Insecurity cameras

Накопившихся за последние несколько дней материалов оказалось столько, что его можно группировать по категориям. Вот, например, сразу несколько материалов о камерах.

1. Прекрасная история про камеры компании Ring (принадлежит Amazon). Компания производит камеры наблюдения и рекламирует их конечным потребителям. Камеры могут быть установлены в дверные звонки или просто где-то дома, и обеспечивают трансляцию происходящего в объективе камеры на смартфоны пользователей. Алгоритмы, распознавание объектов и лиц, вплоть до в будущем уведомлений полиции о подозрительных лицах в кадре, вот это все. Правда, тут оказалось, что для распознавания компания использовала во многих случаях не алгоритмы, а сотрудников в Украине. Видео передавалось и хранилось в незашифрованном виде, а ко всем видео имелся доступ у сотрудников, которые просматривали видео и классифицировали объекты, когда AI фейлился. Более того, многие сотрудники и менеджеры в офисе в США тоже имели доступ к прямой трансляции многих пользователей камер. Говорят, что с момента приобретения компании Amazon были внедрены более строгие правила доступа к видео, но, по словам бывшего сотрудника компании, у сотрудников все равно есть методы обхода этих правил. Представители Ring опровергают материалы расследования.

https://theintercept.com/2019/01/10/amazon-ring-security-camera/

2. Камеры наблюдения, которые устанавливают владельцы квартир и домов, могут иметь и другие последствия. Например, вот прекрасная история о том, как в квартире, которую автор снял через AirB&B, оказалась камера наблюдения, о которой владелец квартиры не рассказал. Автор отключил камеру, и какой потом спор с владельцем и сервисом развернулся. Но чужие камеры — это и правда стремно, и никогда не знаешь, кто и как за тобой наблюдает.
http://jeffreybigham.com/blog/2019/who-is-watching-you-in-your-airbnb.html

3. По этому поводу пригодится статья, присланная читателем, о том, как можно находить скрытые камеры:
https://www.senteltechsecurity.com/blog/post/how-to-find-hidden-cameras/

4. Ну и полезный тред в твиттере по этому поводу: “there is no such thing as an IoT security camera”.
https://twitter.com/ErrataRob/status/1084567735990919168

Два HomePod, Apple TV и фрустрации

С моего первого отзыва о HomePod (там пропали картинки по этой причине) прошло уже достаточно много времени, а устройство по-прежнему радует уши приятным звучанием самой разной музыки. За этот период с HomePod подружилось все семейство, и, подозреваю, что по количеству проигрываемой музыки эта колонка вырвалась далеко вперёд, оторвавшись от всех других источников музыки в доме. Звук, издаваемый этим маленьким “ведерком”, совершенно не соответствует размерам источника (в лучшую сторону), и неоднократно вызывал восторги у гостей. Siri, правда, все так же раздражает своей ограниченностью в понимании зачастую достаточно простых запросов, но для большинства задач, в которых она нужна, она справляется.

Но я также много читал о том, что два HomePod звучат гораздо лучше, чем один, и поэтому когда я увидел, что этой осенью HomePod появился с хорошими скидками в магазинах… Да, я бы хотел сказать, что “сразу купил”, но это было бы неправдой. Сначала HomePod “выбросили” в BestBuy за 250 долларов, я посмотрел на это, повздыхал, и решил подумать. Пока я думал, в BestBuy все со скидками распродали и цена вернулась к обычным 350 долларов. Затем то же самое случилось и с распродажей в Target: пока я думал, продукт стал sold out. И вот в третий раз, когда эту распродажу объявили в BH Photo & Video (легендарном нью-йоркском магазине), тут уж я не стал ждать, и заказал в онлайне второй HomePod.

Continue reading

Сбор информации о местоположении

В западных интернетах бурлит вчерашняя статья в The New York Times о сборе информации о местоположении пользователей приложениями, установленными на смартфонах пользователей. Статья рассказывает о том, что есть целая группа компаний (около 75), которые скупают анонимную информацию о местоположении пользователей, собранную из различных мобильных приложений. Некоторые из этих компаний утверждают, что они собирают данные с почти 200 миллионов мобильных устройств в США.

Данные, по информации в NYT, анонимизированы, и собираются якобы с целью предоставления пользователям актуальных местных новостей, данных о погоде и тд. Данные затем продаются, используются и анализируются рекламодателями, розничными сетями и даже финансовыми компаниями. Её точность, а также частота отправки (в некоторых случаях — каждые несколько секунд) позволяет получить весьма интересные результаты с детальным пересечением некоторых пользователей. Например, кто-то в финансовой аналитической компании может проанализировать данные о количестве сотрудников на заводе или о количестве посетителей в магазине, чтобы представить себе, как идут дела у какой-нибудь компании. Подобные данные покупаются за 0,5-2 цента в месяц за пользователя, говорится в статье NYT.
Continue reading

Убийца — аптекарь!

