Про Privacy Policy от Телеграм. Чот тут бомбануло в очередной раз. Звонят и пишут за камментами. А я только из Петербурга вернулся и устамши.
Отвечу сюда по пунктам:
1. Почему этот документ появился вот прямо сейчас?
Нипочему. Появился бы месяцем раньше — был бы ровно тот же вопрос.
Но нужно понимать, что документы такого плана — очень трудно написать. Не в том смысле, «чтоб было», а вот реальный документ, по которому потом работать. Я лично пытался такой написать — получалось «ниочень».
И главное — PP, как и ToS — это документ с одной строны за гранью здравого смысла (знаменитое «да кто их читает?»), с другой — «политика конфиденциальности» это очень жесткий компромисс между желанием послать к хуям фантазеров из всех видов правительств, лойеров и адвокатов, технических ограничений, защитников приватности, удобством пользователей и еще двести миллионов различных мнений. Ну, и бизнес, конечно.
Потому такие доки пишутся долго, нудно и иногда — кровью.
2. Значит ли появление прайвис-полиси, что «Дуров продался»?
Понятия не имею. Правда, «продажа Дурова», это означает закрытие бизнеса. Или, по-меньшей мере — его торможение. Потому предположу, что таки нетъ.
Что следует, например, из второго документа «Соглашение пользователя». Который, кстати, гениально обходится тремя пунктами (почитайте ToS у вашего провадера — офигеете).
Но главное там приписка к трем пунктам: «граждане ЕС должно быть больше 16 лет».
Но при этом ко всем применяется правила:
1. Спам запрещен
2. Насилие не приветствуется
3. Нелегальная порнуха — запрещена.
Все.
Собственно, и PP (я еще не все прочитал и осмыслил) так же имеют несколько упоминаний, что для Евросоюза есть особые правила. Но они касаются, очевидно, того самого GDPR, что логично. И вот по GDPR, наверное, можно получить какие-то данные про самого себя. Надо попробовать.
3. ААА!!! Телеграм будет сливать все данные ФСБ, АНБ, ЦРУ и Моссаду!!!
На самом деле, там написано ровно одно предложение. п.8.3:
Судебный ордер != запрос от каждого ппсника в мейлрушечку. Это вы, надеюсь, понимаете?
И нет — я не оправдываю Дурова вообще.
4. Transparency Report
На самом деле, вот это самое важное. Это ровно то, чего мы добиваемся от МРГ и вообще всех российских интернет-компаний и провайдеров.
Только раскрытием данных по запросам правоохранительных органов всех стран можно добиться контроля за _фактическим_ исполнением и применением законов, связанных с приватностью.
Ведь все же понимают, что террористы, воры, мошенники, педофилы, наркобарыги — существуют. И их нужно выявлять и сажать тюрьма. Изолировать от общества.
Потому, я лично не только ЗА поимку злодеев, но и принимаю в этом деятельное участие. Но нужно понимать, что контроль за процессом должен быть у общественности. У третьих-пятых лиц. Иначе, гонка за «террористами» может превратиться в сожжение леса вокруг. Этот процесс должен быть понятен и прозрачен.
У каждого запроса по раскрытию приватных данных должен быть долженствующий повод. Должна быть процедура, которую контрлируют несколько человек с различными целеполаганиями.
И вот тут у Телеграма пока недоработано, потому что процедуру [ещё] не опубликовали.
Как, впрочем, пока нет еще и ни одного транспаренси-репорта. Канал https://t.me/transparency — девственно чист.
К слову, дата регистрации канала - 14 августа. так что ждем первого отчета, который мы будем критиковать не менее жестко, чем отсутствие таковых у вообще всех российских компаний.
Отвечу сюда по пунктам:
1. Почему этот документ появился вот прямо сейчас?
Нипочему. Появился бы месяцем раньше — был бы ровно тот же вопрос.
Но нужно понимать, что документы такого плана — очень трудно написать. Не в том смысле, «чтоб было», а вот реальный документ, по которому потом работать. Я лично пытался такой написать — получалось «ниочень».
