В соцсетях обсуждают высокотехнологичное прозрачное покрытие, которое может становиться матовым и непрозрачным
Вот чёрт!
Совет по архитектуре Интернета (Internet Architecture Board, IAB) предупредил, что политические предложения о сканировании устройств пользователей на предмет нелегального контента, предложенных Евросоюзом, Великобританией и США, угрожают открытому Интернету.
Сканирование на стороне клиента (Client-Side Scanning, CSS) предполагает автоматический анализ файлов на устройствах на наличие незаконных фотографий и других материалов, а затем выполнение определённых действий, таких как пометка документов с последующим их удалением или передачи властям. Основные вопросы касаются потери конфиденциальности в процессе идентификации, точности отчётов и возможных ошибок, приводящих к неправомерным обвинениям.
В августе 2021 года Apple представила свою технологию сканирования на стороне клиента . Технология сканирования Apple вызвала резкую критику других технологических компаний и пользователей по причине нарушения конфиденциальности, в итоге компания отказалась от сканирования и сосредоточилась на предложении шифрования iCloud.
Однако идея сканирования на стороне клиента вновь возвращается в законодательство. IAB против технологий, подразумевающих неограниченный доступ к личному контенту и подрывающих концепцию сквозного шифрования (End-to-End Encryption, E2EE). Организация указывает на опасность использования таких инструментов в целях массового наблюдения и цензуры.
В частности, IAB ссылается на запланированное в Европе « Положение , устанавливающее правила по предотвращению и борьбе с сексуальным насилием над детьми», Закон Великобритании о безопасности в интернете (Online Safety Act, OSA), который вступил в силу в конце октября, и Закон США о зарабатывании денег . Каждый из них предусматривает регулятивные режимы, которые потенциально могут требовать расшифровки зашифрованного контента в поддержку обязательного наблюдения.
IAB признает социальный вред, причиненный распространением нелегального контента в Интернете, и необходимость защиты пользователей Интернета, но утверждает, что всеобщее неизбирательное наблюдение – неверный способ борьбы с запрещенными материалами.
Согласно техническому анализу 2021 года от экспертов в области криптографии, сканирование на стороне клиента нереализуемо и антидемократично, однако организации, занимающиеся безопасностью детей, и технологические компании продолжают лоббировать законодательство, предполагающее использование такой техники.
В IAB считают, что инициативы по сканированию напоминают другие проблемные предложения – прослушивание телефонных разговоров и повсеместное наблюдение. Совет также заявил, что безопасный, отказоустойчивый и совместимый Интернет отвечает общественным интересам и поддерживает права человека на неприкосновенность частной жизни, а также свободу мнений и их выражения.
«Мы против технологий, способствующих наблюдению, так как они ослабляют ожидания пользователя относительно конфиденциальности коммуникаций, что снижает доверие к интернету как к основной платформе общения в современном обществе», – написали в организации.
Правоохранительные органы имеют и другие варианты кроме сканирования на стороне клиента. Например, в 2018 году ФБР создало собственное приложение для зашифрованной коммуникации под названием ANOM и продало более 12 000 таких устройств как минимум 300 преступным группам в более чем 100 странах, используя сеть для массовых арестов в 2021 году.
Стоит напомнить также о двух других зашифрованных сервисах для общения — EncroChat и Sky ECC, которые ранее тоже были взломаны и вскоре закрыты . Как и ANOM, эти мессенджеры были популярны среди преступников для сокрытия своих незаконных операций. Данные из всех трёх сервисов использовались правоохранителями как доказательства для тысяч арестов.
Власти Франции ввели официальный запрет на использование Telegram и WhatsApp членами правительства и министрами. Защищенный Signal тоже в «черном списке» – всех чиновников сгоняют на малоизвестное приложение со 100 тыс. скачиваний. Удалить запрещенные мессенджеры нужно как можно быстрее, крайний срок – 8 декабря 2023 г.
Во Франции введен запрет для министров и членов правительства страны на пользование зарубежными мессенджерами. Отныне они не имеют права коммуницировать в WhatsApp (США), Telegram (Великобритания) и Signal (США), пишет Reuters. О запрете заявила лично премьер-министр Франции Элизабет Борн (Elisabeth Borne).
Удалить перечисленные сообщения госслужащие обязаны не позднее 8 декабря 2023 г. В качестве альтернативы им предложено приложение Olvid, разработанное во Франции, но спросом на момент выхода материала совершенно не пользующееся.
