Последнюю неделю было не так уж и много инфоповдов, поэтому я решил не отвлекать вас по пустякам. Однако последние несколько дней прямо скажем, взбудоражили интернет.

Сначала Джейн Хорват, старший директор компании Apple по вопросам конфиденциальности на выставке CES 2020 рассказала, что теперь все фото, загружаемые из айфонов в iCloud автоматически сканируются на предмет насилия над детьми. Суть алгоритма Хорват не уточнила, но вероятно, он сравнивает изображения с паттернами, указывающими на порнографический контент. Если честно, то не сильно понимаю почему это стало такой громкой новостью только сейчас, ведь Apple еще в прошлом году внесла соответствующие изменения в свою политику конфиденциальности, в которой сказано, что может сканировать изображения на предмет жестокого обращения с детьми, а за нарушение правил использования сервисов компании, учетные записи таких пользователей будет отключены.

А сегодня Reuters ошарашила еще куда более серьезной новостью. Apple отказалась от идеи полного шифрования резервных копий пользовательских устройств в сервисе iCloud, после того, как ФБР пожаловались, что этот шаг помешает их расследованиям.

Предыстория. Более двух лет назад Apple сообщило ФБР о намерении предложить пользователям шифровать свои бекапы, при этом отказавшись от хранения ключей дешифрования на своих серверах, аргументируя свое решение в первую очередь желанием защитить пользователей от хакеров, но тем самым компания потеряла бы возможность передавать данные властям в удобочитаемом виде даже по решению суда, что вызвало ожидаемое сопротивление среди топ-чиновников.

На прошлой неделе генпрокурор США Уильям Барр публично призвал Apple расшифровать устройство офицера ВВС Саудовской Аравии, застрелившего 3 американцев на военно-морской базе в Пенсаколе, штат Флорида. Apple всё это время мнулись-ломались, и не стали выполнять просьбу правительства. После чего президент Дональд Трамп в своем Twitter обвинил Apple в том, что она помогает «убийцам, торговцам наркотиками и другим преступным элементам» отказываясь расшифровывать свои устройства. Сенаторы озвучили аналогичную идею на декабрьском слушании, угрожая законодательно запретить шифрование, сославшись на невозможность восстановления доказательств преступлений против детей.

Хоть Apple и заявляет, что не "оказывала существенной помощи" ФБР при расследовании происшествия в Пенсаколе, за кулисами компания оказывала более широкую помощь бюро не связанную с конкретными расследованиями.

Это отличная демонстрация готовности компании помогать правительству, несмотря на то, что в публичных заявлениях Apple занимала жесткую позицию в вопросах защиты конфиденциальности пользователей.

https://www.reuters.com/article/us-apple-fbi-icloud-exclusive/exclusive-apple-dropped-plan-for-encrypting-backups-after-fbi-complained-sources-idUSKBN1ZK1CT

Про Avast последние несколько недель писали абсолютно все, кто-то яростно ругал, а некоторые пытались даже оправдывать, но мне бы хотелось собрать пазл и увидеть картину происходящего целиком.

28.10.19 — Владимир Палант, разработчик одного из самых популярных браузерных расширений для блокировки рекламы AdBlock Plus проанализировал код расширений от компании Avast и выяснил, что эти приложения занимались сбором пользовательских данных (адреса рефереров, уникальные UID, код страны, название и версия браузера, информация об ОС и так далее) и просматривали историю, о чем он рассказал в своем блоге. Компания Mozilla после обращения Паланта менее чем за сутки удалила аддоны из своего магазина , в Google решили оставить расширения.

Компания заявляет, что все собираемые данные обезличены, и нужны только для защиты пользователей от фишинга и вирусов интернете.

09.12.19 — В Forbes выходит статья в которой говориться, что Avast собирает конфиденциальную информацию о действиях и привычках пользователей как минимум с 2013 года. В этом же году была куплена компания Jumpshot, которая как раз и стала заниматься анализом собранных данных с более чем 100 млн. устройств, включая компьютеры и телефоны, и к тому же неплохо так монетизировать.

22.12.19 — Расширения возвращаются в магазин Firefox после серьезной переработки.

