Поиск сообщества

Аппарат разработан на основе смартфонов Google Nexus 6P и 5Х. Программное обеспечение создано на базе Copperhead OS (защищённая версия Android) и приложения OrWall, которое автоматически отправляет трафик через Tor. Получивший название Mission Improbable прототип был создан разработчиком анонимной сети Tor Майком Перри (Mike Perry). Цель создателей Mission Improbable — демонстрация возможностей по созданию защищенного телефона, и поэтому любой заинтересовавшийся пользователь может ознакомиться с системой на сайте проекта и установить ее на собственный смартфон абсолютно бесплатно. Правда, пока смартфон рассчитан на продвинутых пользователей, которые хотят сохранить анонимность в сети. Для установки скрипта необходимы базовые знания Linux. По словам Перри, Copperhead — это единственная платформа, которая поддерживает верифицированную загрузку, контролируемую пользователем. Во время её работы посторонние вредоносные программы не могут модифицировать процесс загрузки, возобновления работы или саму ОС. Также Copperhead не дает приложениям из Google Play мешать работе системных приложений. В целях защиты приватности на прототипе Mission Improbable установлен OrWall — фаервол, который направляет трафик через сеть Tor и блокирует любой другой трафик. Также OrWall дает пользователю возможность самому решать, трафик каких приложений направлять через Tor, а какой пустить обычным путем. Фаервол может проводить голосовой трафик таким образом, чтобы скрыть с помощью Tor IP-адрес устройства. OrWall был создан разработчиком Седриком Жаннере (Cédric Jeanneret) на базе решения Перри. Ещё одной особенностью проекта является ориентация на создание индивидуальных сборок. Пользователям предлагается набор скриптов, которые автоматизируют формирование сборки. Самостоятельная сборка позволяет индивидуально подобрать необходимый для себя набор компонентов, включаемых в прошивку, например, можно добавить Google Apps, SuperUser, сервисы Tor и т.п. Обновления также предлагается собирать самостоятельно. Подобный подход даёт пользователю возможность избавиться от зависимости от сторонних поставщиков при возникновении проблем, требующих оперативного исправления, и необходимости устранения уязвимостей. В любое удобное для себя время пользователь может запустить скрипт обновления, который загрузит свежий образ Copperhead и сформирует подписанное обновление. После завершения сборки пользователю предлагается подключить смартфон по USB-порту и при помощи утилиты adb осуществляется установка обновления. В прошивке обеспечивается полная верификация загружаемых компонентов по цифровой подписи с использованием индивидуальных ключей, которые генерируются каждым пользователем для своей сборки. Перри отмечает, что iOS как альтернатива Android является более уязвимой, поскольку у нее закрытый код, и она сильнее подвержена риску размещения бэкдоров. Также Перри заявил, что App Store имеет серьезный недостаток по сравнению с Google Play: все размещенные там приложения Apple заново шифрует, поэтому пользователь никогда не может быть уверенным, что скачанный и установленный им пакет соответствует официальной версии. Однако и у Android есть недостатки, считает Перри. Это чрезмерная фрагментация платформы, которая делает ОС более уязвимой. По мнению Перри, сейчас Android движется в сторону модели распространения исходного кода Shared Source, которую использовала Microsoft в начале 2000-х. «Смотри, но не трогай», — так описал Перри принцип действия модели, которая позволяет получать код только после соблюдения определенных условий. В своём блоге Torproject объясняет, почему для их проекта так важна эта разработка: «Мы пытаемся доказать, что можно создать такой телефон, которые уважает выбор пользователя и свободу, тем самым значительно уменьшая количество возможных уязвимостей, а также задаёт направление для экосистемы, удовлетворяющей потребностям пользователей, для которых высокий уровень безопасности крайне важен. Очевидно, что это большая задача. И так же, как это было с ранее созданным прототипом, мы опираемся на предложения и на поддержку со стороны широкой общественности». По материалам rublacklist.net