Отдельным бонусом история про чувака, который в Великобритании убил свою жену, для того, чтобы воссоединиться со своим бойфрендом в Австралии. И завести детей с помощью замороженных эмбрионов (а также собрать выплату в 2 млн фунтов по страховке жизни жены) . При этом он инсценировал ограбление, чтобы отвести от себя подозрение.

“ЧТО ЭТО ЗА ХРЕНЬ И ЗАЧЕМ ЭТО ЗДЕСЬ?”, спросите вы? Дело в том, что полиция смогла подтвердить обвинение в убийстве, получив данные об активности (в частности, шагов) с телефона подозреваемого и телефона его жены. В статье говорится, что на телефоне подозреваемого сразу через минуту после смерти жены было зафиксировано большое количество шагов, включая бег по лестнице вверх и вниз, когда он метался по дому, инсценируя ограбление. В то же время телефон жены оставался без движения, а потом записал 14 шагов, когда подозреваемый взял телефон с трупа жены, и вынес его на улицу рядом с домом, чтобы это выглядело, как будто телефон выпал у грабителя, покинувшего дом.

С одной стороны, технологии, конечно, это хорошо, когда помогают в таких случаях. А с другой — слежка, никакой конфиденциальности, вот это все. Черт его знает, как с этим мириться. 

2 месяца с Apple Watch Series 4

Совершенно незаметно прошли два месяца с новыми Apple Watch Series 4, и пора оглянуться на этот период, подсобрать впечатления, которые набрались за это время и поделиться ими. Напомню, что первые впечатления после примерно недели с новыми часами я описал здесь.

С тех пор у меня была возможность попробовать еще и модель Apple Watch размера 40мм. Когда я заказывал модель на 44мм, я немного опасался, что часы окажутся великоватыми на моем относительно тонком запястье (примерно 17,5 см в окружности на правой руке в том месте, где я ношу часы). В то же время, глядя на часы жены на тот момент (38мм), я думал, что 40мм могут оказаться слишком мелкими на руке. Но сейчас, когда у меня была возможность полноценно сравнить часы сразу двух новых размеров на запястье, я пришёл к выводу, что 40мм не такие уж маленькие и вполне нормально могут выглядеть на мужской руке. Да и вообще, когда я сфотографировал сразу обе пары часов на руке, у меня из головы не выходило, что модель на 44мм выглядит какой-то гигантской. Может, если бы я покупал в оффлайн-рознице, а не спешил ночью с предзаказом, то выбор мог бы оказаться другим. 

Дальше без какого-либо определенного порядка то, что я отметил для себя о новых часах. Что-то может относиться не только к самим часам, но и к новой watchOS 5. 

Continue reading

DriveSavers и iPhone

Вчера в новостях мелькнула интересная новость от компании DriveSavers, что теперь у компании есть возможность добывать данные со смартфонов, даже если они защищены паролем (пресс-релиз). Причем эта услуга будет доступна и обычным потребителям, тем, кто, например, забыл пароль от устройства, заблокировал устройство слишком большим количеством попыток ввода неправильного пароля, или для ситуаций, когда нужно добыть данные с телефона умершего родственника.

По словам компании, они используют фирменную технологию, позволяющую получать доступ к данным на заблокированных устройствах. Ранее это было доступно для правоохранительных органов, использующих устройства компаний Cellebrite и Grayshift, а теперь это должно стать доступным и индивидуальным пользователям. Напомню, что с Grayshift история давняя и последний раунд после выхода iOS 12 вроде как остался за Apple. В случае с DriveSavers пользователи, обращающиеся за этой услугой, должны будут предоставить доказательства того, что телефон принадлежит им, а стоить услуга будет около 3900 долларов.

У MacRumors также есть комментарий от DriveSavers, в котором они подтвеждают, что они могут разблокировать iPhone и вернуть его разблокированным владельцу. Пока что эксперты, к которым я обратился, к этой новости относятся с недоверием и просят пруфы, но если то, что обещают DriveSavers, правда, то это может оказаться очень плохими новостями для Apple. Если DriveSavers обнаружили уязвимость в Secure Enclave (процессор, который обеспечивает безопасную загрузку и идентификацию пользователей в iOS-устройствах и некоторых Маках), то это может серьезно сказаться на репутации компании.

Cybersecus дайджест

Еще несколько ссылок на почитать на выходных, если будет много свободного времени.

– интереснейший лонгрид о Facebook и о том, как компания пыталась митигировать последствия одного кризиса за другим:
https://www.nytimes.com/2018/11/14/technology/facebook-data-russia-election-racism.html?module=inline
(там и про российское влияние на выборы, и про лоббисткие компании, которые очерняли активистов, и про реакцию на скандал с Cambridge Analytica, и про дружбу с законодателями в Вашингтоне. Это как бы не совсем по теме канала и инфосека, но надо понимать, что Фейсбук — обладатель одной из крупнейших коллекций персональных данных на жителей планеты. Поэтому очень полезно понимать, как компания функционирует на самом верху)

– как использовать давно не обновляемый Apple iPod Touch можно использовать в виде безопасного коммуникационного устройства вместо смартфона:
https://motherboard.vice.com/en_us/article/439dk9/how-to-use-ipod-touch-secure-device-instead-of-phone

– интересный гид Mozilla Foundation по популярным подаркам в этом году. Как это связано с информационной безопасностью? К каждому подарку есть параметры о возможности сбора информации или прослушки, и насколько эти подарки пугающе неприятны или неприятно пугающие (камеры, умные колонки, детские мониторы, игрушки и тд):
https://foundation.mozilla.org/en/privacynotincluded/

Хороших выходных!