27.01.2020 — Вышло расследование, проведенное изданиями Vice и PCMag. Журналисты смогли узнать, каким именно компаниям Avast продает собранные пользовательские данные. Среди них такие гиганты, как Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora, Home Depot, Condé Nast, Intuit и многие, многие другие.

Информация основана на анализе утечек, контрактов и других документов компании. Журналисты подчеркивают, что подобные сделки между компаниями обычно являются крайне конфиденциальными, а сотрудники компаний, как правило, проинструктированы не говорить публично об отношениях с Jumpshot.

Клиенты готовы платить за пользовательские данные миллионы долларов, а продукты Jumpshot, вроде All Clicks Feed, позволяют отслеживать действия пользователей с точности до клика на конкретном домене с точностью до миллисекунды. К примеру, данные Jumpshot могут наглядно показать, как пользователь антивируса Avast искал продукт в Google, перешел по ссылке на Amazon, а затем, возможно, добавил товар в корзину на другом сайте, прежде чем, наконец, купил его.

Другие продукты Jumpshot, к примеру, предназначены для отслеживания того, какие видео пользователи просматривают на YouTube, Facebook и Instagram или для анализа конкретных e-commerce доменов, чтобы помочь маркетологам понять, как пользователи на них попадают. Также осуществляется сбор информации о поисковых запросах в Google, поиске локаций и координат GPS на Google Maps, данных о посещениях страниц компаний на LinkedIn и конкретных видео на YouTube, а также информация о посещении порносайтов. Например, можно определить дату и время, когда анонимный пользователь посетил YouPorn и PornHub, а в некоторых случаях, даже узнать, что именно он искал там и что смотрел в итоге.

Одной из компаний, которая пользовалась инструментом All Clicks Feed, была маркетинговая фирма Omnicom Media Group. Согласно документации Jumpshot, Omnicom заплатила Jumpshot $2 млн. только в 2019 году.

И хотя собираемые данные действительно не связываются с именем человека, адресом его электронной почты или IP-адресом, то есть являются де-юре обезличенными, каждому пользователю все же присваивается уникальный ID, называемый идентификатором устройства, который сохраняется до тех пор, пока пользователь не удалит со своего устройства антивирусный продукт Avast.

Располагая такой детальной информацией, компаниям-клиентам будет совсем нетрудно сопоставить эти исчерпывающие данные с информацией из других источников, в итоге составив подробный профиль конкретного человека.

После скандала из-за браузерных расширений представители Avast уверяли, что прекратили собирать и передавать пользовательские данные в Jumpshot, но журналисты говорят, что сбор информации продолжается, правда не с помощью браузерных аддонов, а при помощи самого антивируса.

Журналисты обратились за официальным комментарием к самим представителям Avast, однако те не стали отвечать на большинство вопросов журналистов.

В официальном заявлении Avast говориться следующее:

«Мы гарантируем, что Jumpshot не получает личную идентификационную информацию, включая имена, адреса электронной почты или контактные данные людей, которые используют наше популярное бесплатное антивирусное ПО. <...> Мы имеем большой опыт в сфере защиты пользовательских устройств и данных от вредоносных программ, и со всей серьезностью и ответственностью относимся к обеспечению баланса между конфиденциальностью пользователей и необходимым использованием данных».

Спустя два дня, 29 января, исполнительный директор Avast Ондрей Влчек (Ondrej Vlcek) написал в блоге компании, что дочерняя фирма Jumpshot будет закрыта.

«Как исполнительный директор Avast, я чувствую личную ответственность и хотел бы извиниться перед всеми заинтересованными сторонами. Защита людей — главный приоритет Avast и должна быть включена во все, что мы делаем в нашем бизнесе, и в наши продукты. Иное недопустимо.

По этим причинам я — вместе с советом директоров — решил прекратить сбор данных компанией Jumpshot и свернуть деятельность этой компании немедленно».

Действительно ли компания решилась отказаться от десятков, а то и сотен миллионов долларов доходов от продажи данных, не известно. Тем не менее, эта история в очередной раз доказывает актуальность пословицы, — «Если не платишь за товар - значит товар это ты».

