> Report: How thousands of companies monitor, analyze, and influence the lives of billions. Who are the main players in today’s digital tracking? What can they infer from our purchases, phone calls, web searches, and Facebook likes? How do online platforms, tech companies, and data brokers collect, trade, and make use of personal data?

Прочитал несколько глав из этого отчёта. В основном там про американский интернет, читаешь и офигеваешь, насколько мощную экосистему коммерческой слежки (или аналитики, смотря с какой стороны посмотреть) выстроили в США. Многие описанные техники работают и у нас - кредитный скоринг, трекинг и идентификация пользователя для показа онлайн-рекламы. Так что читаем, надеваем шапочки из фольги, обмазываемся анонимайзерами и прокси. Шутка, на самом деле просто повышаем цифровую грамотность. Жить в 2К17 и не знать, как компании используют ваши данные - стыдно.

http://crackedlabs.org/en/corporate-surveillance/

Фильм Al Jazeera о том, как на личных данных пользователей зарабатывают производители гаджетов, разработчики сервисов, брокеры данных - кто угодно, кроме самих создателей этих данных
https://t.me/brodetsky/189

А вот интересная история о социальном инжиниринге. Ряд ближневосточных компаний подвергся хитрой фишинговой кампании - их сотрудникам писала в соцсетях молодая британка Мия Эш, любитель фотографии. Заводила разговор, втиралась в доверие, добавлялась в нескольких соцсетях. А потом присылала документ якобы с опросом о фотографии, зараженный макросом с трояном для удаленного управления. Жертвами фишинга стали сотрудники правительства, телеком-, финансовой, нефтяной и оборонной отраслей.

Как выяснили исследователи компании SecureWorks, Мия Эш - фейковый персонаж. Предположительно за ним стоят иранские государственные хакеры. Фотографии для аккаунта взяли из соцсетей девушки-фотографа из Румынии. У "Мии Эш" были хорошо заполненные и не вызывающие подозрений аккаунты в LinkedIn, Facebook и других соцсетях. Первый контакт с жертвами фишинга как правило происходил в LinkedIn, а потом беседу переводили в Facebook. К такому хитрому персональному фишингу хакеры прибегали только после того как обычный почтовый фишинг не приносил результата. От момента первого контакта до отправления зараженого файла иногда проходил целый месяц.

Фишинг в соцсетях вызывает меньше подозрений, чем традиционный, почтовый. К вам добавляется симпатичная девушка с кучей общих друзей, завязывает разговор по делу, потом однажды присылает ссылку или документ - и всё, вы попались. Так что если вы работаете в отрасли, которая может интересовать иностранную разведку, будьте осторожны при общении с незнакомцами в интернете - вдруг эта симпатичная девушка на самом деле бородатый хакер на государственном подряде?

https://www.secureworks.com/research/the-curious-case-of-mia-ash

Откройте историю своего браузера. Что она может рассказать о вас? Да практически всё, особенно если взять данные за большой период времени. Что вы ищете в интернете, что читаете, чем интересуетесь, чем болеете. Из этих данных можно составить более точный портрет, чем из лайков в Facebook - лайки мы ставим осторожно, их все видят, а в интернете серфим так, как будто этого никто не видит. А действительно, кто может увидеть? Давайте подумаем. Разработчики браузера. Ваш сосед по квартире (или любой человек с доступом к вашему компьютеру). Провайдер. Владелец прокси или VPN, которым вы пользуетесь. Рекламные сети, отслеживающие ваши посещения через cookies. Хакер, взломавший ваш компьютер. Расширения в браузере. Не такой уж и маленький список, правда?

Журналистка Свея Эккерт и ученый Андреас Дьюс из Германии провели эксперимент. Они захотели купить базу данных с историями посещений немецких пользователей. Создали сайт фейковой маркетинговой компании, завели фейковые аккаунты в LinkedIn и принялись писать компаниям, торгующим данными: нет ли у вас такой базы, нам для бизнеса надо - data-driven маркетинг, big data, все дела. Написали в 150 компаний. Найти базы пользователей из США и Великобритании оказалось просто, а вот с Германией - сложнее, там запрещено собирать такие данные без согласия пользователей.

