Теневой дайджест №9

Сегодня в выпуске:

• Alphabet (холдинг, в состав которого входит Google) разработала приложение для создания вашего собственного VPN.
• Почти все транзакции ZCash и ZClassic являются не анонимными.
• ФБР получает доступ к iPhone, прикладывая пальцы мертвых людей.
• В американских школах начали использовать ИИ для слежения за учениками, чтобы выявлять опасных для себя и общества детей.
• [BugBounty]: Пользователь ХабраХабра нашел несколько критических уязвимостей в teleram.

Alphabet разработала приложение для создания вашего собственного VPN

Google придумали удобное приложение, которое позволит и не слишком разбирающимся в технологиях пользователям легко создать свой VPN-сервер.

На TechCrunch вышла статья о том, что подразделение по кибербезопасности Jigsaw компании Alphabet запустило проект Outline, который позволяет создать и запустить свой VPN-сервер на DigitalOcean (облачный провайдер), а затем дать к нему доступ всей команде.

Даный VPN состоит из двух компонентов: управляющее приложение и клиент.

В настоящее время приложение-менеджер доступно на Windows и Linux, версия для macOS должна вскоре появиться. Клиент доступен на Windows, Android и Chrome OS. Над версиями для macOS и iOS инженеры Jigsaw ещё работают.

Приложение-менеджер — это Electron-приложение, поэтому при использовании похоже на веб-приложение. Outline рекомендует применять DigitalOcean, как хорошо зарекомендовавшего себя облачного хостинг-провайдера. TC пишет, что Outline упрощает работу при создании своего VPN-сервера, как альтернативу можно было бы использовать Algo VPN или Streisand.

Если вы будете применять в качестве провайдера DigitalOcean, приложение откроется в вебе и попросит вас ввести логин, пароль и одноразовый пароль. После этого вам нужно разрешить Outline использовать API DigitalOcean.

Приложение автоматически выберет самую дешёвую «каплю» в «океане» DigitalOcean, которая стоит $5 в месяц за 1TB передачи данных.

По умолчанию Outline генерирует только один ключ. Но вы сами можете добавить больше пользователей, пригласив, например, кого-то из своей команды. Можно использовать управляющее приложение для создания большего числа серверов, удаления серверов или удаления пользователей, если им больше не нужен доступ к серверу. Также сервис сообщает, сколько трафика уходит на каждого пользователя.

Страница приглашения — это просто статичная веб-страница с хостингом на Amazon S3. На ней вам предлагают поставить клиента Outline на телефон или компьютер. Также ваш браузер отобразит ключ в URL при загрузке страницы. Также отмечается, что это является причиной, по которой не стоит приглашать друзей, используя незашифрованные методы: ни Facebook, ни e-mail, — и стоит понимать, что ключ будет отображён в истории браузера. Однако всё настолько просто, что данный метод можно считать отличным опытом для не подкованных технически пользователей.

Сам Outline — это не VPN. Сервис опирается на протокол Shadowsocks, который по факту протоколом VPN не является (если вы знакомы с этой темой, то он не имеет ничего общего с OpenVPN, IPSec или WireGuard). Shadowsocks — проект с открытым исходным кодом для создания зашифрованного прокси-сервера socks5 для перенаправления интернет-трафика. Работа с помощью socks5 выглядит как обычный интернет-трафик, а не как зашифрованные трафики VPN, которые власти уже научились замечать, но при этом шифрование используется. Считается, что данное преимущество может быть отлично использовано в Китае.

Однако вы не можете быть уверены, что весь трафик будет проходить через прокси-сервер — это зависит от вида приложения. Например, клиент Outline не перенаправляет сразу весь ваш трафик Windows на сервер Outline. Таким образом, Outline — хороший инструмент для посещения незапрещённыых ресурсов, но при его использовании вы не станете невидимым в Сети.

Outline разработан при финансировании Google, но всё же имеет открытый исходный код. И можно посмотреть, что там «скрыто». Также сервис был проверен сторонней фирмой по безопасности. Jigsaw собирает информацию о сбоях и все IP-адреса серверов (но не может получить к ним доступ). Также можно выбрать настройки, чтобы делиться бо́льшими данными об использовании.

Ваши Outline-серверы не хранят никакие логи вашего интернет-трафика. Это важно, если власти раздобудут ордер. Они только смогут узнать, сколько трафика использовал каждый пользователь на данном сервере. Но считается, что нет возможности подключиться к точкам и узнать, кто стоит за конкретным сервером Outline. Самый большой риск — DigitalOcean. Вы должны ввести своё имя, e-mail, номер кредитной карты при создании аккаунта в этом сервисе. Власти могут просто спросить у DigitalOcean, кто заплатил за ваш Outline-сервер, и выйти на вас.

