Ваш компьютер на самом деле не ваш

Original author: Jeffrey Paul
  • Translation
https://book.cyberyozh.com/telemetry/
https://book.cyberyozh.com/telemetry/

Перевел статью целиком (дополняя ее по мере расширения оригинальной статьи) только из-за того, что текущий перевод вообще не соответствует уровню статей Хабра.

Мой вариант перевода одобрен Джеффри Полом.

Добавлен перевод обновления от 16 ноября.


Вот он. Наступил. Получите и распишитесь.

Речь, конечно, идет о мире, предсказанном Ричардом Столлманом в 1997 году. О мире, о котором нас предупреждал Кори Доктороу.

В современных версиях macOS вы не можете просто включить компьютер, запустить текстовый редактор или просмотрщик электронных книг и писать или читать, не передавая и не журналируя ваши действия.

Оказывается, текущая версия macOS отправляет в Apple хэш (уникальный идентификатор) при запуске каждой программы. Многие люди не были в курсе этого, так как хэш передается незаметно и только при наличии выхода в интернет. А сегодня серверы работали очень медленно и не успевали проверять хэши. Как результат, все приложения не открывались, если имелся выход в интернет.

Поскольку хэши передавались через интернет, серверы, конечно же, видят ваш IP-адрес и знают, в какое время пришел запрос. А IP-адрес в свою очередь позволяет установить ваш город, интернет-провайдера, а также составить таблицу со следующими заголовками

Дата, Время, ПК, Провайдер, Город, Штат, Хэш приложения

Apple (или кто-то еще), безусловно, может вычислить эти хэши для обычных программ: для всех программ из App Store, Creative Cloud, браузера Tor, инструментов для взлома или, например, реверс-инжиниринга – да для чего угодно!

Это означает, что Apple знает, когда вы дома, а когда на работе. Какие приложения вы открываете и как часто. Они знают, когда вы открыли Premiere в гостях у друга, используя его сеть Wi-Fi, или когда вы сидите в браузере Tor в отеле во время поездки в другой город.

Я часто слышу: «Кого это волнует?».

Что ж, волнует не только Apple. Эта информация не задерживается у них:

  1. Эти OCSP-запросы передаются в незашифрованном виде. Их могут перехватывать все, кто в сети, включая вашего интернет-провайдера, а также, кто прослушивает интернет-трафик.

  2. Эти запросы проходят через стороннюю CDN, управляемой другой компанией, Akamai.

  3. С октября 2012 года Apple является партнером Разведывательного сообщества США в рамках государственной программы по шпионажу PRISM, которая предоставляет федеральной полиции и вооруженным силам США беспрепятственный доступ к данным без ордера. В первой половине 2019 года они воспользовались этим правом более 18 000 раз, а во второй половине 2019 года – еще более 17 500.

Эти данные представляют собой огромный массив данных о вашей жизни и привычках, позволяя кому-то, кто владеет ими, идентифицировать вас по вашим передвижениям и модели активности. Для некоторых людей это может даже представлять физическую опасность.

До сегодняшнего дня была возможность заблокировать подобное поведение на вашем Mac с помощью программы Little Snitch (на самом деле это единственное, что заставляет меня использовать macOS на данный момент). По умолчанию программа разрешает передачу между компьютером и серверами Apple, но вы можете вручную разрешать или блокировать то или иное соединение. А ваш компьютер продолжит работать нормально, «не стуча» на вас в Apple.

macOS 11.0 Big Sur получила новые API, которые ломают работу Little Snitch. Они не позволяют программе проверять или блокировать какие-либо процессы на уровне ОС. Кроме того, новые правила в macOS 11 затрудняют работу даже VPN, так что приложения Apple просто обходят их.

Патрик Уордл (Patrick Wardle) сообщил нам, что демон trustd, отвечающий за эти запросы, находится в новом списке исключений ContentFilterExclusionList, что означает, что он не может быть заблокирован никаким пользовательским брандмауэром или VPN. На его скриншоте также показано, что CommCenter (используется для совершения телефонных звонков с вашего Mac) и Карты также будут игнорировать ваши брандмауэр и VPN, ставя потенциально под угрозу ваш голосовой трафик и информацию о будущем или планируемом местоположении.

Помните только что анонсированные красивые Mac на новом процессоре Apple? В три раза быстрее и на 50 % больше времени автономной работы. Они не будут поддерживать ни одну ОС, кроме Big Sur!