Речь идёт о режиме Turbo, который сжимает трафик, пропуская его через свои серверы, и ускоряет загрузку страниц — это косвенно позволяет обходить блокировки сайтов (такая функция есть и в Google Chrome). «Мы готовы периодически направлять перечень ресурсов для такой фильтрации при условии заключения соответствующего двустороннего соглашения. Диалог продолжается. Пока о каких-либо формализованных договоренностях говорить преждевременно», — сообщил изданию представитель Роскомнадзора Вадим Ампелонский. Фильтрация при режиме встроенного VPN на встрече не обсуждалась. Представитель Opera Software не стал комментировать контакты с Роскомнадзором. По его словам, компания не дала окончательного ответа Роскомнадзору, «потому что нет решения новых акционеров». В конце сентября Opera добавила функцию бесплатного встроенного VPN в последнюю версию браузера, тем самым завершив её бета-тест, который начался в апреле. Теперь сёрфить можно через американские, сингапурские, немецкие или канадские серверы, обходя блокировки Роскомнадзора и других цензоров. Подключение к VPN можно активировать через настройки браузера (по умолчанию он выключен). По словам руководителя Роскомнадзора Александра Жарова, различными способами обхода блокировок пользуются всего 7–10 % россиян. По материалам furfur.me

В ведомстве также попросили подготовить подробную оценку стоимости проекта и рисков. Данное решение было принято в ходе совещания в Минпромторге, состоявшегося 21 ноября. «Ростех», как один из его участников, должен был презентовать свое предложение по созданию единого центра хранения и обработки данных всех операторов связи. Однако, как утверждают источники, до этого не дошло — сама идея проекта вызвала вопросы со стороны Минпромторга и Минкомсвязи, а также Федеральной службы безопасности (ФСБ). В частности, представитель Минкомсвязи отметил, что хранением абонентских данных по закону могут заниматься только операторы связи, а представитель ФСБ указал, что создание такого хранилища небезопасно, так как создает дополнительную угрозу утечки данных. Присутствующие на совещании также отметили, что проект «Ростеха» не является «приоритетным». В августе Национальный центр информатизации (НЦИ), входящий в «Ростех» представил на совещании в Минпромторге проект единого центра данных — технологическую платформу, с помощью которой можно создавать защищенные системы хранения сверхбольших объемов информации. Антитеррористический пакет законов, разработанный депутатом Ириной Яровой совместно с сенатором Виктором Озеровым, был принят летом 2016 года. Поправки, в частности, предусматривают пожизненное заключение за международный терроризм, а также уголовную ответственность за терроризм с 14 лет. Операторы связи, мессенджеры и социальные сети, согласно новым требованиям, должны хранить всю информацию о содержании разговоров и переписки пользователей. В частности, операторы связи с 2018 года обязаны хранить все данные о переговорах абонентов в течение трех лет. По материалам lenta.ru

Информации о разработке таких подзаконных актов нет нигде: ни на официальном портале правовой информации, ни у сотовых операторов. Об этом сегодня сообщают «Ведомости». По сведениям сотрудника одной из компаний, разработка документов не ведется вообще. От ведомств требовалось в подзаконных актах уточнить этапы применения норм из «пакета Яровой», которые потребуют немалых затрат от операторов и провайдеров. Ранее руководители сотовой «большой четверки» (МТС, «Мегафон», «Вымпелком» и Tele2) оценивали свои затраты на системы хранения трафика в сумму, превышающую 2 триллиона рублей. Ответственные за выполнение поручения Медведев и Бортников пока никак не комментируют эту ситуацию. По сообщениям представителей сотовых операторов, никто с ними не обсуждал подзаконные акты. В свою очередь, это чревато угрозой для своевременного исполнения закона, потому что компании могут попросту не успеть подготовится к этому. По материалам apn.ru

Составители доклада оценивали мессенджеры по ряду критериев, связанных с безопасностью, по 100-балльной системе. Высшие оценки — по 73 балла — получили Facebook Messenger и WhatsApp. Вторую и третью строчку разделили iMessage, FaceTime и Telegram, набравшие по 67 баллов. Оценки ниже 50 баллов получили Viber (47), Skype (40), Snapchat (26) и Blackberry (20). Замыкают рейтинг китайские мессенджеры QQ и WeChat, безопасность которых в Amnesty International оценили в ноль баллов. Всего в рейтинг Amnesty International попали 16 мессенджеров от 11 компаний. В Facebook Messenger не применяется по умолчанию шифрование на устройствах, которое позволяет максимально защитить переписку. Этот режим нужно включать отдельно для каждого собеседника. То же самое — в Telegram. В WhatsApp, iMessage и Facetime такое шифрование работает по умолчанию для всех контактов. Новость обнаружена на просторах meduza.io

