Тебе не нужна приватность
Я попросил маму, чтобы она стучала перед тем, как входить в мою комнату, она в ответ взяла и унесла дверь.
Слоганы крупных корпораций!
apple - думаю дорого, очень дорого
microsoft - вы будете использовать Edge! вы воспользуетесь им, и вам понравится!
google - ваша конфиденциальность - наша собственность
facebook - Приветствую нашего повелителя ящериц-андроидов
intel - "шутка с нанометрами"
nvidia - просто купи это
amd - больше ядер
Благодарность за перевод linuxzack #comment_178055573Отсюда - https://redd.it/iesdr7
Приватность в социальной сети одноклассники
Приехал к родителям в гости уже ложился спать, как ко мне подошла мама и сказала, что её аккаунт в социальной сети Одноклассники был взломан.
Ну взломан и взломан подумал я и уже решил поменять пароль попутно проверив, историю посещения, но там не было ничего подозрительного. При этом от нескольких знакомых поступили сообщения в которых кто-то настойчиво пытается получить данные банковских карт, прикрываясь выигрышами и выплатами на детей.
Собрав все данные, нашел фишинговый аккаунт с идентичной фотографией от аккаунта мамы. А дальше пазл сложился, злоумышленник заводит аккаунт, копирует фотографии и начинает настойчиво пытаться добавиться в друзья по списку моей мамы и писать сообщения с целью получения данных банковских карт.
Пишу жалобу (фишинговый аккаунт, несмотря на обращения прекрасно работал ещё около 6-8 часов!), пытаюсь закрыть список друзей от всех и Одноклассники предлагают приобрести местную валюту и заплатить 30 ОК. Вы там не оборзели ли часом? Вашей крайне кривой и неудобной социальной сетью и так пользуются 80%-90% пожилых людей, так вы их ещё и обобрать пытаетесь.
Релиз дистрибутива Tails 4.2
Представлен релиз специализированного дистрибутива Tails 4.2 (The Amnesic Incognito Live System), основанного на пакетной базе Debian и предназначенного для обеспечения анонимного выхода в сеть. Анонимный выход в Tails обеспечивается системой Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. Для хранения пользовательских данных в режиме сохранения пользовательских данных между запусками применяется шифрование. Для загрузки подготовлен iso-образ (1.1 ГБ), способный работать в Live-режиме.
Основные изменения:
Проведена работа по улучшению системы автоматической установки обновлений. Если раньше при необходимости обновить давно не обновлявшуюся систему требовалось поэтапное обновление c использованием промежуточных выпусков (например, при переходе с Tails 3.12 на Tails 3.16 нужно было вначале обновить систему до Tails 3.14, а уже потом до 3.16), то начиная с выпуска Tails 4.2 реализована возможность прямого автоматического обновления сразу до самой свежей версии. Кроме того, ручное участие при обновлении теперь требуется только при переходе на новую значительную ветку (например, потребуется при переходе на Tails 5.0 в 2021 году). Сокращено потребление памяти при выполнении автоматического обновления и оптимизирован размер загружаемых данных.
В состав включено несколько новых утилит, которые могут быть полезны пользователям сервиса SecureDrop, позволяющего анонимно передавать документы изданиям и журналистам. В частности, в поставку включён пакет PDF Redact Tools для очистки метаданных из PDF-документов, OCR Tesseract для преобразования изображентий в текст и FFmpeg для записи и преобразования звука и видео.
При запуске менеджера паролей KeePassX обеспечено по умолчанию открытие БД ~/Persistent/keepassx.kdbx, но если данный файл отсутствует, он исключается из списка недавно используемых баз.
Tor Browser обновлён до версии 9.0.3, синхронизированной с выпуском Firefox 68.4.0, в котором устранено 9 уязвимостей, из которых пять потенциально могут привести к выполнению кода при открытии специально оформленных страниц.
Почтовый клиент Thunderbird обновлён до выпуска 68.3.0, а ядро Linux до версии 5.3.15.
Слежка по банковской карте (если ей оплачивают проезд в общественном транспорте)
Сегодня обнаружил, что не могу оплатить проезд в маршрутке по транспортной карте. Она попала в какой-то стоп-лист. В ней якобы образовалась задолженность за проезд на общественном транспорте, теперь ей нельзя пользоваться для проезда.