Это первые компьютеры общего назначения, когда вам придется сделать выбор: или у вас быстрый и мощный компьютер, или личный. Мобильные устройства Apple работают таким образом уже как пару лет. За исключением использования устройств для фильтрация внешнего сетевого трафика (например, VPN-маршрутизатора), которые контролируете именно вы, на Mac с новым процессором не будет больше возможности загрузиться с какой-либо ОС, чтобы она не "звонила" в Apple. Иначе ОС может вообще не загрузиться из-за аппаратной криптозащиты.

Обновление. 13.11.2020 07:20 UTC

Мне стало известно, что у Mac на процессорах Apple с помощью утилиты bputil можно отключить защиту при загрузке и изменить Signed System Volume (SSV). Один я уже заказал и, как только со всем разберусь, напишу у себя об этом в блоге. Насколько я понимаю, даже после внесения таких изменений по-прежнему можно будет загружать только версии macOS, подписанные Apple. Хотя, возможно, и с некоторыми удаленными или отключенными нежелательными системными процессами. Дополнительные данные появятся, когда система будет у меня в руках.

Теперь ваш компьютер служит удаленному хозяину, который решил, что имеет право шпионить за вами. Даже имея самый производительный ноутбук с самым высоким разрешением в мире, вы не можете этому помешать.

Давайте не будем сейчас особо задумываться о том факте, что Apple может с помощью этих онлайн-проверок сертификатов предотвратить запуск любого приложения, которое они (или их правительство) потребуют подвергнуть цензуре.

Лягушка в кипятке

На этой неделе настал день, о котором нас предупреждали Столлман и Доктороу. Это был постепенный и последовательный процесс, но вот мы наконец-то и приплыли. Вы больше не будете получать оповещений о передаче данных на серверы Apple.

Смотрите также

21 января 2020 г. Apple отказалась от плана по шифрованию резервных копий после жалобы ФБР.

Возможно, не в тему

К другим новостям: Apple незаметно отказалась от сквозной криптографии в iMessage. В настоящее время актуальная iOS будет запрашивать ваш Apple ID во время установки и автоматически включать iCloud и iCloud Backup.

В iCloud Backup не используется сквозное шифрование: резервная копия вашего устройства шифруется с помощью ключей Apple. Каждое устройство с включенным резервным копированием iCloud (а оно включено по умолчанию) загружает резервную копию всей истории iMessage на серверы Apple вместе с секретными ключами iMessage каждую ночь при подключении к сети. Apple может расшифровать и прочитать все данные, даже не притрагиваясь к устройству. Даже если вы отключили резервное копирование в iCloud, вполне вероятно, что тот, с кем вы переписываетесь с помощью iMessage, этого не сделал. Как следствие, ваша переписка загружается на серверы Apple. Еще и через PRISM со свободным доступом для Разведывательного сообщества США, ФБР и др. без ордера или веской на то причины.

Используйте Signal.

Обновления

Обновление, 16.11.2020 16:06 UTC

"Где факты? Снова, снова и снова — а где факты? Не выдавайте желаемое за действительное, игнорируйте божественное откровение, забудьте о том, что "предсказывают звезды", избегайте мнений, не обращайте внимания на то, что думают соседи, не говоря уже о непостижимом «приговоре истории» — каковы же доказательства и с какой точностью после запятой? Вы всегда летите в неизвестное будущее; факты — ваша единственная подсказка. Факты — вот ваша единственная подсказка".

— Роберт Хайнлайн

Тот парень Якопо (Jacopo), который якобы опроверг мое основное утверждение, на самом деле лжет. Об этом свидетельствует его собственная страничка. Сами поглядите:

Оп!

Он также утверждает, что "macOS действительно отправляет некоторую неясную информацию о сертификате разработчика этих приложений". На самом деле она вовсе и не неясная: это общеизвестный уникальный идентификатор разработчика приложения (который почти для всех приложений является общедоступным, поскольку большинство разработчиков публикуют только одно приложение).

Это наглядно иллюстрирует опасность доверять любому эксперту, у которого за кликбейтными заголовками Беттериджа скрывается технический бред. Убедитесь, что вы всегда все перепроверяете, и всегда, всегда, задавайтесь вопросом: "Каковы факты?".

