Опубликована статистика, сформированная на основе анализа коллекции из миллиарда учётных записей, полученных в результате различных утечек баз данных с параметрами аутентификации. Также подготовлены выборки с данными о частоте применения типовых паролей и списки из 1 тыс., 10 тыс., 100 тыс., 1 млн и 10 млн самых популярных паролей, которые могут использоваться для ускорения подбора хэшей паролей.

Некоторые обобщения и находки:

• Самый популярный пароль "123456" встречается около 7 млн раз (0.722% из всех паролей). Далее с заметным отставанием следуют пароли 123456789, password, qwerty, 12345678.

• Доля тысячи самых популярных паролей составляет 6.607% от всех паролей, доля миллиона самых популярных паролей - 36.28%, а 10 млн - 54%.

• Средний размер пароля - 9.4822 символов.

• 12.04% паролей содержат спецсимволы.

• 28.79% паролей состоят только из букв.

• 26.16% паролей включают только символы в нижнем регистре.

• 13.37% паролей состоят только из цифр.

• 34.41% паролей заканчиваются цифрами, но только 4.522% из всех паролей начинаются с цифры.

• Уникальными являются только 8.83% паролей, остальные встречаются два и более раза. Средняя длина уникального пароля 9.7965 символов. Только часть из этих паролей представляет хаотичный набор знаков, лишённый смысла, и только 7.082% включают спецсимволы. 20.02% уникальных паролей состоят только из букв и 15.02% только из букв в нижнем регистре при средней длине в 9.36 символов.

https://opennet.ru/53260/

​​«Большой Брат—2» уже наблюдает
Пару недель назад я написал пост про «Большого Брата—2», который еще не всеведущ, но знает о вас куда больше, чем вы думаете. Он умеет автоматически распознавать, что люди делают: стаканчик в космонавта бросают, урну или заточенную копьём арматуру. И не только это, но и вообще что угодно: закурил не там, где можно, или пописал в неположенном месте, — да мало ли что еще.

Эту систему (пока что лабораторную) сделали кудесники из Amazon Go, тем самым доказав, что ИИ в состоянии решить проблему автоматизированного поиска «потенциальных правонарушителей».

Но Китай не был бы Китаем, если бы ответка американцам не прилетела мгновенно. И какая ответка! «Большой Брат—2» в Китае работает уже не в лабах, а в промышленной эксплуатации.

Пятеро молодых ребят из шанхайского НИИ сделали по заказу крупного девелопера систему социального контроля поведения в лифтах в реальном времени. Система автоматически выявляет (сама!) любую «ненормальную активность» в лифтах, - т.е. если люди делают что-то не то, что обычно делается в лифтах. Это может быть что угодно: торговля наркотиками, проституция, сексуальное домогательство, хулиганство … Или что-то не столь очевидное, но подозрительное – например, слишком много человек проживает на каком-то этаже (прямо мечта Собянина).

В настоящее время система развернута и обкатывается вживую на 100 000 лифтов.  Заказчик не нарадуется. Система стучит на жителей весьма креативно. Например, настучала, что служба общественного питания работает из квартиры (что запрещено).

Это значит, что теперь возможна автоматическая идентификации любого, кто отклоняется от какой-либо нормы. И это очень перспективно для авторитарных режимов.

На приложенной картинке интерфейс инспектора, наблюдающего за работой системы.
#БольшойБрат  #Китай

здоровенная статья Vox из привычной серии "как ваши телефоны следят за вами", пересказывать которую мне лень, да и в общем из условно нового там только то, что следят за владельцем телефона вообще все установленные на нем приложения, если вы им хоть что-то разрешили. в том числе с помощью так называемых SDK. software developments kits (SDK), наборов средств разработки - ну это правда интересно больше специалистам, чем обычным пользователям, это технологии под капотом
 
https://www.vox.com/recode/2020/7/8/21311533/sdks-tracking-data-location

а не разрешить им вообще очень сложно, поэтому обычно все можно свести к простому тезису - установили на телефон приложение = разрешили ему шпионить за вами

тонкость тут в том, что таким образом доступ к чувствительной иформации получает вообще кто попало, не АНБ, ФБР или ФСБ, а натурально - кто попало. и, как показала пандемия коронавируса, с удовольствием делятся этими данными, за деньги или просто так, потому что хочется поделиться данными со всем миром