Краткое содержание, чтобы вы понимали, нужно ли вам читать, либо вы всё это знаете: ТОР Безопасность на рабочем ПК Как правильно регистрироваться на 420-сайтах Telegram Подмена обозначений Удаление EXIF Замазывание нежелательного на фото Как правильно смотреть YouTube, чтобы никто не узнал? Камеры и микрофоны Tails и VPN В общем-то на DZAGI хватает хороших, развёрнутых статей про безопасность, но есть пара "НО": большинство из них сильно "заумные" (а товарищи плановые не шибко любят грузиться такими вещами), а в других не освещены некоторые вещи в достаточной степени. В данном тексте все описанные меры будут именно теми, которые являются "золотым стандартом" на этом форуме. Ничего лишнего, а также заумного. Все советы ниже вам пригодятся. Если считаете, что нужно дополнить, то пишите в комменты или в личку - распишу подробней, либо добавлю что-то новое. Соблюдение этих простейших правил многократно снижает риск утери конфиденциальности ваших действий в сети. Безопасно покупаем семена в интернете Anonymous Inkognitus: подробно об анонимайзерах Начнём! Перво-наперво используйте в качестве браузера ТОР (да-да, избитая фраза). Ссылка на официальный сайт Объясню вам, почему ТОР, а не расширения для анонимизации траффика, которые частенько упоминают в контексте анонимности: 1. Уже давным-давно сбор информации о человеке опирается не только на данные о том, какие сайты пользователь посещал. Главным источником информации о вас давно стали скрипты, встраиваемые в веб-страницы, а именно - Javascript. Кто-то из вас думаю слышал это название, а кто-то возможно знаком с этим языком и в курсе как он работает и что он может делать. Если вкратце, то при посещении вами страницы, ваш браузер (на вашем компьютере!) запускает программы, написанные на этом языке в фоновом режиме. Они могут показывать красивые спецэффекты (типа больших всплывающих изображений при клике на маленькую картинку), а могут собирать всю возможную информацию о вас и отправлять на необходимые сервера. И расширения для анонимности вам в этом не помогут. Поможет только отключение Javascript. Кстати, эти самые технологии используют Яндекс и Google для того, чтобы продавать рекламодателям целевую аудиторию их товара/услуги. Например, зная вашу версию операционной системы, разрешение экрана, скорость работы на компьютере, а также то, какие сайты вы посещали и что искали в гугле, какие видео смотрели на ютубе, о Вас могут составить вполне себе приличный профиль (пол, возраст, интересы, местонахождение, все нажатые в браузере клавиши) и начать вам продавать то, что с бОльшей вероятностью вас заинтересует. У рекламщиков это называется "таргетинг". Но это, скажем так, "гражданское" применение технологии. Помимо прочего с помощью скриптов можно собирать и ваш реальный IP-адрес, даже если вы ходите в интернет с помощью плагина-анонимайзера (адрес он получает, запустившись на вашем компьютере, а компьютер знает свой реальный адрес). В ТОР по умолчанию скрипты отключены для всех сайтов. 2. Теперь о тех самых плагинах: думаю не всем открою глаза, если скажу, что в интернете существуют сайты противозаконной тематики, которые находятся под покровительством органов внутренних дел. Именно такой способ ловли злоумышленников на живца сейчас часто используют в США. В течение долгого времени сайт раскручивается, на тематических форумах даются ссылки на него, люди приходят, регистрируются, далее собирается информация о всех пользователях, составляется база, которая со временем расширяется за счёт новых участников сообщества, а затем она может однажды быть использована для массовых арестов (были прецеденты). Поэтому логично было бы предположить, что существуют и «скомпроментированные» расширения для браузеров, которые могут годами работать, собирать всю информацию о тех, кто их ставит, а затем отправлять куда следует. А еще они иногда добавляют в браузер рекламу) Отловить такую деятельность без специализированных знаний - дело почти невозможное. Именно из-за существования вышеописанных сайтов плавно вытекает еще один из будущих пунктов. 3. При закрытии браузера ТОР, он автоматически удаляет все данные, которые мог бы получить с момента запуска: история посещений, сохранённые пароли, файлы "cookies". То есть, запуская браузер, вы каждый раз будете получать "чистый" браузер, не знающий о вас ничего. Соответственно, если кто-то из ваших друзей/родственников случайно запустит на вашем компьютере ТОР, то он не сможет узнать, что вы делали в нём в прошлый запуск. Обычные браузеры этого не делают, а это чревато тем, что кто-то да узнает, что у вас в волшебном лесу есть делянка или что в соседней комнате стоит бокс. Но не обошлось и без минусов, которые рождаются из технологии многократного прогона траффика через разбросанные по планете узлы (других таких же пользователей и сервера) и проявляется в том, что загрузка страниц и файлов происходит многократно медленнее, чем в обычном браузере. Такова расплата за приватность. Вот я сейчас "официально" выхожу в интернет из Словакии, а возможно какой-то словацкий гровер сидит на местном 420-форуме как бы из РФ) Чтож, это лишь начало. Теперь расскажу о том пункте, что упоминался выше в контексте сайтов, находящихся под контролем органов: никогда не регистрируйтесь на сайтах на свою "обычную" электронную почту. Объясню почему: если вы где-то в сети "засветили" свою реальную почту, например при регистрации в одноклассниках/ вконтакте и т.