И главное — PP, как и ToS — это документ с одной строны за гранью здравого смысла (знаменитое «да кто их читает?»), с другой — «политика конфиденциальности» это очень жесткий компромисс между желанием послать к хуям фантазеров из всех видов правительств, лойеров и адвокатов, технических ограничений, защитников приватности, удобством пользователей и еще двести миллионов различных мнений. Ну, и бизнес, конечно.
Потому такие доки пишутся долго, нудно и иногда — кровью.
2. Значит ли появление прайвис-полиси, что «Дуров продался»?
Понятия не имею. Правда, «продажа Дурова», это означает закрытие бизнеса. Или, по-меньшей мере — его торможение. Потому предположу, что таки нетъ.
Что следует, например, из второго документа «Соглашение пользователя». Который, кстати, гениально обходится тремя пунктами (почитайте ToS у вашего провадера — офигеете).
Но главное там приписка к трем пунктам: «граждане ЕС должно быть больше 16 лет».
Но при этом ко всем применяется правила:
1. Спам запрещен
2. Насилие не приветствуется
3. Нелегальная порнуха — запрещена.
Все.
Собственно, и PP (я еще не все прочитал и осмыслил) так же имеют несколько упоминаний, что для Евросоюза есть особые правила. Но они касаются, очевидно, того самого GDPR, что логично. И вот по GDPR, наверное, можно получить какие-то данные про самого себя. Надо попробовать.
3. ААА!!! Телеграм будет сливать все данные ФСБ, АНБ, ЦРУ и Моссаду!!!
На самом деле, там написано ровно одно предложение. п.8.3:
Если Telegram получит судебный ордер, подтверждающий, что вы подозреваемый в террористической деятельности, мы можем раскрыть ваш IP-адрес и номер телефона соответствующим органам.
Судебный ордер != запрос от каждого ппсника в мейлрушечку. Это вы, надеюсь, понимаете?
И нет — я не оправдываю Дурова вообще.
4. Transparency Report
На самом деле, вот это самое важное. Это ровно то, чего мы добиваемся от МРГ и вообще всех российских интернет-компаний и провайдеров.
Только раскрытием данных по запросам правоохранительных органов всех стран можно добиться контроля за _фактическим_ исполнением и применением законов, связанных с приватностью.
Ведь все же понимают, что террористы, воры, мошенники, педофилы, наркобарыги — существуют. И их нужно выявлять и сажать тюрьма. Изолировать от общества.
Потому, я лично не только ЗА поимку злодеев, но и принимаю в этом деятельное участие. Но нужно понимать, что контроль за процессом должен быть у общественности. У третьих-пятых лиц. Иначе, гонка за «террористами» может превратиться в сожжение леса вокруг. Этот процесс должен быть понятен и прозрачен.
У каждого запроса по раскрытию приватных данных должен быть долженствующий повод. Должна быть процедура, которую контрлируют несколько человек с различными целеполаганиями.
И вот тут у Телеграма пока недоработано, потому что процедуру [ещё] не опубликовали.
Как, впрочем, пока нет еще и ни одного транспаренси-репорта. Канал https://t.me/transparency — девственно чист.
К слову, дата регистрации канала - 14 августа. так что ждем первого отчета, который мы будем критиковать не менее жестко, чем отсутствие таковых у вообще всех российских компаний.
Вопрос дня:
— Скажите, пожалуйста, куда надо в телеграме забить адрес TgVPN.com, чтобы получить доступ к мессенджеру?
Кстати, пользуясь случаем возникновения очередного хайпа на теме публикации Private Policy Телеграмом, хочу напомнить, что мы — ОЗИ, «Центр Цифровых Прав» и РосКомСвобода еще в марте этого года запилили
вот тут: https://digitalrating.ru/
Там сделан разбор документов четырех крупнейших мобильных операторов по теме, которую как раз пушится, но про Телеграм.