например, компания Tectonix в самом начале эпидемии всех несколько шокировала вот этой анимированной картой: они отследили трекеры с мобильных телефонов людей, которые собрались на одном из пляжей Флориды, а потом по тем же трекерам отследили их дальнейшие передвижения по территории США - кто, когда, куда и все такое. формально для того, чтобы показать, как важно соблюдать социальную дистанцию во время пандемии

https://twitter.com/tectonixgeo/status/1242628347034767361?lang=en

стоит один раз разрешить одному приложению разрешить определять свою геолокацию - оно потом продолжит за тобой неусыпно следить и передавать еще эти данные всем желающим, в этом некоторый пафос заметки. и остановить это пока нельзя, к тому же вообще - в интернете все следили за всеми с самого начала, чего

и тут, конечно, возникает тот самый главный вопрос, который в последние годы обсуждают очень активно: на самом деле не "все знают все о всех", а "они знают о нас все, а мы о них и о том, что они делают - ничего". они это правительства, технологические компании, да уже кто попало, правда. абсолютной дисбаланс

то есть, тотально прозрачный мир на самом деле никакой не тотально прозрачный, а односторонее стекло в полицейском кабинете - с одной стороны стекла видно все, а с другой ты тупо смотришь в зеркало на себя самого

это тоже не новость, конечно, но чтоб не забывать и чтобы тоже хотя бы пытаться заглядывать на ту сторону

Похоже, Телеграм уже продан одному из российских олигархов

Практически невероятное «переобувание» происходит в отношениях между Павлом Дуровым и российскими властями.

Все мы прекрасно помним историю с блокировками Телеграм и прокси-войной, которую развязал Роскомнадзор. А уже в начале этого года в Госдуму стали вбрасывать законопроекты о разблокировке Телеграм, якобы потому что она просто не получается, так зачем блокировать.
Хочется задать в таком случае вопрос: почему не разблокировали LinkedIn, которым точно также все пользуются, кому это нужно в целях хантинга IT-специалистов?

Многие выражались по поводу таких законопроектов в духе: «просто молодые депутаты пиарятся на пустоте», «причем тут законопроект, если это решение суда?».

Но прошел месяц, и Телеграм действительно разблокировали всего за один день. И решения суда оказались тут не причем (очередное подтверждение тому, что в РФ не существует судов как таковых).

Ну разблокировали и ладно. С кем не бывает? Может, действительно надоело тратить ресурсы на разблокировки (удивительное простодушие этих высказываний меня поражает, но не будем их осуждать).

Но то, что произошло дальше, уже точно не поддается никакой логике «просто лень блокировать».

Пошли разговоры об открытии офиса Телеграм в России, а сегодня выяснилось, что второй человек в Телеграм, Илья Перекопский, отправляется на ковер к Мишустину.

Череда и стремительность этих событий становится очевидной, когда мы вспомним ряд фактов:
— значительные инвестиции в TON сделали русские олигархи;
— Telegram не зарабатывает деньги и полностью финансировался на средства, собранные под TON;
— Telegram тратит около 100 миллионов долларов ежегодно на поддержание работоспособности и развитие;
— TON провалился, суд обязал Телеграм вернуть деньги инвесторам, и в бюджете компании, которая никогда не зарабатывала деньги и успела потратить уже около 400 миллионов долларов, образовалась огромная дыра;
— Дуров заявил инвесторам, что продаст долю в Телеграм, чтобы расплатиться с ними;
— российские власти вдруг резко пошли навстречу Телеграм, будто это какая-нибудь Роснефть или Газпром.

Надеюсь, теперь всем понятно, кому Дуров продал контрольный пакет акций Telegram. Про теперешнюю приватность мессенджера можете сделать вывод сами.

Думаю, это хорошая история о том, как у одного предпринимателя получился с первого раза и в юном возрасте очень крутой проект, и он, скажем так, переоценил свои силы, посчитав, что сможет добиться того же в «открытом океане» мирового венчура и IT-стартапов.

Но реальность оказалась суровой, и все прошлые заверения о планах создания международной компании, в которой пользователи из России не играют никакой роли, попросту оказались пшиком: в Долине денег не дали; продвигаться через порно и пиратский контент запрещают; аудитория из США, Канады и Западной Европы не набирается; делать свою крипту тоже не дают. Да еще и не двузначно намекнули, что с правительством надо сотрудничать в любой стране.

При таких вводных оказалось, что нужно умерить свою браваду и вернуться в родные пенаты. Тем более, что сколько-нибудь значимой доли рынка за пределами СНГ собрать все равно не удалось (в Иране Телеграм заблокирован, да и сам Иран с точки зрения монетизации - это кромешный ад).

Какой урок все мы с вами можем из этого вынести?
1. Не надо думать, что вы Бог, когда у вас что-то получилось с первого раза.
2. Не надо бравировать тем, что вы еще не сделали и никогда до этого даже не пытались сделать.
3. Правила надо соблюдать, иначе будет больно.

