В поисковик Bing начал выводить пометку о наличии опасного для пользователей контента на сайте проекта VideoLan, развивающего свободный мультимедийный проигрыватель VLC. Попытки прямого перехода со страницы Bing на сайт VideoLan уже несколько дней блокируются. В качестве причины появления метки указано выявление вредоносной активности. Примечательно, что службы "Google Safe browsing" и VirusTotal не находят на сайте ничего подозрительного и опасного.

На сайте Microsoft Secure Team упоминается атака, используемая для установки бэкдора при помощи вредоносного InPage-документа и устаревшей версии VLC с неисправленной уязвимостью. Каким образом сторонняя атака с использованием устаревшей версии VLC связана с выводом предупреждения для сайта VideoLan не поясняется.

Представители VideoLan не согласны с действиями Microsoft и утверждают, что перепроверили предлагаемый для загрузки актуальный исполняемый файл vlc-3.0.4-win64.exe, который не изменялся и подписан корректной цифровой подписью.

Отчет ОЗИ по «Индексу свободы» новый-свежий.
Мы немного затянули, потому что решили новый сайт. Но, как обычно, что-то пошло не так и вчера все сломалось.
Сегодня починили, но не все. Потому сильно не ругайте — сейчас все исправляем.

Ссылка вот: https://new.ozi-ru.org/indeks-svobody-interneta/kak-dushili-tajnu-svjazi/

Что получилось:
1. Индекс снизился, но не козырно. Всего на 4 пункта
2. Наконец-то появились первые результаты «по науке», которые позволяют прогнозировать. Собственно, это именно то, зачем я каждый месяц собираю данные и пишу такие лонгриды.
3. Вывод, если очень коротко такой:

В правительстве «лица принимающие решения» поняли, что технические блокировки не работают, а репрессии «на посадку», только раздражают общественное мнение. И сделали выводы.
Намечен явный тренд с ухода от технических блокировок и «посадок за репост» на «наказание рублем».
Дальнейшая логика регулирования теперь будет развиваться в строну штрафов для генераторов контента (блогеров, например), интернет-платформ и операторов связи. Причем, штрафы будут все более жесткими и привязанными к обороту.

и да — пока не ругайте сайт. У нас есть багтрекер, где уже под сотню пунктов. Сейчас мы их пофиксим, и начнем собирать еще.

Жалоба TgVPN на Роскомнадзор снова отклонена

➡️ https://roskomsvoboda.org/43437/

Компания Private Networks вместе с юристами РосКомСвободы пытается оспорить неправомерную блокировку технических сайтов принадлежащего ей сервиса, которую инициировал Роскомнадзор в нарушение своих полномочий.

«РКН по-сути признался, что ограничивает доступ к технологическому сервису только за то, что он позволяет получить доступ к заблокированному Telegram. При этом представитель ведомства не смог пояснить, почему из всех VPN-сервисов, которые позволяют делать это, ограничивается доступ только к одному, и то не поименнованному в апрельских требованиях Генпрокуратуры.

Кроме того, ведомство утверждает, что блокировать VPN-сервис можно по любому из оснований статьи 15 Федерального закона «Об информации», что вносит правовую неопределенность в применение специальных норм закона.

Будем подавать кассационную жалобу в Арбитражный суд Московского округа. Надеемся, что хоть там получше разберутся в обстоятельствах дела и в регулирующих нормах», — адвокат Саркис Дарбинян, РосКомСвобода.

Дополнения для обхода Paywall удалены из каталогов Chrome и Mozilla

Компании Mozilla и Google удалили Anti-Paywall из каталогов дополнений к браузерам Chrome и Firefox после поступления жалобы о нарушении действующего в США Закона об авторском праве в цифровую эпоху (DMCA, Digital Millennium Copyright Act). По сведениям Mozilla аналогичные запросы на удаление поступили и для других дополнений, в которых имеются функции обхода механизма ограничения доступа "Paywall". Например, из каталогов Chrome WebStore и Mozilla AMO также удалены дополнения Bypass Paywalls и Bypass.