Outline — это неплохой компромисс в конфиденциальности между безопасностью и доступностью при посещении подвергнутых цензуре сайтов.

via «Код Дурова».

Почти все транзакции ZCash и ZClassic являются не анонимными

Большинство криптовалют не так анонимны, как представляет себе рядовой пользователь. Дело в том, что блокчейны всех монет являются публичными, т.е. открытыми. Как и в случае с биткоином, возможно проведение комплексного анализа транзакций с целью выявления пользователей криптовалюты. Другие "анонимные" монетки — например Zcash и Zclassic, на самом деле так прекрасны и не обеспечивают заявленную конфиденциальность.

Zcash и Zclassic подразумевают приватные транзакции, осуществляемые посредством так называемого «доказательства с нулевым разглашением» — интерактивного криптографического протокола, позволяющего одной из взаимодействующих сторон («The verifier» — проверяющей) убедиться в достоверности какого-либо утверждения (обычно математического), не имея при этом никакой другой информации от второй стороны («The prover» — доказывающей).  В рамках Zcash и Zclassic данный протокол получил название zk-SNARKS.

Осуществление приватной транзакции требует гораздо большей вычислительной мощности, чем для осуществления обычной, именно поэтому майнерам Z-монеток приходится тратить больше ресурсов для подтверждения анонимных транзакций.

Пользователи данной крипты заявляют, что не все транзакции являются приватными, т.к. создание приватных транзакций очень сильно нагружает сеть, и именно поэтому блокчейны Zcash и Zclassic просто не в состоянии обслужить все анонимные транзакции из-за их растущего числа. Некоторые кошельки Zcash даже не поддерживают возможность проведения приватных транзакций. В своем блоге, разработчики Zcash заявили, что очень надеются, что в будущем все транзакции будут приватными. Следующее обновление обещает более быструю обработку транзакций, что возможно улучшит ситуацию, которая просто плачевная.

По данным исследования, проведенного Alex Vikati and Edwin Ong, 85% сделок Zcash прозрачны, являются прослеживаемыми и публичными. Из оставшихся 15% приватных сделок в приватными являются только 7%.

Если же говорить о Zclassic, то у него похожая ситуация — порядка 69% транзакций являются публичными. Исследователи выявили, что реально приватных сделок в блокчейне classic — порядка 16%, а "приватных" (которые стали прозрачными) — порядка 15%.

Исследователи также обнаружили, что, несмотря на увеличение общего количества транзакций как Zcash, так и Zclassic, процент приватных транзакций снизился за последний год с 32% в феврале 2017 года до 11% в феврале 2018 года.

Еще один фактором, который свидетельствует о ненадежности Z-монеток, является непринятие их различными мировыми даркмаркетами. Все они используют Monero. Чего мы и вам советуем, если для вас важна анонимность ваших криптовалютных операций.

ФБР получает доступ к iPhone, прикладывая пальцы мертвых людей

Согласно заявлению судебного эксперта ФБР Боба Моледора (Bob Moledor), агенты ФБР прикладывают пальцы мертвых преступников для разблокировки тех моделей iPhone, в которых предусмотрена возможность снятия защиты с помощью отпечатка пальцев. В качестве примера Моледор приводит нападение на группу людей на территории Университета штата Огайо, совершенное 18-летним выходцем из Сомали Абдулом Разаком Али Артаном.

Тогда агент ФБР приложил палец мертвого преступника для снятия защиты, предусмотренной компанией Apple в своих устройствах. Напомним, что Артан подозревался в связях с группировкой ИГИЛ, при себе у него был iPhone 5S, первая модель, в которой была реализована возможность разблокирования смартфона при помощи отпечатка пальца.

Также некоторые источники, близкие к местным и федеральным полицейским расследованиям в Нью-Йорке и Огайо, пожелавшие остаться анонимными, утверждают, что такая практика вошла в привычку у агентов ФБР.

Так как Apple достаточно хорошо защитила свои устройства благодаря шифрованию, вопрос разблокировки смартфонов преступников стоит для правоохранителей довольно остро.

Анонимные источники сообщали об одном случае передозировки наркотиками, когда ФБР была применена та же схема снятия защиты при помощи отпечатков мертвого человека. Тогда агенты надеялись найти в телефоне информацию, которая бы привела их к наркодилеру. Интересный момент заключается в том, что это абсолютно законно, хотя могут возникать вопросы этического характера.

«Нам не нужен никакой ордер, если мы хотим заглянуть в телефон жертвы», — отмечает детектив Роберт Катшелл.

Некоторые эксперты выразили беспокойство по поводу того, что отпечатки пальцев мертвых людей теперь будут использоваться агентами повсеместно, они предлагают сделать наличие ордера необходимым в таких случаях.