@tlgdoc

Пожалуй, самые известные в мире цифровые правозащитники — Electronic Frontier Foundation празднуют тридцатилетие

Родившись как организация, защищающая в контексте новых технологий заложенные в Конституции США права, EFF расширил свою повестку до решения конфликтов между физической реальностью и киберпространством.

Electronic Frontier Foundation (Фонд Электронных Рубежей) был основан Джоном Гилмором, Джоном Перри Барлоу и Митчеллом Кейпором 10 июля 1990 года в ответ на угрозу свободе слова и частной жизни. Тогда технологии, которые могли мгновенно стереть расстояние, создать связь и предоставить доступ к большей части мировых знаний, были революционными. На заре своего существования интернет казался необыкновенным местом, изобилующим возможностями, «новым домом разума», который изменит все.

Но несмотря на всю радость, творчество и единение, которые технологии могут принести, с самого начала было ясно, что мощные новые цифровые инструменты люди могут использовать не только во благо, но и во вред. Цензура, слежка за пользователями и попытки контролировать инновации и новаторов тоже появились уже тогда. EFF была создана для борьбы с несправедливостью и отстаивания свободы.

➡️ https://roskomsvoboda.org/61090

“Лавры” Линдси Грэма и А. А. Жарова не дают покоя и немецким правоохранителям.

В Бундестаг на следующей неделе поступит законопроект, согласно которому, немецкие Интернет-провайдеры обязаны будут устанавливать в своих центрах обработки данных “железо”, принадлежащее государству и (предположительно) распространяющее путём атаки типа “человек посредине” вредоносные трояны от компании FinFisher.

Цель — встраивать трояны в обновления ПО, распространяемые через Интернет, и таким образом получать доступ к компьютерам, предположительно, злоумышленников.

Просто типичнейшая история.

Этому FinFisher’у около 10 лет, в 2017 году я делал про него презентацию. С тех пор в Интернете было развёрнуто повальное end-to-end-шифрование, строгость которого усугубляется с каждым годом. Примерно все обновления программного обеспечения давно уже передаются по HTTPS и/или подписаны GPG, у транзита нет доступа к инфраструктуре публичных ключей и, соответственно, к контенту — будь то на чтение или на запись.

Большое государственное агентство купило 5 лет назад лошадь, затем коняшка долго болела и сдохла, но её до сих пор пинают шпорами в бока, надеясь, что она побежит. Неожиданный нюанс состоит в том, что агентство — немецкое, но это небольшой нюанс.

Аммосов или Синодов здесь написали бы, что компания FinFisher — это наверняка кого надо компания, и купить у неё продукт надо, потому что надо. Я, впрочем, привык уважать бритву Хэнлона.

P.S. Про Линдси Грэма, EARN-IT и LAED я писал здесь.

17 лет жила поживала уязвимость в компоненте Windows DNS Server, и вчера, во вторник патчей, Microsoft выкатила апдейт для всех поддерживаемых версий Windows Server. Уязвимость получила идентификатор CVE-2020-1350, а уровень её опасности Microsoft оценила в 10 баллов из 10. Для сравнения, уязвимости, которые использовалась для атаки WannaCry оценили в 8.5 балла.

Критическую ошибку обнаружили в мае исследователи из компании Check Point, специализирующаяся в сфере IT-безопасности.

Учитывая, что Windows DNS Server – это основной сетевой компонент, нарушение его работы – это очень серьёзная опасность. Каждая организация, большая или малая, использующая инфраструктуру Microsoft, подвергается серьёзному риску компрометации всей сети, если не установит обновление. Если данная уязвимость существует в коде более 17 лет, и исследователи из Check Point её обнаружили, не исключено, что злоумышленники тоже могли её обнаружить и эксплуатировать.

​​Сколько стоит конфиденциальность и приватность, от которых мы отказываемся в пользу техно-ништяков?

Мало стоит 😣
Впрочем, так было всегда, - мода, функциональность и удобство новых технологий всегда ценились людьми выше, чем негативные последствия от их использования. Телефон куда проще прослушать, чем ваш очный разговор со знакомым. Электронную почту легче и эффективней перлюстрировать, чем бумажные письма. Но многие ли отказываются от телефона и е-почты, желая оградить свою приватность и сохранить конфиденциальность?

Самое неприятное, что тренд на тотальное уничтожение приватности и конфиденциальности частной жизни основан не только на интересах двух «Больших братьев» - спецслужб и ИКТ-мегакорпораций. Вторым и не менее важным фактором является слабость человеческой натуры. Для большинства ценность новых техно-ништяков куда выше стоимости потери личной конфиденциальности и приватности. Тем более, что большинство просто не представляют той изощренной легкости, с который хакается их личная жизнь.

