[t.me/rks_tech_talk/228]

Очередные новости про функцию "Частный узел" от Apple (это их платный аналог VPN, который не работает в России). В браузере Safari в IOS 15 с подключенным "Частным узлом" исследователи обнаружили утечку IP-адреса через WebRTC, которая позволяет вебсайту узнать реальный адрес клиента.

WebRTC - распространенная технология, на которой работает, например, Google Meet, Jitsi Meet и еще куча подобных сервисов, которым нужно связывать клиентов напрямую, как правило, для звонка. А утечка связана с механизмом, при помощи которого браузеры пытаются найти друг друга. Оказывается, в Safari в IOS этот трафик идет не через "Частный узел", а мимо, то есть напрямую.

Проблема - позорная, ей сто лет и все коммерческие провайдеры VPN умеют такое решать. А тут Apple, который одновременно разработчик браузера, операционной системы, и самого сервиса "Частный узел". Наверное, очень быстро пофиксят.

Ссылка: fingerprintjs.com/blog/ios15-i

[t.me/rks_tech_talk/227]

💬«VPN-блокировки не за горами, но с ними можно бороться»

Почти два года назад в силу вступил Закон о «суверенном Рунете», согласно которому, российский сегмент интернета должен «централизованно управляться Роскомнадзором». Однако для осуществления полного контроля над интернетом Роскомнадзору мешают VPN-сервисы.

Технические специалисты «РосКомСвободы» разобрались в сути вопроса и объяснили, каким образом россияне могут бороться с цензурой в Сети.

Здесь – перечень текущего состояния VPN-протоколов, их возможности и принципы работы:

➡️ roskomsvoboda.org/post/vpn-sop

❗️Напомним, что надёжный VPN-сервис вы можете приобрести в нашем маркетплейсе VPNlove.me. Там мы собрали все проверенные нами сервисы, которым доверяем и пользуемся сами.

[t.me/rks_tech_talk/226]

EFF официально отправляет на пенсию легендарное расширение для браузеров HTTPS Everywhere, которое было нужно, чтобы автоматически перекидывать пользователей на зашифрованную (https) версию сайтов. То есть технически оно еще будет работать до конца 2022 года, но EFF считает, что смысла в нем больше нет - во всех популярных браузерах теперь есть встроенная поддержка режима "только HTTPS".

Как включить родной режим "только HTTPS" в браузерах:

Chrome: Настройки - Конфиденциальность и безопасность - Безопасность - Всегда использовать безопасные соединения
Firefox: Настройки - Приватность и защита - Режим "только HTTPS"
А в Safari 15, который вышел позавчера, ничего даже включать не надо - в нем по-умолчанию включена функция HTTPS upgrade.

Ссылка: eff.org/deeplinks/2021/09/http

[t.me/rks_tech_talk/225]

Министерство обороны Литвы опубликовало результаты собственного исследования безопасности трех популярных китайских смартфонов с поддержкой 5G: Huawei P40 5G, Xiaomi Mi 10T 5G и OnePlus 8T 5G.

Результаты: смартфоны Xiaomi отсылают скрытую зашифрованную смску в при регистрации нового смартфона в Xiaomi Cloud, какие-то метаданные. А еще аудиторы нашли на телефоне Xiaomi обновляемый файл

/data/user/0/com.android.thememanager/files/MiAdBlacklistConfig

со списком терминов, запрещенных в Китае. Список стандартный: "Свободный Тибет", "Независимость Монголии", "Демократическое движение", "Голос Америки", "Да здравствует независимость Тайваня", названия каких-то исламских организаций. Всего 449 строк. В ЕС фильтрация отключена, но, если Xiaomi захочет, может удаленно включить.

А больше аудиторы особо ничего не нашли, только что обновления безопасности поздно приходят, но это мы и так знаем.

Ссылка (pdf на литовском): kam.lt/download/72223/5g-cn-ty

[t.me/rks_tech_talk/224]

Тестирование блокировок VPN продолжаются. Сейчас блокируется на ТСПУ страница саппорта NordVPN, а пользователи из регионов сообщают о проблемах самого NordVPN.

[t.me/rks_tech_talk/223]

Вчера вышла IOS 15/IpadOS 15.

Обещанная функция "Частный узел", которая должна была быть новым крутым VPN от Apple, "не поддерживается некоторых странах и регионах, в числе которых - Россия." Поэтому в настройках Safari опцию "скрытие IP-адреса от вебсайтов" (тот же "Частный узел", только настройка в другом месте) в России тоже не завезли.

