Вот, кстати, возвращаясь к предыдущему сообщению, хочется напомнить, что следят за нашей активностью и собирают информацию о нас не только в Фейсбуке. Газеты и другие онлайн-издания могут сколько угодно писать про то, какие в ФБ нехорошие редиски, но сайты этих самых СМИ просто кишат всевозможными трекерами, основная цель которых - сбор информации о пользователях для последующего показа рекламы. Вот хорошая статья, показывающая эту ситуацию на сайтах нескольких крупных западных изданий (хотя я уверен, что и не в западных изданиях ситуация не лучше, а, возможно, даже хуже):

http://blogs.harvard.edu/doc/2018/03/23/nothing/

И не стоит забывать о Google, которая знает о нас, возможно, даже больше Фейсбука (поисковые запросы, использование Хрома, почта - это даже более полезно фоточек о еде и лайков котиков). Вот полезная страничка у Google:

https://myactivity.google.com/myactivity

На ней можно не только увидеть, что уже собрала Google о вас на различных своих сервисах (подозреваю, что увидеть можно не все, но тем не менее), но и удалить эту информацию, и даже потыркать в кое-какие настройки, чтобы меньше информации собиралось. «Ах, что вы делаете, говорит Гугл в процессе удаления и отключения, мы не сможем показывать вам более релевантную информацию (читай - рекламу)», но я, пожалуй, предпочту страдать без релевантной рекламы, да.

Кстати, вот об этом:
https://t.me/alexmakus/1857

Вот тут по ссылке в твите автор признает, что сайт взломали через панель управления Squarespace и воткнули на сайт какой-то вредоносный код
https://twitter.com/iamevltwin/status/976627634066132992

Кто помнит историю про Meltdown и Spectre? (да-да, те самые уязвимости в процессорах. Кажется, что это было очень давно, но на самом деле публикация об этих уязвимостях случилась всего лишь в январе этого года). Уже тогда говорили, что это, скорей всего, не последние уязвимости спекулятивного исполнения в процессорах, поэтому вот, встречайте BranchScope (которая, как я понял, похожа на второй вариант Spectre)

http://www.cs.ucr.edu/~nael/pubs/asplos18.pdf

Несколько ссылок от читателей, которые мне прислали за последние пару дней, и которые я нахожу полезными:

1. Вдогонку про Google и их сбор активности пользователей

https://takeout.google.com/settings/takeout — у Гугла есть ссылка по которой можно скачать архив со всеми данными, которые у компании есть о пользователе

2. Вдогонку про уязвимости процессоров - Утилита Spectre Meltdown CPU Checker от компании Ashampoo.
https://www.ashampoo.com/en/usd/pin/1304/security-software/spectre-meltdown-cpu-checker

3. Школьников с детства приучают к слежке)) goo.gl/3YiwLj

И снова здравствуйте! У меня для вас сегодня есть полезные и забавные записи. Начнем, разумеется, с полезных.

Про скандал с Фейсбуком уже все слышали, я думаю. Плюс пару дней назад я писал про Google — и про то, сколько информации компания собирает, и про то, как можно скачать эту информацию встроенными инструментами, и про то, как можно попробовать минимизировать сбор информации компанией. Это все, разумеется, даже и не новости, потому что про сбор информации компаниями с рекламной бизнес-моделью говорили уже давно. В частности, мне напомнили про компанию Элкомсофт, дружественную этому каналу. Один из сооснователей компании — Владимир Каталов — несколько лет назад показывал вот такую презентацию о Google
https://hitcon.org/2015/CMT/download/day1-b-r0.pdf

У компании, кстати, даже софтина есть для того, чтобы выкачивать максимальное количество информации о пользователе с серверов Google (говорят, там гораздо больше инфы оказывается, чем то, что дает скачать Google).

