Интерфакс: SpaceX вывела на орбиту новую группу интернет-спутников Starlink

– Falcon 9 вывела на орбиту 52 новых спутника Starlink
– Это уже 62-й вывод спутников Starlink на орбиту с 2019
– SpaceX запустили уже более 3,3 тыс. спутников Starlink
– Но часть спутников вышла из строя или сошла с орбиты
– В рабочем состоянии остаются более 3 тыс. спутников
– Ступень Falcon 9 приземлилась на плавучую платформу

@ftsec

Для тех, кто хочет таки поуехать или уже, но на нервах и не знает что делать, сегодня будет стрим с Настей Бураковой, юристом из Ковчега. Она все расскажет

https://youtu.be/zi_6XDhAnUY

Венеция, Италия

Турецкий PSTN, что-то кроссируют

Сбер таки выкрутился. Уж, не знаю как, но действие сертификата продлили до января 22 года 23 конечно (опечатка)
так, совсем запутался. Этот серт на домен *online.sberbank.ru
на sber.ru тоже продлен. А вот sberbank.ru действительно истекает в среду, 28 сентября. Ждём..

Чтоб закрасить предыдщий пост с кучей ошибок и исправлений, шлю вам свежий отчет от OONI про блокировки в Иране

https://ooni.org/post/2022-iran-blocks-social-media-mahsa-amini-protests/

Там заблокировали публичные DoH-сервисы (Cloudflare-DNS, например), WhatsApp и Instargam, потом Google Play и Apple Store (!). И вишенкой, зачем-то, Skype и Linkedin

Про IMEI — тут меня кто-то из журналистов на ходу поймал и я быстро голосом что-то там наговорил. Давайте я попробую коротко, потому что уже в Точке поминали, кстати, вот она (только с пятой минуты начинайте смотреть): https://youtu.be/G28bEJFnrQM?t=300

Так вот, IMEI — это International Mobile Equipment Identity — международный идентификатор мобильного оборудования. Из чего понятно, что это идентификатор вашего конкретного мобильного аппарата. Если очень грубо, то это что-то типа mac-адреса. Этот номер вашему смартфону (или модему, кстати, тоже) прописывают на заводе-изготовителе. И этот идентификатор доступен оператору связи, разумеется. Без знания IMEI оператор просто не может установить никакой связи с данным терминалом.

Далее, аппарату с известным IMEI назначается другой код — International Mobile Subscriber Identity — индивидуальный номер абонента. Он «зашит» в SIM-карте. И разумеется, владелец аппарата может сменить симку.

И вот что получается, когда погранцы записывают IMEI — они привязывают фамилию и, очевидно, паспорт в какой-то своей информационной системе к уникальному номеру вашего телефона. И да, потом можно будет в рамках каких-то «оперативно-розыскных мероприятий» отследить нахождение конкретного аппарата. Не знаю зачем. Возможно, это с целью отследить «уехавшишх-вернувшихся». Хотя лично мне это кажется полной хренью, потому что вы можете вернуться и без вот этого вашего записанного аппарата, а, например, купить новый 14-айфон.

По поводу российской сим-карты, которая вставлена в аппарат, который вы используете в заграницах: да, российские мусора могут отслеживать местонахождение такого аппарата как минимум с точностью до страны. Возможно и до «номера базовой станции — LAC», но это не точно. Делается это просто — вы ж в роуминге. А это означает, что так или иначе биллинговая информация вашему российскому оператору приходит. Вот помните, был роуминг и вы прилетаете куда-то даже внутри России, включаете телефон, когда самолет приземлился, и вам тут же приходит СМС от оператора с предупреждением, что вы находитесь в роуминге и вот такие-то сейчас тарифы действуют.

Собственно, вот это я имел ввиду: когда вы находитесь за границей и ваша симка вставлена в телефон и включена, то российские мусора (у меня пальцы не поворачиваются напечатать «полицейские») по-меньшей мере могут пробить в какой вы стране находитесь прямо сейчас.

И вот потому я рекомендую не использовать российские симки — мусорам незачем знать это. В то же время я понимаю, что нужно принимать смски второго фактора или как-то общаться с родственниками. которые на столько тупы, что неасилили даже Ватсап. Но теперь, если вы зачем-то таки вернетесь в Россию, не удивляйтесь, что мусора знают в каких таких грузиях вы шарашились последние три недели.

Я понятно объяснил?

Мне тут много читателей написали про прекрасную функцию VoWiFi, которую внедрили на каком-то говнофоне. Дескать, так можно из-за границы очень дёшево звонить "как в Питере тарифы". Ну, человек десять написало. Давайте, чтоб всем не отвечать, для всех объяснение:

- Вы, чё, блядь, ёбнутые?

Никакими звонками и смс пользоваться в России вообще нельзя. Давно. Тем более по чувствительным темам, типа, мобилизации, эмиграции, разговоров о продаже квартир с целью свалить.

Ни в каком виде нельзя. Понятно? Ещё раз повторить? Не-льзя.