Проблема состоит в том, что функции дополнений для обхода Paywall обычно сводятся к замене идентификатора браузера и для обхода блокировки при помощи данной технологии можно использовать любое дополнение, позволяющее пользователю изменить значение User Agent. По своей сути дополнение Anti-Paywall лишь автоматизирует смену User Agent на "Googlebot" для определённых сайтов. Так как удаление из каталога Mozilla привело к прекращению формирования цифровой подписи, установить Anti-Paywall, Bypass Paywalls, Bypass и подобные дополнение теперь можно использоваться только в тестовых выпусках Firefox для разработчиков, установив XPI-файл вручную.

Метод Paywall применяется многими крупными англоязычными изданиями (forbes.com, independent.co.uk, newsweek.com, newyorker.com, nytimes.com, wsj.com и т.п.) для открытия полного текста свежих статей только для платных подписчиков. Ссылки на подобные статью активно продвигаются в социальных сетях и поисковых системах, но вместо открытия полного текста после перехода по подобным ссылкам пользователю предлагается оформить платную подписку, если он хочет увидеть подробности.

Для эффективной работы данной схемы обычно открывают полный доступ поисковым системам и социальным сетям, так как издания заинтересованы в индексации текстов и привлечении посетителей, ищущих данный материал. Поэтому для обхода блокировки, как правило, достаточно просто сменить идентификатор браузера и притвориться поисковым ботом (также может потребоваться очистить сессионную Cookie).

Оригинал: OpenNET

​Не пора ли вам заткнуться?

Борьба с буллингом, троллингом и нетерпимостью в США приближается к пиковой точке: всё больше либералов, исповедующие идеалы свободы, готовы отказаться от одной из фундаментальный святынь американской демократии — свободы слова. Вот характерное рассуждение американского журналиста, обосновывающего отказ от первой поправки к Конституции США в пользу контроля языка ненависти.

Впервые о проекте цензурного поисковика Dragonfly стало известно в конце лета этого года. О нём сообщило издание The Intercept со ссылкой на внутренние утечки. И, как оказалось, вокруг проекта уже несколько лет витала аура секретности. Это не является чем-то необычным для новых фильмов, игр, сервисов и так далее. Однако в данном случае ситуация была иной. Задачей Dragonfly был мониторинг информации и её фильтрация, ведь заказчиком было китайское правительство.

Национальная академия наук США опубликовала доклад, в котором заявила, что с учетом нынешних темпов развития систем шифрования данных широкое распространение криптографии, устойчивой к квантовым взломам, будет «длительным и сложным процессом», который, «вероятно, невозможно завершить раньше, чем за 20 лет». Возможно также, что квантовые машины появятся раньше этого срока, и если они попадут в руки хакеров, итогом может стать «криптографический кошмар».

В качестве примера надежной современной системы шифрования приведена криптосистема RSA-1024, которая широко используется сегодня во множестве приложений. Проблема в том, что мощный квантовый компьютер сможет взломать ее менее чем за день. По крайней мере, в теории — такого устройства пока не существует.

По мнению американских ученых, квантовые компьютеры появятся, скорее всего, не раньше, чем через 10 лет. Однако расслабляться нельзя. По словам Уильяма Оливера, профессора физики из MIT и одного из авторов доклада, правительства, банки и ряд частных компаний хранят огромное количество данных годами. Поэтому им нужно уже сегодня задуматься о потенциальных угрозах, которые станут реальностью через несколько десятилетий.

Еще одна сфера, безопасность данных в которой крайне важна, — автомобилестроение.

«Автопроизводители уже обращаются к нам, поскольку беспокоятся о долгосрочных рисках, связанных с умными автомобилями, которые подключены к интернету и могут находиться в эксплуатации десятки лет»,— говорит Скотт Тоцке, генеральный директор Isara, стартапа, разрабатывающего устойчивые к квантовому взлому криптографические методы.

При этом, по мнению аналитиков, самым серьезным вызовом является не столько разработка, сколько распространение квантовых методов криптографии. Согласования стандартов, переговоры с производителями и обновление оборудования могут занять годы. Кроме того, потребуется перешифровать или уничтожить старые данные.