Чтобы разобраться в ситуации, я порылся в сети и наткнулся на интересную ссылку. Пройдя по которой, можно ввести любой номер банковской карты карты и увидеть все передвижения с помощью нее. Сервис от Сбербанка судя по всему.
Как всегда, уровень приватности и отношение к чужой личной жизни зашкаливает :)
Похоже, карты любые (!) не только сберовские. Я, например, вбил номер Альфы.
А вот и ссылка .Возможно работает в зависимости от региона, я где-то видел ссылку для жителей Краснодара. Сбер как никак :)
https://securepayments.sberbank.ru/client/login
Пользователь «Хабра» заметил, что сайт Ростелекома сканирует его компьютер.
Сайт собирает данные об активности пользователей под предлогом заботы о безопасности.
Пользователь «Хабра» под псевдонимом force рассказал, как случайно обнаружил сканирование локальных сервисов на его компьютере со стороны Ростелекома. Как оказалось, личный кабинет провайдера постоянно отсылает запросы на устройство и пытается втайне собрать данные.
Сегодня я совершенно случайно обнаружил, что личный кабинет Ростелекома занимается совершенно вредоносной деятельностью, а именно, сканирует локальные сервисы на моём компьютере.
По словам force, он заподозрил неладное, когда увидел, что кто-то пытается подключиться к порту 5900. Обычно его использует протокол RFB, предназначенный для удалённого доступа к рабочему столу компьютера.
Кто-то с локалхоста [компьютера пользователя] пытается залезть на порт 5900, значит, это вирус или ещё что-то похуже. Конечно же, меня пробил холодный пот, и я пошёл искать данного вредителя. Быстрый анализ показал, что долбёжка идёт каждые 10 минут и делается 11 попыток подключиться. Осталось выяснить, кто это делает.
Пользователь решил, что раз соединение блокируется, то нужно сделать так, чтобы на нём «кто-то сидел». Для этого он запустил «интеллектуальный» TCP-сервер на платформе Node.js, который просто держал соединение с помощью команды «server.listen(5900, function () {});». В результате выяснилось, что к порту пытался подключиться Firefox.
Дальше я пошёл выяснять, какой же из табов или расширений фаерфокса это делает. Оказалось, что ни about:peformance, ни about:networking не показывают id процесса, который может делать сетевые запросы. Зато я выяснил, что это основной процесс браузера, а не дополнительный для вкладок или расширений, что затруднило выяснение вредителя (да, у меня как всегда открыта куча вкладок и найти нужную — достаточно тяжело).
Но с помощью терпения, я нашёл замечательную вкладку, в девелоперской консоли которой оказались замечательные строчки:
Как узнал force, сайт сканировал как минимум 14 портов, каждый из которых обычно используют разные сетевые протоколы, программы или вирусы.
5900 — VNC — система удалённого доступа к рабочему столу, использующая протокол RFB; 6900 — BitTorrent — пиринговый протокол для обмена файлами; 5650 — обычно использует троян Pizza; 5931 — неизвестно; 5938 — обычно используется программой для удалённого управления рабочим столом TeamViewer; 5939 — неизвестно; 3389 — RDP — протокол удалённого управления рабочим столом, разрабатываемый Microsoft; 8080 — HTTP — протокол передачи произвольных данных; 51 — обычно использует программа Fuck Lamers Backdoor, предназначенная для удалённой слежки, сбора данных и управления заражённым компьютером; 443 — HTTPS; 22 — SSH — протокол для удалённого управления компьютером с помощью командной строки; 445 — SMB — сетевой протокол для удалённого доступа к принтерам, файлам и другим сетевым ресурсам; 5985 — Microsoft Windows Remote Management — сервис для удалённого управления клиентскими и серверными Windows.
Force решил, что раз большинство портов предназначены для удалённого управления компьютером, то следует ожидать попыток проникновения на эти порты снаружи.
После этого пользователь «Хабра» под псевдонимом sashablashenkov предположил, что Ростелеком использует скрипт для проактивного отслеживания пользователей от компании Dynatrace. А другой пользователь под ником runalsh уточнил, что это разработка российской компании Group-IB.