Потому что "яровая" как раз на мобиле прекрасно работает. Там же ничего не шифруется вообще и все спокойно не просто может быть прослушано, а аккуратно записывается. И потом мусора просто берут запись разговоров (в тексте!) и все ваши смс и пришивают к уголовочке.

Теперь встаньте прямо, и громко, не стесняясь скажите вслух: Я НИКОГДА НЕ ЗВОНЮ ПО ТЕЛЕФОНУ! И НЕ ОТПРАВЛЯЮ СМС!
Вообще. Никогда. Вырабатываю привычку. А если кто вам сам звонит, то не берёте трубку, а пишете в мессенджере вашему собеседнику.

Кстати, функцию "звонить" можно отключить. Наверное.

В Ростелекоме не парятся, а заранее знают результаты «референдумов». Пджди-ка… А это не Ростелеком ли ДЭГ делает? То есть, вы хотите сказать, что нет никакой тайны голосования и кто-то внутри «департамента» за всем следит? НЕ МОЖЕТ БЫТЬ! (может — «референдумы» это фикция и профанация, а РТК там соучастник)

«При любых других условиях — никаких военкоматов до конца войны», — к слову об ответственности за неявку устами Майкла Наки

Вот правильный ответ на вопрос, заданный «Сиреной» выше:

Сейчас неявка в военкомат по повестке наказывается только административной статьей — за это предусмотрен штраф в размере от 500 рублей до 3 тысяч рублей. Даже если вы подписали повестку, но не пришли, вам грозит ТОЛЬКО штраф, а не уголовное дело.

Про безопасные коммуникации — опять вся ЛС завалена, и я не успеваю отвечать. У меня ж еще основная работа есть, кстати (и не одна).

Так вот, все телефонные звонки и СМС — это сразу, с порога, опасные коммуникации. Любой мусор (перестаньте называть их трщ-майорами — это мусора, человеческие отбросы, главная цель существования которых — вам навредить. Никакие они не товарищи) может их прочитать и прослушать, причем, ретроспективно на полгода назад. Операторы просто обязаны это все хранить.

А вот по мессенджерам ситуация гораздо сложнее.

Тут дело вот в чем: никакой мусор не обладает достаточной квалификацией, чтоб выкруживать какие-то сложные схематозы для чтения сообщений вообще в любом мессенджере. Но кроме российских сервисов. Потому, мы не пользуемся вообще ни одной российской системой коммуникаций, особенно ВК. ВК — вообще сносите. И даже не заходите на сайты мейла. Вообще дежитесь от них как можно дальше — эта редиска на первом же скачке расколется. Но и Яндекс тоже, скорее всего. Но хотя бы сами не побегут к мусорам. А ВК — побежит.

Так вот, ни один мусор не может в перехват шифрования мессенджеров, ни Телеграма, ни Вотсапа, ни Сигнала, ни Аймессенджа или чего-то там еще. Но! Это очень важное НО. Жырное такое. В 99,9% случаев мусора берут данные с устройств пользователей, которые им физически попали в руки. Все эти ваши «сложные пароли» на вход в ваш айфон для мусора — смехуечек. Он просто заставит вас разблокировать устройство банальным насилием и пытками. Да, там тоже есть способы, но сейчас речь не об этом. А в том, что в коммуникациях есть минимум ДВЕ стороны. А если речь идет о групповых чатах, то больше. И даже если вот ты лично знаешь все правила и приколы инфобеза (дурацкое слово) и вообще в другом городе, то вы точно уверены, что ваш собеседник(И) в безопасности? А если у них в России просто так же отберут телефон и применят терморектальный криптоанализ?

И вот тут и есть важное: из всех популярных мессенджеров только в Телеграме есть возможность скрыть номер телефона от собеседника. И в Мессенджере от Фейсбука еще.

В остальных — ваш телефон виден. И будет использован против вас, потому что номер пробивается не легко, а очень легко. И все слова с вашего номера будут однозначно привязаны к вашей личности.

Потому, я уже сто раз писал, но еще раз: не ведитесь на уверения мамкинных безопасников из западных стран, что Сигнал, блядь, очень безопасен и только его и нужно использовать. НЕТ. В Сигнале, а также Вотсапе, Вайбере и еще каких-то клонах мессенджеров общаться ОПАСНО. Потому что вектор атаки не находится в промежутке между вами и платформой. Опасность исходит от людей с которыми вы общаетесь. И они, разумеется, очень хорошие люди и никогда вас не сдадут. За исключением тех случаев, когда к яйцам привязывают провода и бьют током.

А в Телеграме прямо сейчас посмотрите настройки и поставьте галочку в разделе «Безопасность -> номер телефона» в положение «Никто». Никто не знает ваш номер, значит, никто и не предаст.

PS: не знаю как там в iMessage устроено — никогда не пользовался

Про Сбербанк. Я окончательно запутался что там у них работает, где какой серт протух, но у меня он работать перестал. Д.и.х.с.н.