Все остальное вроде есть:

• Теперь в Safari можно скрывать IP-адрес от трекеров: Настройки - Safari - Конфиденциальность и безопасность - Скрытие IP-адреса - От трекеров.
• В почтовом клиенте появилась опция "Защита конфиденциальности": Настройки - Почта - Защита конфиденциальности. Она сама скачивает картинки из email-ов в промежуточное хранилище, Apple Privacy Cache, а потом показывает пользователю уже оттуда, когда он их запросит. Это мешает компаниям, рассылающим маркетинговые имейлы, следить за тем, открывали ли имейл, и откуда.
• В "Настройки - Конфиденциальность - Отслеживание активности" появилась возможность сохранять, какие приложения запрашивали какие разрешения (например, геопозицию и микрофон) за последние семь дней.
• Появилась возможность сохранять коды двухфакторной аутентификации во встроенной хранилке паролей и подставлять оттуда: "Настройки - Пароли - Настроить код проверки".
• Ссылки звонков мессенджера Facetime теперь можно отправлять пользователям, у которых нет гаджетов Apple. Это ссылки типа https://facetime/apple.com/join/#, они открываются браузером.
• Появилась возможность разрешить приложению доступ к геопозиции однократно.
• Только для платных подписчиков iCloud+ (50 гигабайт за 59 рублей в месяц) завезли функцию "iСloud - Скрыть e-мейл". Это алиасы для пересылки в домене @icloud.com.

А еще Apple больше не заставляет переходить на последнюю мажорную (в смысле "большую") версию своей мобильной операционной системы, чтобы получать обновления безопасности. Можно остаться на IOS 14 и продолжать их получать, это само по себе новость.

Ссылка: apple.com/ios/ios-15/

[t.me/rks_tech_talk/222]

Известный исследователь статистики выборов Сергей Шпилькин обратил внимание, что на сайте российского ЦИК используется новое техническое решение, препятствующее парсингу результатов выборов. "Похоже, они нагенерили случайных кастомных стилей, и каждое число (не цифра) кодируется символом и его стилем. Это не обычный шифр Цезаря".

В сочетании с рейт-лимитингом (ограничением запросов с одного айпи) и капчей эта штука реально пока защищает результаты выборов на сайте ЦИК от автоматического парсинга. Непростое решение, и это же кто-то его специально разрабатывал!

Ссылка: facebook.com/sergey.shpilkin/p

[t.me/rks_tech_talk/221]

Интересный момент тут такой:
- перед текущими выборами «день тишины отменили» для этих выборов
- запрет агитации вступил на сутки раньше - в ночь с 16 на 17 сентября.

[t.me/rks_tech_talk/220]

В полночь Павел Дуров выпустил пост о том, что Телеграм блокирует бот Умного голосования из-за "дня тишины".

"Так как предвыборная кампания в России подошла к концу и начался сам процесс выборов, начинаются так называемые "дни тишины" – закрепленная в законах многих стран традиция, которая предусматривает отсутствие агитации в ходе самих выборов. Мы считаем эту практику легитимной и призываем пользователей Telegram уважать ее – с полуночи по московскому времени мы планируем ограничить функционирование ботов, связанных с предвыборной агитацией."

Ночью также были выпилены фейковые боты

Ссылка:
[1] t.me/durov_russia/32

[t.me/rks_tech_talk/219]

Ого!
«Google removed the app in Russia under pressure after officials threatened to imprison its local employees, a person close to the company said, speaking on condition of anonymity. Apple and Google didn’t immediately respond to requests for comment.»

[t.me/rks_tech_talk/218]

При этом заметьте, гугл-документ с незаконной выборкой разрешённых кандидатов все ещё доступен.

[t.me/rks_tech_talk/217]

Вчера Apple и Google сходили[1] в Совет Федерации на ковёр за «вмешательство в выборы», а сегодня удалили приложение Навального из сторов[2], а Apple ещё и отключил свой почти-VPN для России[3].

Если первое можно назвать скорее вынужденным шагом, чтобы избежать дальнейшей конфронтации, при этом это не сильная репутационная проблема для них, то причина закрытия частного узла пока неизвестна. Но скорее всего то же давление со стороны властей, и если в некоторых странах сервис заранее не запускался (Китай, Беларусь, Колумбия, Египет, Казахстан, Саудовская Аравия, ЮАР, Туркменистан, Уганда, Филиппины), то добавить в этот список новую страну, проблемы не оказалось.