Позже force выяснил адрес скрипта на сайте Ростелекома. Он отметил, что код обфусцирован — это значит, что его намеренно запутали, чтобы скрипт было труднее изучать.
TJ обратился за комментарием к Group-IB, но в компании посоветовали обратиться напрямую в Ростелеком. Пресс-служба провайдера рассказала, что скрипт используют в качестве антифрод-системы для предотвращения онлайн-мошенничества.
Обеспечение безопасности оказываемых сервисов является одним из основных приоритетов Ростелекома. Используемая в lk.rt.ru антифрод-система одним из своих действий осуществляет анализ пользовательской сессии. При этом осуществляется сбор данных об активности пользователя и поиск индикаторов компрометации устройств пользователя. - пресс-служба Ростелекома
Представители Ростелекома назвали сканирование портов одним из способов предотвращения мошенничества наряду со многими другими. В компании отметили, что антифрод-систему начали использовать, потому что в последнее время участились попытки мошенничества с лицевыми счетами абонентов и бонусными программами компании.
Пресс-служба объяснила, что одним из индикаторов компрометации устройств являются открытые сетевые порты, которые используются для удалённого доступа. На основании сканирования портов и анализа предыдущей истории действий пользователей компания делает выводы о возможных угрозах профилю абонента.
Источники: TJ, Хабр
Павел Дуров: Почему WhatsApp никогда не станет безопасным
(текст взят из официального канала Дурова)
Мировая общественность шокирована новостью о том, что WhatsApp превращал любой телефон в шпионское устройство. Хакеры могли получить доступ ко всем вашим данных, включая фотографии, электронные письма и СМС просто из-за того, что на вашем телефоне был установлен WhatsApp [1].
Меня эта новость не удивила. Прошлой осенью WhatsApp уже признавал наличие похожей проблемы — один видеозвонок через WhatsApp давал злоумышленнику доступ ко всем данным на вашем телефоне [2].
Каждый раз, когда WhatsApp исправляет критическую уязвимость, на её месте появляется новая. И все эти уязвимости подозрительно хорошо подходят для слежки за людьми. Они очень похожи на бэкдоры — намеренно встроенные лазейки, позволяющие получить доступ к данным.
В отличие от Telegram, код WhatsApp закрыт, так что независимые эксперты не могут легко проверить приложение на наличие бэкдоров. WhatsApp не только не открывает код своих приложений, они делают нечто прямо противоположное: специально обфусцируют код, чтобы его невозможно было изучить.
Вполне вероятно, что Facebook, которому принадлежит WhatsApp, вынужден встраивать бэкдоры в рамках печально известных приказов ФБР о неразглашении [3]. Разрабатывать приложение для безопасного общения, базируясь в США, не так просто. Всего за одну неделю, которую в 2016-м году наша команда провела в США, с нами трижды пытались договориться о «специальном доступе» к данным ФБР [4][5]. Теперь представьте, что в таких условиях может произойти за 10 лет с американской компанией.
Я понимаю, что спецслужбы обосновывают необходимость бэкдоров антитеррористическими соображениями. Проблема в том, что однажды встроенный бэкдор может быть использован кем угодно, включая преступников и авторитарные режимы. Неудивительно, что диктаторы любят WhatsApp. До тех пор пока люди им пользуются, за ними можно следить. Поэтому WhatsApp остается доступным в странах вроде России или Ирана, где Telegram запрещён властями [6].
Собственно, я сам начал работать над Telegram в ответ на личное давление со стороны российских властей. Тогда, в 2012-м, WhatsApp передавал данные по сети вообще безо всякого шифрования. Это было полным безумием: не только правительства и хакеры, но и мобильные операторы и даже владельцы точек WiFi могли читать всю переписку пользователей WhatsApp [7][8].
Позднее WhatsApp добавил шифрование, но быстро выяснилось, что это лишь маркетинговый трюк: ключи для доступа были как минимум у нескольких спецслужб, включая русские [9]. Когда Telegram начал набирать популярность, основатели WhatsApp продали свою компанию Facebook и внезапно заявили, что «приватность заложена у них в ДНК» [10]. Если так, то это, должно быть, был рецессивный или спящий ген.
