Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
29 Ноября 2021, 09:34:25
Начало Помощь Поиск Войти Регистрация
Новости: Книгу С.Доронина "Квантовая магия" читать здесь
Материалы старого сайта "Физика Магии" доступны для просмотра здесь
О замеченных глюках просьба писать на почту quantmag@mail.ru

+  Квантовый Портал
|-+  Разное
| |-+  Общий раздел
| | |-+  О защитах приватности и свободах_ границы и взаимовлияние
0 Пользователей и 1 Гость смотрят эту тему. « предыдущая тема следующая тема »
Страниц: [1] 2  Все Печать
Автор Тема: О защитах приватности и свободах_ границы и взаимовлияние  (Прочитано 1077 раз)
Oleg
Модератор своей темы
Ветеран
*
Сообщений: 6433


Ёжик в нирване youtube.com/watch?v=YHk


Просмотр профиля
« : 07 Сентября 2021, 13:51:55 »

1. какой смартфон стойкий к пегасусу выбрать ?

Цитата:
https://zona.media/article/2021/07/19/pegasus

Троянский «Пегас». Израильские хакеры вскрывают телефоны журналистов и активистов по заказу правительств
19 июля 2021

Если зайти на официальный сайт израильской NSO Group, можно узнать, что компания занимается «киберразведкой в интересах глобальной безопасности и стабильности». Если же открыть сегодня крупнейшие мировые СМИ, можно выяснить, что за этой формулировкой скрывается куда более банальная торговля программами для взлома смартфонов неугодных журналистов и активистов. «Медиазона» кратко пересказывает результаты масштабного расследования взломов NSO Group, в котором приняли участие полтора десятка крупнейших мировых изданий.

Журналисты ведущих мировых изданий и специалисты по кибербезопасности проверяли список из 50 тысяч телефонных номеров, который оказался в распоряжении парижской некоммерческой организации Forbidden Stories и правозащитников из Amnesty International.

Смартфоны граждан различных государств могли быть взломаны при помощи программного комплекса Pegasus разработки NSO Group; программа дает практически полный доступ к памяти и функциям устройства, то есть позволяет удаленно читать переписки, передавать данные о местоположении, включать камеру или микрофон.

Основной вывод: по меньшей мере 37 раз власти различных стран заказывали взлом смартфонов журналистов, правозащитников, бизнесменов и близких к ним людей.

Pegasus позволяет взламывать айфоны со всеми последними обновлениями без какого-либо участия жертвы: не нужно ни открывать ссылки, ни вводить где бы то ни было пароли. Скорее всего, NSO Group использует различные уязвимости мобильных приложений, но Amnesty International удалось подтвердить использование бага в мессенджере iMessage.

Что такое NSO Group?
Израиль — мировой лидер по числу стартапов, и крупнейшим направлением инвестиций там стали IT-разработки, в том числе так или иначе связанные с военным сектором. «Множество отставных специалистов компьютерных и телекоммуникационных подразделений израильской армии успешно реализовывают смелые идеи, применяя военные технологии для развития стартапов», — поясняет депутат Кнессета Идал Ролл.

NSO Group основали по той же схеме: в 2009 году на фоне развития рынка смартфонов бывшие военные из подразделения 8200, занимающегося радиоэлектронной разведкой, решили разработать программный комплекс для удаленного взлома. Предполагается, что программный комплекс Pegasus «дает полномочным органам власти технологии, помогающие бороться с терроризмом и преступностью».

Впервые о Pegasus заговорили в 2016 году, когда журналист и правозащитник Ахмед Мансур получил по смс ссылку на «новые секреты» о пытках в ОАЭ. Мансур заподозрил неладное и связался с IT-экспертами из канадской Citizen Lab, которые проверили ссылку и обнаружили за ней код, позволяющий удаленно взломать iPhone адресата при помощи нескольких 0-day уязвимостей и предоставить полный доступ к функциям и памяти устройства.

К 2018 году исследователи зафиксировали взломы, для которых использовали Pegasus, в 45 странах — от Мексики, где ловили наркобарона Коротышку и заодно прослушивали журналистов, до Индии, где премьер Нарендра Моди укреплял «вертикаль власти». С российскими властями, по крайней мере по данным Citizen Lab, израильтяне не сотрудничали.

На следующий год NSO Group ждал новый громкий скандал: разработчики мессенджера WhatsApp заметили уязвимость, которая позволяла установить Pegasus — в NSO использовали баг в коде мессенджера, чтобы позвонить жертве и установить шпионскую программу, даже если та не ответит на звонок. Владеющая мессенджером корпорация Facebook обратилась в суд; в NSO парировали, что Facebook сам вел переговоры о покупке доступа к Pegasus.

Формально экспорт технологий двойного назначения контролируется израильским Минобороны, однако ведомство не слишком внимательно следит за успешными стартапами, поэтому они оказываются в центре скандалов из-за работы с правительствами, не заинтересованными в соблюдении свободы слова или прав человека.

Что произошло?
Список из 50 тысяч номеров, оказавшийся в распоряжении правозащитников, не содержит имен, но журналистам удалось идентифицировать более тысячи их владельцев из более чем 50 государств: это члены королевских семей арабских стран, десятки бизнесменов и топ-менеджеров, 85 правозащитников, 189 журналистов мировых СМИ и более 600 политиков и чиновников.

Чтобы подтвердить факт взлома, исследователи Amnesty International осмотрели 67 смартфонов, чьи владельцы упоминались в списке из 50 тысяч номеров и явно не были причастны к террористической деятельности. Из них 23 были успешно инфицированы Pegasus, еще на 14 обнаружены следы попыток проникновения. Остальные 30, по всей видимости, были куплены владельцами уже после заказа на взлом; 15 из этих телефонов были устройствами на ОС Android, которая не записывает телеметрию, на которую опирались исследователи для фиксации факта успешного заражения.

NSO Group отчитывается, что поставляет свою технологию 60 силовым структурам из 40 государств, но не называет их. Изучая группы телефонных номеров в слитой базе жертв Pegasus, исследователи пришли к выводу, что взломы заказывали власти Азербайджана, Бахрейна, Венгрии, Индии, Казахстана, Мексики, Марокко, Руанды, Саудовской Аравии и ОАЭ.

Лидером по числу заказанных номеров оказалась Мексика — 15 тысяч. В списке есть политики, представители профсоюзов, журналисты и оппозиционеры. Существенная доля номеров из базы пришлась на Ближний Восток; в Индии в списке оказались телефоны сотен журналистов, активистов и оппозиционных политиков.

В 2018 году после гибели активиста Джамаля Хашогджиего заманили в консульство Саудовской Аравии в Стамбуле, убили и расчленили — в NSO Group заявили, что саудовские спецслужбы не использовали их программу. Расследование показало, что это не так: Pegasus использовали для взлома телефонов двух близких к нему женщин — жены и невесты.

Венгерские власти заинтересовались номерами по меньшей мере десяти адвокатов, оппозиционера и пятерых журналистов. Телефон известного репортера Сабольча Паньи при обследовании оказался неоднократно инфицированным, причем даты заражения совпадали с датами запросов, которые Пани направлял правительственным чиновникам по чувствительным темам.

Сама NSO Group через юристов сообщила, что 50 тысяч жертв — «преувеличенное число», выводы о масштабных взломах некорректны, а база номеров могла быть собрана при помощи не связанных со взломами функций Pegasus.

«А вы задали те же вопросы властям США, Великобритании, Германии или Франции? Если да, то как долго пришлось ждать ответа — и как они ответили? Помогала ли вам составлять вопросы какая-нибудь разведка?» — таким списком встречных вопросов ответила пресс-служба венгерского правительства на попытку журналистов Guardian получить комментарий к статье.

«Более самоизобличающего ответа на запрос о комментарии я в жизни не видел», — возмущается Эдвард Сноуден, но пишет это из России, где государственный вотэбаутизм отработан до совершенства годами советской и постсоветской практики.

Цитата:
https://ru.wikipedia.org/wiki/Whataboutism

Whataboutism (буквально с англ. — «какнасчётизм»), whataboutery — политическое клише, введённое в качестве иронического термина для описания пропагандистской тактики, основанной на дискуссионном приёме tu quoque (с лат. — «И ты тоже») или подмене тезиса. Популяризировано журналом The Economist для описания использования этого приёма Советским Союзом в отношениях с западным миром во время холодной войны. Эта тактика применялась Советским Союзом в ответ на критику, когда ответ начинался с выражений «А как насчёт…» («What about…»), после чего следовало упоминание в какой-либо мере схожих событий в западном мире, что оправдывало предмет критики путём использования смысловой подмены[1][2]. Тактика используется для того, чтобы заменить обсуждение одного вопроса обсуждением другого[3][a]. Нередко сопровождается ссылкой на двойные стандарты.

Цитата:
https://en.wikipedia.org/wiki/Whataboutism

Whataboutism , также известный как whataboutery , является вариантом логической ошибки tu quoque, которая пытается дискредитировать позицию оппонента, обвиняя его в лицемерии, без прямого опровержения или опровержения их аргументов.

было придумано, чтобы описать частое использование риторических уловок советскими апологетами и диктаторами, которые будут опровергать обвинения в их притеснении, «массовых убийствах». , ГУЛАГи и насильственные депортации », ссылаясь на американское рабство , расизм , линчевания и т. д.

Когда в адрес Советского Союза во время холодной войны поступают критические замечания , в ответах Советского Союза часто используется фраза: «А как насчет вас ?». стиль путем инстанции события или ситуации в западном мире . [8] [9] [10] Идею можно найти на русском языке; в то время как в нем используется фраза "Sam takoi" для прямого tu quoque - вроде "ты тоже"; в нем также есть фраза «Sam ne lutche » (« не лучше »).
..
Практика сосредоточения внимания на стихийных бедствиях в других местах, когда они происходят в Советском Союзе, настолько распространена, что после просмотра репортажа по советскому телевидению о катастрофе за границей россияне часто звонят западным друзьям, чтобы узнать, не произошло ли что-то в Советском Союзе.
« Последнее редактирование: 07 Сентября 2021, 20:53:37 от Oleg » Записан
Oleg
Модератор своей темы
Ветеран
*
Сообщений: 6433


Ёжик в нирване youtube.com/watch?v=YHk


Просмотр профиля
« Ответ #1 : 07 Сентября 2021, 13:58:01 »

google/Pegasus site:elcomsoft.com

https://blog.elcomsoft.com/ Pegasus

Цитата:
https://blog.elcomsoft.com/2020/05/apple-vs-law-enforcement-poker-face/

Яблоко против Правоохранительные органы: непроницаемое лицо?

“Мы не должны просить наших клиентов идти на компромисс между конфиденциальностью и безопасностью. Мы должны предложить им лучшее из того и другого. В конечном счете, защита чужих данных защищает всех нас”. Угадайте, кто это сказал? Ответ находится в конце статьи. Тем временем мы продолжаем говорить о безопасности iPhone и iOS, следуя за Apple против Правоохранительные органы – iOS с 4 по 13.5 статьи. На этот раз мы собираемся обсудить некоторые другие аспекты безопасности iOS.