Для сравнения, мессенджер WhatsApp был скачан из магазина Google Play более 5 млрд раз, Telegram – более 1 млрд раз, Signal – свыше 100 млн раз. Количество скачиваний у Olvid – всего лишь в пределах 100 тыс. за более чем пять лет существования сервиса – приложение было загружено в Google Play 27 ноября 2018 г.
Борн объяснила выбор в пользу Olvid тем, что пока это единственный мессенджер, располагающий сертификатом безопасности первого уровня от Национального агентства безопасности информационных систем (ANSSI). Olvid, основанный и развиваемый специалистами в криптографии и поддерживаемый несколькими французскими технологическими акселераторами, «заменит другие системы обмена мгновенными сообщениями, чтобы усилить безопасность диалогов, которые могут содержать конфиденциальную информацию», добавила премьер-министр Франции.
Официальный сайт Olvid гласит, что этот мессенджер не запрашивает у пользователя никакие персональные данные – ни номер телефона, ни ФИО, ни адрес электронной почты, ни даже дату рождения. Кроме того, в отличие от других сервисов обмена сообщениями, Olvid не требует доступ к списку контактов.
Другими словами, в этом плане Olvid напоминает классическую ICQ – раньше этот мессенджер тоже не требовал при регистрации ничего, кроме псевдонима и адреса электронной почты, притом последний можно было ввести фальшивый – на начальном этапе для получения номера UIN он не требовался и нужен был лишь для восстановления пароля.
Reuters также пишет, что на сайте сервиса есть упоминание о том, что Olvid является «первой и единственной системой обмена сообщениями», которая не полагается на какие-либо доверенные третьи стороны и централизованные серверы, а также шифрует метаданные пользователей.
Околонулевую в сравнении с именитыми мессенджерами популярность Olvid можно было бы объяснить тем, что он создавался исключительно для чиновников, но на деле это совершенно не так. Olvid – это обычный мессенджер для широких масс, установить который можно на устройства с Android, iOS, macOS и Windows.
Почему ANSSI удостоило своим сертификатом безопасности только Olvid, к моменту выхода материала известно не было. К его «фишкам» защищенности, помимо возможности не делиться с ним персональными данными, относится лишь сквозное (end-to-end) шифрование, такое же, как в Telegram, WhatsApp и Signal. Последний и вовсе считается самым невзламываемым мессенджером в мире.
Но во Франции действительно существует государственный мессенджер, созданный исключительно для чиновников, в котором простые граждане не имеют права регистрироваться. Он носит название Tchap, и Элизабет Борн даже упомянула его в качестве альтернативы Olvid, но не в контексте имеющихся у него нужных «бумажек». Информации о том, насколько хорошо Olvid противостоит попыткам его взлома, на момент выхода материала не было, но зато имеются подробности о защищенности Tchap.
Запуск Tchap состоялся в середине апреля 2019 г, то есть ему около четырех с половиной лет. ИБ-специалистам потребовалось всего-навсего два дня, чтобы обойти все защитные механизмы – они раскопали в его коде уязвимость, которую успешно проэксплуатировали.
Вполне вероятно, что власти Франции подсмотрели идею заставить чиновников пользоваться только отечественным мессенджером у России. Аналогичные движения в России с переменным успехом идут на протяжении нескольких лет: в частности, чиновников хотят перевести с Telegram на отечественный сервис «Автоматизированное рабочее место госслужащего» (АРМ ГС), созданного холдингом VK. Летом 2023 г. с VK был заключен контракт почти на 1 млрд руб., в рамках которого холдингу потребуется перевести на АРМ ГС около 400 тыс. госслужащих.
В целом, в России существует внушительное количество отечественных мессенджеров. Список сервисов включает, помимо прочих, «Там-Там», «VK мессенджер», «Мессенджер» разработки «Яндекса», а также корпоративные решения eXpress и Compass на замену американским Slack и Microsoft Teams. Упомянутый ICQ – тоже российский, в апреле 2010 г., его за $187,5 млн купил фонд Digital Sky Technologies (DST), являвшийся на тот момент акционером VK. Сейчас ICQ – это собственность VK, он стал ею в результате реорганизации фонда DST.
Менее половины банков соблюдают требования Роскомнадзора.
Большинство российских банков не соблюдают ключевые требования Федерального закона № 152-ФЗ о персональных данных в своих пользовательских соглашениях, об этом сообщили «Ведомости» со ссылкой на исследование компании «Б-152».