Через некоторое время поиски увенчались успехом - одна компания предоставила "маркетологам" бесплатный сэмпл с историями посещений 3 миллионов человек за месяц. Общее количество посещенных страниц в базе - 9 миллиардов, в среднем - 3 тысячи страниц на пользователя. Данные условно анонимизированные, без имен пользователей. Но можно ли установить личность пользователя по истории его браузера? Как оказалось, легко.

Для этого исследователи спарсили данные за тот же месяц с публичных сайтов - Twitter, Facebook, YouTube, Google Maps. Если кто-то делился ссылкой на определенную страницу или оставлял на ней комментарий, это попадало во вторую базу. Потом записи из двух баз сравнили. Можно с определенной долей уверенности предположить, что анонимный пользователь из купленной базы и неанонимный пользователь из второй базы, посещающий те же сайты - одно и то же лицо.

Если среди посещенных сайтов есть социальные сети, установить имя пользователя ещё проще. К примеру, зайти на страницу аналитики в Twitter может только владелец аккаунта, а имя пользователя там видно прямо в адресе страницы. Аналогично с профессиональной соцсетью Xing (немецкий аналог LinkedIn). Так исследователи деанонимизировали кучу немецких пользователей. И вот что они нашли в историях их браузеров.

Пожилая депутат парламента искала в интернете средство для улучшения кровообращения в мозгу. Продвинутая женщина даже использовала анонимный поисковик DuckDuckGo, который не хранит информацию о пользователях. Fail.

Следователь писал зарубежному провайдеру письмо о расследовании киберпреступления. Для перевода он использовал Google Translate. В URL был виден полный текст письма (так работает переводчик Google). Fail.

Что искал в интернете судья: детские коляски, отдых для семьи с ребенком, BDSM-порно. Fail. И это только самые яркие примеры.

Исследователям удалось найти одно из браузерных расширений, которые торгуют данными о посещениях пользователей. Иронично, что это было расширение, предупреждающее пользователя о недобросовестных сайтах.

Сюжет об этом эксперименте вышел на немецком телевидении ещё в прошлом году: https://youtu.be/yGXb-ChrSFA, а недавно его авторы выступили на конференции DEFCON, откуда эта история и разошлась по всему интернету. Видео пока нет, есть видео с другой конференции (на немецком): https://youtu.be/8gu6KLfyh4c

Вот такое палево, друзья. Так что либо запасаемся шапочками из фольги и обмазываемся VPN, либо забиваем и привыкаем к тому, что "приватность - это новая роскошь". Ну и мутные расширения в браузер лучше не добавлять.

Мастрид про историю понятия «прайвеси» (приватность, частная жизнь). Оказывается, бОльшую часть истории человечества (даже современной истории!) прайвеси отсутствовала как явление. Текст можно прочесть по ссылке: medium.com/the-ferenstein-wire/the-birth-and-death-of-privacy-3-000-years-of-history-in-50-images-614c26059e. Проблема особенно актуальна с учётом нынешних дискуссий о приватности в интернете.

“Privacy may actually be an anomaly” ~ Vinton Cerf, Co-creator of the military’s early Internet prototype and Google executive.

Cerf suffered a torrent of criticism in the media for suggesting that privacy is unnatural. Though he was simply opining on what he believed was an under-the-radar gathering at the Federal Trade Commission in 2013, historically speaking, Cerf is right.

Privacy, as it is conventionally understood, is only about 150 years old. Most humans living throughout history had little concept of privacy in their tiny communities. Sex, breastfeeding, and bathing were shamelessly performed in front of friends and family.

The lesson from 3,000 years of history is that privacy has almost always been a back-burner priority. Humans invariably choose money, prestige or convenience when it has conflicted with a desire for solitude.

Согласен с выводом автора: "It’s hard to know whether complete and utter transparency will realize a techno-utopia of a more honest and innovative future. But, given that privacy has only existed for a sliver of human history, its disappearance is unlikely to doom mankind. Indeed, transparency is humanity’s natural state."