https://www.elcomsoft.com/ecx.html

Конечно, при стоимости лицензии в 2 тыс долларов это инструмент не для обычного пользователя, но сам факт расхождения между тем, что отдает Гугл, и то, что могут выгружать специализированные приложения, заставляет задаваться вопросом — а что еще есть у Google (или FB, или Microsoft, или Apple, или Amazon), о чем мы не знаем, а они не рассказывают? (и поправил шапочку из фольги)

Где-то здесь должна быть картинка-мем “нельзя так просто взять и удалить Facebook”. Даже если удалить аккаунт в социальной сети и больше никогда туда не заходить, то все равно благодаря Facebook Audience Network компания будет следить за вами. FAN — это, мо сути, рекламая сеть и сервис для анализа приложений (https://developers.facebook.com/products/audience-network/overview/)
Так вот, эта сеть есть в 41% топ-приложений для Android, и оттуда в ФБ передается различная информация, вклчая информацию об устройстве, ваш IP-адрес, название приложений, и другая полезная для Facebook информация. Я уверен, что алгоритмы Facebook умеют скрещивать её с пользовательской информацией и привязывать это все к реальным аккаунтам в ФБ. КАК СТРАШНО ЖЫТЬ

Вот отчет об исследовании этой темы
https://blog.adguard.com/en/one-does-not-simply-delete-facebook/

Можно ли от этого как-то защититься? Мозилла тут попыталась вроде как сделать шаг в правильном направлении, выпустив расширение для Firefox, которое позволяет работать с ФБ типа как в песочнице, ограничивая доступ Фейсбука так, чтобы ФБ не имел доступа к сторонним кукам и трекерам. Идея хорошая, но реализация, как пишет мне читатель, подкачала:

“там пока всё печально, ибо не блочится ни fbcdn, ни messenger. Про facebookcorewwwi.onion они, похоже, и не слышали (уже зарепортил им в гитхаб). Но начинание, имхо, в целом не ахти. uMatrix/Request Policy или хотя бы Privacy Badger не только эффективнее. Они ещё и сделаны с пониманием, что Facebook ниразу не один такой забавный.
О качестве расширения: в самом background.js видим
const FACEBOOK_DOMAINS = ["facebook.com", "www.facebook.com", "fb.com"];
И всё. Зато отрапортоваться уже успели!”

Но так — лучше, чем никак, поэтому вот https://blog.mozilla.org/firefox/facebook-container-extension/

Пользуетесь VPN-сервисом? Потрудитесь почитать, что именно этот сервис хранит о вас (даже если сервис утверждает, что не хранится ничего)
https://thebestvpn.com/118-vpns-logging-policy/

в iOS 11 добавили полезную фишку по распознаванию QR-кодов (как будто ими кто-то пользуется). тут продемонстрировали уязвимость, как можно обмануть распознавалку таким образом, чтобы перенаправить пользователя на совсем другой сайт. Скажем, показывается facebook.com, а на самом деле открывается какой-нибудь фишинговый — потому что УРЛ на самом деле выглядит так https://xxx\@facebook.com:443@infosec.rm-it.de/

Парсер УРЛов немного лох, и вот. Об уязвимости сообщили в Apple еще в декабре прошлого года, но она до сих пор не исправлена. Видимо, имеет низкий приоритет, потому что даже Apple знает, что QR-кодами никто не пользуется.

вот статья об этом https://infosec.rm-it.de/2018/03/24/ios-camera-qr-code-url-parser-bug/

PS вот мой любимый сайт на эту тему с фотографиями людей, которые сканируют QR-коды
http://picturesofpeoplescanningqrcodes.tumblr.com

а теперь об относительно забавном:

1. Одна из газет, которая первой написала о скандале с Facebook и Cambridge Analytica — британская газета The Guardian. Напомню, одна из больших частей скандала — это то, что Cambridge Analytica получила данные не только тех людей, которые проходили какой-то там тест, но и всех их друзей. Журналисты молодцы, и все такое, но… Если зайти на страницу политики конфиденциальности приложения для Facebook самой газеты (https://www.theguardian.com/info/2011/sep/22/1), то там можно обнаружить текст о том, что ФБ-приложение газеты точно также выгребает данные не только читателей, но и всех их друзей (ну, по крайней мере, не говорят, что сохраняют за собой право на передачу этих данных третьим лицам)

By granting permission you will be agreeing to share your Facebook user details (including your name, profile picture, gender, networks, user ID and any other information you choose to share according to your Facebook account settings) as well as the user details of your Facebook friends, and information about your use of the App, for example, the articles you are reading.

А вторая “забавная” штука связана со скандалом, с которого начался мой новый приступ увлечения infosec — это схватка двух якодзун Apple и ФБР два года назад. Там ФБР, утверждая (на выступлении в Конгрессе), что испробовала все методы разблокировки iPhone террориста, требовала от Apple сделать backdoor в iOS для того, чтобы можно было достать данные с телефона. Но тут, два года спустя, обнаружилось, что подразделение ФБР Operational Technology Division на самом деле могло разблокировать тот телефон, но в связи с каким-то там внутренним конфликтом и наплевательским отношением не сообщило об этом начальству. Что, в итоге, привело к утверждениям в Конгрессе, которые не соответствовали действительности. Бардак там у них, не понимаю, как они вообще там с таким бардаком должны ловить всемогущих русских хакеров.

По ссылке — отчет Министерства Юстиции США по этому вопросу, если кому-то вдруг будет интересно https://oig.justice.gov/reports/2018/o1803.pdf

Сегодня были проблемы у Телеграма, а сразу под твитом Дурова об этом - криптовалютный жулик (взял у Паши pqorama)

Привет!

Компания GetContact уведомила Роскомнадзор о том, что будет хранить персональные данные граждан России на серверах внутри страны, говорится в сообщении ведомства.

Компания является разработчиком одноименного мобильного приложения, с помощью которого можно узнать, под каким именем номер телефона пользователя записан у людей из его списка контактов, которые также установили GetContact. Приложение позиционируется разработчиками как сервис для блокировки ненужных и маркетинговых звонков.

О решении локализовать хранение данных пользователей из РФ на серверах внутри страны GetContact сообщила в официальном письме заместителю руководителя Роскомнадзора Александру Панкову, пояснили в ведомстве.

http://www.interfax.ru/russia/605937

Вот к скриншоту с криптовалютным жуликом у твита @durov — вы думаете “хаха, неужели кто-то ведется на это?”. А вот ведутся — читатель прислал инфу про кошелек, а туда уже набросали денег за последние 2 часа. 97 эфиров на почти 40 тыс долларов. “дура дурой, а свою тыщонку в день имею”, как говорилось в одном анекдоте

и про VPN. мало того, что многие из них, как я писал вчера, сохраняют логи, хотя обещают этого не делать. Так еще и у некоторых из них (четверть) IP пользователей утекает через WebRTC (за ссылку спасибо читателю)
https://voidsec.com/vpn-leak/

А второму читателю спасибо за дополнение:
https://ipleak.net

вот тут хороший тест vpn да и просто можно чекнуть какая инфа о тебе уходит владельцам сайта

Читатели канала - лучшие. Вот интересная статья об уязвимостях Телеграма от читателя канала. Не все уязвимости одинаково полезны!
https://habrahabr.ru/post/347910/

MyFitnessPal - популярное приложение-сервис для фитнеса и здорового питания - было взломано в феврале этого года. 150 миллионов записей о пользователях, включая имена, имейлы и пароли в зашифрованном виде, уехали к злоумышленникам. Если у вас был/есть аккаунт на этом сервисе - самое время его сменить. Если вы использовали такой же пароль с логином где-то ещё - то ай-ай-ай!
https://content.myfitnesspal.com/security-information/notice.html