п., то вас могут идентифицировать только лишь по ящику. И все ваши прочие усилия будут тщетны. А следующий момент заключается в том, что при регистрации на реальную почту, вы получаете неиллюзорную возможность получить с сайта письмо. Вполне конкретной тематики. Которое могут увидеть ваши коллеги/подруги/друзья/родственники, случайно проходя мимо компьютера и решив, например, сменить играющий трек в проигрывателе, либо распечатывая нужный им документ, находящийся в вашей почте. Помимо почты, никогда не указывайте ваш реальный часовой пояс, имя, фамилию, дату рождения. Логин и пароль также используйте такие, которые вы не используете нигде, старайтесь как бы переключаться в режим "Васи Пупкина", живущего на другом конце страны. Тщательно следите за тем, что пишете, например, о том, что у вас уже вечер или утро, это позволяет примерно идентифицировать ваш часовой пояс. Также не стоит забывать, что в корпоративных сетях все ваши действия вполне могут отображаться на экранах мониторов администраторов. Отсюда рождается следующий короткий пункт. Старайтесь не посещать сайты 4:20-тематики на работе, если не уверены, что в вашей сети у администраторов нет инструментов для удалённого мониторинга ваших действий, конечно если вы не хотите однажды уйти с работы в новеньких браслетах. Пытливый читатель может спросить "а на какую почту лучше регистрироваться, если почтовые сайты без Javascript в ТОРе выглядят некрасиво, а пользоваться ими не так удобно?" и это будет абсолютно правильный вопрос! Потому что специально для таких вещей придумали сервисы, называемые "10-минутный ящик". Так как я совершенно параноик, то рекомендую вам заходить на эти сайты также из под ТОРа, так как 100% уверенности в том, кто в реальности держит подобные сервисы у нас нет. И соответственно, может сложиться так, что ваш 10-минутный ящик могут вполне определённо ассоциировать с вами "настоящим". А нам этого не надо. Суть сервиса проста: вам открывают без регистрации некий одноразовый адрес, который работает только 10 минут (всегда можно продлить на еще 10 минут, нажав нужную кнопку). При регистрации вам на этот адрес приходит письмо с подтверждением, нажимаем ссылку, завершаем регистрацию, закрываем ящик. Вы зарегистрированы, но аккаунт фактически привязан к уже несуществующему ящику. Один нюанс: вы не сможете воспользоваться процедурой восстановления пароля, поэтому хорошенько его запомните. А еще ради интереса рекомендую вам забить в гугле свой основной емэйл, вполне возможно, что что-то найдётся даже таким простым образом. По поводу переписки с друзьями: если так уж сложилось, что вы доверили кому-то свою тайну, то всякое обсуждение темы 420 старайтесь проводить в реальной жизни и ни в коем случае не по телефону (не забываем, что ВСЕ разговоры скоро будут записываться). Если хочется поболтать с другом о том, как здорово вчера убило с пары мокрых, то убедите друга установить telegram, а также включить все возможные максимальные коды безопасности, а также требовать ввода пин-кода для запуска программы. Это позволит предотвратить утечку ваших диалогов в третьи руки. Также регулярно нажимайте кнопку "clear history" в настройках вашей переписки - это очистит всю переписку. Собеседник должен делать то же самое. Помимо этого, также выработайте с друзьями свою систему шифров: слова-заменители не должны быть явными, фразы с их упоминаниями не должны отличаться от любой другой фразы, сказанной в обычный день на прогулке в парке. Слово должно быть неброским, а самым обычным, но чётко понимаемым вашим другом в нужном контексте. Фразы типа "Давай вечером раскурим укропа", на суде будут абсолютно чётко идентифицироваться в нужном контексте, прецеденты были. Если же вы подберёте слова-заменители правильно, то понять, что есть что будет затруднительно. И даже записи ваших разговоров не выдадут никакой инфы, кроме той, что вы обычно обсуждаете с друзьями. Если у вас, например, есть дача, то вместо того, чтобы договариваться "покурить" вполне можно договориться использовать выражение "съездить на дачу", далее можно добавлять разные цели поездки, которые будут означать разные обстоятельства. В общем, тут всё в руках вашей фантазии. Рекомендую периодически менять фразы. А еще их прикольно придумывать под марьей ))) Если вы всё же соблюдаете все предыдущие рекомендации и вдруг решили вести репортаж о своём грове, то тут ясно дело, не обойтись без фотографий, с которыми связан еще один перечень безопасных действий: 1) Старайтесь снимать фото на старые мыльницы, не имеющие функции GPS и Wi-Fi, объясню почему: существует такая вещь, как EXIF(Exchangeable Image File Format). Это набор некоторых данных, сохраняющийся в файл фотографии в качестве сервисных данных. Там могут быть сохранены GPS-координаты места съёмки, модель камеры, а также имя владельца, если в вашей камере