#ист_мастрид #тренд_мастрид

Давайте посмеемся над неуклюжими роботами (пока они не отняли у нас работу)

Основатель Boston Dynamics о роботах: https://youtu.be/AO4In7d6X-c

Из чего состоит iPhone? Буквально, из каких химических элементов? Журналист Брайан Мерчант задался этим вопросом, купил новый iPhone 6 и отправил его в лабораторию, где его измельчили и провели химический анализ. В нём нашли 30 элементов - четверть периодической таблицы. И если со скучными углеродом и фосфором всё понятно, то с редкими металлами (олово, тантал, вольфрам, золото) всё намного интереснее. Если проследить цепочки их поставок, окажется, что ваш айфон сделан из металлов, добытых детским и рабским трудом в Конго, Боливии и других странах третьего мира.

Мерчант вместе с коллегами из Motherboard поехал в Боливию, где на высоте 5 тысяч метров над уровнем моря находится одна из самых старых действущих копален в мире. Здесь добывают металлы с 16 столетия! Гору Серро Рико, в которой находятся копальни, называют "Гора, пожирающая людей" - ежегодно здесь гибнут сотни работников. Только 2008 году здесь погибли 60 детей.

Вся гора изрыта тоннелями, условия работы ужасные - низкие потолки, риск обвала, токсичный воздух. Но для местных это самая высокоплачиваемая неквалифицированная работа - в хороший день можно заработать $50. В 16 столетии руда с Серро Рико наполняла бюджет испанской метрополии. Прошло 500 лет, а главный профит от природных богатств Серро Рико всё так же получают не местные жители, а перекупщики руды, которые выплавляют и продают металлы зарубеж, в том числе производителям смартфонов. Недавно Apple стала первой компанией, которая обязалась проводить аудит своих поставщиков и отказываться от поставок т.н. конфликтного сырья - металлов, при производстве которых нарушаются права человека. Но еще несколько лет назад айфоны без проблем делали из сырья, добытого в Конго и Боливии. А сколько производителей электроники не заморачиваются такими нюансами? Красивый чудо-девайс в ваших руках создан благодаря рабскому труду латиноамериканских бедняков и африканских детей, буквально под дулом автоматов (в Конго добычу кобальта контролируют вооруженные повстанцы). Некомфортная мысль, правда? Почитайте, там ещё много интересного: https://motherboard.vice.com/en_us/article/433wyq/everything-thats-inside-your-iphone

Это дополненная глава из книги Брайана Мерчанта "The One Device: The Secret History of the iPhone" (http://a.co/5tztSJz). Ранее я публиковал здесь ссылки на другие главы - об истории создания iPhone, китайских фабриках по сборке iPhone (тоже обратная сторона капитализма) и истории джейлбрейкинга: https://t.me/brodetsky/861

Мощный материал WP о добыче кобальта в Конго: https://www.washingtonpost.com/graphics/business/batteries/congo-cobalt-mining-for-lithium-ion-battery/

И ещё один мощный материал: как поставщики лития для электрокаров и телефонов убивают коренных аргентинцев: https://www.washingtonpost.com/graphics/business/batteries/tossed-aside-in-the-lithium-rush/
Перевод: https://roem.ru/27-12-2016/239334/tossed-aside/

Интересный текст в британском Wired о новом способе погребения. Вот как это работает. Тело загружают в металлическую камеру, где его обрабатывают щелочным раствором под высоким давлением и температурой. За три часа плоть растворяется, остаются только кости, которые потом перемалывают и развеивают над океаном. Мертвый человек превращается в несколько десятков литров коричневой жидкости с запахом морепродуктов и мешок костной муки. Звучит стрёмно, правда? Зато такой способ погребения почти не загрязняет окружающую среду по сравнению с кремированием, и тем более - с обычным захоронением.

В 90-х Великобритания страдала от эпидемии коровьего бешенства. Миллионы зараженных туш сжигали, но огонь не уничтожал вредоносные белки. Тогда два профессора из медицинского колледжа разработали способ растворения туш в щелочном растворе. Позже эту технологию начали применять для утилизации человеческих тел.