Отсюда авторы доклада приходят к выводу, что на повсеместное распространение мер защиты от квантовых взломов потребуется как минимум два десятка лет. Если это так, остается надеяться, что действительно мощные квантовые компьютеры появятся еще не скоро.

Оригинал: MIT Technology Review

​​Как не выдать пароль под пытками: криптографическое решение проблемы

Криптографы Ian Goldberg, автор знаменитого протокола шифрования OTR, используемого в джаббере, и Erinn Atwater, директор OpenPrivacy и сотрудница лаборатории Cryptography Security and Privacy, предложили интересное решение важной для активистов и журналистов проблемы - а именно - как поступать в ситуации когда "правоохранители" требуют выдачу пароля от вашего зашифрованного девайса. Такие ситуации могут случиться, например, при переходе границы: так, в 2017 году пограничные службы США обыскали 30 000 устройств, в три раза больше чем в 2015 (1; 2).

Подробное решение проблемы описано в научной статье Этвотер и Голдберга, опубликованной в рамках конференции Security Protocols 2018. Исследователи предлагают использовать принцип "shatter secret" - распределённого или "расколотого" секрета. "ShatterSecret", cпециальное приложение менеджер ключей (пока доступное только под Android), разбивает ваш ключ на несколько частей, которые отправляются на устройства заранее определённых доверенных контактов. Количество таких контактов устанавливается самим пользователем. Далее, части ключа удаляются с устройства пользователя. При пересечении границы или в ситуации обыска или допроса пользователь не сможет выдать полный пароль от доступа к зашифрованному устройству, так как он физически не будетиметь доступ и знать недостающие части ключей. Чтобы восстановить доступ к устройству, пользователь должен будет физически встретиться с доверенными контактами. Доверенные контакты также должны установить приложение и сгенерировать аккаунты (возможно анонимное создание аккаунтов без привязки к номеру телефона).

(1) CBP Public Affairs: CBP Releases Statistics on Electronic Device Searches. U.S. Customs and Border Protection (April 2017)
(2) Savage, C., Nixon, R.: Privacy Complaints Mount Over Phone Searches at U.S. Border Since 2011. The New York Times (December 2017)

⚡️Парламент Австралии принял закон об обязательном внедрении правительственных бэкдоров в программное обеспечение

Страшные новости сегодня приходят из страны, где люди ходят кверху ногами: опаснейший прецедент в истории кибербезопасности — власти Австралии приняли новый закон, согласно которому различные IT-компании обязаны содействовать правоохранительным органам. Все бы ничего, но в понятие «содействовать» включили, в том числе, обязанность компаний встраивать в собственные программные продукты вредоносное программное обеспечение, бэкдоры для прослушки, а также предоставлять приватные ключи для расшифровки данных пользователей. Более того, Австралийские парламентарии пошли дальше: теперь компании также обязаны по первому требованию правоохранительных органов вовсе отключать всякое шифрование и помогать во взломе собственного программного обеспечения.

Под этот закон попадают все IT-компании, работающие в Австралии. В том числе, различные сайты и интернет-сервисы. Одной из крупнейших IT-компаний в Австралии является Atlassian — авторы BitBucket, JIRA, HipChat, Zephyr, Bamboo и других известных сервисов. Для неё последствия такого решения законодателей могут быть чудовищными, вполне вероятно, что компания может сменить юрисдикцию под таким давлением со стороны своего государства.

Подобное "законотворчество", маскируясь под благими намерениями вроде борьбы с терроризмом и т.д., никак такой борьбе не помогает. Террористы всегда найдут способ для коммуникаций, какие действия государства бы не предпринимали.

Единственной пострадавшей стороной в такой ситуации станут рядовые пользователи, чей уровень безопасности в киберпространстве существенно снизится из-за внедряемых по требованию силовиков бэкдоров.

Невозможно в 21 веке создать такую потайную дверцу, ключик от которой будет только у хороших парней. Наличие уязвимостей в ПО, предназначенных для использования правоохранительными органами, дает ровно такую же возможность злоумышленникам их использовать. А в борьбе с терроризмом и детской порнографией они производят лишь нулевой, если не отрицательный выхлоп.