​​👀 Alibaba тестирует социальную сеть как в "Чёрном зеркале": сканируй людей, ставь им лайки и пиши отзывы

Осенью 2019 года СМИ писали о новом социальном приложении "Real" от китайского IT-гиганта Alibaba. Тогда приложение было на стадии закрытого тестирования и позиционировалось как студенческая соцсеть. На днях приложение стало доступно в некоторых регионах Китая и мы его протестировали — оно похоже на приложение из антиутопического сериала "Черное зеркало".

В одном из эпизодов телесериала «Чёрное зеркало» место действия происходило в мире, где люди через мобильное приложение могут ставить друг другу оценки. Люди с низким социальным рейтингом не могли селиться в престижных районах, летать на самолетах и рассчитывать на лечение в больницах. В Real пока нет социального рейтинга, но оценки можно ставить друзьям и незнакомцам.

Сеть "Real" (по-китайски 如我 - "как я") основана на технологии распознавания лица — для регистрации потребуется отсканировать лицо. Чтобы добавить человека в друзья нужно отсканировать его лицо или фото. После этого можно написать отзыв или добавить метки, например "душа компании", "книголюб" или "кошатница". Метки можно ставить даже если человек не зарегистрирован в соцсети. Система отметит незарегистрированного пользователя и порекомендует пригласить его.

Главная лента приложения основана на геолокации: в первую очередь показаны посты от пользователей поблизости. Есть возможность подписаться и следить за отдельными местами, получая обновления от всех пользователей в этом месте.

Слоган соцсети "realog your life" ("запиши реальную жизнь") призывает делиться моментами из жизни через короткие видео и фотографии. Real противопоставляет себя другим китайским соцсетям, где как считается пользователи показывают ненастоящую "идеальную жизнь". Например, в WeChat много коллег и нужно "держать лицо", Weibo — площадка для интеллектуалов, а в Douyin (TikTok) все должно быть красиво и под музыку. Не смотря на это, камера Real имеет несколько десятков светофильтров, AR-масок и около 15 бьюти-эффектов: от разглаживания морщин до изменения формы головы и глаз.

🔸 Ранее Alibaba уже пыталась зайти на рынок социальных сетей и мессенджеров. В 2013 году на рекламу мессенджера Laiwang потратили 140 млн долларов, но он так и не смог потеснить WeChat. В 2015 году бывшая команда Laiwang выпустила инструмент для совместной работы Dingtalk (они же сделали Real), который называют "китайским Slack". К июлю 2019 у Dingtalk было 200 млн пользователей из 10 млн компаний.

🔸 Alibaba начала тестировать Real (под названием "Lanlan") в конце 2018 года в кампусах местных университетов. Как отмечает газета Jing Daily, только в 2018 году в Китае появилось 159 приложений в категории "Соцсети и мессенджеры". В первые два месяца 2019 года вышло еще 53 подобных аппа.

🔸 Изначально считалось, что Real хочет занять пустующее место студенческой соцсети Renren, которую была похоже на Facebook. Эта соцсеть начала терять популярность во время перехода пользователей на смартфоны и выхода  Weibo и WeChat. Недавнее исследование QuestMobile показывает, что пользователи стали меньше проводить времени в WeChat. Считается, что это более молодая аудитория ищет альтернативу.

— Александр Мальцев, рубрика #АппПодМикроскопом

портал The Verge выступил с программной статьей о том, что мы зря думаем (и нас обманывают), что роботы будут делать за нас тяжелую и грязную работу. потому что пока они чаще заходят туда, где их раньше не было, в роли контролеров и надсмотрщиков за людьми

примеры: роботы присматривают за горничными в отелях - сообщают им, какую комнату пора убирать и следят, как быстро они это делают; следят за разработчиками софта, отслеживают их клики и рекомендуют снизить зарплату, если они работают медленно; слушают работников колл-центров, отслеживая, какие слова они используют и как говорят, и не сидят ли без дела и так далее  

на складах Amazon система управления почти полностью автоматизирована, программа следит, как быстро и как хорошо люди работают и выдает рекомендации по снижению зарплаты, если люди не выполняют установленную норму выработки - окончательное решение пока принимает человек-начальник, ну так это может только пока. в принципе, если система заметит за человеком критически большое количество косяков, это уже фактически означает его автоматическое увольнение

