Осадок #57: SIM-карты хотят объединить с паспортом, Google подставляет Apple, протестующие в Гонконге меняют мессенджер, а РКН хочет еще больше контроля

Пока половина редакции гастролирует по регионам, другая половина продолжает следить за тем, что происходит как у нас, так и на других участках земного шара. И если с плодами деятельности первой половины можно ознакомиться, например, здесь и здесь, то «Утренняя реплика» в нашем Telegram-канале выходит практически каждое утро. Ну а если вы по какой-то причине не подписаны на наш канал или предпочитаете чтение под чашечку кофе по воскресеньями, то вот о чем мы писали на этой неделе.

Операторы хотят объединить SIM-карту и паспорт

Смотреть на YouTube
Слушать в mp3

Как вы все, наверное, уже в курсе, в России может появиться электронный паспорт. Больше не придется таскать с собой красную книжицу и доставать ее из широких штанин, паспорт превратится в пластиковую карточку с чипом и мобильное приложение на смартфоне. Идея красивая, правда, несколько лет назад нечто подобное правительство уже разрабатывало и тот факт, что об этом никто не помнит, как нельзя лучше отражает успех предприятия. Но теперь все всерьез, за дело взялся Дмитрий Медведев. Новые паспорта в виде карточек будут выдаваться уже со следующего года и смогут дублироваться в криптозащищенном мобильном приложении.

Электронный паспорт — лакомый кусочек для сторонних компаний, которые предоставляются услуги населению. В прошлый раз в карточке хотели прописаться банки, но не фартануло. Теперь на интеграцию с новым паспортом претендуют операторы связи. Они хотят интегрировать технологию Mobile ID, которая свяжет паспорт с номером мобильного телефона. Это позволит идентифицировать абонентов в сервисах и услугах, например, на портале «Госуслуг». Правда, сегодня количество примеров успешного использования Mobile ID можно пересчитать по пальцам. Навскидку вспоминается разве что мобильная подписка на газету «Ведомости», где идентификация происходит именно по Mobile ID.

Со связкой «SIM-карта — это тот же паспорт» операторы носятся уже много лет, но все их попытки терпят крах из одной фундаментальной ошибки. На сегодняшний день в России насчитывается в два раза больше SIM-карт, чем граждан, а если брать юридически дееспособное население, то получается, что на каждого гражданина зарегистрировано больше трех SIM-карт. И какую из них привязывать к паспорту? А как поступать с другими? А как быть с сотрудниками салонов, которые на чужие паспортные данные регистрируют SIM-карты? Рынок симок сегодня настолько мутен, что черти в нем прописались надолго и уходить не собираются.

Самое страшное в этой истории то, что паспортные данные становятся серьезным инструментом для нанесения ощутимого вреда гражданам. Сегодня для того, чтобы оформить кредит по левым паспортным данным требуется сговор с сотрудником кредитного отдела, который внезапно ослепнет и не увидит, что лицо заемщика не совпадает с фотографией на скане паспорта. Но если будут внедрены механизмы удаленной идентификации, то нас ожидает такой вал мошенничества, что мало не покажется никому.

При этом давайте будем откровенны, бумажный паспорт — это анахронизм. Отправляясь в поездку по стране, самое страшное — это забыть паспорт. Улететь не получится, на поезд не пустят, ни одна гостиница не сможет вас принять, как бы вы не пытались решить вопрос. Переход на электронную форму, особенно — на приложение, решит массу вопросов и сделает жизнь наших сограждан действительно проще. Остается лишь понять какой ценой. Ведь сегодня бумажная версия паспорта является эдакой гарантией, что вы это именно вы. А электронная версия может быть скопирована, ее легче умыкнуть, а при удаленной идентификации доказать, что это не вы взяли кредит на покупку новенькой лады калины, будет проблематично.

Что уж говорить о SIM-картах, которых на руках у населения слишком много. И даже после того, как исчезнут все эти таинственные благодетели с бесплатными SIM-картами у метро после того, как абсолютно все SIM-карты будут идентифицированы и верифицированы, останется главный вопрос.

Сегодня телефонный номер принадлежит не абоненту, а оператору. А значит, оператор вправе лишить абонента номера, что и происходит спустя два-три месяца после последней транзакции по SIM-карте. И что тогда делать, если SIM-карта привязана к электронному паспорту? Неужели операторы добровольно и бесплатно передадут номера в собственность абонентов?

Верится с трудом.

К оглавлению

Как Google подставил Apple

Смотреть на YouTube
Слушать в mp3

Вот мы и перевернули календарь, а это значит, что нас снова ждёт неделя новостей об Apple. Или даже две, так как ровно через семь дней состоится традиционный анонс новых айфонов. После которого, как известно, несколько дней будут гореть костры комментариев. Но обсуждать слухи и утечки не очень интересно, тем более что тренды давно понятны и какие-то конкретные детали вряд ли повлияют на итоговую картину.