Три года назад WhatsApp объявил о внедрении оконечного шифрования, благодаря которому «третьи лица не могут получить доступ к сообщениям». Одновременно с этим компания начала массово призывать своих пользователей сохранять резервные копии чатов в облаке. WhatsApp не стал уточнять, что на резервные копии новое шифрование не распространяется, поэтому все сообщения пользователей становятся доступными хакерам и правоохранителям. Отличный маркетинговый ход, из-за которого немало наивных людей отбывает срок в тюрьме [11].
Даже если вы устояли перед настойчивыми предложениями включить резервное копирование, в WhatsApp за вами можно следить с помощью других приёмов — от доступа к резервным копиям ваших собеседников до незаметной подмены ключей шифрования в чатах [12]. Кроме этого, WhatsApp передаёт властям потоки метаданных своих пользователей — записи о том, с кем, когда и где они общались [13]. Завершают картину сменяющие друг друга уязвимости, которые делают все данные на телефоне доступными третьим лицам.
В истории WhatsApp прослеживается чёткая линия — от полного отсутствия шифрования на старте проекта до череды странным образом подходящих для слежки уязвимостей. За все 10 лет существования WhatsApp не было ни одного дня, когда этот сервис был бы безопасен. Поэтому обновление приложения WhatsApp вряд ли для кого-то сделает его безопасным. Чтобы стать по-настоящему конфиденциальным сервисом, WhatsApp нужно быть готовыми потерять важные для них рынки и вступить в конфликт с властями на родине. Вряд ли они к этому готовы [14].
В прошлом году основатели WhatsApp покинули компанию из-за опасений за личные данные пользователей [15]. Они наверняка связаны договорами о неразглашении или приказами ФБР, поэтому не могут публично говорить о бэкдорах без риска потерять деньги и свободу. Однако они смогли признать, что «продали приватность своих пользователей» [16].
Я могу понять нежелание основателей WhatsApp раскрывать подробности. Рисковать своим комфортом нелегко. Несколько лет назад мне пришлось покинуть свою страну после отказа нарушать конфиденциальность пользователей ВКонтакте по требованию властей [17]. Это было неприятно. Но сделал бы я что-то подобное снова? Без сомнений. Каждый из нас когда-нибудь умрёт, но как вид мы ещё просуществуем долгое время. Поэтому стремление к богатству, славе или власти – бессмысленно. Служение человечеству — единственное, что имеет значение в долгосрочной перспективе.
И все же, несмотря на все наши намерения, я чувствую, что в этой истории со слежкой через WhatsApp мы подвели людей. Многие не могут удалить WhatsApp, потому что их друзья и члены семей еще там. Это означает, что Telegram не смог заставить больше людей сменить мессенджер. И хотя за последние пять лет мы привлекли сотни миллионов пользователей, этого не достаточно. Большинство все еще в заложниках у империи Facebook/WhatsApp/Instagram. У многих из тех, кто использует Telegram, установлен и WhatsApp — а значит, данные на их устройствах еще в опасности. Даже те, кто полностью отказался от WhatsApp, скорее всего, пользуются Facebook или Instagram, а эти сервисы считают нормальным хранение паролей в открытом виде [18][19] (до сих пор не могу поверить, что они это делали).
За почти 6 лет существования у Telegram не было утечек данных или дыр в безопасности уровня тех, которые обнаруживаются в WhatsApp каждые несколько месяцев. За 6 лет мы не выдали ни одного байта информации третьим лицам, пока Facebook и WhatsApp сливали потоки личных данных всякому, кто говорил, что работает на правительство [13].
За пределами фанатского сообщества Telegram не так много людей осознают, что почти все новые функции для обмена сообщениями сперва появляются в Telegram, и только затем – вплоть до мельчайших деталей реализации – копируются WhatsApp. Недавно Facebook пошел дальше и попытался позаимствовать философию Telegram целиком. На конференции F8 Цукерберг внезапно заявил о важности конфиденциальности и скорости, практически дословно процитировав описание приложения Telegram.
Но нет смысла жаловаться на лицемерие или отсутствие креативности Facebook. Нужно признать, что их стратегия работает. Посмотрите, например, что они сделали со Snapchat [20].