То, что отправлено, действительно является хешем, действительно является уникальны идентификатором для большинства приложений и действительно отправляется в Apple в реальном времени в незашифрованном виде с вашим IP-адресом. Я упростил приведенное выше объяснение, чтобы не вдаваться в подробности о OCSP, x509 и PKI. Я умышленно не утверждал, что это был хэш содержимого двоичного файла приложения.

TL;DR: Этот пост был, есть и будет максимально достоверным. А кликбейты пусть и дальше остаются кликбейтами.

Хорошая новость заключается в том, что Apple (предположительно в ответ на эту страницу) только сегодня публично обязалась:

1. Удалять логи IP-адресов;

2. Шифровать обмен данными между macOS и Apple, чтобы предотвратить утечку конфиденциальности;

3. Предоставить пользователям возможность отключить онлайн-проверки, которые позволяют узнать, какие приложения вы открываете и когда. 

Это обновление находится в самом низу этой страницы, под заголовком с заглавной буквы "Защита конфиденциальности".

Цитата из обновления Apple от 16 ноября:

Gatekeeper выполняет онлайн-проверки, содержит ли приложение известное вредоносное ПО и не отозван ли сертификат подписи разработчика. Мы никогда не связывали данные этих проверок с информацией о пользователях Apple или их устройствах. Мы не используем данные этих проверок, чтобы узнать, что отдельные пользователи запускают или что уже запущено на их устройствах.

Нотаризация проверяет, содержит ли приложение известное вредоносное ПО, используя зашифрованное соединение, устойчивое к сбоям сервера.

Здесь намеренно используется стиль, сбивающий с толку, чтобы заставить вас отожествлять Gatekeeper с Нотаризацией, чтобы вы поверили, что соединения в настоящее время зашифрованы, при этом даже не солгав. OCSP-проверки у Gatekeeper, описанные в этом посте ("Gatekeeper выполняет онлайн-проверки"), не зашифрованы. А Нотаризации, которые здесь не уместны, шифруются. 

Политтехнологи Apple — одни из лучших в мире, и я снимаю перед ними шляпу.

Дальше:

Кроме того, в следующем году мы внесем несколько изменений в наши проверки безопасности: 

Новый зашифрованный протокол для проверки отзыва сертификата Developer ID.

Все те шибко умные, неразбирающиеся в циклических зависимостях доверия TLS и в том, как OCSP должен быть не зашифрован, могут прямо сейчас умолкнуть.

Отстой же в том, что они позволяли АНБ, ЦРУ, вашему интернет-провайдеру и др. вытаскивать эти незашифрованные данные об образе жизни в течение последних 2 и более лет. И они по-прежнему по умолчанию собираются передавать данные (в зашифрованном виде) в Apple в реальном времени на каждом Mac. Но по крайней мере 0,01 % пользователей Mac, кто в теме, могут все это отключить, поэтому Apple будет получать в реальном времени данные только о том, какие приложения вы открываете, когда и где для остальных 99,99 % пользователей Mac. Круто же!

Возможно, они будут использовать фильтр Блума или какой-либо другой способ сохранить в тайне распространение данных об отзыве сертификатов, который фактически не передает информацию о запуске приложения. Но учитывая, что каждая версия iOS теперь просит меня повторно включить передачу аналитической информации независимо от того, сколько раз я неоднократно отказывался от нее, я не жду чуда. Мы ничего не узнаем, пока они там все у себя обновят. Хотя обязались они это сделать только в следующем году. Посмотрим, насколько важна для них ваша конфиденциальность.

К сожалению, речь идет о том, как мы максимально близко подобрались к заявлению PR-отдела Apple "мы в дерьме": удаляют логи с IP-адресами, шифруют свою хрень и позволяют ее еще и выключить. Здорово, конечно, вот только они умалчивают, что их приложения на Big Sur по-прежнему будут обходить ваш брандмауэр и сливать ваши IP-адрес и местоположение через VPN и что они все еще не исправляют бэкдор условного депонирования ключей в шифровании iMessage, поэтому системные администраторы Apple и ФБР могут и дальше любоваться вашими интимными фотографии и читать переписку в iMessage.

Думаю, нам нужно радоваться маленьким победам.

dhh выразился лучше всего:

Весь процесс Apple по слиянию всех этих «средств защиты от вредоносных программ» в систему, которая одновременно является «защитой нашей бизнес-модели», чреват серьезными последствиями.

