классная фича в ТГ. писал текст, решил к нему приаттачить гифку — гифка запостилась, текст потерялся.
короче, в тексте были три ссылки с материалами, критикующими подход Apple к детекции материалов с CSAM на устройствах пользователя. Это будет короткая версия, так как писать еще раз аннотацию к этому всему мне лень теперь:
1. Пост Сноудена, где он пишет о том, что неважно, какую проблему решает Apple, система все равно плохая
https://edwardsnowden.substack.com/p/all-seeing-i
2. Юридический взгляд на внедрение этой системы
https://www.lawfareblog.com/apple-client-side-scanning-system
3. ну и вообще критика Эпол по поводу того, как они защищают (или не защищают) детей
https://campaignforaccountability.org/ttp-investigation-apples-app-store-loopholes-put-children-at-risk/
1. Пост Сноудена, где он пишет о том, что неважно, какую проблему решает Apple, система все равно плохая
https://edwardsnowden.substack.com/p/all-seeing-i
2. Юридический взгляд на внедрение этой системы
https://www.lawfareblog.com/apple-client-side-scanning-system
3. ну и вообще критика Эпол по поводу того, как они защищают (или не защищают) детей
https://campaignforaccountability.org/ttp-investigation-apples-app-store-loopholes-put-children-at-risk/
Substack
The All-Seeing "i": Apple Just Declared War on Your Privacy
“Under His Eye,” she says. The right farewell. “Under His Eye,” I reply, and she gives a little nod.
В шоу Джона Оливера - популярное еженедельное новостное шоу на HBO - был хороший выпуск про ransomaware, где популярным английским языком рассказывают, что это такое и почему эта тема сейчас очень популярна. Там еще в конце хороший рекламный ролик по этому поводу
https://www.youtube.com/watch?v=WqD-ATqw3js
https://www.youtube.com/watch?v=WqD-ATqw3js
YouTube
Ransomware: Last Week Tonight with John Oliver (HBO)
John Oliver discusses ransomware attacks, why they’re on the rise, and what can be done about them.
Connect with Last Week Tonight online...
Subscribe to the Last Week Tonight YouTube channel for more almost news as it almost happens: www.youtube.com/lastweektonight…
Connect with Last Week Tonight online...
Subscribe to the Last Week Tonight YouTube channel for more almost news as it almost happens: www.youtube.com/lastweektonight…
Прикольная тема: новая фишка Apple с Private Relay, когда сигнал передаётся через две «прокси», из которых одна знает «кто», вторая знает «куда» — и все это с целью сокрытия пользователя и его походов в сети, в текущем виде бета-версии на самом деле позволяет вычислить IP-адрес пользователя. Для беты объяснимо, но посмотрим, что будет в релизе
https://www.reddit.com/r/privacy/comments/pd4y5m/apples_new_private_relay_is_leaking_your_original/
https://www.reddit.com/r/privacy/comments/pd4y5m/apples_new_private_relay_is_leaking_your_original/
Reddit
From the privacy community on Reddit
Explore this post and more from the privacy community
Охереннейший тред о новом законопроекте в Китае, как правительство собирается регулировать алгоритмы, используемые в различных сервисах. Например, что у пользователей должна быть информация о том, что алгоритмы используются для рекомендации контента или продуктов, возможность отказаться от алгоритмического контента, а также видеть и удалять ключевые термины, используемые алгоритмами для рекомендаций. ФБ, наверно, радуется, что они не в Китае.
https://twitter.com/kendraschaefer/status/1431134515242496002
https://twitter.com/kendraschaefer/status/1431134515242496002
Twitter
Kendra Schaefer 凯娜
My goodness. China's cyberspace watchdog, the CAC, just published a long (and unprecedented) set of draft regulations for recommendation algorithms. The short version: they will be tightly controlled. Key points below. 1/ cac.gov.cn/2021-08/27/c_1…
Тут же наверняка есть кто-нибудь из Австралии. У вас там уже вообще ку-ку? Понапринимали всяких законов про то, как полиция может взламывать телефоны, собирать ваши данные, получать контроль над аккаунтами в соцсетях - и все это даже без решения суда. Как-то нехорошо это все, в добавление ко всем паукам, крокодилам и акулам там у вас.