Вот новый характерный пример – камеры домашней безопасности.
Миллионы людей устанавливают их у себя дома для наблюдения за тем, что там происходит в их отсуствие. Кто для контроля детей, кто, полагая таким образом отпугнуть грабителей. Но вот ведь незадача.

Новый отчет, озаглавленный «Your Privilege Gives Your Privacy Away: An Analysis of a Home Security Camera Service», как ушат холодной воды на голову тех, кто полагает будто камеры домашней безопасности увеличивают их безопасность.

Оказывается, что наличие в доме таких камер существенно повышает безопасность грабителей, т.к. позволяет им легко отслеживать, когда в доме никого нет.
Причем грабителям даже не нужно заморачиваться с просмотром гигобайтов видео. Им достаточно лишь взглянуть на объем передаваемого видео, который ощутимо увеличивается, если камера зафиксировала в доме движение. То есть грабители могут полностью автоматизировать мониторинг присутствия людей в домах и квартирах всех потенциальных жертв лишь по объемам исходящего видеопотока.

Как пишут авторы отчета, не все грабители столь технопродвинуты. Но вряд ли кто сомневается, что универсальные программы мониторинга квартир на основе видеопотоков домашних камер уже разрабатываются профессиональными программистами по всему миру.

И как вам это? Откáжетесь теперь от камер домашней безопасности?
Сомнительно. Ибо просто так этот рынок с объемом, приближающимся к $1,5 млрд, его интересанты не сольют в унитаз. Тем более, что за брендами - лидерами рынка Xiaomi и Nest, - просматривается интерес Google. А кто сможет противостоять рекламным возможностям «бури и натиска» Google?
Тем не менее, CNN давеча обратилась к Xiaomi и Nest за объяснениями.
#БольшойБрат

В твиттере массовый взлом аккаунтов с размещением в них биткоин-кошельков. Среди взломанных аккаунтов — много известных людей: Илон Маск, Барак Обама, Уоррен Баффет, Майкл Блумберг и сотни других.
Взломщики собрали на кошелёк уже больше 12 BTC.

Причины у такого взлома могут быть две.
— Найденная уязвимость в самом твиттере, которая позволяет твитить от любого аккаунта. Честно говоря, верю в эту версию меньше, чем во вторую.
— Постинг через взломанный виджет. Люди авторизуют в твиттере виджеты сторонних сайтов, которые, среди прочего, позволяют отправлять твиты от вашего имени.
Скорее всего, один из таких виджетов взломали.
Отключить все виджеты можно в настройках твиттера.

Судя по всему, взлом не связан со взломом самих аккаунтов, хакеры каким-то образом взломали админский доступ самого твиттера.

Twitter временно запретил всем верифицированным аккаунтам публиковать твиты

Пароль к аккаунту сбросить тоже не удастся

Хакеры начали публиковать скриншоты админ-панели Твиттера. Благодаря им, мы увидели, насколько простым может быть корпоративный шантаж и насколько опасным является использование централизованных сервисов. Твиттер мог публиковать сообщения без ведома пользователя, менять email, и ещё много другого.

И вишенкой на торте, по моему, стало то, что аккаунты публикующие скрины админки мгновенно банятся "за нарушение правил пользования сервисом".
https://www.vice.com/en_us/article/jgxd3d/twitter-insider-access-panel-account-hacks-biden-uber-bezos

Каждая система безопасна настолько, насколько безопасно её самое слабое звено

Вероятно, по случаю запуска Spotify в России кому-то из моих читателей будет любопытно освежить в памяти следующие тексты:

• О том, как Spotify следит за психологическим состоянием пользователей и продаёт собранную информацию рекламодателям
• О том, как Spotify душит независимую музыкальную сцену
• О том, как Spotify стал главным продавцом музыки в мире

Если вы упустили ночное падение CloudFlare (а вместе с ним половины интернета) - вот хороший обзор проблемы от виновников торжества. Если коротко -  опять человеческая ошибка в конфигурировании, обещают больше так не делать. https://blog.cloudflare.com/cloudflare-outage-on-july-17-2020/

Большая статья в NYT с рассказом о том, как именно был сделан прошлый взлом Твиттера. Все как обычно: социальная инженерия помогла попасть во внутренний Slack работников твиттера. А оттуда в админскую панель, используя пароль из того же слака. Это, кстати, последствия карантина и надомной работы - все работают из дома, так что даже некоторые внутренние интерфейсы теперь доступны без vpn, без двухфакторной авторизации.
Вообще очень поучительно, обязательно прочитайте  https://www.nytimes.com/2020/07/17/technology/twitter-hackers-interview.html

update: Твиттер по сути подтвердил статью в NYT https://blog.twitter.com/en_us/topics/company/2020/an-update-on-our-security-incident.html