есть такая функция. Если же вы не уверены на счёт своей камеры, а бегать и искать старенькую мыльницу, которая будет снимать лучше, чем тапок, у вас нет ни желания, ни времени, то можно воспользоваться одной из программ, которые позволяют очистить фотографию от "лишних" данных. Одна из них - IrfanView. Официальный сайт. Удаление EXIF происходит следующим образом: открываете фото, нажимаете Ctrl+S или нажимаем мышкой на следующие пункты меню: File -> Save и в открывшемся меню нажимаем сначала "Show options dialog" (обведена на рисунке), у вас появится дополнительное меню с настройками сохранения, там все галки должны быть выставлены аналогично рисунку, а особенно та, что обведена: (фото кликабельно) 2) Старайтесь внимательно проглядеть каждое фото, перед тем, как выложить его в сеть. Внимательно осматривайте все отражающие поверхности, старайтесь увидеть своё лицо (да-да, и такое бывает). Помимо себя, также ищите всё, что может выдать хоть какую-то идентифицирующую информацию: акцизные марки, обрывки документов с исходящими/входящими номерами, газеты, журналы, личные письма, экран монитора. Как минимум, по ним можно узнать ваш регион проживания, как максимум - ваши имя и фамилию. Если же вы увидели на фото что-то такое, но очень уж хочется его опубликовать, то замазывайте всё, что вам кажется слишком опасным. В помощь вам придут Paint, Photoshop (но лучше после него пересохранить фото с очисткой EXIF, т.к. фотошоп грешен тем, что тоже вносит свои данные туда), тот же IrfanView. Чтобы замазать что-то в этой программе, выделите мышкой нужный участок изображения, а затем нажмите на указанный в картинке пункт меню: После этого нажимаем Ctrl+S и далее клавишу Enter. Ну, а раз вы уже начали вести реп, то наверняка вы уже что-то да писали на сайте. В переписке с пользователями старайтесь избегать любых упоминаний каких-либо событий, произошедших в вашем регионе, не говоря уже о населённом пунке. Тут думаю объяснять не нужно. Если вы напишете, что на соседней улице у вас вчера приняли 3-х гроверов, то зная время публикации сообщения, можно примерно выяснить район вашего обитания. А зная ваш часовой пояс, можно примерно выяснить где вы находитесь, если вы напишете о менее приметном событии, которое происходит в стране раз в неделю или несколько дней. Потом поднимаются жалобы всех людей в районе на странный запах, например, и всё, сушите вёсла. Так как в последнее время YouTube стал гораздо более терпимо относится к роликам, содержащим продукцию канна-индустрии, то всё чаще мы просматриваем видео-контент, касающийся гровинга, либо употребления. Но все ли из вас знают, что ютуб ведет историю того, что вы смотрите, а также может показывать вашим друзьям, какие видео вам понравились? Посмотрели видео, как очередной американец нещадно уничтожает пару сотен грамм даба в одно лицо и решили поставить "нравится"? Готовьтесь к тому, что ваши друзья поймут, что вы, как минимум употребляете, либо склонны к употреблению. Отключить это безобразие можно следующим образом: Заходим на ютуб и в левом меню нажимаем на пункт "Просмотренные", далее очищаем список и отключаем эту функцию: Если у вас есть гугловская учётная запись, то на ютубе вам также следует нажать на свою аватарку в правом-верхнем углу и нажать на кнопку в форме шестерёнки (обведена). В открывшемся меню настроек, открываем раздел "Конфиденциальность" и ставим все галочки, соответственно как на картинке, а затем нажимаем "Сохранить": А ещё, друзья мои, не будем забывать про такую избитую вещь, как вирусы. Да, мало всего предыдущего, мы должны скрывать свои данные ещё и от более изощрённых товарищей, которые собирают информацию нелегальным путём, подключаясь к веб-камерам и микрофонам. Если вы такой же параноик, как и я, то у вас наверняка заклеена изолентой веб-камера, а микрофон отключен)) Если всё еще нет, то рекомендую)) Ну а самую жесть я приготовил напоследок: Tails и VPN. Эту часть можете смело пропускать, если такие слова вам не знакомы. Если вы знаете, что такое хоть одно из них, то рекомендую почитать, лишним не будет. Tails - операционная система на базе Linux, которая максимально заточена для безопасной работы за ПК. Скачиваем, записываем на DVD, загружаемся с него в режиме LiveCD и получаем систему, лишённую очень многих недостатков, а также настроенную на соблюдение вашей конфиденциальности. Но это уже скорее для технически подкованных товарищей и в принципе не обязательно, но желательно. Думаю если кого-то эта тема заинтересует, то без труда найдёт всю нужную информацию через поисковики. Также можно установить на флешку большого объёма и загружать компьютер с неё, а также на ней хранить и все файлы по 420-й теме. Например фотографии, какие-то свои записи, таблицы кормления и фотографии с проблемами на листьях, чтобы проще определять и т.