https://tutanota.com/blog/posts/australia-surveillance-bill/
https://tutanota.com/blog/posts/australia-surveillance-bill/
Tuta
Australia: Unprecedented surveillance bill rushed through parliament in 24 hours. | Tuta
New Australian surveillance bill enables police to hack your device, collect or delete your data, and take over your social media accounts.
История о том, как сотрудница кредитного союза в Нью Йорке, будучи уволенной, на прощание снесла 21 гигабайт данных клиентов организации. Причём её уволили, но аккаунт не заблокировали, поэтому она подключилась удаленно и за 40 минут наудаляла 20 тысяч документов - заявок на кредиты и другую информацию. Еще и похвасталась после этого кому-то из друзей о совершённом. Данные из бекапа восстановили, конечно, но все это стоило денег и времени. Теперь она признала в суде свою вину и ещё неизвестно, на сколько может сходить в тюрьму.
https://www.justice.gov/usao-edny/press-release/file/1428871/download
https://www.justice.gov/usao-edny/press-release/file/1428871/download
Очередное подтверждение, что если к телефону или компьютеру и подключать какие-то кабели, то только свои! Компания OMG Cables, как они себя называют, разработали новый вариант своего кабеля со встроенным кейлоггером, теперь с Lightning на USB-C - чудеса миниатюризации! Например, с помощью этого кабеля можно подключить к Маку клавиатуру, и встроенный кейлоггер будет собирать весь набранный текст и по беспроводу передавать его злоумышленнику, который в этот момент может находиться за полтора километра от жертвы.
https://www.vice.com/en/article/k789me/omg-cables-keylogger-usbc-lightning
https://www.vice.com/en/article/k789me/omg-cables-keylogger-usbc-lightning
VICE
This Seemingly Normal Lightning Cable Will Leak Everything You Type
A new version of the OMG Cable is a USB-C to Lightning Cable that hackers can use to steal your passwords or other data.
Apple сказала, что на основании обратной связи по поводу функции сканирования контента на телефоне на предмет фотографий, содержащих сцены насилия над детьми, она откладывает внедрение этой функциональности
Как известно, ProtonMail - безопасный почтовый сервис, до тех пор, пока не становится опасным. Сервис оперирует в Швейцарии и утверждал, что никому* IP адреса пользователей не передаёт.
* кроме швейцарской полиции
Поэтому французская полиция запросила данные у швейцарской полиции через Европол, та пришла к ProtonMail - получила запрошенные данные.
Уточнение: «они не хранят адреса по умолчанию, но если придёт запрос по всей форме, то они начинают с этого момента хранить историю IP, с которых входили в конкретную учётку»
https://techcrunch.com/2021/09/06/protonmail-logged-ip-address-of-french-activist-after-order-by-swiss-authorities/
PS вроде как в случае с ProtonVPN данные IP-адресов полиция не имеет права запрашивать, но кто теперь уже там знает.
* кроме швейцарской полиции
Поэтому французская полиция запросила данные у швейцарской полиции через Европол, та пришла к ProtonMail - получила запрошенные данные.
Уточнение: «они не хранят адреса по умолчанию, но если придёт запрос по всей форме, то они начинают с этого момента хранить историю IP, с которых входили в конкретную учётку»
https://techcrunch.com/2021/09/06/protonmail-logged-ip-address-of-french-activist-after-order-by-swiss-authorities/
PS вроде как в случае с ProtonVPN данные IP-адресов полиция не имеет права запрашивать, но кто теперь уже там знает.
