Рубрика «конфиденциальность» - 2

Протестующие в Гонконге обнаружили, что Telegram показывает телефонный номер независимо от настроек конфиденциальности - 1
Схема эксплоита. Слева направо: 1) скрипт генерирует контакт-лист с 10 000 телефонных номеров по порядку, 2) добавляется в группу протестующих, 3) Telegram сообщает, какие пользователи из контакт-листа уже есть в группе, 4) скрипт генерирует новый контакт-лист и повторяет вышеописанные действия, пока не переберёт все номера

«Защищённый» мессенджер Telegram с шифрованием коммуникаций предположительно помогает сохранить анонимность пользователей — и поэтому широко используется участниками протестных акций в Гонконге. Но в последние дни среди них поднялась настоящая паника: по каналам распространяется сообщение, что у полиции есть способ определять телефонные номера пользователей Telegram.

Компания Telegram признала баг с утечкой конфиденциальных данных. Она также пояснила, что это не баг, а фича.
Читать полностью »

Вот уже полгода Facebook ведёт яростную защиту от иска, поданного генеральным прокурором округа Колумбия. Юристы Facebook отрицают абсолютно всё, что выдвигает прокуратура. Доходит до смешного: компания даже оспаривает, что вообще является социальной сетью.

Генеральный прокурор Карл Расин (Karl Racine) подал иск против компании в декабре 2018 года. Он заявил, что действия Facebook, связанные с утечкой данных Cambridge Analytica, нарушают закон «О защите прав потребителей» округа Колумбия. Через компанию Cambridge Analytica предвыборный штаб Трампа получил доступ к подробным профилям более 50 млн американских пользователей Facebook, в том числе конфиденциальным данным. Facebook говорит, что Cambridge Analytica в 2015 году обещала удалить эти данные.
Читать полностью »

Конфиденциальность данных, IoT и Mozilla WebThings - 1

От переводчика: краткий пересказ статьи

Централизация устройств умного дома (вроде Apple Home Kit, Xiaomi и прочих) — это плохо, потому что:

  1. Пользователь становится зависим от определённого вендора, ведь устройства не могут общаться между собой за пределами одного производителя;
  2. Вендоры используют даные о пользователях по своему усмотрению, не оставляя пользователю выбора;
  3. Централизация делает пользователя более уязвимым, поскольку при хакерской атаке становятся уязвимыми сразу миллионы пользователей.

Mozilla провели исследование, в котором выяснили:

  1. Некоторые пользователи готовы пожертвовать конфиденциальностью данных ради комфорта;
  2. Большинство привыкло, что о них собирают данные, и удивляются, когда этого не происходит;
  3. Значительной части пользователей хотелось бы отказаться от слежки, но у них нет выбора.

Mozilla развивает свой стандарт умного дома, и призывает всех идти к децентрализации и изоляции. Их шлюз WebThings вообще не собирает никаких данных, и может работать полностью автономно.

Дальше пойдут подробности, ссылки, результаты исследований Mozilla.

Устройства умного дома помогают сделать жизнь чуточку легче, но в то же время для работы они требуют передачи контроля над вашей информацией своим компаниям-производителям. В недавней статье от New York Times Privacy Project о защите конфиденциальности онлайн, автор рекомендовал покупать устройства IoT только в том случае, когда пользователь «готов пожертвовать некоторой приватностью ради удобства».

Читать полностью »

Рассказываем о потенциальной угрозе безопасности и приватности при использовании SMS.

«Исторически так сложилось»

Кто впервые сталкивался с мобильным телефоном, помимо звонков, узнавал о наличии коротких текстовых сообщений. И если изначально сообщения чаще использовались для обмена информацией без участия живого оператора (вспоминаем пейджер), то теперь они превратились в главный инструмент уведомлений и верификаций.