Подвиги

Я думаю, вы знаете о обновленной программе Apple Security Bounty https://developer.apple.com/security-bounty/ . Участники могут заработать до 100 000 долларов за новый обход экрана блокировки и до 250 000 долларов за извлечение пользовательских данных.

Zerodium платит больше https://zerodium.com/program.html , до 2 миллионов долларов. Однако в недавнем заявлении они сказали следующее.

В течение следующих 2-3 месяцев мы НЕ будем приобретать новые приложения Apple iOS LPE, Safari RCE или "песочницы" в связи с большим количеством заявок, связанных с этими векторами.
Цены на цепочки iOS в один клик (например, через Safari) без сохранения, скорее всего, упадут в ближайшем будущем.



В то же время Apple подала в суд на Corellium, стартап, который смог эмулировать устройства Apple под управлением различных версий iOS, что действительно помогает разработчикам безопасности во всем мире; см. Apple Борется с вмешательством правительства США В дело об авторских правах на iPhone, а Исследовательский инструмент iPhone, на который подала в суд Apple, Говорит, что это похоже на эмулятор PlayStation для последних обновлений.

Итак, существуют ли эксплойты iOS в дикой природе? Несомненно. Вот информация об одной из последних обнаруженных уязвимостей (распространяется на iOS с 7 по 13.4.1; исправлена в бета-версии iOS 12.4.5).:

https://siguza.github.io/psychicpaper/

Есть еще много таких, которые циркулируют без особой (или какой-либо) огласки.

Cellebrite и Серый сдвиг

Cellebrite и Grayshift-два поставщика, поставляющие правоохранительным органам инструменты для разблокировки iPhone. В то время как обе компании держат язык за зубами о чем-либо, отдаленно напоминающем технические детали или даже спецификации совместимости, похоже, что последний раунд выиграли эти ребята. В то время как Apple продолжает улучшать ограничения USB, Cellebrite и Grayshift, по-видимому, работают в обход блока данных, по крайней мере, в некоторых случаях. SoC A12 (поколение iPhone Xr/Xs) больше не имеет уязвимости, позволяющей компаниям атаковать коды доступа на устройствах старшего поколения, однако поддержка iPhone нового поколения рекламируется в группах новостей судебной экспертизы. Трудно представить, что Apple не сможет защитить свои устройства от подобных атак раз и навсегда. Или, может быть, они могут это сделать, но просто не хотят? Есть ли причина вставлять черный ход, как того хочет правительство, если существуют какие-то эксплойты, позволяющие этим двум компаниям взломать пароли iPhone и извлечь данные?

Не забывайте о группе NSO. Несмотря на то, что их программное обеспечение не является общедоступным, а эксплойты, на которых они основаны, держатся в секрете, им можно злоупотреблять.

Бесстрастное лицо?

Мы никогда не знаем, о чем думает Apple, но похоже, что у них непроницаемое лицо. Несомненно, Apple технически способна разработать свой собственный инструмент разблокировки или, по крайней мере, инструмент, который будет расшифровывать файловую систему, как только компании будет предоставлен iPhone и его код доступа (или выполнить частичное приобретение файловой системы заблокированных устройств). Apple активно сопротивляется, отклоняя все запросы на создание инструментов разблокировки или внедрение бэкдоров в iPhone.

По этому и многим тысячам других дел мы продолжаем круглосуточно сотрудничать с ФБР и другими следователями, которые обеспечивают безопасность американцев и привлекают преступников к ответственности. Как гордая американская компания, мы считаем, что поддержка важной работы правоохранительных органов является нашей обязанностью. Ложные заявления, сделанные о нашей компании, являются предлогом для ослабления шифрования и других мер безопасности, которые защищают миллионы пользователей и нашу национальную безопасность.

Именно потому, что мы так серьезно относимся к своей ответственности за национальную безопасность, мы не верим в создание бэкдора, который сделает каждое устройство уязвимым для злоумышленников, угрожающих нашей национальной безопасности и безопасности данных наших клиентов. Такой вещи, как черный ход, не существует только для хороших парней, и американскому народу не нужно выбирать между ослаблением шифрования и эффективными расследованиями.

Вернемся к цитате в первом абзаце.

Это был Тим Кук, кто же еще.

---> 4pda.to/forum/ Zerodium

Цитата:
https://zerodium.com/program.html

Zerodium выплачивает БОЛЬШИЕ награды исследователям в области безопасности за приобретение их оригинальных и ранее незарегистрированных исследований нулевого дня. В то время как большинство существующих программ поощрения ошибок допускают практически любые типы уязвимостей и PoC, но платят очень мало, в Zerodium мы фокусируемся на уязвимостях с высоким уровнем риска с полнофункциональными эксплойтами и платим самые высокие вознаграждения на рынке ( до 2500000 долларов США за отправку ) .

Награды за подходящие эксплойты нулевого дня варьируются от 2500 до 2 500 000 долларов за отправку. Суммы, выплачиваемые Zerodium исследователям за приобретение их исходных эксплойтов нулевого дня, зависят от популярности и уровня безопасности уязвимого программного обеспечения / системы, а также качества представленного эксплойта (полная или частичная цепочка, поддерживаемые версии / системы / архитектуры. , надежность, обойденные средства защиты от эксплойтов, компоненты по умолчанию и компоненты, не используемые по умолчанию, продолжение процесса и т. д.). Для получения дополнительной информации прочтите наш FAQ .

Перечисленные ниже диапазоны выплат предоставлены только для информации и предназначены для полнофункциональных / надежных эксплойтов, отвечающих самым высоким требованиям Zerodium. Zerodium может платить еще более высокие награды за исключительные подвиги и исследования .




« Последнее редактирование: 07 Сентября 2021, 14:23:04 от Oleg » Записан
Oleg
Модератор своей темы
Ветеран
*
Сообщений: 6433


Ёжик в нирване youtube.com/watch?v=YHk


Просмотр профиля
« Ответ #2 : 07 Сентября 2021, 14:16:08 »

--> гугленье пегасостойкости яблок-андрюшек

google/ Pegasus iOS Android "elcomsoft.com" reddit

Цитата:
https://www.reddit.com/r/privacy/comments/9z5d7k/android_vs_ios_which_os_should_a_privacyfocused/

Android против iOS: какую ОС следует использовать пользователю, ориентированному на конфиденциальность?
..
iOS, если вам нужно удобство. AOSP ROM, если вы готовы потратить больше времени и пожертвовать большинством популярных приложений и сервисов.
..
HappyTile
Ни один. Оба являются закрытым исходным кодом и проприетарными. Мобильные устройства предназначены для отслеживания, поэтому не используйте их, если вы заботитесь о конфиденциальности. Хотя, если бы вам пришлось его использовать, я бы порекомендовал использовать AOSP с корневым доступом, работающий с открытым программным обеспечением.

семенгали
Apple утверждает, что поддерживает конфиденциальность и имеет некоторую историю, подтверждающую это. Однако программное обеспечение с закрытым исходным кодом, невозможно точно проверить, что оно делает. Apple является [партнером PRISM] ( https://en.wikipedia.org/wiki/PRISM_(surveillance_program) .

Android очень плохо влияет на вашу конфиденциальность, Google собирает с вашего устройства как можно больше информации. Однако Android в некоторой степени является открытым исходным кодом - AOSP является открытым исходным кодом, на котором основаны все сборки Android. AFAIK не существует сборок с полностью открытым исходным кодом, которые фактически используются в розничных телефонах, поэтому вы снова не знаете точно, что они делают, хотя у вас есть больше идей, чем с iOS. Если у вас технические навыки выше среднего (или вы готовы немного запачкать руки), вы можете прошить пользовательское ПЗУ, такое как LineageOS, хотя есть некоторые недостатки безопасности, о которых вам нужно знать при таком подходе, вы намного безопаснее от Google (при условии, что вы не установите Google Play Services и Google Apps).

Информация о недостатках безопасности с LOS:

https://old.reddit.com/r/CopperheadOS/comments/917yab/can_anyone_technically_explain_why_lineageos_as/e2xiot5/

https://www.reddit.com/r/Android/comments/801rhr/pros_and_cons_of_a_custom_os/dustc7s/

По иронии судьбы, если у вас есть устройство Pixel, которое, как вы ожидаете, будет худшим с точки зрения конфиденциальности, вы можете прошить r / RattlesnakeOS , который, по-видимому, является самым частным ПЗУ для Android, которое вы можете использовать, хотя я не слишком много смотрел в это я сам, так как у меня нет пикселя.
TL; DR: Если вы доверяете Apple, то точно iOS. Если нет, то сложно сказать.

[удалено]
Информация о недостатках безопасности с LOS:
https://old.reddit.com/r/CopperheadOS/comments/917yab/can_anyone_technically_explain_why_lineageos_as/e2xiot5/
https://www.reddit.com/r/Android/comments/801rhr/pros_and_cons_of_a_custom_os/dustc7s/
Почти все эти недостатки безопасности являются устаревшей информацией или FUD.

Калипсорой
Учитывая текущую международную обстановку, я бы сказал, какая из них лучше защищает от принуждения и вымогательства, будь то сторонние приложения или собственная ОС.
Мой список желаний будет включать
Защищенный паролем загрузчик со скрытой ОС. (Скрытая ОС имеет высокий уровень правдоподобного отрицания, но в этом нет необходимости, если у вас есть другие надежные функции безопасности)
Переключатель Nuke / Reset в загрузчике (если вас принуждают или боитесь, что вас принудят, опять же, возможно, нет необходимости, если в противном случае безопасность жесткая и вы можете ядерное оружие изнутри ОС)
и / или
Настраиваемые параметры безопасности для каждого приложения - отдельные пароли, возможность скрыть присутствие приложения, включая приложения безопасности и шифрования, а также ядерное уничтожение данных приложений.
Безопасность на основе номеронабирателя (введите пин-код / ​​секретный номер, чтобы отобразить параметры безопасности и показать приложения - безопасность на основе номеронабирателя не подлежит принуждению, если они не знают, что у вас есть, и не угрожают вам физически)
Приложения с автоматической блокировкой, динамические пароли и т. Д.
Блокирование жесткого доступа к портам и предоставление ложного доступа (иногда вас могут заставить установить шпионское ПО и т. Д., Поэтому вы хотите, чтобы все выглядело так, как будто вы сотрудничаете, даже если это не так).
Я не специалист по конфиденциальности или безопасности, но как можно больше из этих функций должны быть встроены в ОС. Когда в iOS будет больше этих функций, я откажусь от Android.