TechCrunch
ProtonMail logged IP address of French activist after order by Swiss authorities | TechCrunch
ProtonMail, a hosted email service with a focus on end-to-end encrypted communications, has been facing criticism after a police report showed that French
Популярный сервис для дейтинга Bumble содержал уязвимость, которая позволяла выяснить точное положение пользователя. По умолчанию геолокация «округляется», разумеется, но метод трилатерации - измерение расстояния от трёх разных точек никто не отменял. Так что хакер придумал метод со скриптом, который создавал фейковый профиль и изменял ему расстояние от жертвы. Детали по ссылке
https://robertheaton.com/bumble-vulnerability/
https://robertheaton.com/bumble-vulnerability/
Robert Heaton
Vulnerability in Bumble dating app reveals any user's exact location | Robert Heaton
The vulnerability in this post is real. The story and characters are obviously not.
Очень лонгрид, суть которого сводится к тому, что якобы сообщения в WhatsApp не защищены сквозным шифрованием, и якобы сотрудники Facebook имеют доступ к содержимому переписки:
WhatsApp has more than 1,000 contract workers filling floors of office buildings in Austin, Texas, Dublin and Singapore, where they examine millions of pieces of users’ content. Seated at computers in pods organized by work assignments, these hourly workers use special Facebook software to sift through streams of private messages, images and videos that have been reported by WhatsApp users as improper and then screened by the company’s artificial intelligence systems. These contractors pass judgment on whatever flashes on their screen — claims of everything from fraud or spam to child porn and potential terrorist plotting — typically in less than a minute.
Там дальше идёт речь о том, что когда кто-то жалуется на какие-то сообщения, то они расшифровываются для анализа:
WhatsApp reviewers gain access to private content when users hit the “report” button on the app, identifying a message as allegedly violating the platform’s terms of service. This forwards five messages — the allegedly offending one along with the four previous ones in the exchange, including any images or videos — to WhatsApp in unscrambled form, according to former WhatsApp engineers and moderators. Automated systems then feed these tickets into “reactive” queues for contract workers to assess.
Выглядит это все очень странно и совсем не похоже на то, как должно работать настоящее сквозное шифрование. Ответ Фейсбука как-то не внушает доверия тоже:
“We build WhatsApp in a manner that limits the data we collect while providing us tools to prevent spam, investigate threats, and ban those engaged in abuse, including based on user reports we receive. This work takes extraordinary effort from security experts and a valued trust and safety team that works tirelessly to help provide the world with private communication.”
Напрямую тут как бы и нет опровержения, что весьма странно. Всё-таки если окажется, что ФБ врали о шифровании в WhatsApp, то это как-то совсем за гранью.
ДОПОЛНЕНИЕ: алярма, как и предполагалось, отменяется. там ФБ дополнительно разъяснил, что все это недоразумение, и речь идёт именно о, по сути, форвардинге сообщений модераторам. В этом случае сообщение в расшифрованном виде пересылается с устройства пользователя, никакой дополнительной расшифровки другого контента не происходит. Как обычно, «учёные изнасиловали журналиста».
https://www.propublica.org/article/how-facebook-undermines-privacy-protections-for-its-2-billion-whatsapp-users
WhatsApp has more than 1,000 contract workers filling floors of office buildings in Austin, Texas, Dublin and Singapore, where they examine millions of pieces of users’ content. Seated at computers in pods organized by work assignments, these hourly workers use special Facebook software to sift through streams of private messages, images and videos that have been reported by WhatsApp users as improper and then screened by the company’s artificial intelligence systems. These contractors pass judgment on whatever flashes on their screen — claims of everything from fraud or spam to child porn and potential terrorist plotting — typically in less than a minute.
Там дальше идёт речь о том, что когда кто-то жалуется на какие-то сообщения, то они расшифровываются для анализа:
WhatsApp reviewers gain access to private content when users hit the “report” button on the app, identifying a message as allegedly violating the platform’s terms of service. This forwards five messages — the allegedly offending one along with the four previous ones in the exchange, including any images or videos — to WhatsApp in unscrambled form, according to former WhatsApp engineers and moderators. Automated systems then feed these tickets into “reactive” queues for contract workers to assess.
