Polisis від Pribot

Перед тим, як ми продовжимо обговорювати нову економіку дії та перейдемо до долі держави в новому цифровому порядку, давайте зробимо невеличкий ліричний відступ.

Перед тим, як ми продовжимо обговорювати нову економіку дії та перейдемо до долі держави в новому цифровому порядку, давайте зробимо невеличкий ліричний відступ.

Поки можновладці мріють про “ідентифікацію користувачів інтернет”, “державу в смартфоні”, “легалізацію блокчейну”, “електронні вибори” та інші плюшки цифрового тоталітаризму, приватний сектор втілює свої мрії в життя. І в цей період року в нас є безліч нагод пригадати, як само це відбувається. Чи не щодня під новий рік нам надходять електронні листи із змінами до так званих “політик приватності” онлайн-сервісів, якими ми користуємось. В дійсності це не політики приватності, а політики спостереження, і в цьому легко переконатися. Достатньо виділити декілька місяців життя на уважне прочитання цих витворів креативної юриспруденції. 

Звісно ж, в дійсності ніхто ці політики не читає. Власне, на це й розраховують їхні автори. Натискаючи “I Agree”, користувачі заганяють себе в цифрове рабство, про яке навіть не здогадуються. Адже ознаки нового наглядового капіталізму безпрецедентні, незнайомі та незвичні для нормальних людей. Що ж робити із цією несправедливістю? Коли користуватися сервісом хочеться, а читати політику – ні? 

Нагадую читачеві про чудовий інструмент – Polisis від Pribot. Неймовірно зручна штука, яка стане в нагоді кожному користувачу інтернету. За допомогою алгоритмів машинного навчання, Полісіс створює наглядну візуалізацію відомих політик приватності та “на пальцях” демонструє нам, хто має доступ до наших даних, хто приймає рішення щодо того, хто має доступ до наших даних, і яка їхня подальша доля. 

Сподіваюся, інструмент буде вам корисний, а результати його використання справлять на вас враження. Дякую всім за реакції та поширення.

https://pribot.org/polisis

Як популярні додатки слідкують за вами

Стислий переказ попередніх серій:
1. Нова цифрова “економіка дії” сконцентрована на масовому колекціонуванні вашої поведінкової інформації.
2. Алгоритми машинного навчання трансформують ваші метадані в поведінкову аналітику.
3. Метадані – це подробиці ваших дій, а не їхня суть. Зокрема в месенджерах важливо з ким, скільки, як часто, в якому об’ємі та звідки територіально ви спілкуєтесь, а не те, що конкретно ви там пишете.
4. Метадані – це ресурс сучасної економіки, який “наглядові капіталісти” викачують з користувачів за допомогою різноманітних трекерів.
5. Лідер в новій економіці спостереження – Гугл. Компанії Фейсбук, Майкрософт та Амазон намагаються складати конкуренцію. Решта – аутсайдери та імітатори, але природного ресурсу поки що вистачає усім.

Сьогодні не буде глобальних тем та запозичених думок. Давайте краще подивимось, які трекери вбудовані в популярні мобільні месенджери.

Отже, Viber. Одразу кажу, це один з найгірших прикладів. В додатку встановлено 12 трекерів. Серед них:
1. Adjust – маркетинговий трекер поведінкової аналітики. Заточений під ідентифікацію користувачів, створення персональних профілів, розширення аудиторії та решту маркетерських штучок.
2. AppMetrica – трекер від російської компанії Яндекс. Займається поширенням реклами та поведінковою аналітикою.
3. AppNexus – трекер компанії Xandr, яка належить американському телеком-гіганту AT&T. Що може бути краще, ніж кореляція активності користувача мобільного із його діями в мобільній мережі?
4. Braze, раніше відомий як Appboy – маркетинговий трекер, досить популярний в різних вертикалях бізнесу. Серед клієнтів KFC, Microsoft, okcupid, ABC News, GAP, CITI та інші.
5. Google Ads та Google DoubleClick – два гіганти реклами, яких на Андроїді просто не уникнути. Користуючись платформою, ви вже й так віддаєте Гуглу практично всі метадані, тому тут немає чого жахатись.
6. Google CrashLytics та Google Firebase Analytics – чисто технічні трекери, загрози майже не становлять.
7. MixPanel – один з небагатьох дійсно успішних незалежних трекерів. Збирає метадані та поведінкову аналітику. Серед клієнтів Twitter, Uber, Skyscanner.
8. myTarget – трекер від російської компанії Mail.Ru Group. Реклама та маркетингова аналітика. Вбудовується в основному в трешак, популярний в російському сегменті.
9. MoPub – рекламний інструмент монетизації мобільних додатків від Twitter.
10. Yandex Ad – поведінкова аналітика, мобільна реклама та надання можливості трекінгу “невизначеним третім сторонам”. Якщо ви розумієте, про що я.

Підсумуємо: під час користування Вайбером, ваші поведінкові дані направляються у 10 спеціалізованих трекерів. Деякі з них займаються рекламою, більшість колекціонують метадані, всі будують моделі за допомогою машинного навчання, три належать російським олігархам, наближеним до уряду Путіна. Найгірша ситуація в тих користувачів, які при цьому знаходяться в мобільній мережі AT&T: за таких умов досягається повна спостережуваність поведінки в реальному часі.