SpecialNeat
https://blog.elcomsoft.com/2017/10/ios-vs-android-physical-data-extraction-and-data-protection-compared/
iOS против Android: сравнение физического извлечения данных и защиты данных
20 октября 2017 г. Олег Афонин

[удалено]
Если мы говорим о том, чтобы никогда не устанавливать никаких других приложений, я полагаю, для iOS.
Если вы устанавливаете какие-либо приложения, это совершенно не имеет значения, потому что сторонние разработчики приложений и игр так же многочисленны на любой платформе, а их методы обеспечения конфиденциальности практически не контролируются. В этом отношении я предпочитаю Android, потому что люди создали более совершенные инструменты для обнаружения и блокировки подобных вещей.

2)
habr.com/ [Zerodium]

Цитата:
https://habr.com/ru/post/570064/

31 июля 2021
Почему я отказался от 18 тысяч долларов по баунти-программе Apple

Цитата:
https://habr.com/ru/post/541190/

7 февраля 2021
Как root-права и альтернативные прошивки делают ваш android смартфон уязвимым

Цитата:
https://habr.com/ru/post/550640/

4 апреля 2021
FOSS News №64 – дайджест материалов о свободном и открытом ПО за 29 марта – 4 апреля 2021 года
« Последнее редактирование: 07 Сентября 2021, 14:37:21 от Oleg » Записан
Oleg
Модератор своей темы
Ветеран
*
Сообщений: 6433


Ёжик в нирване youtube.com/watch?v=YHk


Просмотр профиля
« Ответ #3 : 09 Сентября 2021, 15:39:58 »

шо у нас в оплотах свобод народ обсуждаэ

www.fsf.org

www.eff.org

eff.org/ Pegasus

fsf.org/ Pegasus

4pda.to/fsf.org

4pda.to/eff.org

4pda.to/I2P-Bote

умилительно

Цитата:

Цитата:

Записан
Oleg
Модератор своей темы
Ветеран
*
Сообщений: 6433


Ёжик в нирване youtube.com/watch?v=YHk


Просмотр профиля
« Ответ #4 : 16 Сентября 2021, 21:08:40 »

--->
roskomsvoboda.org/Pegasus

Цитата:
https://roskomsvoboda.org/post/vadim-losev-o-pegasus/

Эксперт о Pegasus: «Корпорации и государства выбирают не делать компьютеры и телефоны безопасными»
Технический специалист «Роскомсвободы» Вадим Лосев прокомментировал самую яркую новость недели и рассказал, можно ли защититься от шпионского ПО.

Pegasus — это такой готовый конструктор, через который устройства пользователей вначале заражают специальным вирусом, а потом при помощи этого вируса удалённо следят за пользователями и скачивают с телефонов информацию. Чтобы «доставить» вирус на устройство, Pegasus использует так называемые уязвимости нулевого дня или zero-day, то есть дыры, которые ещё не закрыл сам производитель. А некоторые из них еще и zero-click — не требуют от жертвы никаких действий. То есть не надо нажимать на ссылки или файлы запускать, смартфон заражается просто потому, что на него пришло сообщение. И обычный конечный пользователь никак не может от такого защититься.

История выстрелила благодаря качественному исследованию
Про NSO Group и Pegasus известно много лет. Я думаю, что тема так сильно выстрелила сейчас, потому что это была скоординированная кампания нескольких мировых СМИ, которая опиралась на качественное исследование Amnesty International. И количество потенциальных целей в 50 000 — это интересно, до этого журналисты предполагали, что следят, скорее, за единицами.

Разработчик избегает ответственности через «умышленное архитектурное решение»
NSO Group говорит, что не знает https://roskomsvoboda.org/post/pegasus-instrument-dlya-borbyi-s-terrorizm , как используются её технологии, И в публичном доступе даже появилось техническое описание системы Pegasus, которое объясняет, как именно она работает, чтобы компания действительно не знала. Это такое умышленное архитектурное решение, изолирующее NSO Group от ответственности. Но я считаю, что разработчик несёт ответственность за подобное. У философа Ханны Арендт есть книжка под названием «Банальность зла», мне кажется, она как раз про эту проблему.

«Корпорации и государства выбирают не делать компьютеры и телефоны безопасными»
Pegasus — не единственный продукт, использующий уязвимости нулевого дня. Компании и государства активно скупают эти уязвимости для своих целей, например, мы точно знаем, что этим занимаются западные спецслужбы, потому что там на эту тему есть активный общественный диалог. И в этом и есть проблема: корпорации и государства выбирают не отдавать информацию об уязвимостях производителям, то есть не делать компьютеры и телефоны безопасными, и пользователи часто с этим ничего не могут поделать.

Как защититься?
TechCrunch опубликовал инструкцию https://techcrunch.com/2021/07/19/toolkit-nso-pegasus-iphone-android , как обнаружить малварь Pegasus на самих устройствах. Нужен набор утилит Mobile Verification Toolkit https://github.com/mvt-project/mvt , конфигурация из github Amnesty International и опытный айтишник. Обычные пользователи такое не потянут https://t.me/rks_tech_talk/122 , но уже можно хотя бы попросить помощи у специалистов.

Броситься ли теперь изучать программирование самостоятельно, чтобы защищаться от таких угроз? Технологии становятся всё более сложными и узкоспециализированными, и у пользователя банально не хватит жизни во всем разобраться. Да и в каком порядке разбираться? Что сначала делать: становиться юристом, врачом или айтишником? Я бы, наверное, сперва выбрал врача.

Бессмысленно ожидать от пользователей, что они смогут противостоять государственным хакерам: это как чемпион по боксу против пятилетнего ребенка. Я считаю, что проблемы безопасности должна решать IT-индустрия и государство, а пользователь должен, не знаю, иногда платить деньги за новые устройства, делать бэкапы и включать двухфакторную аутентификацию.

-->
Цитата:
https://techcrunch.com/2021/07/19/toolkit-nso-pegasus-iphone-android/

международный консорциум новостных агентств сообщил, что несколько авторитарных правительств, в том числе Мексика, Марокко и Объединенные Арабские Эмираты, использовали шпионское ПО, разработанное NSO Group, для взлома телефонов тысяч их самых ярых критиков, включая журналистов, активистов, политики и руководители предприятий.

Просочившийся список из 50 000 номеров телефонов потенциальных объектов наблюдения был получен парижской журналистской некоммерческой организацией Forbidden Stories и Amnesty International и передан консорциуму журналистов, включая The Washington Post и The Guardian . Исследователи проанализировали телефоны десятков жертв, чтобы подтвердить, что они стали целью шпионского ПО Pegasus NSO, которое может получить доступ ко всем данным на телефоне человека. Отчеты также подтверждают новые подробности самих государственных заказчиков, которых NSO Group тщательно охраняет. Венгрия , член Европейского Союза, где конфиденциальность от наблюдения является основным правом для 500 миллионов жителей, названа в качестве клиента NSO.

Отчетность впервые показывает, сколько людей, вероятно, станут объектами навязчивой слежки NSO на уровне устройств. Согласно предыдущим отчетам, число известных жертв исчислялось сотнями или более чем тысячей.

-->
Цитата:
https://t.me/rks_tech_talk/122

Roskomsvoboda. Tech Talk
Продолжает развиваться скандал со шпионским ПО NSO Group Pegasus. Пока журналисты публикуют истории про новых жертв, Amnesty International опубликовала у себя на github список 1400 доменов, связанных с Pegasus https://github.com/AmnestyTech/investigations/blob/master/2021-07-18_nso/domains.txt

Теперь системные администраторы могут блокировать эти домены на собственном сетевом оборудовании.

А публичный DNS-сервер NextDNS уже объявил, что блокирует эти домены для всех своих пользователей. NextDNS - это публичный DNS-провайдер с дополнительными наворотами типа блокирования известных фишинговых сайтов, трекеров, рекламы и подобных вещей. Требует регистрации, 300 000 запросов в месяц бесплатно, а потом либо все навороты отключаются и он до конца месяца становится просто публичным ресолвером (как 8.8.8.8 от Google или 1.1.1.1 от Cloudflare), либо 149 рублей в месяц. В общем, постепенно появляются возможности блокировать сервера, связанные с NSO Group.

А тем временем TechCrunch публикует инструкцию, как обнаружить малварь Pegasus на самих устройствах. Нужен набор утилит Mobile Verification Toolkit, конфигурация из github Amnesty International и опытный айтишник. Обычные пользователи такое не потянут, но уже можно хотя бы попросить помощи у айтишников.
t.me/rks_tech_talk
Jul 20 at 12:29
« Последнее редактирование: 16 Сентября 2021, 22:15:33 от Oleg » Записан
Oleg
Модератор своей темы
Ветеран
*
Сообщений: 6433


Ёжик в нирване youtube.com/watch?v=YHk


Просмотр профиля
« Ответ #5 : 17 Сентября 2021, 01:34:57 »

Цитата:
https://novayagazeta.ru/articles/2021/07/26/na-pegase-verkhom-v-budushchee

Pegasus: технологии

Для внедрения трояна Pegasus используются недокументированные уязвимости, которые Apple и Google осознанно сохраняют в своих мобильных операционных системах. Подобные уязвимости принято называть Zero-Day Exploit (или 0day), потому что у них де-факто нет истории эксплуатации.

Впервые беззаботное человечество узнало о грехопадении самого Олимпа (то есть о «дырах», создаваемых самими разработчиками ОС), в начале 2017 года, когда хакерская банда Shadow Brokers вычислила подобные уязвимости в ОС Microsoft Windows. Уязвимости использовало американское Агентство национальной безопасности (АНБ), как водится, «для борьбы с международным терроризмом».

Неискоренимые оптимисты верят, что о дырах, обнаруженных Shadow Brokers, не знала даже сама Microsoft,

кроме, разумеется, тех сотрудников компании, которые тайком эти дыры в ОС проделали для последующего их использования АНБ.

Microsoft тогда быстренько прореху залатала патчем, однако, недостаточно быстро, потому что червь-вымогатель WannaCry, запущенный 12 мая 2017 года, заблокировал 500 тысяч компьютеров, принадлежащих частным и правительственным организациям в 200 странах мира.

Забавно, что еще до того, как Shadow Brokers украла информацию об уязвимости у АНБ, другая хакерская группировка — Equation Group, действующая под эгидой самой АНБ, создала эксплойт EternalBlue и бэкдор DoublePulsar, которыми успешно заражала компьютеры «врагов народа». Американского народа, разумеется, к тому же — в представлении АНБ.

Что касается израильского Pegasus, то он внедряется в айфоны предположительно через 0day-уязвимость, встроенную в штатный мессенджер iMessage. На смартфон отсылается специально отформатированное сообщение, которое без ведома пользователя запускает установку эксплойта для дальнейшего контроля. В андрофоны (смартфоны на ОС Android) Pegasus внедряется через аналогичную 0day-дырку в мессенджере WhatsApp.

Совсем забавно, что WhatsApp узнал о том, что израильская NSO Group эксплуатирует неизвестную самому разработчику мессенджера уязвимость еще в прошлом году. WhatsApp дыру залатал, а затем подал на NSO Group в суд. Компания потребовала от израильтян подробностей о взломе, а также информации о том, каким «государственным клиентам» сливались данные пользователей.