Мы в Telegram должны признать свою ответственность в создании будущего. Будущее – это либо мы, либо монополия Facebook. Либо свобода и конфиденциальность, либо жадность и лицемерие. Наша команда конкурирует с Facebook уже 13 лет. Однажды мы уже победили их на рынке социальных сетей в Восточной Европе [21]. Мы снова победим, теперь уже на мировом рынке обмена сообщениями. Мы обязаны это сделать.
Одержать победу будет не просто. Маркетинговый отдел Facebook огромен, в то время как Telegram не занимается маркетингом вообще. Мы не хотим платить журналистам и исследователям, чтобы они рассказывали о Telegram. Мы рассчитываем на вас — на миллионы наших пользователей. Если вам нравится Telegram, вы расскажете о нём своим друзьям. А если каждый пользователь Telegram убедит трёх своих друзей удалить WhatsApp и навсегда перейти в Telegram, то Telegram уже станет популярнее, чем WhatsApp.
Тогда эпоха жадности и лицемерия закончится; настанет эра свободы и конфиденциальности. И этот день намного ближе, чем кажется.
Источники
[1] Business Insider WhatsApp was hacked and attackers installed spyware on people’s phones – 15 мая 2019
[2] Security Today WhatsApp Bug Allowed Hackers to Hijack Accounts – 12 октября 2018
[3] Wikipedia Gag order – United States
[4] Neowin FBI asked Durov and developer for Telegram backdoor – 19 сентября 2017
[5] The Baffler The Crypto-Keepers – 17 сентября 2017
[6] New York Times What Is Telegram, and Why Are Iran and Russia Trying to Ban It? – 2 мая 2019
[7] YourDailyMac Whatsapp leaks usernames, telephone numbers and messages – 19 мая 2011
[8] The H Security Sniffer tool displays other people's WhatsApp messages – 13 мая 2012
[9] FilePerms WhatsApp is broken, really broken – 12 сентября 2012
[10] International Business Times Respect for Privacy Is Coded Into WhatsApp's DNA: Founder Jan Koum – 18 марта 2014
[11] Slate https://slate.com/technology/2018/06/paul-manafort-how-did-f... – 5 июня 2018
[12] AppleInsider WhatsApp backdoor defeats end-to-end encryption, potentially allows Facebook to read messages – 13 января 2017
[13] Forbes Forget About Backdoors, This Is The Data WhatsApp Actually Hands To Cops – 22 января 2017
[14] New York Times Facebook Said to Create Censorship Tool to Get Back Into China – 22 ноября 2016
[15] The Verge WhatsApp co-founder Jan Koum is leaving Facebook after clashing over data privacy – 30 апреля 2018
[16] CNET WhatsApp co-founder: 'I sold my users' privacy' with Facebook acquisition –25 сентября 2018
[17] New York Times Once celebrated in Russia, programmer Pavel Durov chooses exile – 2 декабря 2014
[18] TechCrunch Facebook admits it stored ‘hundreds of millions’ of account passwords in plaintext – 21 марта 2019
[19] Engadget Facebook stored millions of Instagram passwords in plain text – 18 апреля 2019
[20] Vanity Fair Snapchat is doing so badly, the feds are getting involved – 14 ноября 2018
[21] HuffPost Vkontakte, Facebook Competitor In Russia, Dominates – 26 октября 2012
Источник: https://telegra.ph/Pochemu-WhatsApp-nikogda-ne-budet-bezopasnym-05-16-7
Включаю паранойю, или WhatsApp сливает содержимое чатов?
Читал несколько постов про то, что Яндекс директ показывает рекламу на основе диалогов по телефону/рядом с телефоном.
Несколько раз проверял, и ничего похожего не обнаруживал.
До недавних пор.
Совершенно неожиданно Яндекс начинает мне рекламировать увлажнители воздуха. Первые пару раз я не придал значения, а потом начал задумываться откуда, ведь я их не искал нигде.
А потом вспомнил, что в чате Вотсап, посвященному подарку школьному преподу на ДР, предлагали подарить как раз ...
... Увлажнительную систему!
И как это интерпретировать, кроме как whatsapp слил историю чата?