного движка Chromium.

Отсюда резонный вопрос: какова позиция Vivaldi в отношении этой новой технологии Google?

Учитывая, что наш браузер построен на базе Chromium, вопрос весьма актуальный. Но дело в том, что даже если мы используем Chromium для отрисовки веб-страниц, на этом наше сходство с Chrome (и с другими основанными на Chromium браузерами) и заканчивается.

Уберите FLoC! Vivaldi не поддерживает FLoC.

Мы в Vivaldi всегда защищаем приватность наших пользователей. Мы не допускаем отслеживания активности пользователей или создание их поведенческих профилей, в любой форме. Мы даже собственным продуктам не позволяем создавать локальные поведенческие профили пользователей.

Для нас слово приватность действительно означает приватность. Мы не манипулируем термином, чтобы запутать его смысл. Мы не подсматриваем, как вы используете наши продукты. Наша политика конфиденциальностипростая и понятная, мы не собираемся за вами следить.

FLoC, технология слежки, нарушающая конфиденциальность.

Google будет продолжать создавать поведенческие профили и следить за пользователями, даже в отсутствие сторонних Cookies и localStorage.

Они представилиFLoC как часть так называемых приватных технологий, но давайте быть честными: FLoC это нарушающая приватность технология слежки за пользователями.

Работает ли FLoC в Vivaldi?

Текущая экспериментальная реализация FLoC не работает в Vivaldi. Для неё требуются некоторые скрытые настройки, которые отключены в Vivaldi.

Компоненту FLoC в Chrome нужно обращаться к серверам Google чтобы понять, можно ли эту технологию использовать, т.к. она разрешена только в странах, не подпадающих под действие Европейского регламента по защите данных (GDPR). Дискуссии о том, может ли данная технология использоваться в Европе не нарушая GDPR, ещё не завершены. Мы внимательно следим за этим процессом.

Хотя Vivaldi и использует движок Chromium, мывносим в него измененияразными способами, чтобы сохранить полезные компоненты, но сделать их более безопасными для пользовательских данных. Мы не позволяем Vivaldi отправлять подобные отслеживающие запросы на серверы Google.

Мы не будем поддерживать FLoC API и планируем полностью отключить его вне зависимости от того, как это будет реализовано. Данная технология не защищает приватность и, конечно, не приносит никакой пользы, приводя к потере конфиденциальности в угоду финансовым интересам Google.

Почему FLoC? Потому, что сторонние Cookies умирают.

Традиционно многие веб-сайты на законных основаниях использовали сторонние файлы Cookies для обеспечения входа в учётную запись. Блокировка сторонних Cookies в браузере отключит автоматический вход. Но поскольку через сторонние Cookies всё активнее шла слежка за пользователем, некоторые браузеры начали активно блокировать сторонние файлы Cookies.

Веб-сайты постоянно пробуют для авторизации альтернативные решения, не использующие сторонние файлы Cookies, и очень скоро такие Cookies могут быть отключены по умолчанию во всех браузерах.

Это создаёт трудности для следящих компаний вроде Google, которые хотят доминировать на рынке, и поэтому они ищут альтернативы. FLoC - одно из таких решений.

Как и многие продукты, ориентированные на конфиденциальность, Vivaldi имеет встроенный блокировщик слежки, который блокирует известные сторонние трекеры, независимо от того, используют ли они файлы Cookies, localStorage или фингерпринтинг для идентификации.

Что такое сторонние Cookies.

Сторонние Cookies одна из фундаментальных технологий, на которую полагаются рекламщики, позволяющая создавать поведенческие профили пользователей. Вместо контекстной рекламы, зависящей от того, какую страницу человек просматривает, поведенческие профили позволяют транслировать адресную рекламу на основе персональных особенностей пользователя.

Поведенческие профили не только позволяют делать деньги на рекламе, но также могут использоваться для влияния на поведение пользователя в сети и манипулирования большими группами людей. Такие профили могут быть привязаны к учётной записи в социальных сетях, имени, реальному человеку, его друзьям и родственникам, а также ко всему, что они когда-либо писали о себе.

Подавляющее большинство онлайн-рекламы и трекеров принадлежит всего нескольким крупным корпорациям, таким как Google и Facebook.Они собирают огромный объём данных с помощью своих трекеров и получают доступ к любой приватной информации о вашей личности.

Подобный видслежки одна из крупнейших угроз приватности в наше время угрожает нашей индивидуальности. Она ставит под удар нашу приватность. It compromises our privacy. Но она по-прежнему используется, т.к. мы к ней привыкли, а отдельные протестующие голоса не имеют большой силы.