NSO Group какую-либо информацию суду предоставлять отказалась, прикрываясь иммунитетом, который ей полагается по закону — как структуре, действующей в интересах одного из дружественных США государств.

Читателю будет полезно узнать, что судебная тяжба с NSO Group продолжается давно и до сих пор, с той разницей, что позицию WhatsApp теперь поддерживает уже огромная IT-коалиция, в которую входит Microsoft (вместе со своими подразделениями LinkedIn и GitHub), Google, Cisco, VMware и Internet Association, которая, в свою очередь, представляет интересы таких гигантов, как Amazon, Facebook и Twitter. Все они сурово осуждают израильских шпионов и требуют привлечения NSO Group к ответственности. Как я понимаю, не столько за коммерческую эксплуатацию их продукта Pegasus, сколько за то, что делают с этим Pegasus государственные клиенты израильской компании.

Рассказ о технологических аспектах нашей истории хочу завершить сухим перечислением «фич», любезно предоставляемых Pegasus «государственному заказчику» после внедрения трояна на смартфон «подопечного»: заказчик получает абсолютный доступ ко всем фото, видео, файлам, документам, почтовым сообщениям, спискам паролей, равно как и к полному обмену сообщениями в любом мессенджере.

Последнее особенно пикантно, потому что разработчики Signal, WhatsApp и Telegram с гордостью уверили пользователей в абсолютной конфиденциальности нашего общения в мессенджерах, защищенных полноценным сквозным шифрованием (Р2Р).

Проблема в том, что наши сообщения шифруются после того, как покидают смартфон и отправляются в путешествие по интернету. А до этого все тексты, которые мы набираем, троян Pegasus замечательным образом считывает с клавиатуры, а сообщения, которые нам поступают от собеседника, Pegasus снимает с экрана, опять-таки, уже после того, как оно было расшифровано, по прибытии.

Короче говоря, Pegasus и аналогичные ему программы (коих, можно не сомневаться, существует не одна дюжина в мире) — это вторая пара глаз, которая постоянно присутствует за спиной пользователя, видит и знает абсолютно то же самое, что видит и знает сам пользователь.

Ах да, чуть не забыл. Pegasus может дистанционно включать и выключать запись с видеокамер и фотокамер нашего смартфона, а также записывать аудио и отслеживать геопозицию по GPS. Единственная возможность нейтрализовать Pegasus — выключить смартфон и больше никогда его не включать.

Документы, переданные Сноуденом, неопровержимо доказывали, что неоценимую помощь АНБ в благородном деле слежения за гражданами родной страны и иностранцами оказал весь цвет современного IT: Microsoft, Google, Yahoo!, Facebook, YouTube, Skype, AOL, Apple.

Вот и скажите на милость: неужели для понимания того, в каком мире мы все давно живем, нам не хватает какого-то несчастного израильского Пегаса?

Что касается сюжета, то за журналистами, политиками, оппозиционерами, конкурентами в бизнесе и даже супругами начали следить, компрометировать, скрыто и открыто травить, подстраивать несчастные случаи не вчера, не позавчера, и даже не 10 лет назад. Так было 50 лет назад, 100 лет, 1000 лет, 5000 лет (если верить Библии, конечно).

.. все слежки, компроматы, травля, убийства, самоубийства, предательства и прочие иллюстрации того, что сегодня принято называть смешными словами — «нарушение прав человека», во все времена творились не со зла, а во имя борьбы со Злом!

Если мы хотим адекватно оценить мотивацию компании NSO Group, создавшую Pegasus для борьбы с «педофилами и террористами», и Агентства национальной безопасности, создавшего PRISM для борьбы с все тем же «мировым терроризмом», мы должны делать это не в ложной дихотомии «Добро-Зло», а исключительно в плане приятия или неприятия макиавеллизма, то есть принципа, утверждающего, что порочность средств исправляется чистотой цели (формулировку, впрочем, я взял из «Писем к провинциалу» Блеза Паскаля).
..
У всех современных сторонников «исправления порочных средств чистотой цели» — что в Израиле, что в Индии, что в Венгрии, что в Китае, что в Польше, что в Мексике (перечисляю лишь «государственных клиентов» NSO Group, но очевидно, что список смело можно пополнить и Соединенными Штатами, и Евросоюзом, и Россией, и Украиной и вообще всеми государствами без исключения) — ход мысли непременно один и тот же: существуют некие Высшие Ценности, ради которых можно и даже нужно нарушать любые правила общежития, то есть жизни социума. Можно подслушивать, можно врать, честно глядя в глаза, можно подбрасывать улики, можно придумывать несуществующие обвинения — всё это оправдано чистотой целей. А эти цели и есть Высшие Ценности, которые мы должны охранять.

Посему горько заблуждаются те, кто считает, что в случае с охранительной идеологией мы имеем дело непременно с безнравственной практикой безнравственных личностей. Опираясь на историю этики, несложно доказать, что охранительная идеология — это как раз и есть квинтэссенция нравственности.

Соответственно, либо мы должны полностью отказаться от традиционных представлений об этике и релятивизировать понятия Добра и Зла (то есть признать, что они не абсолютны, а относительны и обусловлены частными обстоятельствами), либо мы обязаны согласиться с тем, что защита так называемых Высших Ценностей является нравственным деянием.

В последнем случае нам остается только определить: существуют ли какие-то границы, как далеко можно заходить в деле защиты этих самых Высших Ценностей. Выпороть плетью? Оштрафовать? Отправить на месячишко-другой на нары? Отравить, расстрелять, повесить?
..
Каждый из «государственных клиентов» NSO Group исходил из благих намерений и защищал собственные Высшие Ценности. С той лишь разницей, что одни Охранители дошли до расчленения Джамаля Хашогги, другие всего-то расстреляли мексиканского журналиста Сесилио Пинеда Бирто, а третьи тихо и безобидно следили за тем, с кем спит в Турции азербайджанская журналистка Хадия Исмайлова.

Однако ни первый, ни второй, ни третий предел каждого из государственных Охранителей ничего не говорит о нравственности или безнравственности самого факта слежки с помощью Pegasus! Потому что сама по себе эта слежка оправдывается охранительной идеологией, призванной защищать Высшие Ценности, нравственные априорно. Ибо эти Ценности соответствуют историческим представлениям о нравственности и этике в традиционных обществах — что Запада, что Востока!

Скажу больше: сегодня подавляющее число стран и народов в мире разделяют и идею защиты Высших Ценностей, и принцип макиавеллизма. Чтобы читателю было проще смириться с этой мыслью, предлагаю заменить неприятное иностранное словечко «макиавеллизм» более близкими для понимания народными перифразами того же самого: «лес рубят — щепки летят», «на войне все средства хороши», «чтобы продать ведро воды, нужно устроить пожар», «чтобы приготовить яичницу, нужно разбить яйца», «игра сто́ит свеч».
..
« Последнее редактирование: 17 Сентября 2021, 02:31:51 от Oleg » Записан
Oleg
Модератор своей темы
Ветеран
*
Сообщений: 6433


Ёжик в нирване youtube.com/watch?v=YHk


Просмотр профиля
« Ответ #6 : 26 Сентября 2021, 00:54:10 »

статеечка

Цитата:
https://rus.lb.ua/blog/sergei_petrenko/156754_pochemu_privatnost_vazhna_dazhe.html

Почему приватность важна, даже если вам нечего скрывать

Когда правительство собирает или анализирует персональную информацию, многие скажут, что их это не беспокоит. «Мне нечего скрывать, – заявляют они. – Волноваться нужно, только если вы делаете что-то неправильное, в таком случае вы не заслуживаете права держать это в секрете».

Аргумент «Мне нечего скрывать» является частью дискуссий о неприкосновенности частной жизни. Брюс Шнайер, специалист службы защиты данных, называет это «самым распространенным ответом сторонникам неприкосновенности частной жизни». Джеффри Стоун, ученый-юрист, называет его «слишком популярной мантрой» («all-too-common-refrain»). В своей самой очевидной форме этот аргумент звучит так: права на неприкосновенность частной жизни обычно имеют минимальный вес, поэтому в соревновании с мерами по обеспечению безопасности последние одержат победу по предопределению».

Аргумент «Мне нечего скрывать» можно встретить повсеместно в Британии. Например, правительство установило миллионы камер видеонаблюдения в общественных местах больших и маленьких населенных пунктов, которые просматриваются должностными лицами через замкнутую систему телевидения. Слоган правительственной кампании в пользу данной программы звучит так: «Если вам нечего прятать, вам нечего бояться». Аргумент «Мне нечего скрывать» в различных вариациях появляется в блогах, письмах в редакцию, интервью телевизионных новостей и форумах. Один из блоггеров в Соединенных Штатах заявил следующее касаемо создания профилей граждан для целей обеспечения национальной безопасности: «Я не имею ничего против того, что люди желают узнать обо мне некоторую информацию. Мне нечего скрывать! Поэтому я поддерживаю попытки [правительства] найти террористов через прослушивание наших телефонных звонков!»

Этот аргумент не является изобретением современности. Один из персонажей романа Генри Джеймса 1888 г. «Ревербератор» («Reverberator») размышляет: «Если эти люди совершили что-то плохое, им должно быть стыдно, и он не пожалел бы их. А если они не сделали ничего плохого, не нужно было делать такую шумиху из-за того, что другие люди об этом узнали».

Я сталкивался с аргументом «Мне нечего скрывать» в новостных интервью и обсуждениях так часто, что решил провести исследование по данному вопросу. Я поинтересовался у читателей моего блога «Совпадение мнений» (ConcurringOpinions) о том, насколько положительно они относятся к данному аргументу. Я получил массу комментариев:

Мой ответ таков: «Тогда почему у вас висят шторы?» или «Могу я посмотреть счета по вашей кредитной карте за прошлый год?»
Мой ответ на аргумент «если вам нечего прятать…» прост: «Мне не нужно доказывать свою точку зрения. Вам нужно доказать свою. Приходите с ордером».
Мне нечего скрывать. Но и показывать вам тоже.
Если вам нечего прятать, у вас нет нормальной жизни.

Покажите мне свое, и я покажу вам мое.
Дело не в том, если у тебя что-то, что нужно прятать. Дело в том, что это просто не должно касаться чужих людей.
Последний аргумент: Иосифу Сталину это бы понравилось. Что тут добавить еще?

На первый взгляд, опровергнуть аргумент «Мне нечего скрывать» легко. У каждого есть что-то, что он прячет от других. Как сказал Александр Солженицын: «Каждый человек виновен в чем-то или у него есть что-то, что он прячет от других. Все что нужно сделать – внимательно наблюдать, чтобы понять, что это». Аналогичная ситуация произошла в романе Фридриха Дюрренматта «Ловушка» (Friedrich D?rrenmatt's "Traps"), где группа психически неполноценных юристов привлекала к судебной ответственности в виде показательного суда-посмешища вроде бы невиновного человека. Человек пытается узнать, за какое преступление его пытаются наказать, на что прокурор отвечает «Это не важно, преступление всегда можно найти».