[1] council.gov.ru/events/news/129
[2] iphones.ru/iNotes/apple-otklyu
[3] google.ru/amp/s/www.kommersant

[t.me/rks_tech_talk/216]

Сегодня у многих российских пользователей перестал работать Newpipe, популярный сторонний клиент для Youtube на Android. При этом веб-версия и официальный клиент Youtube - работают. Выглядит так, как будто Newpipe попал под раздачу случайно, а пытаются блокировать что-то другое, но что - пока непонятно.

Кстати, если вы хотите обсуждать, что у кого работает, а что - заблокировано, приходите в чат этого канала t.me/rks_tech_talk_chat .

Ссылка: ntc.party/t/tls-youtube/1311/9

[t.me/rks_tech_talk/215]

Помните, как неделю назад ботнет из роутеров Mikrotik атаковал Яндекс habr.com/ru/company/yandex/blo ? Теперь компания Mikrotik выпустила инструкцию blog.mikrotik.com/security/mer что нужно проверить хозяевам этих роутеров в админке, чтобы убедиться, что ваш гаджет не входит в ботнет:

• System -> Scheduler. Убиваем непонятные скрипты.
• IP -> Socks прокси. Если это не вы сами настраивали, удаляйте.
• L2TP клиент под названием "lvpn" или другие, которые вы не узнаете.
• Правило файрволла в цепочке input для порта 5678.

Попутно напоминают регулярно обновлять прошивки, не "светить" порты наружу в интернет и поменять пароли. Собственно вся история случилась от того, что хозяева кучи роутеров Mikrotik не обновляли их с 2018 года, а сами эти роутеры обновляться не умеют.

В общем, если у вас Mikrotik - лезьте в админку проверять и обновляться.

Кстати, одновременно с этим на сайте Qrator Labs radar.qrator.net/ появилась возможность проверить, входит ли ваш IP-адрес в число известных адресов этого ботнета. Это в верхнем правом углу, окошко называется Meris botnet checker.

Ссылки:
[1] habr.com/ru/company/yandex/blo
[2] blog.mikrotik.com/security/mer
[3] radar.qrator.net/

[t.me/rks_tech_talk/214]

Вчера Microsoft разрешил пользователям совсем отказаться от использования паролей в аккаунте Microsoft и связанных с ним сервисах, например, электронной почте live.com. Для этого нужно установить на телефон их приложение Microsoft Authenticator, привязать его к аккаунту Microsoft и потом отключить пароль в настройках Microsoft аккаунта (Security - additional security - passwordless account). При попытке залогиниться в учетную запись приложение на телефоне предлагает "Утвердить" или "Отклонить".

Кроме этого для беспарольного доступа можно использовать Windows Hello, коды через смс и по имейл, а также физические ключи. Беспарольный доступ также не поддерживается для:

• Xbox 360
• Office 2010/Office for Mac 2011 или более ранних версий
• Windows 8.1, Windows 7 или более ранних версий.
• Windows Remote Desktop.
• Доступа к электронной почте по протоколам IMAP и POP.

В общем, Microsoft пытается избавиться от паролей и считает привязанное устройство более надежным способом аутентификации.

Ссылки:
[1] microsoft.com/security/blog/20
[2] support.microsoft.com/en-us/ac

[t.me/rks_tech_talk/213]

docs.google.com и telegra.ph разблокированы. Но похоже, что за время ночной блокировки запрещённый список разрешённых кандидатов ушёл уже на многие UGC-площадки: Medium, GitHub…

[t.me/rks_tech_talk/212]

Ну понеслось.
Блокировка telegra.ph и на проводах, и на мобильных.

[t.me/rks_tech_talk/211]

Блокирует docs.google.com также МТС практически по всей России.

Итого получается:
- Блокировки на МТС и Мегафоне судя по всему по всей России, за исключением Москвы
- Билайн не блокирует нигде
- В Москве все работает штатно
- Блокировки только у мобильных операторов

[t.me/rks_tech_talk/210]

Судя по сообщениям, docs.google.com блокируют на Мегафон практически по всей России

[t.me/rks_tech_talk/209]

Кроме того, пошли блокировки vpn-сервиса RedShield VPN Влада Здольникова. Судя по всему блокируют по списку ip-адресов сервиса.

Show older
mstdn.netwhood.online

Network neighborhood / Сетевое соседство это открытое сообщество людей, увлекающихся средствами коммуникаций, сетями связи, информационными системами, программированием, и в целом всем, что так или иначе связано с информацией, её движением и влиянием на нашу жизнь.