Автор: Vlad Styran

Свобода слова та бан Трампа в Twitter та Facebook

У зв’язку з довгоочікуваним баном Дональда Трампа у Твіттері та Фейсбуку, з усіх боків чути голосну критику в бік цих компаній. Дехто навіть звинувачує їх в порушенні свободи слова, право на яку гарантується Конституцією США. Більш обізнані в курсі, що Перша поправка стосується відносин між державою та громадянином, а не між користувачем та постачальником послуг. Але наполягають на тому, що знеплатформлення (класне слово, здається, я його вигадав) політиків та суспільних діячів все одно свободі слова шкодить. Я приєднуюся до когорти критиків: я теж вважаю, що соцмережі вчинили неправильно. Бо забанити Трампа треба було ще два роки тому.

Навальний про блокування Трампа в соцмережах

Пояснити, чому Твіттер та Фейсбук цього разу все роблять правильно дуже просто. Треба просто згадати, навіщо нам свобода слова. В демократичному суспільстві свобода слова потрібна для того, щоб зберегти умови для цивілізованої дискусії та не вдаватися до насильства. Якщо свободу слова обмежити, суспільний діалог порушиться і за деякий час призведе до насильницьких дій, наприклад революції. Але якщо усім верствам суспільства, а особливо меншинам, надавати змогу висловлювати свої позиції та аргументувати їх, то є шанс на конструктивний діалог та довготривалі поступ, мир та добробут. Звісно, це не виглядає, як ідеальна модель суспільства, але це найкраще, що нам поки що вдалося вигадати – ну ви в курсі.

Знаючи, навіщо нам свобода слова, дуже просто переконатися, що вона не поширюється на мову ненависті (hate speech) та інші прояви насильства. Заклики до насильницьких дій не можуть користуватися привілеєм свободи слова. Адже мета свободи слова якраз в уникненні насильства.

Це просто, раціонально та логічно. Саме тому це багато кому не подобається. Можна вести полеміку навколо цього скільки завгодно, але якщо спілкуватися конструктивно, то так чи інакше приходимо до цього висновку. Насилля це погано. Діалог це добре. Свобода слова захищає діалог. Заклики до насилля це не діалог.

Signal vs Telegram

Signal (https://signal.org) в тренді після твіта Ілона Маска, і все більше людей звертають на нього увагу. Я не великий шанувальник Ілона, в тому сенсі, що мені дуже подобається те, що він робить, але не завжди подобається те, що він говорить. Та в цьому випадку я тішуся, що таке відбувається, бо чим більше людей користуються захищеними та приватними технологіями, тим краще для людства в цілому.

Проте, на фоні цієї невеликої ейфорії, почастішали запитання від друзів, а чим, власне, Signal краще за… Telegram. Людині, яка займається кібербезпекою, таке питання звучить абсурдно. Тому не ображайся, якщо я реагую неочікувано – яке питання, така і відповідь. Але ж питають, тому мушу засунути его поглибше і відповідати.

Отже, на відміну від Telegram, Signal:

  1. Забезпечує наскрізне шифрування (https://uk.wikipedia.org/wiki/Наскрізне_шифрування) з кінця в кінець – по замовчуванню. Вам не треба для цього створювати спеціальні “секретні” чати, вони там всі такі.
  2. Забезпечує цілковиту пряму секретність (https://uk.wikipedia.org/wiki/Пряма_секретність
  3. Шифрує метадані, тобто дані про те звідки, кому, скільки та як часто ви пересилаєте.
  4. Шифрує мережевий трафік на транспортному рівні.
  5. Не зберігає ваші повідомлення та файли на своїх серверах.
  6. Не колекціонує дані про ваші IP-адреси та мітки часу повідомлень.
  7. Як наслідок, сервери Signal не можуть читати ваші повідомлення.
  8. Додатково, ви можете перевірити справжність контакту, в тому числі вручну.
  9. Вам повідомлять про зміни контактів (новий телефон, новий номер тощо).
  10. А ще в Signal, на відміну від Telegram, немає планів на монетизацію.
  11. Він не походить з Росії. 
  12. І він не належить Дурову.

Як бачите, міф про безпечність Телеграму грунтується здебільшого на заявах Павла Дурова. Це непоганий інструмент, але він скоріше нагадує соціальну мережу. Справді, мало є аналогів, де ви можете зібрати тисячі користувачів на канал чи в групу, та миттєво доставляти їм свої повідомлення. І в цьому сенсі, як інструмент соціалізації, Телеграм несе менше загроз приватності, ніж, скажімо, Facebook чи Instagram. Хоча і має при цьому низку вад, таких як слабка модерація та контроль за спамом. Щоправда, це компенсується його низькою популярністю. Але стверджувати, що Телеграм це захищений месенджер – це щонайменше перебільшення.