п. Этот вариант удобен тем, что на компьютере никаких компрометирующих вас данных не будет вообще. А флешку в случае атаса сломать достаточно просто и быстро. Лучше молотком. И бить надо по большому чёрному чипу, находящемуся внутри. Если такового не видно, то переверните флешку, он может быть с другой стороны. Именно в этом чипе хранится вся информацию, которая записана на флешке. Один хороший удар и на вас нет НИЧЕГО. Теперь о VPN. Если по-простому, то между вашим компьютером и сервером, находящимся в другой стране, прокидывается виртуальный провод, вместо обмотки у которого очень серьёзное шифрование. Таким образом ваши данные будут уходить за бугор и через левый сервер вы будете выходить в сеть. Достаточно загуглить "купить VPN", чтобы получить множество предложений. Услуга недорогая, но к выбору поставщика услуги нужно подойти с умом, рекомендую почитать отзывы по поводу стабильности работы каналов, а также ознакомиться с возможными ограничениями на объём трафика, либо ширину канала. Если вы уж совсем гик, то думаю свой VPN-сервер где-нибудь в Нидерландах у вас уже есть) Наверное я вас уже весьма утомил, поэтому итог будет краток: лишь в совокупности эти меры будут эффективны, любой из пунктов может стать слабым звеном в цепи, которая стоит между вами и теми людьми, кто по долгу службы копает просторы сети в поисках любой персонифицирующей информации. Никогда не недооценивайте органы - одна ошибка может нивелировать все ваши труды по сохранению свой частной жизни в неприкосновенности. Всем мира и больших шишек! Статья - участник конкурса Автор, Жги в сентябре. Призами там одаривали щедроватые

Компания Con Certeza, занимающаяся системами технических средств для обеспечения функций оперативно-розыскных мероприятий (СОРМ) на сетях операторов связи, ищет подрядчика для исследования возможности перехвата и расшифровки трафика WhatsApp, Viber, Facebook Messenger, Telegram и Skype. Это следует из переписки сотрудника Con Certeza с техническим специалистом одной из российских компаний в сфере информационной безопасности, которая оказалась в распоряжении издания. Сотрудник ИБ сказал, что готов взяться за работу, если ее результаты опубликуют публично, на что получил отказ. Цель исследования — «реализация или аргументация о невозможности реализации [данных функций] в системах СОРМ согласно нормативным требованиям к операторам сотовой связи». Оплата работ по каждому мессенджеру: 130 тысяч рублей за выполнение основной части исследования и 230 тысяч рублей бонуса «в случае получения идентификаторов сторон либо текста при использовании MITM (атаки типа Man in the Middle)». На каждый мессенджер компания готова выделить два месяца. «Теоретически перехватывать зашифрованный трафик, в том числе и от мессенджеров, использующих end-to-end-шифрование, — осуществимая задача. Мессенджеры обмениваются публичными частями криптографических ключей перед началом переписки, которые можно подменить, что позволит расшифровать. Есть технологии, нацеленные на защиту от такого типа атак,— Key Pinning, то есть привязка конкретных сертификатов к конкретному веб-сайту или приложению. Мессенджеры, как и другие приложения, например банковские клиенты, использующие Key Pinning, откажутся работать в случае подмены сертификата для защиты пользователя», — прокомментировал ситуацию эксперт из Digital Security. По материалам furfur.me

Бизнес-омбудсмен РФ Борис Титов (слева) и интернет-омбудсмен Дмитрий Мариничев (справа) На вопрос, планирует ли аппарат омбудсмена подготовить поправки к «пакету Яровой», бизнес-омбудсмен РФ Борис Титов ответил: "Да, будем. Сейчас их готовит интернет-омбудсмен Дмитрий Мариничев. Общий смысл поправок, которые мы будем предлагать в том, что такие базы данных хранить не надо и дешифровкой заниматься тоже не надо», —  ответил он. Мариничев в свою очередь сообщил, что поправки к «пакету Яровой» могут быть подготовлены до конца осени. «Не исключаю, что в октябре». Он пояснил, что основная идея —  внести поправки, касающиеся хранения и дешифровки трафика. "На сегодняшний день уже существуют системы СОРМ, обеспечивающие оперативно-розыскные мероприятия, которые обязан иметь и имеет у себя каждый оператор связи. Причем аргументов, говорящих о том, что СОРМ со своими задачами не справляется, никогда не приводилось. Также необходимо обеспечить финансирование вводимых норм со стороны государства, а не перекладывать это на бизнес, тем самым ухудшая его конкурентное положение и инвестиционную привлекательность», —  отметил интернет-омбудсмен. Ранее сообщалось, что «Ростех» предложил создать совместное предприятие с телекоммуникационными компаниями для исполнения операторами «закона Яровой». Это потребует принятия дополнительных поправок, заявил министр связи и массовых коммуникаций Николай Никифоров в кулуарах инвестфорума «Сочи-2016» 30 сентября.