👀 Google оштрафован на 500 тыс. рублей за неисполнение закона, который обязывает удалять из поисковой выдачи ссылки на сайты с запрещенной информацией. Для этого компания должна подключиться к системе со списком таких сайтов, но Google не сделал это.

14 ноября замглавы Роскомнадзора Вадим Субботин провел переговоры с директором департамента по взаимодействию с органами госвласти в регионе Европы, Ближнего Востока и стран Африки Google Дороном Авни. По итогам встречи Субботин заявил, что компания готова соблюдать российское законодательство, но для подключения к реестру ей нужно решить несколько технических вопросов.

Так что ждём проект Dragonfly и для России.

Россия и Турция — лидеры по числу госзапросов в Twitter на удаление контента

Крупнейший сервис микроблогов опубликовал очередной Transparency Report (отчет о государственных запросах) за первое полугодие 2018 года.

Что интересно:
● Твиттером получено на 80% больше государственных запросов, и это в 2,5 раза больше по числу аккаунтов, на которые предполагается воздействие, чем за предыдущий отчётный период.
● От общего объёма запросов со всего мира примерно 87% приходится на Россию и Турцию.
● Число удовлетворенных Твиттером запросов от российских госорганов на удаление контента - 27%.
● Число удовлетворенных Твиттером запросов от госорганов США на удаление контента - 0% (это специально для отечественных чиновников (и для Германа Клименко - отдельно), которые заявляют, что американские корпорации всё удовлетворяют для американских властей и ничего - для России).
● Твиттер публикует примеры запросов от Роскомнадзора на удаление: надзорники, например, хотели удалить твит с видео работников строительных компаний с требованием выплаты зарплаты. Твиттер отказал.
● Твиттером было получено на 10% больше правительственных запросов на раскрытие информации о пользовательских данных.
● Добавлен раздел, посвящённый манипулированию сервисом.

Подробнее: https://roskomsvoboda.org/43751

Россия игнорирует решения ЕСПЧ о недопустимости массовой слежки

➡️ https://roskomsvoboda.org/43826

В Комитет министров Совета Европы был подан меморандум «Агоры», Telegram и Объединения альтернативных операторов связи, в котором говорится о вопиющих нарушениях онлайн-прав россиян и усиления вмешательства в частную жизнь.

Российские власти не только не исполняют решение Европейского суда по правам человека (ЕСПЧ), принятое по делу «Роман Захаров против России», но и, напротив, предприняли ряд шагов, направленных на серьезное ограничение права на уважение частной жизни и тайну переписки, распространив систему постоянного прямого контроля телефонных переговоров на все интернет-коммуникации.

Решение в деле Захарова было принято ЕСПЧ в декабре 2015 года. В нем Суд признал нарушением Конвенции СОРМ-2 — практику произвольного прослушивания сотрудниками МВД и ФСБ телефонных переговоров абонентов «большой тройки» мобильных операторов. За три года власти не предприняли ничего, чтобы прекратить такую деятельность. Более того, как пишут авторы обращения, ситуация значительно ухудшилась — теперь власти стремятся хранить весь интернет-трафик и читать всю электронную переписку.

Telegram начал рассылать уведомления пользователям иранских клиентов Hotgram и Talagram (Golden Telegram). В них говорится, что приложения могут быть опасны и рекомендуют переходить на официальные клиенты.

Исследователи из Ирана ещё летом подробно изучили клиенты и пришли к выводу, что они опасны для пользователей. Эти клиенты собирают данные и отправляют их на свои серверы. Разработчики программы могут получить всю вашу переписку, списки прокси и даже перехватить коды авторизации в мессенджере, получив полный контроль над ним.

Программы размещены в официальном Иранском маркетплейсе Cafebazar, что говорит о том, что приложения могут быть связаны с властями Ирана. Клиенты насчитывают более 30 млн. пользователей в Иране, а это почти половина всего населения страны.

Список официальных клиентов можно найти на сайте Telegram.

Vox Media выпустили интересный ролик о таргетинге рекламных сообщений на основе emoji, которые использует пользователь.