Вам навряд чи вдасться повністю відмовитись від використання Telegram. Але принаймні не користуватися ним для чогось більш-менш секретного може кожен. Серед інших рекомендованих інструментів можу назвати Wire (https://wire.com) та Keybase (https://keybase.io), щоправда, останній був куплений Zoom і останнім часом знаходиться в медичній комі. Більше даних для порівняння приватності месенджерів ви можете знайти за цим посиланням: https://www.securemessagingapps.com.

Nissan втратив вихідний код через дефолтні креди у Git

Sesame open admin:admin

Я: — Кібербезпека це важко.

Ще я: — Безпека програмної розробки чи не найважча.

Буквально всі: — Безпека ланцюга постачання…

Nissan: — Залишає в Гіті логін та пароль admin/admin.

Cellebrite vs. Signal

Декілька друзів звернулись до мене днями, вказуючи на статтю на одному з тупорилих пацакських вебсайтів про те, що ніби то Селебрайт зламав Сігнал і ми всі помремо.

Помремо, безумовно, але не від цього.

Ізраїльська фірма Cellebrite заробляє на тому, що розблоковує для копів, федералів та решти нишпорок вилучені у підозрюваних смартфони. І те, що їхню нещодавню заяву про нову можливість розблокування Signal пацакські клікбейтери висвітлюють під кутом “хакери зламали суперзахищений месенджер Сігнал” не може бути ще далі від правди. Офіційну заяву Селебрайту треба читати так:

  1. Якщо у вас досить грошей на наш продукт
  2. Якщо ви забрали у когось смартфон
  3. Якщо наш (чи інший) продукт може його розлочити
  4. Якщо Сігнал буде не оновлено до останньої версії
  5. Ми для вас спи34имо локальні дані з додатка

Якщо такий сценарій входить у вашу модель загроз, то ви напевно наркобарон, терорист номер N (де 1<N<10) або професор-ядерник з Ірану. В будь-якому разі, у вас є серйозніші причини хвилюватись, ніж Селебрайт, який тепер вміє розшифровувати локальне сховище Сігнала.

Якщо ж ви просто крипто-панк, який хоче безпеку через спортивну злість, то можу порадити такі правила:

  • Не читайте про кібербезпеку російською
  • Ввімкніть скрізь тимчасові повідомлення
  • Регулярно видаляйте застарілі чати
  • Нічого не бекапте
  • Не встановлюйте Сігнал на слабко захищені платформи (читати: не iOS)
  • Намагайтесь не про16ати телефон

Якщо ж ваш телефон колись раніше потрапив до ручок ПОО та розвідвідомств, ну тоді в мене для вас погані новини…

Читати офіційний блог компанії.

FireEye hack стає SolarWinds hack і це лише початок

Російські хакери зламали FireEye та виклали в публічний доступ їх інструменти (більшість яких виявились програмами з відкритим вихідним кодом).

Російські хакери зламали FireEye та виклали в публічний доступ їх інструменти (більшість яких виявились програмами з відкритим вихідним кодом).

Але це лише верхівка айсберга. Причиною зламу могла бути складна кібератака через ланцюг постачання розробника програмного забезпечення SolarWinds. Скоріш за все, так само зламали Держказначейство Сполучених Штатів та низку інших державних установ США та інших країн в Пн. Америці, Європі, Азії та на Бл. Сході.

В неділю SolarWinds опублікував пресреліз, в якому визнав компрометацію Orion, програмної платформи для централізованого моніторингу та управління, яка зазвичай використовується у великих мережах для відстеження всіх ІТ-ресурсів, таких як сервери, робочі станції, мобільні телефони та пристрої IoT. Компанія заявила, що версії оновлення Orion 2019.4 – 2020.2.1, випущені в період з березня 2020 року по червень 2020 року, були заражені шкідливим програмним забезпеченням.

В понеділок SolarWinds відзвітувала про інцидент в американську Комісію з цінних паперів (SEC). Зі звіту стало відомо, що з 300,000 клієнтів компанії лише 33,000 користувалися Оріоном, а з тих 33,000 лише 18,000 встановили заражені оновлення. 

Я не розділяю оптимізм компанії, “лише вісімнадцять тисяч” компаній, які можуть дозволити собі продукцію SolarWinds – це цілком серйозна кількість досить важливих цілей. Події навколо інциденту розгортаються, і він, хоч може й не дотягує до NotPetya за руйнівними наслідками, та цілком може переважити його за масштабом впливу.

Тому користуючись нагодою, передаю вітання українській компанії Linkos Group. Думаю, наступні три роки маркетологи безпекових вендорів лякатимуть клієнтів не Медком, а Соларвіндз.