Бека Цикаришвили Решение Конституционного суда касается употребления до 70 грамм засушенной марихуаны. Свое решение суд принял, опираясь на прецедент, в котором гражданин страны Бека Цикаришвили выиграл иск против парламента Грузии в Конституционном суде. В 2013 году Цикаришвили был арестован после приобретения 70 грамм марихуаны. Его ожидало лишение свободы на 7-14 лет – такой приговор предусматривался за хранение свыше 50 грамм марихуаны. Но 24 октября 2015 года решение о тюремном заключении было отменено. Данный вердикт создал некоторую неопределенность: наказание за хранение смягчили, но употребление марихуаны по-прежнему оставалось уголовно наказуемым деянием. Отныне же Конституционный суд Грузии признал неконституционной ту норму Уголовного кодекса, которая предполагает тюремное наказание за повторное употребление марихуаны. Употребление марихуаны и ее производных, как и других наркотических средств, в Грузии является административным правонарушением в случае первого ареста и уголовным преступлением в случае повторного ареста, что карается штрафом или исправительными работами, или лишением свободы сроком на 1 год. Ранее власти Грузии признали, что жесткая политика в отношении потребителей марихуаны должна изменится. При этом смягчение политики в отношении распространителей наркотиков не планируется. 8 октября в Грузии пройдут выборы. Либерализация законодательства в отношении наркозависимых людей является неотъемлемой частью предвыборных программ всех зарегистрированных на парламентских выборах партий. По материалам sputnik-georgia.ru

«Мы выпускаем Opera 40 с нашим новым бесплатным, безлимитным и не собирающим логов браузерным VPN. С этим выпуском Opera становится первым крупным браузером, представившим встроенный сервис VPN», — так создатели представили свой новый продукт 20 сентября этого года. Отмечается, что браузерный VPN создает безопасное соединение с одним из пяти серверов Opera, расположенных по всему миру. Опция задействует IP-адреса США, Канады, Нидерландов, Германии и Сингапура. Сервис является бесплатным, не имеет ограничений по трафику. Для активации функции необходимо включить её в настройках безопасности, после этого можно будет её включать или выключать прямо из адресной строки. Функциональность VPN имеет и ограничения — он шифрует исключительно браузерный трафик по HTTP и HTTPS, но не защищает трафик остальных приложений. Как показывает статистика, за неделю с того момента, как произошел выпуск браузера Opera со встроенным VON-сервисом, аудитория увеличилась на два миллиона пользователей. Старший вице-президент компании Кристиан Колондра, рассказывает: «На данный момент мы можем уверенно сказать, что наш встроенный VPN стал тем, чего ждали многие пользователи сети Интернет по всему миру из разных стран. Только за одну неделю к нашей семье присоединились более двух миллионов человек – это настоящий рекорд для нашей компании». На сегодня в мире насчитывается более 350 миллионов пользователей Opera, но PC-версия занимает далеко не лидирующую позицию. По состоянию на июнь этого года на PC этим браузером пользовались лишь 55 миллионов человек. По материалам planet-today.ru

Николай Никифоров "Закон вовсе не про слежку. Это антитеррористический пакет законов, который предъявляет дополнительные требования для операторов связи в части хранения данных. В РФ четко определен порядок доступа к этой информации. Это будут судебные решения… Речь идет о расширении технических вопросов хранения информации. Данный закон реализуется строго по плану, в силу он вступает в 2018 году. Уверен, что закон будет реализован", - сказал Никифоров. При этом министр отметил, что президент страны вместе с подписанием закона подписал целый ряд поручений, направленных на дополнительную проработку вопросов. "Президент услышал позицию телекоммуникационной отрасли относительно возможных рисков. Нашf общая задача - сделать так, чтобы принятие закона не приводило к таким негативным последствиям, как рост цен на связь", - добавил Никифоров. Он также подчеркнул, что любые заявления на данную тему преждевременны, поскольку ответственные за выпуск специального оборудования для хранения данных ведомства занимаются проработкой технических условий и возможностей для разработки такого оборудования в стране, после анализа ситуации можно будет говорить о необходимых поправках. Напомним, ранее Владимир Путин заявлял, что "закон Яровой" может быть откорректирован. По материалам nakanune.ru

По данным издания, анализ трафика планируется осуществлять по ключевым словам с помощью систем DPI (Deep Packet Inspection), которые в настоящее время активно используются операторами мобильной связи для фильтрации запрещенных сайтов. Предполагается, что такие меры помогут предотвращать потенциальные угрозы, связанные с распространением террористических идей через интернет. По мнению опрошенных газетой экспертов, обсуждаемая схема позволит даже строить профили поведения пользователей в сети, включая оценку их психологического состояния и вкусовых предпочтений. Согласно информации одного из источников газеты, ФСБ выступает за то, чтобы расшифровывать весь трафик в режиме реального времени и анализировать его по ключевым параметрам, например по слову "бомба", а министерства настаивают на расшифровке трафика лишь по тем абонентам, которые привлекут внимание правоохранительных органов. Как отмечает "Коммерсантъ", в Минпромторге отказались от комментариев на этот счет, в Минкомсвязи и ФСБ не ответили за запрос