Что характерно — документы мобильных операторов и то, как они защищают права своих абонентов, касаются КАЖДОГО жителя России. Но журналистам это почему-то не интересно.
Между тем, это ровно то, что происходит с Телеграмом — они написали (наконец-то!) хоть какое-то разьяснение по поводу приватности.
Текст нашего исследования на английском:
https://rankingdigitalrights.org/2018/07/19/russia-telcos-fail-to-respect-users-rights/
Уважаемые коллеги, журналисты. Пожалуйста, а задайте мне лучше вопрос про то, как работает «яровая» вот прямо сейчас на сетях электросвязи у «большой четверки». А лучше — вы не мне эти вопросы адресуйте, а тем, кто сможет на них ответить официально. Вопросы там такие:
— Внедрена ли система по 374-ФЗ на конкретном операторе связи (должна быть с 1 июля, напоминаю, по закону)?
— Каким образом записи всех разговоров абонентов оператор связи защищает от несанкционпированного доступа? В том числе — физического (ну, например, сколько солдат с оружием охранеяет дата-центры, где хранятся переговоры)
— Каким образом операторы связи гарантируют, что записи телефонных переговоров попадут именно тому, кто имеет на это право в рамках судебных ордеров? Какая процедура доступа к переговорам абонентов?
Это очень простые вопросы. Но их почему-то никто не задал Мегафону, МТС, Билайну, Теле2, Ростелекому и вообще всем, кто предоставляет услуги телефонной связи.
Рейтинг открытости
мобильных операторов
и соблюдения цифровых прав человека
вот тут: https://digitalrating.ru/
Там сделан разбор документов четырех крупнейших мобильных операторов по теме, которую как раз пушится, но про Телеграм.
Что характерно — документы мобильных операторов и то, как они защищают права своих абонентов, касаются КАЖДОГО жителя России. Но журналистам это почему-то не интересно.
Между тем, это ровно то, что происходит с Телеграмом — они написали (наконец-то!) хоть какое-то разьяснение по поводу приватности.
Текст нашего исследования на английском:
https://rankingdigitalrights.org/2018/07/19/russia-telcos-fail-to-respect-users-rights/
Уважаемые коллеги, журналисты. Пожалуйста, а задайте мне лучше вопрос про то, как работает «яровая» вот прямо сейчас на сетях электросвязи у «большой четверки». А лучше — вы не мне эти вопросы адресуйте, а тем, кто сможет на них ответить официально. Вопросы там такие:
— Внедрена ли система по 374-ФЗ на конкретном операторе связи (должна быть с 1 июля, напоминаю, по закону)?
— Каким образом записи всех разговоров абонентов оператор связи защищает от несанкционпированного доступа? В том числе — физического (ну, например, сколько солдат с оружием охранеяет дата-центры, где хранятся переговоры)
— Каким образом операторы связи гарантируют, что записи телефонных переговоров попадут именно тому, кто имеет на это право в рамках судебных ордеров? Какая процедура доступа к переговорам абонентов?
Это очень простые вопросы. Но их почему-то никто не задал Мегафону, МТС, Билайну, Теле2, Ростелекому и вообще всем, кто предоставляет услуги телефонной связи.
Forwarded from IT и безопасность
Собрали мнения авторов авторитетных Telegram-каналов об изменениях конфиденциальности Telegram, в которых предусмотрена возможность выдачи властям данных о пользователях (IP, номер телефона), подозреваемых в террористической деятельности.
Как изменения повлияют на активность/общее кол-во пользователей, доверие к мессенджеру? Что будет с ТГ в перспективе? Используют ли прокси, личное мнение о ситуации и пр.
Мнения каналов: Эшер II, ЗаТелеком, КСТАТИ, PLUSHEV.
Как изменения повлияют на активность/общее кол-во пользователей, доверие к мессенджеру? Что будет с ТГ в перспективе? Используют ли прокси, личное мнение о ситуации и пр.
Мнения каналов: Эшер II, ЗаТелеком, КСТАТИ, PLUSHEV.