В Vivaldi мы уверены, что создание поведенческих профилей своих пользователей должно быть незаконным для компаний. И вопрос даже не в уровне доступа к таким данным - компании не должны иметь права даже создавать их. Никаких запросов на согласие пользователя. Никаких нажатий кнопки OK. Ни в какой форме.

Как сторонние Cookies упрощают слежку?

Рекламные и следящие компоненты (скрипты или пиксели слежки) размещаются на страницах, где реклама отображается. При первом посещении браузера данной страницы трекер устанавливает сторонний файл Cooki с уникальным идентификатором.

Каждый раз когда пользователь отправляет запрос на открытие страницы, на которой есть слежка, файл Cookie отправляет сигнал следящей компании, которая ассоциирует этот сигнал с предыдущими запросами. Через некоторое время, когда пользователь посетит несколько страниц, на которых есть слежка от одной и той же компании, эта компания может создать картину поведения пользователя. Какие страницы он просмотрел, какие у него политические взгляды, какие медицинские проблемы у него есть, где он живёт, сколько времени он проводит в сети и многое другое.

Более изощрённые трекеры могут отслеживать то, что вы пишете на посещаемых страницах, или даже как вы перемещаете курсор мыши по странице.

Как работает FLoC? Он изучает вашу историю просмотра.

FLoC выполняет всю работу по профилированию непосредственно в браузере. Браузер видит все веб-страницы, которые вы посещаете, поэтому он может собирать данные о ваших привычках при просмотре веб-страниц, а также определять ваши предпочтения.

Это не то же самое, как хранение истории просмотра в браузере для вашего удобства. Это анализ вашего поведения в сети, для Google. Выбираются наиболее важные аспекты вашего поведения в интернете и если есть группа людей с аналогичными критериями, вам присваивается такой же идентификатор, как и у них всех.

Таким образом рекламной компании уже не нужен ваш уникальный персональный идентификатор, чтобы видеть точно, какие страницы вы просматриваете если, конечно, вы не используете браузер, созданный той же самой компанией и она не может определить вас конкретно. На первый взгляд звучит неплохо.

Но они могут видеть, что каждый человек, купивший определённые медицинские препараты, входит в группы (FLoC) 1324, 98744, или 19287.

И вот теперь ситуация ухудшается.

Если вы входите в одну из этих групп FLoC, вам будет демонстрироваться реклама данного препарата даже если вы хотите сохранить в тайне от окружающих свои проблемы со здоровьем.

Всё это полностью анонимно и, казалось бы, должно только приветствоваться, но на самом деле это обман.

Они всё ещё могут понять, что у вас есть определённая проблема со здоровьем. Что вы, скорее всего, принадлежите к определённой возрастной группе или что у вас есть определённые черты характера, потому что вы входите в ту же группу, что и другие люди с подобными свойствами.

Статистический анализ этих групп значительно усложнён для небольших компаний. У них не так много данных для работы. Они не видят все веб-сайты, на которых указана данная группа FLoC.

Больше всего информации об этих группах получит тот, кто обладает крупнейшим рекламным пространством в сети Google.

И снова Google только укрепляет своёдоминирующее положение.

FLoC соберёт ваши данные. Больше, чем когда-либо.

Раньше рекламная компания могла собирать о вас только информацию, связанную с посещаемыми вами с веб-сайтами, на которых её реклама и размещалась. Рекламный провайдер, который работал, например, с 1000 веб-сайтов, мог отследить каждого посетителя только на одном или двух из своих сайтов, поэтому он не мог собрать много данных о вас.

FLoC полностью меняет ситуацию. Его базовый функционал включает обмен полученными данными с рекламодателями.

Теперь каждый веб-сайт будет видеть группу, в которую вы включены на основе вашего поведения на любом другом веб-сайте. Даже веб-сайты, на которых есть только контекстная реклама или рекламы вообще нет, будут использоваться в общей схеме. Это может измениться в будущем, поскольку технология в настоящее время является экспериментальной.

Например, вы можете посетить веб-сайт очень личного характера, при этом не важно, использует данный веб-сайт рекламу FloC или нет, и теперь каждому другому веб-сайту, который вы посещаете, будет сообщаться ваша группа FLoC, которая указывает, что вы посетили данный тип веб-сайта. Совершенно другая рекламная компания, но она получает ту же информацию о посещённых вами веб-сайтах.

FLoC имеет серьёзные последствия для общества в целом.