В американских школах начали использовать ИИ для слежения за учениками, чтобы выявлять опасных для себя и общества детей

Высшая техшкола Шошин Вэлли начала следить за учениками в соцсетях с помощью ИИ, чтобы выявлять тех, кто может быть опасен для себя и для общества. Она стала одной из многих школ, внедривших эту технологию в свои системы безопасности. О случае Шошин Вэлли рассказало местное издание WBUR.

Систему отслеживания разработала для школы аналитическая компания Social Sentinel. В разговоре с журналистами гендиректор фирмы Гэри Марголис (Gary Margolis) рассказал, что Social Sentinel работает с лингвистами и психологами, чтобы натренировать свой искусственный интеллект.

Компания использует собственную «библиотеку угроз», состоящую из 450 тысяч различных индикаторов, указывающих на то, что ученик может нанести вред себе или окружающим. ИИ маркирует потенциально проблемных учащихся и в теории поможет школе предотвратить происшествие.

«Мы сделали шаг назад и посмотрели на язык, который использовали стрелки в школах в своих манифестах, опубликованных в соцсетях. И мы попытались выявить паттерны и сходства. Мы можем научить компьютеры идентифицировать такие нюансы». — Гэри Марголис, гендиректор Social Sentinel

По данным WBUR, учащиеся школы «даже не догадывались», что их учебное заведение использует подобные технологии. Марголис заявил журналистам, что компания считает себя не «инструментом наблюдения, мониторинга или расследования», а «системой предупреждения угроз».

Social Sentinel работала над системой совместно с полицейскими, до того как открыла доступ к ней для школ. Услуги компании обходятся Шошин Вэлли в 10$ тысяч в год, но фирма отказалась раскрывать, насколько успешно работает её ИИ.

В городе Арлингтон систему внедрили на уровне полицейского управления: она анализирует сообщения от учеников сразу во всех школах города. По словам начальника полиции Фреда Райана, благодаря Social Sentinel сотрудники недавно смогли спасти ученика, который планировал покончить жизнь самоубийством.

Шошин Вэлли не единственная школа, которая начала практиковать подобный подход к безопасности на фоне случаев массовой стрельбы. Школа Mайами-Дейд запросила 30 миллионов из бюджета штата на увеличение системы безопасности, включая найм сотрудников для отслеживания соцсетей.

Школы в техасском округе Уилсон и в штате Теннесси также используют системы мониторинга социальных сетей. А учебные заведения в Нью-Йорке и Флориде потратили миллионы долларов на создание круглосуточного наблюдения, которое включает распознавание лиц и биометрические сенсоры.

[BugBounty]: Пользователь ХабраХабра нашел несколько критических уязвимостей в teleram

Исследователь безопасности, известный на «Хабрахабр» как w9w, обнаружил в мессенджере Telegram ряд серьезных уязвимостей. По словам исследователя, защищенный мессенджер не такой защищенный, как принято считать. Так, мошенники могут использовать ссылки t.me для заманивания пользователей на фишинговые сайты, конфиденциальность приватных чатов оставляет желать лучшего, а публикации в сервисе Telegraph могут редактировать посторонние.

Как отметил исследователь, «на t.me присутствуют явные проблемы с запретом индексации конфиденциального контента». Коды Telegram-ботов появляются в результатах поиска поисковых систем из-за отсутствия в robots соответствующих запретов. Отсутствие robots файла приводит к выявлению первой уязвимости — Disclosure Information.  Злоумышленник может воспользоваться этим для получения данных пользователей. Помимо электронных адресов, являющихся публичной информацией, таким образом хакер способен также получить доступ в приватные чаты и каналы.

Вторая обнаруженная исследователем уязвимость — Open Redirect.

«Уязвимость позволяет сделать прямой редирект из t.me на любой фишинговый сайт, скачивание трояна, вредоносный js (например, js майнер или использование последнего 0-day в процессорах intel) и др.», — пишет w9w.

С ее помощью злоумышленник может отредактировать чужую статью в Telegraph, имея в своем распоряжении лишь номер страницы page_id.

Третьей уязвимостью оказалась межсайтовая подделка запросов — CSRF. Токен находится в исходнике статьи, например, статье telegra.ph/Durov-01-22 принадлежит id 7f0d501375c9e2acbd1ef.

Исследователь сообщил разработчикам Telegram о своих находках в рамках программы выплаты вознаграждения за обнаруженные уязвимости. За первую из них он получил €50, за Open Redirect – €100, а за CSRF в Telegraph – €1400.

Черный Рынок - название говорит само за себя. Оригинальная одежда и техника за половину стоимости.

Гражданская Оборона - самооборона от А до Я, обзоры травматического и огнестрельного оружия, самозащита в физическом и юридическом планах.

Дурман - наркотики и их медицинское употребление, увлекательные трип-репорты, виды веществ, их свойства и последствия употребления.

привет, я Марк - мой личный блог, будни злого кардера-алкоголика. Спасибо за внимание!