Medium
Конфиденциальность Telegram
IT Безопасность
Не отменим - сказали чинари Россвязи и свалили. Но можно заполнять в личном кабинете.
...уведомление о начале обработки перс данных заполняем в электронной форме...далее ВНИМАНИЕ!
Распечатываем, подписываем и отправляем по почте!!! 😁
Распечатываем, подписываем и отправляем по почте!!! 😁
Что происходит с Яндексом — попробую объяснить.
Если вы думаете, что это что-то из ряда вон выходящее — то нетъ. Практика «неформального взаимодействия» — обычное дело в интернетах и телекомах. Происходит это примерно по такому сценарию:
В компанию приходит некто (иногда в погонах, иногда в гражданском, иногда — просто хрен с горы) и говорит: «а давайте %вот_так% сделаем».
Под переменной %вот_так% может скрываться что угодно — найти координаты подключения к БС мобильного номера, IP-адрес и его владелец в моменте времени, регистрацию номера телефона, убрать ссылки или пост, вычислить автора поста etc.
После идет диалог с нектом: «а что если я сделаю %вот_так?» — «тогда вам ничего не будет», — говорит хрен с горы.
И компании делают %вот_так%.
Почему? Ну, потому что многозачительное «ничего не сделаю» может подразумевать что угодно. Наезд налоговой, проверка Роскомнадзра, предписание ФСБ. А поскольку правила всего вообще запутаны, то косяки есть у всех. Ну, то есть — вот любого оператора бери и любого можно при желании найти нечто, что приведет или к штрафникам, или вообще к отзыву лицензии, а затем уголовки по «незаконному предпринимательству».
В «больших конторах» еще хуже. Там в специальных подразделениях работают «бывшие» у которых друзяшки и собутыльники. Там неформальное общение поставлено на промышленный поток. «Ты мне — я тебе».
Собственно, в данном случае с Яндексом, очевидно, произошел некий «сбой системы». Не договорились. Уж, не знаю на какую тему, но что-то пошло не так. И был организован «накат».
«Накат» основан на заведомой неисполнимости требований — Яндекс должен удолить «то, не знаю что». Перспективы «наката» печальны и я не берусь предсказывать исход. Скорее всего — Яндекс прогнется. Ну, потому что Газпром-Медиа не играет в шахматы, а тупо машет дубиной. Шахматисты всегда проигрывают грубой силе.
Как с этим бороться?
Не поверите, но у меня есть один рецепт. Правда, он очень сложный и требует координации действий большого количества субъектов. С непредсказуемыми последствиями.
Но чего больше всего не любят «неформальные отношения»? Правильно. Их формализации. А как проконтролировать формальность исполнения «неформальных отношений»? Правильно — их публичностью.
Провайдерам и интернет-компаниям необходим публичный регламент взаимодействия «по запросам». Включая «органы», вообще власти, правообладателей, граждан.
Вот есть же «право на забвение»? Собственно, необходим точно такой регламент с публикацией статистики запросов. Причем, по правообладателям, например, можно еще и публиковать объекты и субъекты запросов — это охладит «душевные порывы» некоторых копирастов. Ну, просто общество будет видеть весь абсурд этих запросов. Точно так же, как и по «праву на забвение», поток запросо на который, кстати, сильно поубавился.
Регламент обращений и соответствие оному может стать причиной катастрофического падения интереса «палочников». Ну, потому что формализует кто-что и на каком основании может запрашивать. А если еще и публиковать авторов незаконных запросов, судиться с ними — то это приведет к чистке «органов» от ленивых жоп и некомпетентного отребья.
Аналогично было бы прекрасным судиться с РКН по фильтру блокировочек, куда суют всякие непотребности с некорректными ссылками и «резиновыми постановлениями».
Ибо, почему РКН@МВД@ФСБ и прочие хрены с горы ставят раком всю отрасль? Да потому что никому даже в голову не приходит, что можно работать по правилам. И формировать эти правила публично и открыто. Многолетняя практика «неформального взаимодействия» же. А это по сути таже коррупция, если не хуже. Вот. Доигрались.