Впечатления от iPhone XR

В тот же день, когда я опубликовал свой набор впечатлений от iPhone XS Max, я сделал бекап телефона и накатил этот бекап на iPhone XR прекрасного кораллового цвета. Изначально предназначавшийся для жены смартфон стал для меня своего рода экспериментом, потому что мне было интересно попробовать телефон, который так нахваливает Apple (что неудивительно) и огромная часть обзорщиков и пользователей (что по-своему удивительно). В итоге получился, наверно, самый необычный обзор iPhone, который я делал. Обычно я стараюсь описать свои впечатления от флагмана линейки в этом году и фокусируюсь на одной модели (за исключением 2013 года, когда вышел iPhone 5C). С цветной моделью iPhone 5С было все понятно — это была явная попытка Apple зацепить рынок чувствительных к цене покупателей. Правда, они этот порыв Apple оценили не на том уровне, на котором хотелось бы Apple, в том числе и из-за того, что телефон выглядел откровенно слабее на фоне флагмана того года – iPhone 5s.

В этом году у Apple в дополнение к флагманам — iPhone XS и XS Max — есть новая цветная модель iPhone XR, которая позиционируется совсем по-другому, чем когда-то iPhone 5C. Месседж, который я уловил от Apple, заключается в том, что iPhone XR “не хуже, чем XS, просто другой”. Любители характеристик и циферок с этим утверждением не соглашаются, тыкая направо и налево то разрешением экрана, то одной камерой устройства (вместо пяти, например). Но они забывают, что в мире Apple характеристики играют роль гораздо менее важную, чем в мире Android, а на первое место выходит его величество ”пользовательские впечатления”. Хотите впечатлений? Их есть у меня. После нескольких дней использования iPhone XR я поймал себя на мысли, что мне совсем не хочется отдавать его жене и переезжать обратно на iPhone XS Max. Правда, она сказала, что зимой откапывать подъезд к гаражу с помощью XS Max она не собирается.
Continue reading

Впечатления от iPhone XS Max

Вот уже почти две недели, как я переехал с iPhone X на iPhone XS Max, и у меня накопилось некоторое количество впечатлений, которыми я хочу поделиться с читателями блога. Честно говоря, мне кажется, что год назад, после выхода iPhone X, я не получал столько просьб рассказать о впечатлениях от устройства, как сейчас, когда Apple выпустила этот “максимальный” размер смартфона. Для меня этот переход оказался тоже весьма необычным, потому что я всегда весьма скептично относился к гигантским размерам устройств такого класса. Я остановил свой выбор на Max версии как раз с целью “выйти из зоны комфорта” и посмотреть, как оно там, в мире гигантов.

Немного бэкграунда для понимания моих впечатлений: на iPhone XS Max я перешел с iPhone X, которым пользовался около года. Каждый раз, когда я думаю об XS Max в категории “гигантский”, я вспоминаю слова Стива Джобса, представлявшего самый первый iPhone в 2007 году со словами “гигантский экран с диагональю в 3,5 дюйма”. Я специально пробежался по своим обзорам различных моделей iPhone в этом блоге, вспоминая, что я говорил раньше о размерах устройств. Когда-то я искренне считал, что 4 дюйма — это идеальный для меня размер экрана, но, впрочем, я до сих пор считаю, что для использования комфортно одной рукой экран должен быть диагональю в 4-5 дюймов. Но рынок посчитал по-другому, и постепенно устройства с диагональю в 5,5-5,8 дюймов стали практически нормой. Так я уговорил себя перейти на iPhone X с iPhone 7 год назад.
Continue reading

Шифрование SSD-дисков

Очередная “история дня”, связанная с фейлом в шифровании, в этот раз — в SSD-дисках. Исследователи университета Radboud в Нидерландах сообщили об обнаруженных уязвимостях в некоторых дисках SSD, которые позволяют обойти функцию шифрования диска и получилось доступ к данным на диске без использования пароля для расшифровки данных. Уязвимость затрагивает только те SSD-модели, поддерживающие аппаратное шифрование, где функции шифрования перенесены в отдельный встроенный чип, отдельный от главного процессора (модели Samsung, Crucial). Проблема заключается в кривой реализации спецификаций ATA Security и TCG Opal по внедрению аппаратного шифрования в самошифрующихся дисках.

Полный отчет можно получить тут (PDF), но вот из него сразу список некоторых затронутых моделей дисков:

(это только те, что были протестированы в рамках исследования)
Continue reading