Выглядит это все очень странно и совсем не похоже на то, как должно работать настоящее сквозное шифрование. Ответ Фейсбука как-то не внушает доверия тоже:
“We build WhatsApp in a manner that limits the data we collect while providing us tools to prevent spam, investigate threats, and ban those engaged in abuse, including based on user reports we receive. This work takes extraordinary effort from security experts and a valued trust and safety team that works tirelessly to help provide the world with private communication.”
Напрямую тут как бы и нет опровержения, что весьма странно. Всё-таки если окажется, что ФБ врали о шифровании в WhatsApp, то это как-то совсем за гранью.
ДОПОЛНЕНИЕ: алярма, как и предполагалось, отменяется. там ФБ дополнительно разъяснил, что все это недоразумение, и речь идёт именно о, по сути, форвардинге сообщений модераторам. В этом случае сообщение в расшифрованном виде пересылается с устройства пользователя, никакой дополнительной расшифровки другого контента не происходит. Как обычно, «учёные изнасиловали журналиста».
https://www.propublica.org/article/how-facebook-undermines-privacy-protections-for-its-2-billion-whatsapp-users
ProPublica
How Facebook Undermines Privacy Protections for Its 2 Billion WhatsApp Users
WhatsApp assures users that no one can see their messages — but the company has an extensive monitoring operation and regularly shares personal information with prosecutors.
хороший тред от бывшего директора по безопасности Facebook о статье ProPublic, где они обвинили WhatsApp в обмане по поводу сквозного шифрования
https://twitter.com/alexstamos/status/1435285445336715265
https://twitter.com/alexstamos/status/1435285445336715265
Twitter
Alex Stamos
This ProPublica article on WhatsApp is terrible. It is inconsistent with much of what ProPublica has written in the past, it incorrectly conflates responsible reporting mechanisms with proactive moderation, and creates the wrong incentive structure for E2EE…
Астрологи объявили день блютуса!
1. https://www.bleepingcomputer.com/news/security/bluetooth-braktooth-bugs-could-affect-billions-of-devices/
Какая-то очередная смертельная уявзимость на чипсетах кучи производителей — BrakTooth, потенциально затрагивающая миллиарды устройств, включая смартфоны, наушники, клавиатуры и тд. Потенциальный ущерб — от DoS атак и отрубания BT, до исполнения кода. Некоторые вендоры уже пропатчили свои платформы, но далеко не все, как это обычно бывает.
2. https://nrkbeta.no/2021/09/02/someone-could-be-tracking-you-through-your-headphones/
чувак тут ездит по городу со сканером BT-устройств и показывает, как легко можно трекать местоположение и перемещение устройств. а все потому, что далеко не все производители в своих устройствах применяют рандомизаторы MAC-адресов. Умник какой, вы посмотрите на него.
1. https://www.bleepingcomputer.com/news/security/bluetooth-braktooth-bugs-could-affect-billions-of-devices/
Какая-то очередная смертельная уявзимость на чипсетах кучи производителей — BrakTooth, потенциально затрагивающая миллиарды устройств, включая смартфоны, наушники, клавиатуры и тд. Потенциальный ущерб — от DoS атак и отрубания BT, до исполнения кода. Некоторые вендоры уже пропатчили свои платформы, но далеко не все, как это обычно бывает.
2. https://nrkbeta.no/2021/09/02/someone-could-be-tracking-you-through-your-headphones/
чувак тут ездит по городу со сканером BT-устройств и показывает, как легко можно трекать местоположение и перемещение устройств. а все потому, что далеко не все производители в своих устройствах применяют рандомизаторы MAC-адресов. Умник какой, вы посмотрите на него.
BleepingComputer
Bluetooth BrakTooth bugs could affect billions of devices
Vulnerabilities collectively referred to as BrakTooth are affecting Bluetooth stacks implemented on system-on-a-chip (SoC) circuits from over a dozen vendors.