От имени ОЗИ, Роскомсвободы, «Центра Цифровых Прав» и всех прочих «интернет-правозащитников» я призываю компании задуматься над происходящим. Я не раз уже писал, и напишу еще сто раз, пока общественность и профтусовка наконец не осмыслит: открытые регламенты и данные, аппеляция к широкой общественности — единственный способ защиты в сложившейся ситуации. Суды и полицаи — это не ваши бро. Ваши бро — это абоненты.
Если вы думаете, что это что-то из ряда вон выходящее — то нетъ. Практика «неформального взаимодействия» — обычное дело в интернетах и телекомах. Происходит это примерно по такому сценарию:
В компанию приходит некто (иногда в погонах, иногда в гражданском, иногда — просто хрен с горы) и говорит: «а давайте %вот_так% сделаем».
Под переменной %вот_так% может скрываться что угодно — найти координаты подключения к БС мобильного номера, IP-адрес и его владелец в моменте времени, регистрацию номера телефона, убрать ссылки или пост, вычислить автора поста etc.
После идет диалог с нектом: «а что если я сделаю %вот_так?» — «тогда вам ничего не будет», — говорит хрен с горы.
И компании делают %вот_так%.
Почему? Ну, потому что многозачительное «ничего не сделаю» может подразумевать что угодно. Наезд налоговой, проверка Роскомнадзра, предписание ФСБ. А поскольку правила всего вообще запутаны, то косяки есть у всех. Ну, то есть — вот любого оператора бери и любого можно при желании найти нечто, что приведет или к штрафникам, или вообще к отзыву лицензии, а затем уголовки по «незаконному предпринимательству».
В «больших конторах» еще хуже. Там в специальных подразделениях работают «бывшие» у которых друзяшки и собутыльники. Там неформальное общение поставлено на промышленный поток. «Ты мне — я тебе».
Собственно, в данном случае с Яндексом, очевидно, произошел некий «сбой системы». Не договорились. Уж, не знаю на какую тему, но что-то пошло не так. И был организован «накат».
«Накат» основан на заведомой неисполнимости требований — Яндекс должен удолить «то, не знаю что». Перспективы «наката» печальны и я не берусь предсказывать исход. Скорее всего — Яндекс прогнется. Ну, потому что Газпром-Медиа не играет в шахматы, а тупо машет дубиной. Шахматисты всегда проигрывают грубой силе.
Как с этим бороться?
Не поверите, но у меня есть один рецепт. Правда, он очень сложный и требует координации действий большого количества субъектов. С непредсказуемыми последствиями.
Но чего больше всего не любят «неформальные отношения»? Правильно. Их формализации. А как проконтролировать формальность исполнения «неформальных отношений»? Правильно — их публичностью.
Провайдерам и интернет-компаниям необходим публичный регламент взаимодействия «по запросам». Включая «органы», вообще власти, правообладателей, граждан.
Вот есть же «право на забвение»? Собственно, необходим точно такой регламент с публикацией статистики запросов. Причем, по правообладателям, например, можно еще и публиковать объекты и субъекты запросов — это охладит «душевные порывы» некоторых копирастов. Ну, просто общество будет видеть весь абсурд этих запросов. Точно так же, как и по «праву на забвение», поток запросо на который, кстати, сильно поубавился.
Регламент обращений и соответствие оному может стать причиной катастрофического падения интереса «палочников». Ну, потому что формализует кто-что и на каком основании может запрашивать. А если еще и публиковать авторов незаконных запросов, судиться с ними — то это приведет к чистке «органов» от ленивых жоп и некомпетентного отребья.
Аналогично было бы прекрасным судиться с РКН по фильтру блокировочек, куда суют всякие непотребности с некорректными ссылками и «резиновыми постановлениями».