издания. Ранее в рамках уточнения требований антитеррористического пакета законов (так называемый пакет Яровой) ФСБ утвердила порядок предоставления интернет-компаниями информации для декодирования электронных сообщений пользователей. Организатор распространения информации в интернете обязан передать данные для декодирования на основании запроса уполномоченного подразделения, указало ведомство. Ключи шифрования могут быть переданы на магнитном носителе по почте или по электронной почте, еще один вариант для интернет-компаний - предоставить доступ структуре ФСБ непосредственно к самой системе. Согласно антитеррористическому пакету законов, нераскрытие интернет-компаниями информации для декодирования электронных сообщений грозит штрафом до 1 млн рублей. О том, что решение для дешифровки интернет-трафика понадобится, говорилось и в технических требованиях для исполнения "закона Яровой", которые еще в августе направлял "Ростелеком" в профильные министерства. В "Ростелекоме", "Вымпелкоме", "Мегафоне" отказались от комментариев, а в МТС сообщили, что они не знают о дискуссиях на тему дешифровки трафика, пишет газета. По материалам tass.ru

База весит 67 Гб. В ней адреса и фамилии сотен тысяч человек, которые состояли на учете наркополиции. В базе содержатся данные в первую очередь о ВИЧ-инфицированных и наркоманах. Но есть и те, кого поймали с наркотиками, в том числе дети чиновников и банкиров. Попали в базы и те, кого госпитализировали с диагнозами «Попытка суицида», «Отравление с целью самоубийства», а также «Алкогольная интоксикация». Среди тех, кого реаниматоры откачали, можно встретить немало известных людей – актеры, бизнесмены, писатели, есть и родственники высокопоставленных силовиков. Журнал The New Times делает вывод, что больницы и службы скорой помощи в Москве и других городах работали под колпаком ликвидированной в апреле ФСКН. А по закону запрашивать сведения, которые составляют врачебную тайну, силовики могут только в отношении конкретных лиц, которые находятся под следствием. Источники издания в Московском уголовном розыске предположили, что база данных ФСКН утекла в продажу из центрального аппарата ведомства, поскольку в ней собрана информация почти со всех регионов. По материалам echo.msk.ru

7 июля 2016 года, вместе с подписанием пакета поправок Яровой, президент Путин поручил правительству обратить внимание на применение норм закона «об ответственности за использование на сетях связи и (или) при передаче сообщений в информационно-телекоммуникационной сети интернет несертифицированных средств кодирования (шифрования)», а также на «разработку и ведение уполномоченным органом в области обеспечения безопасности Российской Федерации реестра организаторов распространения информации в сети интернет, предоставляющих по запросу уполномоченных ведомств информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений в случае их дополнительного кодирования». ФСБ было поручено утвердить порядок сертификации средств кодирования при передаче сообщений в интернете, определить перечень средств, подлежащих сертификации, а также порядок передачи ключей шифрования в адрес уполномоченного органа в области обеспечения госбезопасности. Это нужно для того, чтобы спецслужбы могли получить ключи и расшифровать трафик HTTPS и другие зашифрованные данные пользователей, в случае необходимости. Данная мера вступает в силу уже сейчас, то есть за полтора года до вступления в действие нормы об обязательном хранении всего трафика сроком до шести месяцев. 12 августа 2016 года Федеральная служба безопасности Российской Федерации опубликовала приказ № 432 от 19.07.2016 № 432 «Об утверждении Порядка представления организаторами распространения информации в информационно-телекоммуникационной сети «Интернет» в Федеральную службу безопасности Российской Федерации информации, необходимой для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений пользователей информационно-телекоммуникационной сети «Интернет»». Этим приказом устанавливается процедура получения ключей шифрования у владельцев серверов и других интернет-сервисов. Процедура вполне логичная и простая. Организатор распространения информации в сети «Интернет» осуществляет передачу информации для декодирования на основании запроса уполномоченного подразделения, подписанного начальником (заместителя начальника). Запрос направляется заказным письмом с уведомлением о вручении. В запросе указаны формат и адрес предоставления информации для декодирования. Информация передаётся на магнитном носителе по почте или по электронной почте. Как вариант, можно согласовать с ФСБ доступ специалистов к информации для декодирования. Для справки, к магнитным носителям относятся магнитные диски, магнитные карты, магнитные ленты и магнитные барабаны. Уполномоченным подразделением ФСБ по получению ключей шифрования назначено Организационно-аналитическое управление Научно-технической службы Федеральной службы безопасности Российской Федерации. Ещё до публикации конкретного порядка передачи ключей представители некоторых интернет-компаний выразили сомнение в возможности исполнения закона в части передачи ключей шифрования. Они говорят, что при использовании протокола HTTPS ключи шифрования хранить нельзя технически. Но, как говорится, проблемы индейцев шерифа не волнуют. Процедура установлена — её нужно соблюдать. P.S.: К счастью, сервера Dzagi находятся вне зоны действия российских законов, так что можно не волноваться. По материалам geektimes.ru Обсудить на форуме