Некоторые обычно считают, что даже самому открытому человеку хотелось бы спрятаться. Как, например, один из комментаторов моего блога отметил: «Если вам нечего прятать, это значит в буквальном смысле, что вы хотите, чтобы я сфотографировал вас голым? И поскольку я имею все права на данную фотографию, я могу показать ее вашим соседям?» Специалист из Канады по вопросам неприкосновенности частной жизни, Дэвид Флахэрти (David Flaherty) думает аналогично: «Нет ни одного человека, наделенного разумом, в западном мире, которого мало бы интересовал или не интересовал вообще вопрос неприкосновенности его частной жизни. Те, кто пытаются руководствоваться подобными аргументами, не могут выдержать и нескольких минут допроса об интимных сферах своей жизни, не сдавшись в плен назойливому вмешательству в некоторые вопросы».

Но такая реакция направлена на аргумент «Мне нечего скрывать» лишь в его экстремальных формах, которые не имеют таких сильных позиций. В менее экстремальных формах данный аргумент касается не всей личной информации, а только тех данных, которые правительство может собирать. Возражения против аргумента «Мне нечего скрывать» в отношении показа голых людей или их самых сокровенных секретов имеют значение, только если правительство будет собирать такой тип информации. Во многих случаях едва ли кто-то увидит эту информацию, и она станет достоянием общественности. Поэтому, некоторые могут приводить доводы о том, что права по защите неприкосновенности частной жизни имеют минимальный вес, и права обеспечения безопасности в деле предотвращения террористических актов намного важнее. В данном случае аргумент «Мне нечего скрывать» в его менее экстремальной форме имеет внушительную силу. Однако он берет начало исходя из ложных допущений о частной жизни и ее ценности.

Чтобы определить важность аргумента «мне нечего терять», необходимо начать с изучения того, как его приверженцы понимают неприкосновенность частной жизни. Почти каждый закон или политический курс, затрагивающие вопросы частной жизни, основываются на понимании гражданами концепции неприкосновенности частной жизни. То, как воспринимаются проблемы, имеет огромное влияние на принятие законных решений по их разрешению. Как заметил философ Джон Дьюи (John Dewey): «Правильно сформированная проблема наполовину решена».

Большая часть попыток понять концепцию неприкосновенности частной жизни обращаются к постижению ее сущности – главных характеристик или общих знаменателей, объединяющих различные объекты, которые классифицируются и относятся к разделу «неприкосновенность частной жизни». Однако понятие неприкосновенности частной жизни настолько многогранно, что ее невозможно уменьшить до одной сущности. Это множественность различных объектов, которые не имеют общих элементов, но все же похожи один на одного. Например, неприкосновенность частной жизни можно нарушить посредством разглашения ваших самых сокровенных тайн, или через подглядывание за вами, даже если подглядывающий ничего секретного не увидит. В первом случае ущерб заключается в том, что ваша раскрытая секретная информация становится известна другим людям, во втором случае ущерб заключается в том, что за вами наблюдали. Вам это, возможно, покажется зловещим, независимо от того, узнает ли подглядывающий какую-нибудь секретную информацию и расскажет ее другим. Существует много других форм вторжения в частную жизнь, например, через шантаж или ненадлежащее использование ваших персональных данных. Неприкосновенность вашей частной жизни может быть также нарушена, если правительственные органы заведут на вас внушительное досье.

Другими словами, неприкосновенность частной жизни включает так много понятий, что невозможно вместить их все в рамки одной идеи. Но нам и не нужно так делать.

Во многих случаях вопросы неприкосновенности частной жизни никогда не будут находиться в гармонии со сталкивающимися интересами, потому что суды, члены законодательных органов и иные не признают тот факт, что затронуты вопросы неприкосновенности частной жизни. Люди не признают наличие некоторых проблем, потому что эти проблемы не укладываются в единое понятие неприкосновенности частной жизни, не учитывающее множество других элементов. Независимо от того, можем ли мы отнести эту проблему к проблеме неприкосновенности частной жизни, она все равно существует, а проблемы нельзя игнорировать. Мы должны обращать внимание на все проблемы, которые побуждают нас защитить неприкосновенность нашей личной жизни.

Чтобы описать проблемы, возникающие в связи со сбором и использованием личных данных, многие комментаторы используют метафорическое описание из произведения Джорджа Оруэлла «1984». Оруэлл изобразил ужасающее тоталитарное общество, управляемое правительством под названием «Большой Брат», которое одержимо наблюдает за своими гражданами и требует соблюдения строгой дисциплины. Метафора Оруэлла, описывающая вред, причиняемый наличием постоянного наблюдения (например, запреты и общественный контроль) может подойти для описания ситуации мониторинга правительством своих граждан. Однако большая часть данных, собранных в базах данных компьютеров, как то: раса, дата рождения, пол, адрес, семейное положение, не являются информацией для ограниченного круга лиц. Многие не возражают против того, чтобы раскрыть информацию о том, в каких отелях они останавливались, каким машинами владеют, какие напитки пьют. Часто, но не всегда, люди не воспрещают предать огласке данную информацию и не чувствуют при этом стеснения.

Еще одно метафорическое определение проблем - «Процесс» Франца Кафки.
Сюжет романа вертится вокруг человека, арестованного без объяснения причин.
Он отчаянно пытается узнать, что стало причиной возбуждения процесса, и какие доказательства против него имеются.
Ему удается обнаружить, что эта таинственная судебная система имеет на него досье и проводит расследование, но остальное остается для него загадкой.

«Процесс» иллюстрирует бюрократию с загадочными целями, которая использует личные данные людей для того, чтобы принять в их отношении важные решения, однако отрицает их право участвовать в том, как эта информация используется.

Проблема, метафорично описанная в стиле Кафки, представляет иной вид проблем, возникающих вследствие наличия всеобщего наблюдения за гражданами.
Очень часто такие проблемы не приводят к запретам.
Проблема скорее заключается в обработке информации – ее хранении, использовании или анализе – но не ее сборе.
Она влияет на силу взаимоотношений между людьми и институтами современного государства.
Она не только подрывает веру человека в свои силы вследствие порождения ощущения беспомощности и бессилия, но также оказывают влияние на структуру общества, изменяя виды взаимоотношений между людьми и институтами, которые принимают важные решения касаемо их жизней

Решения в области законов и политических курсов излишне концентрируются на проблемах, метафорично описанных Оруэллом – проблеме всеобщего наблюдения за гражданами – и не совсем адекватно решают проблемы, описанные Кафкой – проблемы обработки информации.
Сложность состоит в том, что комментаторы пытаются решить проблемы, касающиеся наличия баз данных, обращаясь к вопросу наличия наблюдения за гражданами, в то время как это совершенно разные проблемы.

Комментаторы часто пытаются опровергнуть аргумент «Мне нечего скрывать», обращая внимание на вещи, которые люди хотят спрятать.
Проблема такого аргумента в том, что он основан на основополагающем допущении о том, что неприкосновенность личной жизни – это право прятать что-то плохое.
Принимая такое допущение, мы упускаем много других принципов и пускаемся в бесполезные рассуждения о том, какую же информацию люди будут прятать больше всего.
Как метко отмечает Шнайер (Schneier), специалист по обеспечению компьютерной безопасности, аргумент «Мне нечего скрывать» основывается на ложном «допущении о том, что неприкосновенность частной жизни заключается в праве прятать факт совершения каких-то нарушений».
Наблюдение за гражданами, например, может запретить такое законные виды деятельности, как свободу слова, свободу объединений, а также другие права человека, указанные в Первой поправке к Конституции, которые являются непременным атрибутом демократии.

Проблема аргумента «Мне нечего скрывать» гораздо глубже и состоит в том, что он ограниченно рассматривает неприкосновенность частной жизни как форму сохранения секретности.
Напротив, рассмотрение неприкосновенности частной жизни как множества связанных вопросов показывает, что необходимость раскрывать информацию о неправильных поступках – только одна из многих проблем, создаваемых мерами правительства по обеспечению безопасности.

Если вернуться к моему рассуждению о метафорах в литературе, то реальные проблемы - те, что описаны не столько Оруэллом, сколько Кафкой. Программы правительства по сбору информации порождают проблемы, даже если не раскрывается информация, которую люди не хотят разглашать.
В романе «Процесс», проблема состояла не в запретительном поведении, а в бессилии и уязвимости, возникающих по причине использования судебной системой личных данных и ее отказом главному герою в праве владеть информацией о данном процессе или участвовать в нем.
Ущерб наносится бюрократией – безразличием, допущением ошибок, злоупотреблением, отчаянием и отсутствием прозрачности и подотчетности.

Один из таких видов ущерба, который я зову «накоплением», возникает в результате объединения небольших обрывков на первый взгляд безвредной информации.
Если информация такого рода объединяется в единое целое, она может рассказать намного больше.
Соединяя обрывки информации, о защите которой мы, может, и не очень заботимся, правительство может собрать информацию о нас, которую мы хотели бы скрыть.
Например, предположим, вы купили книгу о раке. Эта покупка сама по себе мало о чем расскажет, поскольку просто указывает на наш интерес к этой болезни. Предположим, вы купили парик. Парик можно купить по множеству причин. Но если объединить эти два отрывка информации в одно целое, можно сделать предположение, что у вас рак и вы проходите курс химиотерапии. Возможно, эту информацию вы бы не хотели рассказать другим, но вы определенно хотите иметь выбор.

Еще одна потенциальная проблема в связи со сбором правительством личных данных – то, что я называю «исключением»: препятствие получению людьми информации о том, каким образом данные о них используются, а также запрет доступа к данной информации и ее коррекции. Многие правительственные меры по обеспечению национальной безопасности предполагают ведение огромных баз данных, к которым граждане не имеют доступа.

Действительно, само существование таких программ держится в секрете, ведь они представляют вопрос национальной безопасности. Обработка такой информации, которая запрещает вовлечение граждан и их знание о ее проведении, является проблемой надлежащих правовых процедур. Это структурная проблема, затрагивающая то, как государственные служащие обращаются с гражданами, создающая диспропорцию сил между гражданами и государством. Насколько должна простираться власть государственных служащих над гражданами? Это не вопрос того, какую информацию люди желают спрятать, но вопрос объема власти и структуры правительства.

Еще одна сопутствующая проблема – вторичное использование данных. Вторичное использование данных – обработка информации, полученной для одних целей, в целях, на которые не было получено согласие субъекта информации. Как долго будет храниться личная информация? Каким образом она будет использоваться? Как ее можно будет использовать в будущем? Потенциальные варианты использования любой части личной информации безграничны. Не налагая ограничения на способы использования информации и без их учета, сложно оценить потенциальные опасности от нахождения личных данных под контролем правительства.

Следующая проблема, связанная со сбором и использованием личных данных правительством – искажение данных. Несмотря на то, что личная информация может много рассказать о характере граждан и их деятельности, часто она не способна охарактеризовать человека в целом. Она может изобразить искаженную картину, особенно по причине неполноты записей – часто информация записывается в стандартизированном формате, и многие детали просто опускаются.