там еще много разной жути нагнетается, но главный вывод понятен: из роботов могут получаться отличные рабочие лошади, мулы, кто угодно, но надсмотрщики из них получаются как минимум не хуже. они никогда не спят, не забывают, у них нет жалости, они не поддаются на уговоры, не вступают в интимные отношения с работниками, их нельзя коррумпировать

роботы пока еще слишком дорогие, чтобы расставить их всюду, плюс не ясно, что делать с людьми, рабочие места которых они займут. а вот наделать сравнительно небольшое количество роботов и поставить их следить за людьми - это и быстрее и проще. роботов не в смысле человекообразных железяк, а разных программ, алгоритмов, автоматических устройств и систем

это, конечно, целенаправленное нагнетание, но ничуть не хуже розовых сказочек о прекрасном мире будущего, в котором роботы будут работать, а люди - отдыхать, творить и делать этот мир лучше

https://www.theverge.com/2020/2/27/21155254/automation-robots-unemployment-jobs-vs-human-google-amazon

встречался тут с одним умным человеком, обсуждали среди прочего строительство систем тотальной слежки за всеми и за всем

человек мало того, что умный, он еще капиталист, доктор технических наук и профессор. поэтому он на мои мысли о скором и неизбежном наступлении дистопии задал один, но убийственный вопрос. построить систему можно, говорит, с точки зрения технологий и финансов это не так сложно. другой вопрос, что мало один раз потратиться и надеяться, что она потом просто будет работать. нужна техподдержка ведь в режиме 24/7, а это еще деньги и, что еще важнее, квалифицированные люди в большом количестве. где их взять и как удерживать?

вопрос действительно трудный: АНБ вон не то, что ноет, криком кричит о том, что не может найти людей в нужном количестве (а также ЦРУ, армия, флот, все). потому что, например, марихуану легализовали, а тесты на наркотики никто отменять не собирается. а найти в хакерское подразделение человека, который шесть месяцев не прикасался к наркотикам, это та еще задача. и это еще полбеды, а как удерживать его, если в госструктурах зарплаты вообще не конкурентные?

и тут в США все идет не совсем так, как в Китае, например. потому что в Китае очень много людей, денег и Коммунистическая партия. она сказала - будем просто жечь деньги, значит, будем жечь деньги. и то пока не очень понятно, как будет их всевидящее око работать. посмотрим еще.

США же идут по пути передачи всего, что можно, частным контракторам вроде Амазона. потому что пусть они тратят деньги сами и обеспечивают техподдержку. Амазон, в свою очередь, перекладывает эти затраты на людей. с той же системой Ring - заплати деньги за установку умной камеры, и за техподдержку тоже заплати. а потом Амазон будет сливать данные госструктурам, потому что они им нужны

но у нас ведь нет Амазона. есть Яндекс, но ему государство не очень доверяет, хоть Яндекс и старается это изменить (но очень сильно стараться тоже не хочет, потому все его вольнодумные работники встанут и уедут в Калифорнию, условно). есть Мэйл, которому государство доверяет больше (поэтому партнеры господина Усманова делают СОРМы и прочие интересные штуки), но у Мэйла вечная проблема с менеджментом и неистребимым хаосом внутри компании

у нас и так гигантская проблема с тем, что все данные из всех баз мгновенно утекают на рынок пробива, и нет никаких причин считать, что они не будут утекать из новых систем слежки. где взять ответственных сторожей и сторожей за сторожами? как платить им так, чтобы они не торговали тем, что имеют? где просто взять такую прорву людей на техподдержку проекта, который по умолчанию не будет генерить прибыль? кто за все это будет платить?

в общем, приходит гуманитарий со стройной картиной мрачного будущего к технарю, а тот берет и все ломает. с другой стороны, все равно системы-то строят. будем смотреть, как чего

Никаких мемов, мессенджеров и Instagram – у жителей американского Грин-Бэнка нет доступа к мобильной связи, а домашний интернет работает медленно. Телевидение, радио и даже бензиновые двигатели – все под запретом. IoT-устройства тем более.
Wi-fi и Bluetooth тоже частично запрещены, а пользоваться микроволновками можно, только если они помещены в клетку Фарадея.