Сейчас эту услугу предоставляют всего несколько компаний в США и Великобритании. В индустрии даже нет согласия насчет того, как называть этот метод - одна компания использует термин "ресомация", другая - "водное кремирование", третья вообще избегает точных названий. Лоббисты традиционной похоронной индустрии не дают ходу конкурентам - растворение легально лишь в Великобритании, 14 штатах США и нескольких канадских провинциях. Экономика этого бизнеса тоже не способствует его распространению - устройство для ресомации стоит 330 тысяч фунтов и окупается годами. Но люди, занимающиеся этим, верят, что за растворением будущее.

https://youtu.be/sFuYijpLBDs

В тексте ещё много интересных подробностей: http://www.wired.co.uk/article/alkaline-hydrolysis-biocremation-resomation-water-cremation-dissolving-bodies

Журналисты издания Quartz съездили в Китай, во Внутреннюю Монголию, где находится одна из самых старых и крупных ферм по майнингу биткоинов.

На китайские фермы приходится половина всего электричества, потребляемого майнерами биткоинов. На ферме в городе Ордос в 650 км к западу от Пекина работают 50 человек. Она объединяет 25 тысяч компьютеров. На них приходится 4% мировой добычи биткоинов. Это очень много! Всего в день все майнеры мира добывают новых биткоинов на 7 миллионов долларов (по нынешнему курсу). В день ферма в Ордосе потребляет электричества на $39 тысяч. Короче, если вы ещё не поняли, что "майнить" биткоины на домашнем компьютере - это детский лепет, посмотрите этот фоторепортаж: https://qz.com/1055126

И почитайте рассказ о ферме и жизни её работников: https://qz.com/1054805

В дополненной реальности даже системные ошибки выглядят красиво (via twitter.com/henryeverett)

Исследователи из Университета Вашингтона показали, как можно дистанционно следить за перемещениями людей в помещении с помощью смартфона и Bluetooth-колонки. Через колонку транслируют высокочастотные импульсы, которые отражаются от поверхностей комнаты, после чего их улавливает микрофон смартфона. Движение людей в комнате меняет картину отраженных импульсов. Анализируя эти изменения, можно обнаруживать линейное перемещение людей (ходьба по прямой) и ритмическое движение (физические упражнения, секс). Фактически это сонар, sound navigation and ranging - та же технология, с помощью которой подводные лодки исследуют морские глубины. Его можно сделать из любых устройств с динамиком и микрофоном, к примеру из смарт-ТВ. Передаваемые импульсы заметны для человеческого слуха, но их можно замаскировать, смешав их с ритмической музыкой. Технология позволяет отслеживать движение даже через преграды - деревянные двери, окна, и следить за перемещениями нескольких человек сразу.

Вот такой интересный proof of concept атаки: можно хакнуть телевизор человека и следить за его движениями даже без камеры.

https://youtu.be/aXMT0NLHHA0

Подробное описание: http://musicattacks.cs.washington.edu/activity-information-leakage.pdf

🙊

https://twitter.com/curlyactavis/status/899076829855830016

Стартап Gnosis разрабатывает платформу для коллективных прогнозов, основанную на блокчейне. В апреле Gnosis вышел на ICO и за 11 минут продал 4% своих токенов на $12,5 миллионов. За два месяца их цена выросла в 10 раз, благодаря чему оценка компании выросла до парадоксальных $3 миллиардов.