FLoC действительно имеет очень серьёзные последствия для людей, живущих в среде, где имеется преследование по различным аспектам личности - будь то сексуальность, политические взгляды или религия. Всё может стать частью вашего идентификатора FloC.

Например, диктаторское государство может определить, что несогласные часто входят в одну из пяти групп FLoC. Теперь любой представитель этой группы, посещающий контролируемый государством веб-сайт, может подвергнуться риску. Страна, которая запрещает определённые религии или сексуальные отношения, может поступить так же.

Это уже не вопрос приватности происходит переход границы в сторону угрозы персональной безопасности.

Пользователи всегда важнее. Не FLoC.

Очень тревожно то, что мы достигли стадии, когда простой номер идентификатор группы FLoC - может быть настолько опасным. Могли ли мы это когда-нибудь представить?

Реклама пришла в нашу сетевую жизнь ещё до того, как было изобретено отслеживание активности пользователей. Но это была простая контекстная реклама. Вы просматривали веб-сайт по продаже автомобильных запчастей, вам демонстрировалась реклама автомобилей. Вы интересовались этой темой вы получали соответствующие рекламные предложения. Вам не нужно было переживать о том, что вы увидите рекламу продукта, который вы просматривали неделю назад на совершенно другом веб-сайте. Рекламные компании зарабатывали деньги. Веб-сайты зарабатывали деньги на рекламных компаниях.

Скорее всего, если запретить отслеживание пользователей, то именно такой вид рекламы снова станет доминирующим в сети, и он до сих пор достаточно эффективен.

Но вместо того, чтобы создавать мир, свободный от проблем с таргетированной рекламой, мы встречаем новую реальность с индивидуальными поведенческими профилями с помощью FLoC и Песочницами приватности.

Мы отказываемся от FLoC. Вы тоже должны это сделать.

Подробнее..

Модульный открытый ноутбук для параноиков начали рассылать заказчикам

13.04.2021 00:19:36 | Автор: admin

Около года назад на Хабре появилась статья об открытом в плане железа и ПО модульном ноутбуке MNT Reform, который предназначается для пользователей, которым крайне важна сохранность персональных данных. Это устройство было даже названо ноутбуком для параноиков, хотя, конечно, это не официальное название.

Тогда, в мае прошлого года, была запущена краудфандинговая кампания. Она собрала необходимые для производства устройства средства, и сейчас авторы объявили о старте отправки ноутбука заказчикам. Первые 25 устройств отгружены покупателям из ЕС, своей очереди ждут еще 450 ноутбуков их отправят в ближайшее время. Что собой представляет это чудо техники?

Характеристики



  • Процессор: 4-ядерный ARM Cortex-A53 (1.5 GHz) NXP/Freescale i.MX8MQ. Как процессор, так и память съемные, модуль выполнен в форм-факторе SO-DIMM.
  • ОЗУ: 4 GB LPDDR4.
  • Видеочип: Vivante GC7000Lite GPU. Поддержка OpenGL 2.1, ES 2.0, драйвер из основной ветки ядра Linux.
  • Дисплей: Full HD (1920x1080 pixels) 12.5" IPS eDP, который подключается через интерфейс MIPI-DSI. Есть еще совсем миниатюрный 128x32px OLED экран для вывода системных сообщений.
  • Порты: 3x USB 3.0 (Type-A), Gigabit Ethernet port. miniPCIe Wi-Fi.
  • Накопитель: Internal M.2 M-key socket for NVMe SSD, есть слот для карт памяти SD.
  • PCIe: 1x miniPCIe socket (PCIe 2.0 1x), 1x M.2/NGFF socket M-key (PCIe 2.0 1x)
  • Клавиатура: механическая клавиатура с Kailh Choc Brown Switches и подсветкой.
  • Трекбол (опционально): USB-трекбол с 5 механическими переключателями.
  • Трекпад: ну, он есть.
  • Корпус: модульный корпус из анодированного алюминия. Нижняя крышка выполнена с использованием полупрозрачного пластика.
  • Аудио: Wolfson WM8960 ADC/DAC.
  • Камера: встроенной нет (для параноиков же, зато есть MIPI-CSI коннектор.
  • Батарея: съемные ячейки 18650, 12 Ah/3.2 V. Их хватает примерно на 5 часов работы.
  • Системный контроллер: NXP LPC11U24 ARM Cortex-M0.
  • ОС: Debian GNU/Linux 11, Linux 5.x.
  • Размеры: 29 x 20.5 x 4 см.
  • Вес: ~1.9 кг.