Далі в нас WhatsApp, Instagram та Facebook. Тут все буде зовсім інакше, дивіться. В цих додатках практично немає зовнішніх трекерів, зокрема:
– WhatsApp – лише Google Analytics.
– Instagram – лише Facebook Login.
– Facebook – не вдалося проаналізувати, статичний аналізатор просто зависає на розборі його обфускації.
Питання “чому” – риторичне. Ділитися природними ресурсами – даними про людську поведінку – не в інтересах олігополій епохи наглядового капіталізму. Ці додатки самі по собі є колекторами та трансформаторами поведінкової аналітики, тому знайти в них трекери від Яндексу чи AT&T було б якось дивно. 

Тепер час для ложки меду: в яких месенджерах трекерів немає? 

Threema, платний європейський месенджер, містить один зовнішній трекер геолокації – Mapbox. Улюблений месенджер українських політиків Confide містить лише технічний трекер Google Firebase. Його ж містить Telegram, а також HockeyApp – американсько-німецький трекер користувацьких метрик, що належить Microsoft.

ProtonMail, Signal, Wire – не містять трекерів взагалі.

Ну і на завершення, декілька прикладів додатків з Топ-100 в Україні в форматі назва та кількість вбудованих трекерів.

EasyWay – 2
Квитки УЗ – 3
Укрпошта (бета) – 3
FaceApp – 4
KLO – 5
Privat24 – 6
Nova Poshta – 7
rabota.ua – 7
Алло: просто жити смарт – 7
Citrus.UA (Цитрус) – 7
My Vodafone – 8
Prom.ua – 9
Rozetka – 9
AUTO.RIA – 10 
TikTok Make Your Day – 10
EasyPay – 10
Raketa – доставка еды – 11
Avast Antivirus – 12
Slando/OLX – 14
Glovo – 16

Бережіться.

Нове розуміння приватності

Давайте потроху піднімати питання приватності в її новому розумінні. Почнемо з месенджерів, тому що якщо вам не за 60, то це напевно ваш основний метод комунікацій.

Отже, з приватністю повідомлень все зрозуміло. Спілкування або шифрується наскрізь за замовчуванням, так що у вас просто немає можливості помилитися, або ж ні. Але секретність повідомлень це ще не все.

Для того, щоб отримати про вас цінну інформацію, не потрібно читати ваші повідомлення. Достатньо знати з ким, коли, як часто, в яких об’ємах, з яких пристроїв, та як подовгу ви спілкуєтесь, а також мати уявлення про ваше географічне розташування та ваші дії до та після спілкування. Ці дані називаються метаданими, і їхнє розкриття призводить до компрометації вашої мета-приватності. Масові скупчення метаданих дозволяють сучасним мегакорпораціям, схибленим на поведінковій модифікації, буквально керувати нашими діями, спрямовуючи нашу увагу в потрібний їм бік в моменти, коли ми найбільш вразливі до розміщеного там меседжу. 

Поведінкова модифікація, це основа “економіки дій”, яка є пріоритетом для найбільших корпорацій на планеті – Google, Facebook, Amazon, Microsoft. Всі вони давно навчилися монетизувати метадані та генерувати з них колосальні прибутки. А напрацьовані таким чином моделі даних та алгоритми машинного навчання тепер займаються не лише контекстною рекламою, а й політичною пропагандою. Але зараз давайте зосередимось на тому, як метадані витікають із ваших месенджерів та потрапляють в бази даних цифрових гігантів.

Є така приказка, що коли щось вам дістається безкоштовно – то ви в цій транзакції не покупець, а товар. Це звучить дуже поетично, але насправді в сучасній економіці все давно не так. Все набагато сумніше. Товар це не ви, це ваші метадані. (Або й дані, якщо ви настільки необережні з вибором інструментів.) Ви ж в цій економіці – природний ресурс. Паливо, спалюючи яке, цифрові капіталісти отримують свій капітал – поведінкові алгоритми, навчені на петабайтах згенерованих вами даних. І чим більше в бізнесу даних, тим він успішніший, тому основною задачею сучасної економіки є розташування сенсорів в усіх областях людського життя, та інтенсивне викачування з них поведінкових даних. 

Першість тут звісно ж в холдингу Alphabet, широко відомого по своєму головному бренду Google. Гугл почався як світла надія людства на впорядкування земної інформації в зручному для використання вигляді. Але вже так сталося, що ані заради користі, а щоб тупо не здохнуть, засновники компанії мусили щось робити із фінансовою кризою, яка накрила індустрію буквально за пару років після заснування Гугла. Бум доткомів завершився великим пшиком, коли всі бульбашки голосно луснули, а справжні, чесні стартапи залишилися один на один із розгніваними інвесторами. Які, м’яко кажучи, не поспішали допомагати Силіконовій долині підніматися з колін. Рятуючи компанію від банкрутства, засновники поступилися своїми принципами та суверенітетом, згодувавши його інвестиційному капіталу. Який вимагає від своїх жертв не просто прибутковості, але експоненційного росту. (Бо прибуток обкладається податками, а капіталізація не дуже.) Таким ось чином на світі з’явився Гугл, який останні 15 років ніяка не корпорація добра, а справжнісінький монстр, що харчується метаданими своїх користувачів та монетизує їх у тисячі способів.