В мире криптовалют происходит настоящая золотая лихорадка. Волатильность криптовалют сумасшедшая - можно за несколько недель удвоить или потерять свои активы. Технология ICO позволяет компаниям получать большие инвестиции в обход финансового регулирования: выпустили токены, продали их на ICO, если дела у компании идут хорошо, токены дорожают и оценка стоимости компании повышается. И всё это - без строгих обязательств перед  инвесторами (строго говоря, держатели токенов даже не являются инвесторами). Но такая схема неизбежно приводит к раздуванию стоимости отдельных компаний. В 2000 году лопнул пузырь доткомов - тогда обесценились биржевые активы, оцениваемые в $1,8 млрд. Подобный исход ждёт и токены компаний, взлетевших на ICO - ну не может платформа для прогнозов стоить $3 миллиарда. Как ICO раздувают финансовый пузырь размером в 100 миллиардов долларов - в истории с обложки июльского Forbes: https://www.forbes.com/sites/laurashin/2017/07/10/the-emperors-new-coins-how-initial-coin-offerings-fueled-a-100-billion-crypto-bubble/

Перевод: https://anycoin.news/2017/08/21/forbes-100b-bubble/ via @anycoin

В Китае установили новый мировой рекорд: 1069 роботов одновременно станцевали на площади. Самое смешное в этом видео - 1070-й робот, который упал, но продолжил танцевать. Don't stop the dance! 🕺

https://youtu.be/ouZb_Yb6HPg

А вот здесь похожего робота перепрошили через USB, превратив его в злую куклу из американского ужастика. А ещё такого робота можно взломать и следить за его владельцем через камеру. В общем, любое подключенное устройство с плохой безопасностью - плохое устройство.

https://youtu.be/9A4ZQgzfl0Y 🤖🔪🍅

https://www.wired.com/story/watch-robot-hacks-spy-sabotage/

Американские телеком-операторы позволяют сменить оператора без смены номера. Для этого достаточно позвонить в колл-центр и попросить сотрудника перепривязать номер к новому устройству. С помощью этой опции киберпреступники уводят криптовалюты на миллионы долларов. Они звонят в колл-центр оператора, представляясь владельцем номера, и перепривязывают номер на своё устройство, обманывая сотрудников колл-центра с помощью социальной инженерии и публично доступных данных. Получив контроль над номером телефона жертвы, преступники сбрасывают пароли Google, iCloud и других аккаунтов, а главное - получают доступ к кошелькам с криптовалютами и уводят оттуда деньги. Жертвами таких атак становятся люди, задействованные в индустрии криптовалют - инвесторы, биткоин-энтузиасты. Преступники ищут их в интернете, отслеживая упоминания названий криптовалют и бирж в соцсетях.

Ещё в прошлом году об этом писал Forbes: https://www.forbes.com/sites/laurashin/2016/12/20/hackers-have-stolen-millions-of-dollars-in-bitcoin-using-only-phone-numbers/, но за год ничего не изменилось - на днях о новой волне преступлений написали New York Times: https://nyti.ms/2vT96ps и Fortune: http://fortune.com/2017/08/22/bitcoin-coinbase-hack/. Издания описывают истории предпринимателей, лишившихся криптовалют на миллионы долларов. Транзакции в криптовалютах необратимы - здесь нельзя пожаловаться банку на мошенническую транзакцию, украденные деньги никто не вернёт. Иногда транзакции удается отменить, тогда часть издержек на себя берут посредники - биржи и обменники. Популярная биржа Coinbase теряет 10% от своего дохода из-за мошеннических транзакций, отмененных традиционными банками.

Что с этим делать, никто не знает. Телеком-операторы не могут обеспечить идеальную работу своих операторов - тех легко обмануть. Биржи экспериментируют с "жесткими" паролями - к примеру, чтобы зайти в свой кошелек, вы должны вставить специальную флешку. А ещё есть офлайновые хранилища криптовалют - виртуальные деньги хранятся в них на зашифрованных жестких дисках, которые никогда не подключаются к интернету. Украденные деньги можно попытаться отследить (все транзакции в блокчейне публичны, вы об этом уже не раз здесь читали), но преступники заметают следы с помощью обменников и сервисов отмывания денег. Пока ни один преступник не сел за решетку за угон биткоинов.

Очень интересная история, в очередной раз удивляюсь чудесам из мира криптовалют. Лучше всего читать текст на Fortune - там тема раскрыта подробнее всего.