Например, предположим, что государственные сотрудники узнали, что один гражданин приобрел ряд книг о том, как произвести метамфетамин. У них закрадываются подозрения, что он собирается соорудить лабораторию по производству метамфетамина.
Упущенные детали создают полную картину: этот человек пишет роман о герое, который создает матамфетамин. Когда он приобрел книги, он не думал, что эта покупка покажется государственным органам настолько подозрительной, и его записи не указали причину такой покупки. Стоит ли ему опасаться проверок госорганами всех его покупок и действий? Стоит ли ему ожидать, что его внесут в перечень подозрительных лиц? Даже если он не делает ничего плохого, он, возможно, не захочет разглашать информацию государственным органам, которые могут сделать ошибочные выводы на ее основании. Возможно, он не хочет волноваться о том, что все, что он совершает, будет изучаться сотрудниками, нервно просматривающими записи в поисках преступной деятельности. Возможно, он не захочет, чтобы компьютерная система пометила его как подозрительное лицо, потому что у него наблюдалось необычное поведение.

Аргумент «Мне нечего скрывать» концентрируется лишь на одной-двух конкретных проблемах неприкосновенности личной жизни – раскрытии личных данных или наблюдении за гражданами – игнорируя иные. В его основе лежит особое представление о том, что относится к неприкосновенности личной жизни, не включая иные ракурсы.

Важно различать два пути обоснования программ по обеспечению национальной безопасности, требующих доступ к личной информации. Первый – не признавать существование проблемы. Именно так работает аргумент «Мне нечего скрывать» - он отрицает наличие проблемы. Второй путь – признать проблемы, но настоять на том, что выгоды от использования программы перевешивают жертвы, которые приносятся теми, в чью личную жизнь вторгаются. Первое обоснование влияет на второе, поскольку неприкосновенность личной жизни имеет небольшое значение по причине ограниченного взгляда на проблему. Ключевой момент недопонимания – аргумент «Мне нечего скрывать» рассматривает неприкосновенность частной жизни со своей опасно ограниченной точки зрения.

Если исследовать данный аргумент немного глубже, можно обнаружить, что его сторонники ожидают наличия ущерба, связанного с нанесением физического урона человеку. Как это ни парадоксально, этот основополагающий принцип физического урона используется иногда сторонниками усиления защиты неприкосновенности частной жизни. Например, Энн Бартоу (Ann Bartow), профессор права Университета Южной Каролины, аргументирует свою точку зрения следующим образом: для того, чтобы проблемы неприкосновенности личной жизни вызвали большой резонанс в обществе, они должны «негативно влиять на жизнь дышащего человеческого существа, вызывать нечто большее, чем просто чувство недовольства». Она утверждает, что вопрос неприкосновенности частной жизни требует больше «мертвых тел», и «отсутствие крови и смертей, хотя бы сломанных костей и мешков денег делает ущерб, нанесенный вторжением в личную жизнь, не таким серьезным, как иные виды ущерба».

Возражения госпожи Бартоу в действительности касаются аргумента «Мне нечего скрывать». Сторонники этого аргумента имеют в виду отдельные виды ущерба, нанесенного неприкосновенности личной жизни, когда раскрывается информация, ставящая в неловкое положение или компрометирующая ее владельца. Как и госпожа Бартоу, сторонники данного аргумента требуют наличия ущерба, связанного с нанесением физического урона вплоть до смертельного исхода.

Госпожа Бартоу, конечно, права в том, что люди намного сильнее реагируют на кровь и смерть, чем на абстрактные проблемы. Но если это – стандарт определения проблемы, то в таком случае будут распознаны лишь несколько проблем нарушения неприкосновенности личной жизни. Неприкосновенность личной жизни – это не фильм ужасов, большая часть проблем не выливаются в появление мертвых тел, и в большинстве случаев требование доказательства наличия осязаемого ущерба затруднено.

Для неприкосновенности личной жизни угрозу представляет не отдельный вопиющий акт нарушения, а медленное накопление относительно небольших нарушений. В данном отношении проблемы неприкосновенности личной жизни напоминают случаи нанесения вреда окружающей среде, которые происходят с течением времени через последовательность небольших нарушений различными субъектами. Несмотря на то, что общество скорее отреагирует на крупный разлив нефти, постепенное загрязнение окружающей среды множеством субъектов часто создает намного худшие проблемы.

Неприкосновенность личной жизни редко полностью исчезает в один миг. Обычно она уменьшается со временем, растворяясь почти незаметно, пока мы не начинаем замечать, чего лишились. Когда правительство начинает отслеживать телефонные номера, по которым звонят люди, многие пожимают плечами и говорят: «Это просто телефонные номера, и больше ничего». Правительство может установить больше камер видеонаблюдения в общественных местах. «И что? Теперь больше камер наблюдают за нами в больших количествах мест. Ничего страшного». Увеличение количества камер может создать более развитую сеть видеонаблюдения. К этому может добавиться спутниковое наблюдение, чтобы отслеживать передвижения людей. Правительство может начать анализ учетной документации банка. «Там только мои депозиты и несколько счетов на оплату – никаких проблем нет». Правительство может начать просмотр записей кредитных карт, затем записей поставщиков интернет-услуг, записей о состоянии здоровья, записей в трудовой книге и т.д. Каждый из шагов может показаться незначительным, но по истечении определенного времени правительство будет наблюдать за нами и знать о нас все.

«Моя жизнь – открытая книга», - скажут некоторые. «Мне нечего скрывать». Но сейчас у правительства имеются обширные досье о деятельности, интересах, любимых книгах, финансах и состоянии здоровья каждого человека. Что если правительство сбывает эту информацию общественности? Что если правительство на основании имеющихся данных о поведенческих привычках ошибочно определит, что вы способны совершить преступление? Что если вам откажут в праве летать на самолетах? Что если правительство решит, что ваши финансовые операции выглядят подозрительно – даже если вы ничего неправильного не сделали – и заморозит ваши счета? Что если правительство не защищает нашу информацию с использованием надлежащих мер безопасности, и лицо, укравшее вашу личную информацию, будет использовать ее, чтобы совершать против вас мошеннические действия? Даже если вам нечего прятать, правительство может причинить вам немало ущерба.

«Но правительство не хочет навредить мне», - будут возражать некоторые. В большинстве случаев это так, но правительство может нанести ущерб гражданам ненамеренно вследствие ошибок или невнимательности.

Когда раскрывается сущность аргумента «Мне нечего скрывать», а также исследуются и оспариваются предположения, лежащие в его основе, можно видеть как люди переходят к обсуждению его условий, затем используют силу его незаслуженного преимущества. Аргумент «Мне нечего скрывать» обращается к одним проблемам и игнорирует другие. Он рассматривает понятие неприкосновенности личной жизни однобоко и ограниченно, одерживает победу посредством непризнания иных проблем, часто связанных с правительственными мерами по обеспечению безопасности. Если иметь дело исключительно с этим аргументом, он ведет по неверному пути, пытается сфокусировать обсуждение на его ограниченном понимании неприкосновенности личной жизни. Но если предъявить против него множество других проблем неприкосновенности личной жизни, появляющихся в связи со сбором и использованием правительством личных данных (кроме проблемы разглашения информации и наблюдения за гражданами), аргументу «Мне нечего скрывать» будет нечем парировать.
Записан
Oleg
Модератор своей темы
Ветеран
*
Сообщений: 6433


Ёжик в нирване youtube.com/watch?v=YHk


Просмотр профиля
« Ответ #7 : 26 Сентября 2021, 01:55:04 »

запускаемся в междупланидное пространство

Цитата:
https://habr.com/ru/post/373439/

9 мая 2017
Википедия неуязвима для цензуры в сети IPFS

24 августа 2015 года Роскомнадзор распорядился заблокировать Википедию на территории России. Вскоре чиновники одумались и отменили решение. Но это может повториться в любой момент.

29 марта 2017 года турецкие власти последовали примеру российских братьев по разуму. Они тоже заблокировали Википедию. Турки пошли до конца — и с 8:00 по местному времени все версии Википедии были заблокированы в Турции в соответствии с административным решением No. 490.05.01.2017-182198 / 5651.

Как сказал в своё время Джон Перри Барлоу, Интернет по своей сути воспринимает цензуру как неисправность и старается обойти её. Есть много стандартных способов обойти обычную блокировку по IP. Два года назад Сеть породила концептуально новый проект IPFS (Inter-Planetary File System), который делает цензуру конкретных IP-адресов в интернете невозможной в принципе.

IPFS представляет собой одноранговую распределённую файловую систему, которая соединяет все вычислительные устройства единой системой файлов. В некотором смысле IPFS схожа со всемирной паутиной. IPFS можно представить как единый BitTorrent-рой, обменивающийся файлами единого Git-репозитория.

Цитата:
https://ru.wikipedia.org/wiki/IPFS

IPFS (от англ. InterPlanetary File System — междупланетная файловая система) — контентно-адресуемый, одноранговый гипермедийный протокол связи. Узлы IPFS-сети формируют распределённую файловую систему (англ.)русск.. IPFS является проектом с открытым исходным кодом, разработанным Protocol Labs при содействии open-source сообщества

youtube/ ipfs как пользоваться

habr/[IPFS]

Цитата:
https://habr.com/ru/post/316468/
29 ноября 2016
Публикуем сайт в междупланетной файловой системе IPFS

В этой статье я расскажу как в ней запустить статичный сайт который будет доступен и напрямую и по IPNS. У сайта будет нормальное доменное имя благодаря использованию DNS. Доменное имя можно использовать для доступа к сайту напрямую, через глобальный и локальный шлюз.
« Последнее редактирование: 26 Сентября 2021, 03:52:42 от Oleg » Записан
Oleg
Модератор своей темы
Ветеран
*
Сообщений: 6433


Ёжик в нирване youtube.com/watch?v=YHk


Просмотр профиля
« Ответ #8 : 05 Октября 2021, 09:00:18 »

битконовости

Цитата:
https://habr.com/ru/post/514808/
9 августа некий Nusenu, владелец выходной ноды в TOR, опубликовал пост, в котором заявил, что более 23% всех выходных нод находятся под контролем злоумышленников, которые перехватывают трафик пользователей и подменяют на лету Bitcoin кошельки в попытке увести чужие средства. Оригинал статьи находится здесь https://medium.com/@nu…20-part-i-1097575c0cac
google/Nusenu site:bitcointalk.org -->translate.yandex.ru-->

Цитата:
https://bitcointalk.or…sg56992841#msg56992841
Having bitcointalk .onion address would be interesting to see but keep in mind that Tor is not perfect and I recently saw that over 25% of all Tor exit relays spied on users web activities according to hackernews.

Было бы интересно посмотреть адрес bitcointalk .onion, но имейте в виду, что Tor не идеален, и недавно я увидел, что более 25% всех ретрансляторов выхода Tor отслеживали веб-активность пользователей, согласно hackernews.