Мы провели тематический опрос в нашем телеграм-канале:

Скрытые угрозы SMS: сотовый оператор знает слишком много - 1

Результат: 87% используют SMS. Не всем очевидно, но ответ «Только для получения уведомлений» угрожает приватности ещё больше, чем SMS-переписка с кем-то, у кого нет мессенджеров. Поздравляя родственника с праздниками, вы задумываетесь, о чём пишете. Кто отправляют уведомления — нет.Читать полностью »

Несколько предыдущих статей в нашем блоге были посвящены вопросу безопасности персональной информации, которая пересылается при помощи мессенджеров и социальных сетей. Теперь пришло время поговорить о мерах предосторожности относительно физического доступа к устройствам.

Читать полностью »

Привет.
Мы к вам с новостью: бесплатных VPN не бывает. Вы платите всегда — просмотром рекламы или собственными данными. Для апологетов базовой идеи об анонимности в интернете последний способ оплаты особенно неприятен. Проблема в том, что продавать или передавать информацию о вас третьим лицам вы разрешаете сами.

image

Пользовательские соглашения есть везде, но кто их читает? Летом 2017 года 22 000 британцев согласились на уборку общественных туалетов, войдя в интернет через публичную сеть Wi-Fi (интересно, на что мы соглашаемся, подключаясь к Wi-Fi в российском метро). Некоммерческий проект The Best VPN Services провёл исследование и выяснил, что некоторые VPN-провайдеры делятся данными пользователей «легально» — это прописано в User Agreement даже самых популярных из них. Сегодня ровно год с момента публикации того материала, и мы решили посмотреть, осталась ли информация в исследовании актуальной.Читать полностью »

В феврале мы опубликовали статью «Не VPN-ом единым. Шпаргалка о том, как обезопасить себя и свои данные». Один из комментариев побудил нас написать продолжение статьи. Эта часть — вполне автономный источник информации, но всё же рекомендуем ознакомиться с обоими постами.

Новый пост посвящён вопросу защищённости данных (переписка, фото, видео, вот это всё) в мессенджерах и самих устройств, которые используются для работы с приложениями.Читать полностью »

За последний год, а особенно после скандала с Facebook и Cambridge Analytica, в Европе и США начали активно появляться статьи о нарушении конфиденциальности данных IT-компаниями. В особенности со стороны Google и Facebook. Большая часть этих историй преподносится как «вопиющий акт недобросовестного использования личных данных пользователей для политических манипуляций и в рекламных целях». Для кого-то это и так было очевидно, но для многих обычных пользователей — данный факт стал неким сюрпризом и горячей темой для обсуждений.

Почему-то некоторые люди забыли или может даже не знали, что Facebook и Google являются скорее компаниями по предоставлению рекламы, и именно огромный и стабильный доход с рекламы позволяет им спокойно заниматься какими-то инновациями. Почему-то также стал чем-то невероятным тот факт, что именно они (пользователи) скорее являются продуктом компании, нежели всякие специально созданные для них сервисы.

И что же произошло, когда спала эта пелена перед глазами? Да, в принципе ничего. Конечно, какая-никакая осведомленность появилась, но все равно все продолжали пользоваться Facebook и Google. И причина в том, что отказаться от подобных сервисов достаточно трудно, если вы хотите просто пользоваться интернетом.
Читать полностью »

Массачусетский Технологический институт. Курс лекций #6.858. «Безопасность компьютерных систем». Николай Зельдович, Джеймс Микенс. 2014 год

Computer Systems Security — это курс о разработке и внедрении защищенных компьютерных систем. Лекции охватывают модели угроз, атаки, которые ставят под угрозу безопасность, и методы обеспечения безопасности на основе последних научных работ. Темы включают в себя безопасность операционной системы (ОС), возможности, управление потоками информации, языковую безопасность, сетевые протоколы, аппаратную защиту и безопасность в веб-приложениях.