Пишут, что музыку к этому клипу полностью написала программа, а текст и мелодию придумала популярная в интернете певица Taryn. Звучит как обычная посредственная попса, вообще не догадался бы, что это машинная музыка. Либо нас обманывают и в написании музыки все-таки принимали участие люди, либо такую музыку действительно можно генерировать на компьютере: https://youtu.be/XUs6CznN8pw

Фактически это реклама стартапа Amper, который продаёт машинную фоновую музыку: https://www.ampermusic.com/

Ранее писал здесь про аналогичный британский стартап Jukedeck: https://t.me/brodetsky/858

И ещё о машинной музыке: https://t.me/brodetsky/522

Реддитор встретил в Кёльне нищего, собирающего подачки на Ethereum-кошелек. Дух времени!

Мужчина потерял ногу из-за диабета, стал безработным, запил, потерял дом. Тепер живёт на улице. О криптовалютах он узнал из газет, подумал, что это может помочь ему выбраться из бедности. Купил дешёвый смартфон, завёл кошелёк на Ethereum ну и вот, собирает. Сейчас на кошельке эфира уже на $300.

В комментариях автора подозревают в разводе - мол, историю выдумал, а кошелёк указал свой. Другие шутят: написал бы на табличке "ICO", собрал бы кучу денег. Как бы там ни было, история забавная.

https://www.reddit.com/r/ethereum/comments/6vqxsv/homeless_man_begging_for_ethereum/

В США обнаружили, что кардиостимуляторы одного производителя можно взломать с небольшого расстояния и остановить или наоборот, задать слишком быстрый ритм. Американский регулятор (Food and Drug Administration) в открытом письме призвал всех пациентов с уязвимыми устройствами обратиться к врачам для обновления прошивки, устраняющей дыру в безопасности. Полмиллиона человек обновляют прошивку в сердце - отличная новость в духе 2017 года. Недавно производитель дронов DJI придумал радикальный способ заставить пользователей запатчить критическую уязвимость: с 1 сентября устройства с необновленной прошивкой просто перестанут взлетать. Смешать эти две новости и получится хороший дистопический сюжет: обнови своё сердце или умри 🤖

https://motherboard.vice.com/en_us/article/nee5bw/465000-patients-need-software-updates-for-their-hackable-pacemakers-fda-says

Исследователи из Университета Чикаго обучили нейросеть генерировать для сайтов вроде Yelp и Amazon отзывы, неотличимые от настоящих. При тестировании пользователи не распознали машинные отзывы и даже посчитали их не менее полезными, чем обычные. Авторы исследования предупреждают, что такую нейросеть можно использовать для торговли фальшивыми отзывами. Индустрия накруток уже давно дискредитировала любые отзывы в интернете. А теперь оказывается, что их написание можно автоматизировать. С этими нейросетями скоро вообще ничему нельзя будет верить.

http://people.cs.uchicago.edu/~ravenben/publications/pdf/crowdturf-ccs17.pdf

В конце текста на Business Insider - шесть отзывов. Попробуйте угадать, какие из них настоящие: http://read.bi/2wPogxH (я не угадал)

В 1937 году в одной из школ Техаса произошла утечка и взрыв газа. Погибли 295 человек. После этого трагического случая в газ начали добавлять специальный компонент с резким запахом, чтобы впредь подобные утечки можно было обнаруживать сразу.

Взлом и утечка личных данных так же незаметны для нас, а в некоторых случаях - критически важны, как и утечка газа без запаха. Авторы проекта Smell of Data предлагают использовать для новой проблемы проверенное решение - запах. Вы подключаете к своему компьютеру или смартфону по Wi-Fi небольшой распылитель, а специальная программа отслеживает небезопасное поведение вашей системы и оповещает вас об опасности впрыском резко пахнущего вещества. Случайно зашли на несекьюрный сайт или подключились к открытой беспроводной сети - оп, в воздухе запахло жареным. Не знаю, насколько это практично, возможно, как подарок гику будет выглядеть прикольно. Но судить этот проект надо, конечно, не как серьезный hardware-стартап, а как арт-проект, который заставляет нас задуматься о своей безопасности в подключенном мире. И в такой роли эта штука мне нравится.

https://smellofdata.com/

https://vimeo.com/180520417