В частности, 55% банков, или 162 из 324 работающих в России банков, не указывают конкретные цели сбора и обработки персональных данных клиентов, что стало обязательным с 1 сентября 2022 года. Цели обработки могут быть разными, в том числе информирование об услугах банка, принятие решений о кредитовании, выдача банковских гарантий, организация внутренних аудитов и т.д. Кроме того, 10% банков вообще не имеют политики конфиденциальности на своем сайте, а у двух банков этот документ датируется 2011 годом.
Помимо того, теперь по закону политика обработки персональных данных должна быть размещена на всех страницах сайта, где происходит сбор данных. При этом cookie-файлы и иные идентификаторы пользователя также относятся к ПД, так как позволяют теоретически определить конкретного субъекта и выделить его среди других лиц. Согласно исследованию, только 6,5% политик банков содержали соответствующую информацию об обработке cookie-файлов.
Политики должны обновляться в соответствии с изменениями в законодательстве и в случае изменений в процессах обработки ПД в компаниях, уточнили в «Б-152». При этом РКН наделен полномочиями проведения проверки, если будут найдены три несоответствия политики обработки ПД компании-оператора требованиям регулятора, добавили в компании.
По информации Роскомнадзора, за последние девять месяцев ведомство направило 4000 требований о необходимости приведения политики по обработке персональных данных в соответствие с законом. Большинство из них были выполнены, но около 100 случаев административных правонарушений все же были зафиксированы.
Политика конфиденциальности должна быть составлена таким образом, чтобы клиент мог без проблем в ней разобраться: какие именно данные потребовались организации (в данном случае — банку), для чего организация их собирает, каким образом собирает, на каких правовых основаниях и т.д. Но на практике большинство политик были слишком объемными, сложными и содержали прямые цитаты законодательства, что затрудняет понимание сути документа. Например, тексты некоторых документов по количеству знаков соответствовали объему книги – более 180 000 знаков.
В РКН подчеркнули, что исследование подтверждает необходимость дальнейшего повышения защитной роли государства, установления более строгих требований к операторам, проверки целесообразности сбора и обработки данных, соответствия обработки заявленной деятельности.
В эпоху цифровых технологий анонимность стала одним из ключевых аспектов личной безопасности. Она позволяет нам сохранять личную информацию в тайне, защищая от возможных угроз. Однако, как и все в этом мире, анонимность имеет обратную сторону медали - деанонимизацию. Немного о том, как работает деанонимизация и почему это важно знать каждому из нас.
Деанонимизация — это процесс идентификации личности индивида или организации, скрывающихся за анонимным идентификатором или псевдонимом в цифровом пространстве. Это может включать в себя раскрытие имени, адреса, номера телефона и другой личной информации.
Деанонимизация может быть достигнута различными методами, включая, но не ограничиваясь:
Деанонимизация — это не просто технический процесс, это вопрос, касающийся нашей личной и коллективной безопасности в цифровом мире. Чем больше мы знаем и понимаем об этом процессе, тем лучше мы можем защитить себя от возможных угроз.
Я работаю оператором в компании теле2, тем самым, который ответит вам через 3 минуты.
Допустим есть очень ревнивый парень, который очень ревнует свою девушку. И решает он уличить свою девушку в том, что пока он был на работе, она звонила любовнику. Придя домой, он тайком берёт телефон своей любимой и смотрит вызовы за сегодня. Их нет. Казалось-бы - порадуйся и успокойся, но сомнения точат, ведь ничего не стоит удалить один звонок из истории вызовов в телефоне. И он идёт на отчаянный шаг: зная паспортные данные своей девушки, он звонит оператору( мне тоесть ) в надежде узнать, были ли сегодня звонки с/на номера любимой и куда... И тут мне не дает покоя делема следующего формата: на вопрос абонента, были ли сегодня с этого номера звонки и куда, я не имею права ничего отвечать, кроме "это конфиденциальная информация, я не могу вам ничем помочь". Не могу помочь даже владельцу номера, который предоставит свои паспортные данные в комплекте с ДНК анализом. Никак. Это статья (да, уголовная). Заказывайте детализацию. А если парень будет хитрее и спросит куда у него списались деньги сегодня, я обязан перечислить все вызовы, звонки, сообщения, выходы в интернет и платежи, с указанием точного времени, но, правда, без указания номеров (да, я их вижу, нет, я их не скажу, это статья). Вот такие должностные инструкции.