One unidentified entity is controlling large percent of exit nodes and probably using it to perform some man-in-the-middle attacks, and this could be some hacker or maybe even government agency.

Одна неопознанная организация контролирует большой процент выходных узлов и, вероятно, использует ее для выполнения некоторых атак "человек посередине", и это может быть какой-то хакер или, возможно, даже правительственное учреждение.

In theory this could mean that someone could potentially do the same thing with Bitcointalk forum or any other website and steal passwords and login information for members, or change addresses.

Теоретически это может означать, что кто-то потенциально может сделать то же самое с форумом Bitcointalk или любым другим веб-сайтом и украсть пароли и регистрационную информацию для участников или изменить адреса.

Quote
The main purpose of the attack, according to nusenu, is to carry out "person-in-the-middle" attacks on Tor users by manipulating traffic as it flows through its network of exit relays. Specifically, the attacker appears to perform what's called SSL stripping to downgrade traffic heading to Bitcoin mixer services from HTTPS to HTTP in an attempt to replace bitcoin addresses and redirect transactions to their wallets instead of the user-provided bitcoin address.

Основная цель атаки, по словам нусену, заключается в проведении атак "человек посередине" на пользователей Tor путем манипулирования трафиком, проходящим через его сеть выходных ретрансляторов. В частности, злоумышленник, по-видимому, выполняет так называемую очистку SSL, чтобы понизить трафик, направляемый в сервисы биткойн-микшера, с HTTPS на HTTP в попытке заменить биткойн-адреса и перенаправить транзакции на свои кошельки вместо предоставленного пользователем биткойн-адреса.


https://thehackernews.…relays-are-spying.html
Записан
Oleg
Модератор своей темы
Ветеран
*
Сообщений: 6433


Ёжик в нирване youtube.com/watch?v=YHk


Просмотр профиля
« Ответ #9 : 14 Октября 2021, 17:45:57 »

--->

распознаватели-опознаватели 4pda.to/forum/Распознавание

Цитата:
https://www.kommersant.ru/doc/5029702

Московская мэрия передаст полиции фотографии пользователей mos.ru

Правительство Москвы планирует доработать портал mos.ru так, чтобы все загруженные фотографии пользователей для получения госуслуг передавались в систему распознавания лиц, которую используют полицейские. Подрядчиком по проекту стоимостью 236 млн руб. стала пермская «Брайт софт». Она также должна обеспечить сбор данных о смартфонах москвичей. Эксперты считают, что фотографии граждан нужны для обучения системы, которая используется как для поиска преступников, так и для выписки штрафов нарушителям режима самоизоляции.

ЕЦХД обрабатывает данные с камер наружного наблюдения, подключенных к системе распознавания лиц. ПАРСИВ, по сути, представляет собой шлюз, через который полицейские могут подключаться к городской системе, чтобы искать преступников. Сам mos.ru интегрирован с «Системой дистанционного обучения», «Единой мобильной платформой Москвы», порталом «Активный гражданин», Единой медицинской информационно-аналитической системой Москвы (ЕМИАС), системой ГИБДД и другими.

В ДИТ не объяснили “Ъ”, зачем передавать фотографии пользователей в ПАРСИВ ЕЦХД и из каких конкретно сервисов они будут подгружаться. В департаменте лишь отметили, что «возможность самостоятельно загрузить фотографию предоставляется пользователям портала mos.ru при оформлении заявления для госуслуг». Телеметрические данные (об устройстве и операционной системе и другие) могут использоваться при обращении пользователя в службу поддержки, добавили в ДИТ.

В сентябре стало известно, что власти Москвы потратят 130 млн руб. на доработку системы распознавания лиц, которую используют полицейские. Предполагается, что они с помощью городских видеокамер и нейросетей смогут не только находить преступников, но и вычислять их маршруты передвижения и предполагаемых сообщников (см. “Ъ” от 2 сентября).

Эталонные фотографии будут использоваться как образец для сравнения и повышения качества распознавания лиц, считает преподаватель Moscow Digital School Олег Блинов:

«Сфера применения ПАРСИВ ЕЦХД может быть безгранична — от выписки штрафов нарушителям самоизоляции до преследования политических оппонентов».

Кроме того, по его мнению, возможно появление на черном рынке дополнительной услуги — пробить местоположение человека по камерам наблюдения с гарантией точности распознавания не менее 95%. Именно такой показатель должна обеспечивать ПАРСИВ ЕЦХД.

Гендиректор Института исследований интернета Карен Казарян согласен, что фотографии из информсистем Москвы могут быть использованы для обучения и тренировки распознавания лиц. Он отметил, что оговорка в законе «о персональных данных» об использовании такой информации «для целей госуправления» создает для мэрии широкие правовые возможности.

До сих пор власти не уточняли, откуда берут фотографии для распознавания лиц, отмечает директор АНО «Информационная культура» Иван Бегтин. Это могут быть, полагает он, фотографии из различных государственных информационных систем, в том числе с портала госуслуг, а также изображения из соцсетей.


Цитата:

на случай войны с кремлядьтерминаторами помаду ящиками всем..

2)
Цитата:
https://kod.ru/issliedovaniie-sliezhieniie-v-android/

Исследователи уличили смартфоны на базе Android в постоянной слежке за владельцами

Специалисты из Эдинбургского университета Великобритании и Дублинского Тринити-колледжа Ирландии опубликовали исследование о том, как смартфоны, работающие на Android, следят за своими пользователями.

Во время исследований было установлено, что Android-устройства отправляют массивы данных разработчикам ОС, а также третьим лицам, в том числе Google, Microsoft, LinkedIn и Facebook. При этом пользователи не могут помешать отправке данной информации.


аблица сбора компаниями различных данных в разных версиях Android

LineageOS (бесплатная версия Android, предназначенная для замены проприетарных версий)
/e/OS (бесплатная версия Android, направленная на защиту конфиденциальных данных)

В ходе исследования была рассмотрена работа смартфонов вендоров: Samsung, Xiaomi, Huawei, Realme под управлением Android, а также устройства на базе LineageOS и /e/OS. По окончании проведённой работы выяснилось, что все ОС, за исключением последней, с помощью системного программного обеспечения постоянно передают производителю смартфона и третьим лицам информацию о его владельце, а также данные об использовании приложений.

Смартфоны на базе Android собирают сведения об аппаратном обеспечении, ID, серийном номере устройства, а также периодически отправляют на сервера информацию об использовании той или иной программы. Причём данные собирают даже те приложения, которыми абонент даже не пользовался. В заключении авторы отмечают, что всё это вместе создает уникальный цифровой отпечаток, который позволяет провести деанонимизацию пользователя.

Google в беседе с журналистами издания BleepingComputer сообщила, что это просто «принцип работы современных смартфонов» необходимый для корректной работы приложений.

Так, в сервисах Google Play эти данные необходимы для работы различных функций устройства, таких как push-уведомления и обновления программного обеспечения в различных экосистемах устройств. К примеру, сервисы Google Play используют данные о сертифицированных устройствах Android для обновления. Сбор ограниченной базовой информации, такой как IMEI устройства, необходим для надёжной доставки критически важных обновлений на устройства и приложения Android.

Цитата:
https://en.wikipedia.org/wiki//e/_(operating_system)

/ е / (ранее Eelo ) является свободным и открытым исходным кодом Android -На мобильной операционной системы и связанные с ними услуги онлайн . [1] Операционная система представляет собой вилку из LineageOS и Android . [2] Кастом прошивка разрабатывается / е / фонд, который был основан французский предприниматель Гаэль Дюваль . / e / представлен как программное обеспечение для обеспечения конфиденциальности, которое не содержит проприетарных приложений или служб Google , [3]и призывает общественность «найти какие-либо части системы или приложения по умолчанию, которые все еще передают данные в Google». [4]
« Последнее редактирование: 14 Октября 2021, 20:29:14 от Oleg » Записан
Oleg
Модератор своей темы
Ветеран
*
Сообщений: 6433


Ёжик в нирване youtube.com/watch?v=YHk


Просмотр профиля
« Ответ #10 : 16 Октября 2021, 19:24:10 »

2)
google/ хлаоми

google/"miui.analytics" Xiaomi spy

Цитата:
https://www.iguides.ru…vetovali_ikh_vybrosit/

Во всех смартфонах Xiaomi обнаружили «троянского коня». Власти Литвы посоветовали их выбросить

3)
Цитата:
https://xakep.ru/2017/06/28/phone-border-cross/
...
Фотографии? Известен не один и не два случая, когда люди получали вполне реальные сроки за фото или видео купания младенца. Постинги в социальных сетях? Скорее всего, пограничников они заинтересуют лишь для того, чтобы убедиться, что ты не боевик, не камикадзе и не торгуешь спайсом. История поисковых запросов и браузера? Лично я не хотел бы, чтобы кто-то получил доступ к этой информации. А что насчет паролей? Готов ли ты к тому, что твои сохраненные в браузере логины и пароли ко всему на свете будут храниться неизвестно где неограниченное время, использоваться неизвестно кем и в неизвестных целях? Вспомним еще историю местоположения, список звонков, сообщений и контактов, доступ к фотографиям и документам, синхронизированным с твоим домашним компьютером через облачные сервисы
« Последнее редактирование: 20 Октября 2021, 00:15:08 от Oleg » Записан
Oleg
Модератор своей темы
Ветеран
*
Сообщений: 6433


Ёжик в нирване youtube.com/watch?v=YHk


Просмотр профиля
« Ответ #11 : 19 Октября 2021, 17:09:49 »

Цитата:
https://habr.com/ru/post/465945/

ЛИЧНЫЙ ОПЫТ, С НЕГАТИВНЫМИ ВЫСКАЗЫВАНИЯМИ

Как-то в 2015-2016 году ко мне обратились с просьбой посмотреть смартфон Xiaomi на проблему быстрого разряда и для проверки на наличие вирусов. И я начала копаться в настройках. Оказалось, что в данной прошивке уже на тот момент была возможность не просто ограничивать доступ, а выставлять настройку «Спрашивать» для доступа. Ради интереса я проставила всем приложениям для ВСЕХ доступов тип «Спрашивать», так как только так можно было понять какие приложения пытаются просканировать что-либо (если «Запретить» или «Разрешить», то никаких уведомлений нельзя было увидеть).

Я конечно была очень удивлена тем сколько приложений постоянно что-то считывают. Особенно китайских. Калькулятор, прогноз погоды, скачивание обоев и другие приложения просили доступ ко всему! Но что нам до китайских приложений (хотя некоторые системные приложения в MIUI никак ограничить нельзя), удивило меня даже не это. В ходе экспериментов и детальных настроек я убрала возможность автозапуска и работу в фоне большинства приложений.

На этом устройстве были установлены два приложения IT компаний России из топ-20, и при запуске любого из этих приложений моментально другое приложение запрашивала доступ ко всему чему можно (местоположению, микрофону, и так далее)!!!