Куда как интересней находка специалистов по безопасности из гугловского подразделения Threat Analysis Group. Они обнаружили, что существуют работоспособные цепочки из эксплойтов позволяющие взломать и получить полный контроль над iPhone при открытии специально созданных веб-страниц. При этом никаких действий от пользователя не требуется. Более того, такие страницы существуют в сети и посещение этих веб-сайтов действительно приводит к тому, что вредоносное ПО получает контроль над смартфоном или планшетом втайне от пользователя. Исследователи сообщили о своей находке коллегам из Apple и они спешно выпустили обновление iOS под номером 12.1.4. Которое, как утверждается, полностью закрывает найденные уязвимости.

С одной стороны, это, конечно, очень серьёзный удар по репутации Apple. И так совпало, что он случился как раз перед анонсом ключевых продуктов компании. Возможно, что это совпадение и просто подготовка достаточно короткого релиза заняла некоторое время. Тем более, что существуют негласные правила, согласно которым о таких находках публике сообщают с задержкой не менее чем 90 дней для того, чтобы вендоры могли предпринять исчерпывающие меры. С другой, о некоторых своих уязвимостях Гугл рассказывает с гораздо меньших энтузиазмом, ограничиваясь короткими комментариями в changelog. Зато проблемы конкурента были описаны куда как детальней и с некоторыми подробностями.

Они оказались очень любопытны. Во-первых, цепочки реально использовались злоумышленниками, это не какие-то демонстрационные прототипы. Во-вторых, они использовались более двух лет. И в-третьих, чуть позже выяснилось, что они использовались китайскими властями для того, чтобы устанавливать контроль над частной жизнью уйгуров в Синьцзян-Уйгурском автономном районе.

Тут можно порассуждать о том, как не одиночный эксплойт, а целые цепочки могли оставаться работоспособными годами и в Apple ничего не замечали. Или о талантах китайских правительственных хакеров, так удачно нашедших серию уязвимостей нулевого дня. И нет ли тут каких совпадений по времени с переговорами Тима Кука и китайских властей? Ведь тогда казалось, что у Apple и китайского правительства всё всерьёз.

В этой ситуации настоящее восхищение вызывает Гугл. Безупречный тайминг, превосходная подача. Смотрите сами, одна публикация и какой результат.

Во-первых, был продемонстрирован высочайший уровень квалификации своей команды безопасности, которая благородно защитила пользователей конкурента от очень серьезной угрозы.

Во-вторых, доказано, что сам конкурент её не замечал годами. И это сделано в кратковременный момент затишья прямо перед релизом новых продуктов. Напомним, что один из основных слоганов новой рекламной кампании Apple звучит как «все, что происходит на вашем iPhone, остаётся на вашем iPhone».

В-третьих, общественности ещё раз напомнили об обвинениях в адрес китайских властей в нарушении прав уйгуров. Что, как известно, является прекрасным поводом для санкций.

В-четвёртых, лишили китайцев одного из инструментов удалённого контроля над iPhone. Так как выход обновления iOS делает невозможным эксплуатацию этих уязвимостей.

Ну ведь на самом деле — это очень красиво. Почти как костры рябин.

К оглавлению

Мессенджеры в протестном Гонконге

Смотреть на YouTube
Слушать в mp3

Не хотелось бы уподобляться «экспертам», которые с задумчивым видом пересказывают ленту фейсбука или тем паче выпуски теленовостей и рассказывать о протестах в Гонконге. Все и так знают: Кэрри Лам — это голова, а председателю Си пальца в рот не клади. Но некоторые детали происходящего в этом мегаполисе нам всё равно интересны, так как связаны они с госрегулированием и телекоммуникациями.

Как известно, китайская система контроля над интернетом многим нашим чиновникам кажется идеальной и является объектом плохо скрываемой зависти. Так часто бывает, когда плохо разбираешься в предмете: где-то вдали есть призрачный идеал, в реальности дотянуться до него нет никаких шансов, но можно хотя бы помечтать и даже что-то попытаться изобразить на коленке. Из законотворческих инициатив и палок.

В Гонконге официально нет интернет-цензуры и существует конкурентный рынок телекоммуникаций. Но де-факто китайские спецслужбы и полиция имеют практически полный доступ к линиям связи и владеют инструментами позволяющим извлекать данные из социальных сетей и популярных мессенджеров. Это обстоятельство заставляет протестующих искать более безопасные с их точки зрения программы для переписки и способы связи.

По этой причине ещё в 2014 году многие активисты и демонстранты использовали FireChat. Который фактически превращает каждый смартфон в ретранслятор для находящихся поблизости других устройств с этим мессенжером. Таким образом создаётся распределенная mesh-сеть, для обмена сообщениями внутри которой не нужен доступ в интернет. Вместе с тем, существует ряд технических проблем с связанных с маршрутизацией в mesh-сетях, которые делают использование FireChat не столь комфортными и эффективными как может показаться на первый взгляд.

