В китайском городском округе Сучжоу (провинция Аньхой) уличные видеокамеры использовались для идентификации людей, носивших «неправильную» одежду. Используя софт для распознавания лиц, чиновники идентифицировали нарушителей и публично стыдили их, выкладывая фотографии и персональные данные в интернете. В департаменте городского управления считали, что таким образом удастся искоренить «нецивилизованные» привычки жителей города. Cloud4Y рассказывает, как всё происходило.Читать полностью »
Автор эссе — Брюс Шнайер, американский криптограф, писатель и специалист по информационной безопасности. Член совета директоров Международной ассоциации криптологических исследований и член консультативного совета Информационного центра электронной приватности. Эссе опубликовано 20 января 2020 года в блоге автора и в газете The New York Times.
Сообщества озабоченных граждан по всей территории США начинают запрещать технологии распознавания лиц. В мае прошлого года их запретили в Сан-Франциско, вскоре последовал соседний Окленд, а также Сомервилл и Бруклин в Массачусетсе (запрет могут распространить на весь штат). В декабре Сан-Диего приостановил программу распознавания лиц в преддверии вступления в силу нового закона. Сорок крупнейших музыкальных фестивалей пообещали не использовать эту технологию, а активисты призывают к общенациональному запрету. Многие кандидаты в президенты от Демократической партии поддерживают хотя бы частичный запрет на распознавание лиц.
Эти усилия продиктованы благими намерениями, но запрет на распознавание лиц — неверный ответ на проблему современной слежки. Внимание к одному конкретному методу идентификации отвлекает от природы того общества наблюдения, которое мы строим, где повсеместная массовая слежка становится нормой. В странах вроде Китая правительство создаёт инфраструктуру тотального наблюдения для контроля над обществом. В странах вроде США она создаётся корпорациями, чтобы влиять на покупательское поведение, и попутно используется правительством.
Читать полностью »
День защиты персональных данных, Минск, 2019 год. Организатор: правозащитная организация Human Constanta.
Ведущий (далее – В): – Артур Хачуян занимается… Можно сказать «на тёмной стороне» в контексте нашей конференции?
Артур Хачуян (далее – АХ): – На стороне корпораций – да.
В: – Он собирает ваши данные, продаёт их корпорациям.
АХ: – На самом деле нет…
В: – И он как раз расскажет, как корпорации могут использовать ваши данные, что происходит с данными, когда они попадают в онлайн. Он не будет, наверное, рассказывать, что с этим делать. Мы подумаем дальше…
АХ: – Расскажу, расскажу. На самом деле долго рассказывать не буду, но на предыдущем мероприятии мне представили человека, которому «Фейсбук» даже аккаунт собаки заблокировал.
Всем привет! Меня зовут Артур. Я действительно занимаюсь обработкой и сбором данных. Конечно же, я не продают никому никакие персональные данные в открытом доступе. Шучу. Моя сфера деятельности – это извлечение знаний из данных, находящихся в открытых источниках. Когда что-то юридически является не персональными данными, но из этого можно извлечь знания и сделать их такими же по значимости, как если бы эти данные были получены из персональных данных. Ничего на самом деле страшного рассказывать не буду. Здесь, правда, про Россию, но про Белоруссию у меня тоже есть цифры.Читать полностью »
Если посмотреть на нашу подборку важных новостей за 2018 год, то может возникнуть ощущение, что в уходящем 2019 году ничего не поменялось. Аппаратные уязвимости по-прежнему выглядят многообещающе (последний пример: обход защиты Software Guard Extensions в процессорах Intel) и все еще не применяются в реальных атаках. Зато применяется на практике машинное обучение, например для высокотехнологичного социального инжиниринга. Имитация голоса руководителя организации помогла украсть миллион евро, а компания Microsoft организовала конкурс на создание алгоритма, детектирующего дипфейки.
Угрозы из Интернета вещей тоже никуда не делись, причем в 2019 году было больше исследований про IoT нового поколения. Свежий пример: "голосовой фишинг" с использованием умных колонок. Все это примеры перспективных атак, которые могут (естественно, внезапно) стать актуальными в будущем. В настоящем же атакуется традиционная инфраструктура: эксперты «Лаборатории Касперского» одной из главных тем года назвали точечные атаки вымогателей-шифровальщиков. Самые громкие новости года были связаны с успешными атаками на инфраструктуру, которая одновременно является критически важной и хронически недофинансированной, — IT-системы в муниципалитетах и больницах.
Из такого большого ассортимента событий в области информационной безопасности трудно выбрать что-то по-настоящему знаковое, и это нормально: теоретические исследования или реальные атаки, радикально меняющие наши представления о защите данных на персональном устройстве или в облаке, к счастью, происходят редко. Поэтому сегодня у нас нестандартный топ новостей: в них нет прорывов или революции, но есть интрига, драма и нетривиальные методы исследования.