Городок Грин-Бэнк в округе Покахонтас входит в зону радиомолчания. Причина – одноименная обсерватория, на территории которой установлен самый крупный в мире параболический радиотелескоп – его используют для поиска внеземных цивилизаций.

Ограничения ввели в 1958 году, и жители до сих пор пользуются технологиями середины прошлого века. В городке распространены телефонные автоматы и стационарные телефоны, а люди пользуются бумажными картами. В Грин-Бэнке живет всего 143 человека, но сюда периодически приезжают технофобы со всей страны, в том числе американцы, которые страдает электромагнитной гиперчувствительностью (к слову, наука этот диагноз не признает).

О Грин-Бэнк уже написано немало. Но New York Times решила выяснить, как живут местные подростки, на первый взгляд, оторванные от интернет-культуры. Они так же покупают айфоны и устанавливают приложения, но обычно пользуются только функциями будильника и часов. Они почти не сталкиваются с травлей в интернете и предпочитают общаться с друзьями офлайн. В то же время у подростков возникают проблемы с подачей документов в вузы – соединение медленное и файлы не грузятся.

С проблемами сталкивается и полиция: жителям сложнее позвонить в участок в экстренной ситуации, а полицейским неудобно пробивать людей по базе. Зато в Грин-Бэнке есть свой надзорный орган – радиополиция, небольшой фургон, который следит за “электромагнитным порядком”. Они находят IoT-девайсы, о подключенности которых не подозревают даже сами хозяева.

Умных устройств стало так много, что у Грин-Бэнк периодически возникают сложности – например, город долго не мог найти нормальные туристические автобусы без Wi-fi. Впрочем, за нарушение радиомолчания не карают – максимум могут выписать штраф, поэтому многие все-таки пользуются "подпольным" Wi-fi. Так что идиллии, которую пытается нащупать NYT, все-таки не случилось. Даже в Грин-Бэнке школьники сидят в соцсетях, а у главной героини репортажа обнаруживается аккаунт в TikTok.

Сегодня Всемирный день против кибер-цензуры. У виртуального мира нет границ, но у его «обитателей» есть права.

Например, свобода слова, расширением которой является свобода информации, – это фундаментальное право человека, признанное в международном праве. Оно указано как одно из важнейших политических и личных прав человека во Всеобщей декларации прав человека. При этом в России продолжаются блокировки, которые нарушают права пользователей на свободный доступ к информации.

Если вы хотите лучше разобраться в своих цифровых правах, предлагаем вам почитать следующие материалы:

— Как защититься от цензуры.

— Список наших цифровых прав, которые необходимо знать каждому.

— Интервью с Андреем Лошаком, автором сериала «Холивар».

— Что думают российские активисты и адвокаты о защите прав: активисты и адвокаты о защите прав.

— Как работает закон об ущемлении чести и достоинства в Сети.

«Люди не ценят вопросы, связанные с охраной, тайной частной жизни, потому что всего-то прошло около 25 лет, как изменился общественный строй. Это прошлое советского менталитета: «никуда не спрятаться, а честному человеку нечего скрывать», — говорит ведущий юрист Роскомсвободы (@roskomsvoboda), руководитель Центра цифровых прав (@DigitalRightsCenter) Саркис Дарбинян.

Больше о цифровых правах читайте в нашей подборке: https://te-st.ru/tag/digital-rights/

вообще, конечно, большой вопрос - или не вопрос, зависит от точки зрения. технологические компании сначала придумывают, как лучше собирать личные данные, или сначала что-то придумывают, а потом оказывается, что это удобно? конспирологический вопрос, в общем

ну смотрите: раньше была большая дискуссия о повальной дактилоскопии - власть и правоохранители говорят, что это надо (потому что им надо), правозащитники и вообще люди говорят, что это незаконно и не надо. потом технари придумывают авторизацию через отпечаток и вуаля, база данных отпечатков пополняется сама собой

то же самое про слежку за гражданами: на каждый случай надо получать ордер, но если человек носит с собой мобильный телефон, то и так все есть и ничего не надо, взял просто у сотового оператора геолокацию, и все