Ибо, почему РКН@МВД@ФСБ и прочие хрены с горы ставят раком всю отрасль? Да потому что никому даже в голову не приходит, что можно работать по правилам. И формировать эти правила публично и открыто. Многолетняя практика «неформального взаимодействия» же. А это по сути таже коррупция, если не хуже. Вот. Доигрались.
От имени ОЗИ, Роскомсвободы, «Центра Цифровых Прав» и всех прочих «интернет-правозащитников» я призываю компании задуматься над происходящим. Я не раз уже писал, и напишу еще сто раз, пока общественность и профтусовка наконец не осмыслит: открытые регламенты и данные, аппеляция к широкой общественности — единственный способ защиты в сложившейся ситуации. Суды и полицаи — это не ваши бро. Ваши бро — это абоненты.
В общем, я разобрался (почти) что как работает железка от DSTIKE.
Вот тут их Гит: https://github.com/spacehuhn/
Железка собрана на ESP8266MOD с обвязкой для ЖК-экранчика, питалова и всяких прочих свистелок.
Делать оно может много чего, но основное — сканировать Wi-Fi сетки, собирать дату по биконам от любых устройств в локации и юзает уязвимость 802.11 протокола, которая известна 10 лет и называется Wi-Fi deauthentication attack
Ну, то есть, имея этот приборчик в кармане можно прийти в любую контору и… отключить вай-фай. ЧСХ, оно работает — протестировал на своих сетках. Нужен апгрейд с протоколом 802.11w, да.
Думаю, что пионерам давать такие устройства в руки нельзя. Но в то же время, чтоб оно заработало надо некоторое понимание процессов и навык работы с микроконтроллерами.
Я хотел запилить на эту тему лонг-рид, но глядя, что оно реально вот так вот просто рушит инфраструктуру, что-то засомневался…
Потому — помощь зала:
* палец вверх — надо написать, чтоб вендоры включали w по-дефолту!
* палец вниз — не нужно учить плохому!
* КОЗА — нужно больше хацкерства на канале!
Вот тут их Гит: https://github.com/spacehuhn/
Железка собрана на ESP8266MOD с обвязкой для ЖК-экранчика, питалова и всяких прочих свистелок.
Делать оно может много чего, но основное — сканировать Wi-Fi сетки, собирать дату по биконам от любых устройств в локации и юзает уязвимость 802.11 протокола, которая известна 10 лет и называется Wi-Fi deauthentication attack
Ну, то есть, имея этот приборчик в кармане можно прийти в любую контору и… отключить вай-фай. ЧСХ, оно работает — протестировал на своих сетках. Нужен апгрейд с протоколом 802.11w, да.
Думаю, что пионерам давать такие устройства в руки нельзя. Но в то же время, чтоб оно заработало надо некоторое понимание процессов и навык работы с микроконтроллерами.
Я хотел запилить на эту тему лонг-рид, но глядя, что оно реально вот так вот просто рушит инфраструктуру, что-то засомневался…
Потому — помощь зала:
* палец вверх — надо написать, чтоб вендоры включали w по-дефолту!
* палец вниз — не нужно учить плохому!
* КОЗА — нужно больше хацкерства на канале!
Ой. Тут у нас, кажется, Волин сломался. Несите другого:
http://tass.ru/ekonomika/5502306
Цитирую:
С этим надо жыть, поцоны!
http://tass.ru/ekonomika/5502306
Цитирую:
"Полностью сегодня, в принципе, невозможно в интернете заблокировать ничего. Если тот, кого вы блокируете, имеет достаточное количество интеллектуальных, материальных и IT-ресурсов, то крупный игрок в состоянии блокировки избежать. Это та данность, с которой надо жить", - сказал Волин журналистам в Ростове-на-Дону в ходе рабочей поездки, отвечая на вопрос корреспондента ТАСС о том, по какой причине не удалось полностью заблокировать мессенджер.
С этим надо жыть, поцоны!
ТАСС
В Минкомсвязи заявили о невозможности полной блокировки Telegram
Замминистра Алексей Волин отметил, что у компании есть все необходимые ресурсы, чтобы избежать ограничения