Лекция 1: «Вступление: модели угроз» Часть 1 / Часть 2 / Часть 3
Лекция 2: «Контроль хакерских атак» Часть 1 / Часть 2 / Часть 3
Лекция 3: «Переполнение буфера: эксплойты и защита» Часть 1 / Часть 2 / Часть 3
Лекция 4: «Разделение привилегий» Часть 1 / Часть 2 / Часть 3
Лекция 5: «Откуда берутся ошибки систем безопасности» Часть 1 / Часть 2
Лекция 6: «Возможности» Часть 1 / Часть 2 / Часть 3
Лекция 7: «Песочница Native Client» Часть 1 / Часть 2 / Часть 3
Лекция 8: «Модель сетевой безопасности» Часть 1 / Часть 2 / Часть 3
Лекция 9: «Безопасность Web-приложений» Часть 1 / Часть 2 / Часть 3
Лекция 10: «Символьное выполнение» Часть 1 / Часть 2 / Часть 3
Лекция 11: «Язык программирования Ur/Web» Часть 1 / Часть 2 / Часть 3
Лекция 12: «Сетевая безопасность» Часть 1 / Часть 2 / Часть 3
Лекция 13: «Сетевые протоколы» Часть 1 / Часть 2 / Часть 3
Лекция 14: «SSL и HTTPS» Часть 1 / Часть 2 / Часть 3
Лекция 15: «Медицинское программное обеспечение» Часть 1 / Часть 2 / Часть 3
Лекция 16: «Атаки через побочный канал» Часть 1 / Часть 2 / Часть 3
Лекция 17: «Аутентификация пользователя» Часть 1 / Часть 2 / Часть 3
Лекция 18: «Частный просмотр интернета» Часть 1 / Часть 2 / Часть 3
Лекция 19: «Анонимные сети» Часть 1 / Часть 2 / Часть 3Читать полностью »

Массачусетский Технологический институт. Курс лекций #6.858. «Безопасность компьютерных систем». Николай Зельдович, Джеймс Микенс. 2014 год

Computer Systems Security — это курс о разработке и внедрении защищенных компьютерных систем. Лекции охватывают модели угроз, атаки, которые ставят под угрозу безопасность, и методы обеспечения безопасности на основе последних научных работ. Темы включают в себя безопасность операционной системы (ОС), возможности, управление потоками информации, языковую безопасность, сетевые протоколы, аппаратную защиту и безопасность в веб-приложениях.

Лекция 1: «Вступление: модели угроз» Часть 1 / Часть 2 / Часть 3
Лекция 2: «Контроль хакерских атак» Часть 1 / Часть 2 / Часть 3
Лекция 3: «Переполнение буфера: эксплойты и защита» Часть 1 / Часть 2 / Часть 3
Лекция 4: «Разделение привилегий» Часть 1 / Часть 2 / Часть 3
Лекция 5: «Откуда берутся ошибки систем безопасности» Часть 1 / Часть 2
Лекция 6: «Возможности» Часть 1 / Часть 2 / Часть 3
Лекция 7: «Песочница Native Client» Часть 1 / Часть 2 / Часть 3
Лекция 8: «Модель сетевой безопасности» Часть 1 / Часть 2 / Часть 3
Лекция 9: «Безопасность Web-приложений» Часть 1 / Часть 2 / Часть 3
Лекция 10: «Символьное выполнение» Часть 1 / Часть 2 / Часть 3
Лекция 11: «Язык программирования Ur/Web» Часть 1 / Часть 2 / Часть 3
Лекция 12: «Сетевая безопасность» Часть 1 / Часть 2 / Часть 3
Лекция 13: «Сетевые протоколы» Часть 1 / Часть 2 / Часть 3
Лекция 14: «SSL и HTTPS» Часть 1 / Часть 2 / Часть 3
Лекция 15: «Медицинское программное обеспечение» Часть 1 / Часть 2 / Часть 3
Лекция 16: «Атаки через побочный канал» Часть 1 / Часть 2 / Часть 3
Лекция 17: «Аутентификация пользователя» Часть 1 / Часть 2 / Часть 3
Лекция 18: «Частный просмотр интернета» Часть 1 / Часть 2 / Часть 3
Лекция 19: «Анонимные сети» Часть 1 / Часть 2 / Часть 3Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js