Поэтому предпочтение было отдано Telegram: он просто намного удобнее. В августе появились публикации о том, что власти научились определять телефонные номера некоторых протестующих. Для этого якобы создавались огромные адресные книги с пулами телефонных номеров гонконгских операторов. После чего устройства с такими базами телефонов регистрировались в Telegram и при совпадении номеров в контакт-листе можно было определить номер пользователя из чата. В ответ на эти претензии команда мессенджера оперативно подготовила обновление. И теперь можно скрывать свой телефонный номер в любом случае, даже абоненты находятся друг у друга в контакт-листе.

Но и такой ситуации оказалось достаточно, чтобы бросить тень на Telegram. И это привело к очередному всплеску использования mesh-технологий. К примеру, количество скачиваний программы Bridgefy подскочило почти на 4000%. Этот мессенджер использует только Bluetooth для передачи данных, но и этого часто оказывается достаточно чтобы обеспечить распространение текстовых сообщений среди толп протестующих.

Иными словами, мы наблюдаем условный эксперимент: что будет, если закрутить гайки так, что большое количество людей будет вынуждено избегать привычных способов связи. И не похоже, чтобы в результате таких действий возможностей государства по контролю над коммуникациями граждан стало больше. Практика показывает, что все почему-то происходит ровно наоборот.

К оглавлению

РКН хочет знать, что вы смотрите

Смотреть на YouTube
Слушать в mp3

Вчера газета «Ведомости» опубликовала интересный материал, который рассказывает об очередной гениальной идее в сфере контроля за интернетом. Её суть заключается в том, что государство планирует создание единого и обязательного счётчика, который должен обеспечить подсчёт «просмотров контента и показов рекламы в рунете». Источники «Ведомостей» пояснили, что, оказывается, власти хотят понимать, какой контент смотрят граждане в сети. Но пока есть сложности даже с оценкой аудитории государственных СМИ в интернете.

Идея выглядит довольно странной и бессмысленной, но комментарии авторов некоторым образом позволяют понять логику, которой они руководствуются. В качестве аналогов будущей системы учёта упоминается система измерений ТВ-аудитории, которой пользуются все российские телеканалы. То есть это подтверждает то, о чем мы много раз писали — вопиющая некомпетентность Роскомнадзора связана в том числе и с тем, что это ведомство создано и управляется людьми, которые воспринимают интернет исключительно как ещё одно СМИ, а не как сложнейшую инфраструктурную систему.

По этой причине мнение инженеров давно никому не интересно, а физика и математика явно чужие на этом празднике государственной мудрости. Такой вот синдром утёнка: люди из пыльного прошлого в любом устройстве с экраном до конца жизни будут видеть в первую очередь телевизор. Остаётся непонятным: как отсталым странам вроде США или Китая удаётся собирать и анализировать всю необходимую информацию без такого чудесного инструмента? Но в этой ситуации ссылаться на чужой опыт было бы странным, так как история показывает, что РКН легко игнорирует даже свой собственный.

Конечно, есть масса и других интригующих вопросов. К примеру, как планируется обеспечивать обязательность установки? Каковы будут механизмы контроля? Что будет считаться «рунетом»? И самое интересное — а что такое «контент» в понимании авторов? Любая веб-страница? А если это веб-интерфейс умного холодильника или домашнего маршрутизатора? Чем лог с событиями «открыта дверца» и «доступно обновление» будет отличаться от «контента», просмотры которого нужно учитывать? Как планируется внедрять счётчик в приложения? С Телеграмом-то понятно, вопрос давно решён — он заблокирован и деградировал; но как быть с Инстаграмом, Ютубом и остальными?

Кроме того, непонятно, чем не устраивает уже существующая система под названием «Спутник», которая несколько лет как устанавливается на государственные сайты?

Подобные вопросы можно перечислять практически бесконечно.

Одно можно сказать точно: если у вас нет соответствующих компетенций, то никакие системы учёта и контроля не помогут вам получить достоверную картину происходящего. Всё дело в том, что затраты на имитацию результата всегда ниже, чем затраты на его достижение в реальности. И чем больше денег выделяется на такие задачи, тем выше прибыль у строителей потемкинских деревень, равно как и мотивация продолжать подобное строительство. Что, собственно, мы и наблюдаем.

К оглавлению

Подписывайтесь на канал Content Review в Telegram и читайте свежие «утренние реплики» ежедневно, а не раз в неделю. Приглашаем вас и в новый канал «Телеком поток», куда транслируются все новые публикации с сайта Content Review без авторских комментариев.

Присоединяйтесь к нашему каналу в Telegram, группам ВКонтакте и Facebook!
comments powered by Disqus