Всякие гайды по инфобезу для НКО и активистов вот тут собраны:

https://te-st.ru/section/practice/?theme=safety

Рекомендую

сбер перешел на тот самый «суверенный сертификат». Настоятельно не рекомендую устанавливать что-то от «Russian Trusted Sub CA» на личные устройства. Для пользования сбером использовать отдельно говнобраузер от Я, но больше ни для чего. А еще лучше — закрыть счет в Сбере и открыть где-то еще. В Чейз-Манхеттен-Банк лучше всего, но это шутка, вы же понимаете.

Просто примите тот факт, что в России все пошло по пи*де. Снимите наличные — так будет лучше. Наверное. Я не знаю, короч. Никогда такого в истории не было еще.

Бл*дь. ЛС разрывается, извтините, я не успеваю всем отвечать. Про серт Сбера и почему то, что сейчас делает Минбумаги — плохо.

Минбумаги создает собственный самостийный удостоверяющий центр, который никто в мире не признает. Не признает не потому что УЦ вот этот самый в России, а потому что вообще любым российским госучреждениям никто в мире доверять больше не может. Потому что президент этой самой России — врёт в каждом слове. Если путин лжет, то почему кто-то вообще должен доверять сертификатам, выданным конторкой с названием «Russian Trusted Sub CA»? Да тут даже от названия уже разит — они наебут. Ну просто вот так. Или от злости, но скорее всего от криворукости. Или просто захотят что-то украсть.

А вы должны почему-то им доверять самое ценное что у вас есть буквально — деньги.

Вот разбуди любого и спроси — а можно ли тому же Шадаеву в долг тыщу дать? Уверен, что ответ будет: «Ты чо, дурак?». Вот и тут так же — никто не хочет доверять CA где последовательно стоят слова Trusted и Russia. Это уже само по себе враньё. Потому что, повторюсь, или украдут, или проебут. Не знаю, что лучше, но денег у вас от этого точно не добавится.

Как именно у вас украдут деньги — не знаю. Но если «трустед» и «руссия» сертификат создал пару паблик-приват ключей, то я оооченнь сомневаюсь, что приват-ключи не купили уже какие-нибудь ушлые «центры безопасности». Ну, или это вопрос времени — когда эти серты утекут.

Таким образом, вынужден признать, что как банк Сбер перестал быть хоть сколько-то безопасным. В интернете, по меньшей мере. Но раз они такую фигню провернули с интернетом, то, похоже, им вообще наплевать на безопасность денег десятков миллионов россиян. Насрать даже, я бы сказал.

Совет один: забирайте оттуда деньги срочно. Если есть, конечно. И да — наличные в России сейчас опять рулят. И безопаснее, и приватнее. Ни один банк в России сейчас нельзя назвать безопасным.

Cloudflare анонсирует Zero Trust SIM: eSim для устройств iOS и Android, которая использует собственный VPN и DNS от клаудфлера. Это прямо очень красивое решение, отдельная виртуальная симкарта для секурного доступа к системам с повышенным требованием к безопасности https://techcrunch.com/2022/09/26/cloudflare-launches-an-esim-to-secure-mobile-devices/

Я вот уже несколько дней отказываюсь комментировать журналистам всё что связано с мобилизацией, войной, информатизацией военкоматов. Сейчас предостаточно политологов которые комментируют происходящее чуть ли не ежеминутно.

Я лично нахожусь в России, и надеюсь находится так долго как только смогу, как бы власти не усложняли жизнь мне и многим другим.

Но есть то я могу точно сказать и о чём говорить важно. Вся эта история с "отечественными сертификатами" у Сбербанка и корневыми сертификатами НУЦ Минцифры очень плохая.

Смысл сертификата в том чтобы обеспечивать защищённый канал связи между пользователем и сервером. Корневой сертификат необходим для того чтобы браузеры и другое ПО не выдавало ошибки при попытках связи с серверами использующими сертификаты выпущенные удостоверяющими центрами (УЦ).

УЦ, в свою очередь проходят определенную сертификацию для того чтобы обеспечить это доверие. Число таких корневых сертификатов в ОС Windows, MacOS, IOS, Android ограничено и то что там за все эти годы не появилось российского корневого УЦ должно только настораживать.

Добавив корневой сертификат в доверенные, сделает доверенными не только сертификат Сбербанка, но и может быть выпущен сертификат с помощью которого можно перехватывать трафик к HTTPS сайтам, например, органами правоохраны. Власти Казахстана пытались навязать госсертификат в декабре 2020 года (легко гуглится), но всё это провалилось в итоге. А здесь даже принуждения нет, вернее оно через принуждение сервисом: хочешь Сбербанк - ставь сертификат.

Поэтому, если всё таки, жизнь так распорядилась что доступ к сайту Сбербанка необходим или на другие сайты его распространят я рекомендую:
- либо устанавливать сертификат на отдельное, редко используемое устройство;
- либо устанавливать его на виртуальную операционную систему; используемую редко и не устанавливать его на основное устройство(-а)
- либо перестать использовать Сбербанк и любой иной сервис который такие сертификаты будет навязывать

#security #privacy

А топологи и схемотехники разбирают стиралки в поисках компонентов для танков (извените)