А теперь смакуем подробности



Батарея. О ней стоит поговорить еще раз. Дело в том, что использование открытых банок 18650 беспроигрышный вариант. Да, это не плоская батарея, но зато в любой момент прохудившийся элемент можно заменить на свежий, не опасаясь блокировки контроллера или любых других непрятностей.


Материнская плата. Ее основное достоинство возможность подключения системы на модуле (SoM). Как и говорилось выше, модуль с процессором, видеочипом и ЗУ вставляется в материнку как SO-DIMM. Еще один положительный момент для подключения дисплея не нужен HDMI/DisplayPort. Вместо этого используется MIPI DSI --> eDP конвертер.


SoM. Здесь разработчики не изобретали велосипед, а использовали систему на модуле от Boundary Devices. Кроме уже озвученных элементов, SoM включает USB и PCIe контроллеры. Если есть возможность спроектировать собственный модуль без проблем.


Клавиатура. Она необычная, особенно непривычен небольшой пробел. Кому-то, возможно, такое решение покажется удобным. Над модулем клавиатуры находится небольшой экранчик, вывод информации на него модифицируется т.е. можно выбирать, какие статусные сообщения выводятся.


Дисплей. Ничего необычного, это 12.5" IPS eDP (embedded DisplayPort) панель с FullHD-разрешением.


Трекбол и тачпад. Выше было указано, что трекбол опциональное решение. Можно установить либо его, либо тачпад.

Корпус. В качестве нижней крышки используется полупрозрачный пластик, через который видна начинка.

Все идеально?


Не совсем. С ноутбуком все хорошо, кроме одного производительности. Процессор, установленный в системе, несколько быстрее, чем Allwinner A64, на котором основана система ноутбука PineBook Linux стоимостью в $100. Но вот уже Rockchip RK3399 выигрывает в производительности. Этот чип стоит в Pinebook Pro за $220. Ну и, конечно, процессор модульного ноутбука безбожно отстает от любых других чипов, установленных в более-менее современных ноутбуках с Windows или Linux OS.

Еще один недостаток стоимость девайса. MNT Reform DIY Kit, набор для самостоятельной сборки ноутбука, стоит $999. Максимальная конфигурация с 1 TB NVMe SSD, беспроводным модулем mPCIe Wi-Fi, мануалом и прочими плюшками стоит $1500.

Дороговато, конечно, но кампания на СrowdSupply собрала $388 291 при запланированных $115 000.

По словам разработчиков, MNT Reform представляет собой:
  • Почти полностью открытый ноутбук, который можно модифицировать как душе угодно, заменять сломанные модули или менять устаревшие компоненты на более производительные/функциональные.
  • Систему с защитой персональных данных. В ноутбуке нет камер, микрофонов, WiFi можно отключать. При необходимости персональные данные можно хранить на SD-карте. Есть и шифрование жесткого диска с LUKS.
  • Печатную машинку, которую можно использовать для офисных целей. Любые офисные программы, браузер и т.п. работают без проблем.
  • Промышленную систему. Благодаря чипсету ноутбук можно использовать в качестве промышленной рабочей лошадки.
  • Платформу для разработки ARM 64-bit ПО. Ну, здесь и так все понятно.
  • Обучающую систему. MNT Reform можно использовать в качестве базы для обучения принципам работы железа, ПО, защиты информации и т.п. Подходит и детям, и взрослым.

Официальная страница ноутбука вот здесь. Кроме базовой информации, ресурс приводит таблицу со сравнением MNT Reform с другими системами.

Подробнее..

Категории

Последние комментарии

  • Имя: Макс
    24.08.2022 | 11:28
    Я разраб в IT компании, работаю на арбитражную команду. Мы работаем с приламы и сайтами, при работе замечаются постоянные баны и лаги. Пацаны посоветовали сервис по анализу исходного кода,https://app Подробнее..
  • Имя: 9055410337
    20.08.2022 | 17:41
    поможем пишите в телеграм Подробнее..
  • Имя: sabbat
    17.08.2022 | 20:42
    Охренеть.. это просто шикарная статья, феноменально круто. Большое спасибо за разбор! Надеюсь как-нибудь с тобой связаться для обсуждений чего-либо) Подробнее..
  • Имя: Мария
    09.08.2022 | 14:44
    Добрый день. Если обладаете такой информацией, то подскажите, пожалуйста, где можно найти много-много материала по Yggdrasil и его уязвимостях для написания диплома? Благодарю. Подробнее..
© 2006-2024, personeltest.ru