Читать полностью »
Уже сегодня банки формируют свои предложения исходя из данных собранных их приложениями на смартфонах клиентов. В частности ставка по кредиту, которую вам предложат, сильно зависит от файлов, размещенных на вашем устройстве, и сайтов, которые вы посещали. Именно поэтому банки так настойчиво предлагают их установить (даже отказывая в обслуживании, сославшись на возможность выполнения этих действий самостоятельно). Для этого банковские клиенты требуют максимальных прав на устройстве. Например, Сбербанк Онлайн утверждает, что ему необходим доступ к файловой системе для… поиска вирусов на устройстве.
В настоящей публикации будет затронут только вопрос приватности информации на смартфонах. Дело в том, что именно эти устройства позволяют получить большое количество информации о своих пользователях в удобном для анализа виде. Я предлагаю простое решение, которое закроет большинство дыр безопасности без сложных и опасных для устройства действий. Можно сказать, что я выделил 20% необходимых усилий, которые приведут к 80% эффекта.
Читать полностью »
Утечка данных по всем машинам «Ситимобила» позволяет отслеживать конкретный автомобиль по его координатам. Мы не знаем фамилии водителя или номера, но видим его перемещения. Можете посмотреть в окно — и проверить, откуда приехало конкретное такси и куда оно повезёт следующего пассажира. Представитель компании не считает это проблемой.
На иллюстрации слева — маршрут таксиста, которого отследили по открытым анонимизированным данным. Krupnikas, статья «Как я нашел способ отследить всех водителей ”Ситимобил”»
Сейчас сбором таких данных через мобильные приложения занимаются десятки компаний. Только они отслеживают перемещения не такси, а людей. Всех людей. Совершенно легально.
Вероятно, о большинстве этих фирм вы никогда не слышали, но для их клиентов ваша жизнь — открытая книга. Они видят, куда вы ходите в течение дня, с кем встречаетесь и с кем спите, посещаете ли метадоновую клинику, кабинет психиатра или тайский массаж.
Это не спецслужбы, не корпорации, а обычные компании с обычными клиентами. Не за горами то время, когда вы тоже за скромную сумму в районе $20 сможете заказать полное информационное досье на своего соседа (и наоборот). Давайте посмотрим, какая информация есть у этих фирм.
Читать полностью »
TL;DR Я тщательно изучил защиту конфиденциальности данных в приложении TikTok и на их сайте. Выявлены многочисленные нарушения законодательства, уязвимости и обман доверия пользователей.
В этой статье технические и юридические детали. В более простом изложении без технических деталей см. статью в Süddeutsche Zeitung (на немецком).
Для перенаправления и анализа трафика использовался mitmproxy. На видео показано, как информация об устройстве, времени использования и список просмотренных видео отправляются в Appsflyer и Facebook.
Компании, отслеживающие действия пользователей в интернете, нуждаются в надёжной идентификации каждого человека без его ведома. Фингерпринтинг через браузер подходит идеально. Никто не заметит, если веб-страница попросит отрисовать фрагмент графики через canvas или сгенерирует звуковой сигнал нулевой громкости, замеряя параметры ответа.
Метод работает по умолчанию во всех браузерах, кроме Tor. Он не требует получения никаких разрешений пользователя.
Читать полностью »
Disclaimer. Специалист по Big Data, Артур Хачуян, рассказал, как соцсети могут читать наши сообщения, как наш телефон нас подслушивает, и кому все это нужно. Эта статья — расшифровка большого интервью. Есть люди, которые экономят время и любят текст, есть те, кто не может на работе или в дороге смотреть видео, но с радостью читает Хабр, есть слабослышащие, для которых звуковая дорожка недоступна или сложна для восприятия. Мы решили для всех них и вас расшифровать отличный контент. Кто всё же предпочитает видео — ссылка в конце.
Каждый день мы что-то пишем, разыскиваем и выкладываем в интернете, и каждый день кто-то следит за нами по ту сторону экрана. Специальные программы сканируют фото, лайки и тексты, чтобы продать наши данные рекламным компаниям или полиции. Можно назвать это паранойей или научной фантастикой, но телефон, круг общения, переписка или ориентация — больше не секрет.Читать полностью »
Вчера, 22 октября, в официальном блоге Mozilla разработчики Firefox представили новые функции браузера, призванные повысить конфиденциальность пользователей при посещении сайтов и дающие возможность отслеживать, какие веб-ресурсы пытаются собирать персональные данные посетителей.
В основу новых функций легла система блокировки сторонних Cookies и криптомайнеров, которая ранее работала «под капотом» Firefox.
Читать полностью »