Гугл проникає в найбільш потаємні закутки нашого життя та постійно працює над тим, щоб проникнути ще глибше. Почавши з історії пошуку, він дуже швидко перестрибнув в нашу електронну пошту, запустивши 1 квітня 2004 року сервіс Gmail. Після такої перемоги над приватністю, далі справи пішли ще краще, адже ми впустили Гугл в свою пошту, що може бути ще інтимнішим? Якщо не довіряти Гуглу, то кому довіряти? Тому веб-браузер Chrome, смартфони під ОС Android, система супутникового шпіонажу, заснована ЦРУ та ребрендована як Google Earth, Google Maps та Google Street View, на яких можна побачити наші оселі ззовні, та Pokemon Go, який дозволив зазирнути на наш задній двір та за наш поріг – це неповний список перемог Гугла над нашим уявленням про приватність. І скрізь компанія використовувала схожу тактику, стверджуючи, що це нова реальність та новий світовий порядок. А нам не варто сперечатися із сучасними інноваціями, а треба спробувати отримати від них користь. Іншими словами, розслабитись та отримати задоволення.

Гугл завжди був і залишається флагманом нової цифрової економіки. Порівняно із ними Фейсбук, який за останні роки буквально перевернув додолу ногами наше уявлення про демократію та політичні процеси, – це купка криворуких імітаторів. Гугл найбільший інноватор, всі решта або беруть з них приклад, або мріють стати одною із букв Алфавіту. З придбанням Fitbit гугл занурив свої щупальці в тему здоров’я та фізіологічного трекінгу, а про контроль над “розумними домом” я навіть розпочинати не хочу. З іншого боку, якщо ваш телефон працює на стоковому Андроїді, то все написане вище не є найбільшою загрозою вашої приватності.

На цьому зробимо невеличку паузу, а згодом я розповім вам, які трекери метаданих можна знайти в найпопулярніших месенджерах. Ми розберемо декілька прикладів і я поясню, в скількох напрямках викачуються метадані із кожного із них. Якщо у вас є побажання щодо додатків, які нам слід розглянути – запропонуйте їх в коментарях.

Бережіться.

“Як не стати кібер-жертвою” оновлено

Оновлено посібник з персональної кібербезпеки ширше відомий під назвою Don’t Click Shit. Основні зміни: скорочення, оновлення застарілих фрагментів, вилучення нещодавно скомпрометованих опцій, реорганізація вмісту.

tl;dr: 

1. Не натискайте каку

Не відкривайте, не натискайте, та не запускайте підозрілі файли, посилання та програми.
Основне правило: якщо ви на це (лист, файл, посилання тощо) не чекали, це підозріло.

2. Використовуйте парольні менеджери

3. Використовуйте двохфакторну автентифікацію

Посилання на налаштування в різних сервісах: https://twofactorauth.org

4. Використовуйте безпечні месенджери

5. Використовуйте VPN

А також рекомендації з шифрування даних в мережі та на диску, захисту програмного забезпечення, використання персональних антивірусів, фаєрволів, налаштування резервних копій, мобільної та фізичної кібер-безпеки. 

Далі буде.

P.S. Будь ласка, не критикуйте та не викладайте тут коментарі до вмісту посібника. Покажіть, що ви шарите, не тут, а в Pull Request. Дякую.

Як ввмінкнути DNS over HTTPS у вашому браузері

та заборонити вашому інтернет-провайдеру слідкувати за вами

brave://flags/#dns-over-https
chrome://flags/#dns-over-https
edge://flags/#dns-over-https
opera://flags/opera-doh
vivaldi://flags/#dns-over-https

Firefox: `Preferences/Network Settings/Enable DNS over HTTPS`

Safari: як завжди, гальмує 🙂 Брудний хак для macOS (продовжуйте лише якщо розумієте, що далі відбувається):

% brew install cloudflare/cloudflare/cloudflared
% mkdir -p /usr/local/etc/cloudflared/
% cat <<EOT >/usr/local/etc/cloudflared/config.yaml
proxy-dns: true
proxy-dns-upstream:
- https://1.1.1.1/dns-query
- https://1.0.0.1/dns-query
EOT
% sudo cloudflared service install
% dig +short @52.59.201.192 github.com AA

Якщо тест в останньому рядку пройшов успішно, можете змінити системний DNS (`System Preferences/Network/Advanced/DNS`) на 127.0.0.1. Якщо щось не працює, дивіться друге посилання нижче.

Джерела:
https://www.zdnet.com/article/dns-over-https-will-eventually-roll-out-in-all-major-browsers-despite-isp-opposition/
https://gist.github.com/soderlind/6a440cd3c8e017444097cf2c89cc301d