Эти компании не были никак связаны особыми соглашениями о сотрудничестве, и насколько я смогла проверить разработчики этих приложений были разные.

Вдумайтесь — эти компании договорились о том, чтобы их приложения запускали друг друга даже когда пользователь убирает возможность автозапуска и бескомпромиссно начинают считывать аудио с микрофона и геолокацию.

Также каким-то образом обходили запрет работать в фоне. Я специально не афиширую названия для того, чтобы заявить — тем кто принимал решение так сделать уготован отдельный котёл.
...

СЛУЧАЙ НА ПРОИЗВОДСТВЕ
Недавно мне принесли устройство для того, чтобы я поставила более безопасную прошивку. На это устройство не было официальной версии LOS, так что я поискала на xda-developers и нашла там неофициальную, но свежую версию LOS. Количество пользователей вроде большое, никто ни на что не жалуется. На это устройство обычный AddonSU работал без полного рут. Там же была ссылка на переделанный модуль Magisk. Я всё это установила и начала наблюдать. В итоге я заметила, что процесс — 11 Linux kernel пытается связаться с каким-то IP, но запросы успешно были заблокированы AFWall+. Я не стала паниковать, так как через — 11 Linux kernel проходят многие запросы, например DNS или NTP (синхронизация времени). Меня смутило, что порт был «0». Я начала искать кому принадлежит этот IP, и оказалось, что этот IP не принадлежит никакой компании, а назначен обычному провайдеру интернета и соответственно какому-то частному пользователю. Никакой информации в интернете об этом IP адресе и сервисов на этом адресе — нет. Вывод: кто-то оставил закладку!!! причём непонятно, в неофициальной прошивке LOS или в неофициальной версии Magisk. Пришлось менять прошивку. Так что будьте аккуратней при установке из непроверяемых источников.

Крайне не советую использовать закрытые (проприетарные) программы, требующие рут. Я устанавливаю программы использующие рут ТОЛЬКО из F-Droid и только популярные. Даже если это какое-то официальное приложение (например банковское приложение), которое требует себе рут, если обнаруживает что у вас устройство рутировано, то всё равно лучше для таких целей заведите отдельное устройство или пользуйтесь веб версией.

Если же вы всё-таки решились на Magisk (или из-за обстоятельств), то будьте очень аккуратны с модулями Magisk. Опять-таки лучше устанавливать официальный Magisk и только популярные open source модули.

Bootloader (Загрузчик)

Разблокировка загрузчика (unlock bootloader) позволяет устанавливать кастомные прошивки (Custom ROM), такие как LOS. При разблокировке загрузчика на некоторых устройствах вы теряете гарантию, так как в некоторые телефоны встроены специальные чипы (например Samsung Knox), которые при разблокировке загрузчика навсегда запоминают, что загрузчик был разблокирован. Даже если вы потом установите стоковую прошивку и заблокируете загрузчик, то всё равно в некоторых случаях нельзя будет скрыть, что загрузчик был когда-то разблокирован.

К сожалению, при установке LOS в большинстве случаев нельзя (технически можно, но устройство работать не будет) обратно заблокировать загрузчик (lock bootloader), кроме нескольких устройств от Google модельного ряда Pixel.

Чем же плох разблокированный загрузчик? Тем, что если злоумышленники украдут ваше устройство, то у них будет возможность установить какие-то дополнения в ваше устройство. Но не смогут получить доступ к текущим данным, если у вас включено шифрование. И если потом с установленными вирусами вам вернут/подкинут устройство, и вы его включите и разблокируете, то ваши данные дешифрируются и установленный вирус может сразу начать пересылать данные злоумышленникам.

Выход из этой ситуации есть — если ваше устройство находилось в руках нацеленных на вас злоумышленников (например на границе некоторых стран) более 20 минут, то вам придётся сносить прошивку и заново ставить начисто, не включая телефон (ну или достать СИМ карту, отключить Wi-Fi, скачать свои последние данные и только потом переустанавливать прошивку). Вообще, неизвестно насколько подкованы эти самые злоумышленники, возможно у них есть знания как внедрять вирусы даже при заблокированном загрузчике. В любом случае, если есть подозрения, что устройство попадало в руки злоумышленников даже при заблокированном загрузчике — я бы советовала устанавливать прошивку заново. Особенно на границе (например, китайской), так как они устанавливают следящие приложения и даже не стесняются этого.

Но не всё так плохо. Как вы уже поняли из описания, на вас должны быть нацелены и после того как вам отдадут устройство вы должны будете разблокировать его и войти в интернет и только тогда данные могут «уйти на сторону».

Внимание: не пытайтесь заблокировать загрузчик на прошивке LOS, если вы на 100 процентов не уверены в том, что на вашем устройстве это поддерживается. (поддерживается только некоторым моделями Nexus и Pixel)
...

--->
Цитата:
https://habr.com/ru/post/541190/
Как root-права и альтернативные прошивки делают ваш android смартфон уязвимым

... Загрузчик – это небольшой бинарный компонент, который запускается непосредственно чипсетом и отвечает за загрузку и запуск ядра. Если в настольных дистрибутивах linux мы привыкли в основном к загрузчику grub, то на android смартфонах у нас загрузчиком является aboot. Процесс загрузки происходит следующим образом:
« Последнее редактирование: 19 Октября 2021, 21:50:31 от Oleg » Записан
Oleg
Модератор своей темы
Ветеран
*
Сообщений: 6433


Ёжик в нирване youtube.com/watch?v=YHk


Просмотр профиля
« Ответ #12 : 21 Октября 2021, 21:24:04 »

про оплот свободы

Цитата:
https://habr.com/ru/post/429648/

DNS Over TLS & Over HTTPS теперь и на iOS/Android и для всех сетей сразу [Спасибо Cloudflare]

Цитата:
https://en.wikipedia.org/wiki/Cloudflare

https://ru.wikipedia.org/wiki/Cloudflare

Cloudflare — американская компания, предоставляющая услуги CDN, защиту от DDoS-атак, безопасный доступ к ресурсам и серверы DNS. Сервисы Cloudflare работают как обратный прокси для сайта. Главный офис компании находится в Сан-Франциско,[5] есть офисы в Лондоне, Сингапуре, Шампейне, Остине, Бостоне и Вашингтоне.[6]

но критики есть даже у оплотов

Цитата:
https://git.safemobile.org/crimeflare/cloudflare-tor/src/commit/14879fd5cb3e8de8dbed4badd8e213f402b3ccc4/README_ru.md?lang=es-ES
«Великий облачный экран» - компания Cloudflare Inc., США. Он предоставляет услуги CDN (сеть доставки контента), защиту от DDoS, интернет-безопасность и распределенные DNS (сервер доменных имен).   
Cloudflare - крупнейший в мире прокси MITM (обратный прокси). Cloudflare принадлежит более 80% доли рынка CDN, и число пользователей cloudflare растет с каждым днем. Они расширили свою сеть более чем в 100 странах. Cloudflare обслуживает больше веб-трафика, чем Twitter, Amazon, Apple, Instagram, Bing и Wikipedia вместе взятые. Cloudflare предлагает бесплатный план, и многие люди используют его вместо правильной настройки своих серверов. Они обменяли конфиденциальность на удобство.   
Cloudflare находится между вами и исходным веб-сервером, действуя как агент пограничного патруля. Вы не можете подключиться к выбранному месту назначения. Вы подключаетесь к Cloudflare, и вся ваша информация расшифровывается и передается на лету.   
Исходный администратор веб-сервера позволил агенту - Cloudflare - решить, кто может получить доступ к их «веб-собственности», и определить «запретную область».   
Посмотрите на правильное изображение. Вы будете думать, что Cloudflare блокируют только плохих парней. Вы будете думать, что Cloudflare всегда онлайн (никогда не выключаться). Вы будете думать, что законные боты и сканеры могут проиндексировать ваш сайт.   
Однако это совсем не так. Cloudflare блокирует невинных людей без причины. Облако может исчезнуть. Cloudflare блокирует легальных ботов.   
Как и любой другой хостинг, Cloudflare не идеален. Вы увидите этот экран, даже если исходный сервер работает хорошо.   
Вы действительно думаете, что у Cloudflare 100% времени безотказной работы? Вы не представляете, сколько раз Cloudflare гаснет. Если Cloudflare отключится, ваш клиент не сможет получить доступ к вашему веб-сайту.   

Это называется «Большой брандмауэр Китая», который выполняет сопоставимую работу по фильтрации многих людей от просмотра веб-контента (т. Е. Всех в материковом Китае и людей за его пределами), и в то же время тех, кто не подвержен влиянию радикально отличающейся сети. сеть, свободная от цензуры, такая как изображение «танкиста» и история «протестов на площади Тяньаньмэнь».   
Cloudflare обладает большой силой. В некотором смысле они контролируют то, что в конечном итоге видит конечный пользователь. Вы не можете просматривать веб-сайт из-за Cloudflare.   
Cloudflare можно использовать для цензуры.
« Последнее редактирование: 21 Октября 2021, 21:47:33 от Oleg » Записан
Oleg
Модератор своей темы
Ветеран
*
Сообщений: 6433


Ёжик в нирване youtube.com/watch?v=YHk


Просмотр профиля
« Ответ #13 : 26 Октября 2021, 04:27:02 »

Баунтистам на заметку

https://ostif.org/category/bug-bounties/

2)
Цитата:
https://itnan.ru/?h=3666

Власти 11 стран используют троян Pegasus под iOS и Android для слежки за общественными активистами

Pegasus, созданный для взлома телефонов преступников, использовали против журналистов и активистов
« Последнее редактирование: 26 Октября 2021, 05:30:12 от Oleg » Записан
Oleg
Модератор своей темы
Ветеран
*
Сообщений: 6433


Ёжик в нирване youtube.com/watch?v=YHk


Просмотр профиля
« Ответ #14 : 02 Ноября 2021, 15:24:18 »

Цитата:
https://4pda.to/forum/index.php?showtopic=717365&st=20600#entry95218586

31.03.20
Москвичам с апреля приготовиться, следующие Мухосрански и пр замкадыши )
все идет по Плану: "Для системы распознавания лиц мэрия также закупила серверы, устройства обработки данных и компьютеры с графическими ускорителями американской Nvidia на 1,2 млрд руб. у компании «МаксимаТелеком», сообщал “Ъ” 20 ноября 2019 года.")
...Никакого вируса еще НЕ БЫЛО.



Обратите внимание, братия, на чрезмерную злокозненность зверя, на ухищрения его лукавства: начинает он с чрева, чтобы человек, доведенный до крайности недостатком пищи, принужден был принять его печать. И будет полагать свою печать сей скверный не на каком бы то ни было члене тела, но, чтобы не затруднялись сим, будет полагать её на правой руке человека.

Записан
Страниц: [1] 2  Все Печать 
« предыдущая тема следующая тема »
Перейти в:  


Войти

Powered by SMF 1.1.10 | SMF © 2006-2009, Simple Machines LLC