особенно все были против повального сбора ДНК, потому что это "совсем уже", но потом маленькие частные компании открыли стартапы "плюнь в пробирку и узнай предрасположенность к болезням" и все сразу побежали плевать. теперь уже и находят преступников разных и маньяков по данным, которые полиция взяла у этих частных компаний

фотографии, социальные связи, метаданные всякие - социальные сети все собрали и упаковали, просто бери и пользуйся

образцы голоса - все там же на видео в соцсетях, или вот еще взлет аудиоосообщений. ты заставь еще кого-то прийти в полицию и оставить образец голоса. это вообще незаконно. а так - все сами, добовольно, без проблем

ну то есть, компании делают вид, что это случайно получается, они всегда хотят, как лучше, но просто вот такой теперь мир. что поделать. но данные, конечно, собирают, хранят, анализируют и продают

а законы для них не писаны, и не успевают писаться, для них - то есть, для нас - есть пользовательские сообщения, которые никто не читает. или даже так: еще в 2012 году дотошные люди подсчитали, что если бы кто-то всерьез взялся читать все пользовательские соглашения прежде, чем ставить галочку Agree, у него на это уходило бы 76 дней в год. и то он мало что понял бы, потому что они так специально написаны
https://techland.time.com/2012/03/06/youd-need-76-work-days-to-read-all-your-privacy-policies-each-year/

в общем, давно не было старого злого тэга #paranoia

ну и напоминаю, что каждый должен прочитать The Age of Surveillance Capitalism и присоединиться к борьбе. шутка. борьбы-то никакой нет, только кучка шизанутых шифропанков там что-то пишет куда-то. так и живем
https://www.amazon.com/Age-Surveillance-Capitalism-Future-Frontier/dp/1610395697

В мире сейчас, мягко говоря, напряженная ситуация, и в некоторых казалось демократических государствах решили наплевать на права своих граждан и принять законы о тотальной слежке за перемещением населения. Такое смелое решение предприняли Гонконг и Израиль, возможно не только они.

Начиная с 19 марта всех людей, приезжающие в Гонконг из-за границы, помещают в карантин под тщательное медицинское наблюдение. А чтобы они не нарушили запрет, им придется носить электронные браслеты. Правила распространяются как на гостей города, так и на местных жителей, вернувшихся из зарубежных поездок.

Нарушителям карантинного режима ждет штраф в размере порядка $650 и лишение свободы на 6 месяцев. В распоряжении властей есть более 60 000 браслетов. Те кто отказываются носить браслет, не имеют другого варианта как сесть обратно в самолет и лететь обратно.

Израиль еще проще решение придумал - отслеживать перемещение людей используя данные о геолокации смартфонов. Это решение куда более результативное, так как встретить человека без смартфоне в кармане практически нереально.

Сейчас Шабак (еще известна как Шин-Бет, относится к системе спецслужб Израиля и занимается контрразведывательной деятельностью и обеспечением внутренней безопасности. По своей функции сравнима с ФБР и ФСБ. Подчинена непосредственно премьер-министру Израиля) получил от правительства (в обход Кнессета) право отслеживать местоположение неограниченного количества людей, которых заподозрили в заражении гриппом. Помимо геоданных Шин-Бет сможет получить доступ ко всей информации с мобильного телефона, за исключением содержимого разговоров и сообщений, так как это считается прослушиванием телефонных разговоров и требует специального постановления суда.

Доктор Техилла Шварц Альтшулер из Израильского института демократии говорит, что Шин-Бет также получит доступ к истории банковских операций, хранящейся на устройстве. Все это делается для отслеживания людей, которые находились вблизи заболевших или тех кого только подозревают в заболевании. Генеральный прокурор Авичай Мендельблит заявил, что «Шин-Бет» не будет собирать содержимое сообщений в мессенджерах и емейлах.

На данный момент срок действия нового закона составляет три месяца - до 17 июня. Предполагается, что собранная спецслужбой информация будет стерта после истечения срока действия закона, но правительство может его продлевать так долго, насколько пожелает.

Еще одним интересным моментом в этом законе является полное отсутствие каких либо ограничений по использованию собранных данных  в других целях, и отсутствие санкций в случае нарушения спецслужбой утвержденных правил.

И последний оффтоп. Ну не мог я пройти мимо и не поделится неимоверно крутыми артами китайских художников. Брал тут