Не особо популярный у нас Twitter выкатил этот функционал в уже далеком 2016, но большие игроки вроде Facebook и Instagram пока не спешат присоединяться. В первую очередь из-за опасений, что их обвинят в эксплуатации эмоциональных состояний пользователей.

Мне же в этой истории интересна эффективность такой рекламы. Ведь пользователь может использовать десятки эмоджи за день и не совсем понятно как система будет определять, под какой из них показывать рекламу.

В ролике всего 4 минуты, так что рекомендую посмотреть https://youtu.be/RK1K78PyWDc

Зингер

Роскомнадзор готовит последнюю часть юридического обоснования блокировки Twitter и Facebook.
Абсолютно очевидно: никакие «персональные данные граждан РФ» отделить от такого огромного сервиса и перенести в РФ невозможно — в невыполнимости «закона» вся его суть.
Подобные людоедские государства очень не любят свободное распространение информации на независимых от них площадках, а в опредлелённый момент — страшно боятся, это главная угроза для них.
Поэтому Роскомнадзор в начале следующего года оштрафует твиттер и фейсбук, и сразу после этого над ними повиснет угроза блокировки, которая будет реализована тогда, когда что-то начнётся и Путину станет очень страшно.

Вышла статья от @abslimit под названием Cjdns - немного теории и практики.

Должна понравиться желающим глубже понять то, как работает этот замечательный инструмент по созданию самоорганизующихся сетей.

Как обычно, обсудить с автором можно в чатах @meshnet & @distributed. Так же создал тему на форуме.

Роскомнадзор решил проверить «Би-би-си» на соответствия выпускаемых материалов российскому законодательству, говорится на сайте регулятора.

«В связи с ситуацией, связанной с вынесением британским регулятором Ofcom решения о нарушении каналом RT правил вещания, Роскомнадзор начинает проведение контрольных мероприятий в отношении канала BBC World News», — сообщили в Роскомнадзоре.

Проверка также будет касаться публикаций на сайте «Би-би-си».

20 декабря Ofcom (британский регулятор в области медиа и телекоммуникаций) объявил об итогах расследования в отношении RT. Регулятор пришел к выводу, что российский телеканал пристрастно освещал события на территории Украины и в Сирии, а также отравление в Солсбери.

Интервью с автором безопасного децентрализованного мессенджера Riot.im и протокола Matrix.org

Riot.im и протокола Matrix.org

Многие уже слышали о Riot.im, децентрализованном (федерированном) мессенджере с открытым кодом, который поддерживает сквозное шифрование, даёт возможность создавать открытые и закрытые чаты, не зависит от номера телефона, поддерживает видео и аудио звонки. Но главная фишка Riot.im, конечно, это его совместимость с другими мессенджерами — от Slack и Telegram до WhatsApp и IRC. Это возможно благодаря протоколу Matrix.org. Matrix представляет собой протокол обмена данными, на основе которого можно разворачивать множество собственных проектов, а также налаживать « мосты » и обеспечивать связность между разными приложениями.

Я поговорила с Мэттью Ходжсоном, британским инженером, соавтором проекта Matrix.org, об истории проекта и его бизнес-модели, о проблемах децентрализации, об активистской составляющей проекта и о вызовах, стоящих перед криптоэнтузиастами сегодня.

#криптоанархия

https://medium.com/@ksenia_1915/riot-in-the-matrix-fbb917ef1470

Верховный суд России разъяснил, что является вмешательством в тайну личной жизни  и как применять137 УК РФ ("Нарушение неприкосновенности частной жизни") и 138 УК РФ. Суд отмечает, что если кто-то получает доступ к личной переписке, в которой были сведения, которые гражданин не хотел предавать огласке, то это считается за вмешательство в личную жизнь и становится преступлением

➡ https://tass.ru/obschestvo/5950470

Поисковики Яндекс и Mail.ru перестали показывать ссылку на сайт telegram.org в результатах поиска. При этом Яндекс продолжает показывать ссылки на twitter.com/telegram, а также на my.telegram.org.

Google никакие ссылки не вырезает.
#DigitalResistance

Upd: поправочка, mail.ru, оказывается, давно уже.