Нам нужно сохранять бдительность и противостоять этим захватам власти, маскирующимся исключительно под очередные меры безопасности. Да, имеются преимущества безопасности. Но нет, мы не дадим Apple решать, какое программное обеспечение запускать на наших компьютерах. Мы итак лишены этого на iOS.

В любом случае, имеются предпосылки успеха. Прямо сейчас Apple по-прежнему привязывает ваш IP-адрес к открытию приложений, передавая в незашифрованном виде через интернет. И в Big Sur препятствуют таким утилитам как Little Snitch блокировать такие передачи. Так что, пока исправления не появятся, может, и не обновляться?

Эти изменения в журналировании действий и обещание будущих улучшений помножили на ноль всех апологетов Apple, которые так поспешили отвергнуть эти разоблачения как пустяковые. Ой, спускать лодку за день до того, как Apple сама потопит ее своим признанием.

Три "Ура!" за голос разума. Спасибо, dhh!

Обновление, 14.11.2020 05:10 UTC: Добавлен FAQ.

FAQ

В.: Это часть собираемой аналитической информации macOS? Будут ли собираться данные, если у меня отключена отправка аналитической информации?

О.: Это не имеет отношения к аналитической информации. Похоже, что это часть кампании Apple по борьбе с вредоносным ПО (и, возможно, по борьбе с пиратством). Это происходит на всех компьютерах Mac с уязвимыми версиями ОС, независимо от каких-либо настроек по сбору аналитической информации. В ОС отсутствует пользовательская настройка для отключения.

В.: Когда это началось?

О.: Это происходит по крайней мере с момента выхода macOS Catalina (10.15.x, выпущена 7 октября 2019 г.). То есть это началось не со вчерашнего выпуска Big Sur, а происходило незаметно как минимум год. По словам Джеффа Джонсона (Jeff Johnson) из Lap Cat Software, все началось с macOS Mojave, выпущенной 24 сентября 2018 года.

Каждую новую версию macOS я устанавливаю начисто, выключаю сбор аналитической информации, не вхожу ни в какие сервисы (как iCloud, App Store, FaceTime или iMessage) и включаю внешнее устройство для мониторинга всего исходящего сетевого трафика. У последних версий macOS наблюдался довольно активный сетевой трафик, даже если вы не используете никакие сервисы Apple. В Mojave (10.14.x) были некоторые проблемы с конфиденциальностью и отслеживанием, но я не помню, существовала ли тогда конкретная проблема с OCSP или нет. Я еще не тестировал Big Sur (следите за обновлениями), но, согласно отчетам тех, кто тестировал, возникают опасения по поводу пользовательских брандмауэров вроде Little Snitch, приложений Apple, которые обходят эти брандмауэры, и VPN-соединений. Догадываюсь, что у меня будет большой список вопросов, когда я установлю Big Sur на тестовую машину на этой неделе.

В.: Как мне защитить свою конфиденциальность?

О.: По-разному. Ваш Mac отправляет тонну трафика на серверы Apple. Если вы беспокоитесь о своей конфиденциальности, можете начать с отключения функций, у которых имеются кнопки: отключите и выйдите из iCloud, отключите и выйдите из iMessage, отключите и выйдите из FaceTime. Убедитесь, что службы геолокации отключены на ваших компьютере, iPhone и iPad. То были значительные слабые места, по которым вас могли отследить и на которые вы уже согласились, но есть простой выход: выключите все.

Что до проблемы с OCSP, я считаю (но еще не тестировал!), что сработает эта команда

echo 127.0.0.1 ocsp.apple.com | sudo tee -a /etc/hosts

Такой трафик я блокирую программой Little Snitch, которая еще работает на версии 10.15.x (Catalina) и ниже. Отключите в Little Snitch все разрешающие правила для служб macOS и службы iCloud, чтобы получать предупреждения, когда ОС пытается связаться с Apple.

Если у вас Mac на Intel (а такой почти у всех сейчас), не беспокойтесь о грядущих изменениях. Если вы хотите изменить пару настроек в ОС, то скорее всего всегда настраивали все предыдущие macOS под себя. Это особенно актуально для немного более старых Mac на Intel, в которых нет чипа безопасности T2. Но вполне вероятно, что даже на таких компьютерах можно будет отключать безопасную загрузку (тем самым позволяя настраивать ОС), как это можно делать сейчас.

Новые Mac на ARM64 («Apple Silicon»), которые были выпущены на этой неделе, стали причиной моего беспокойства: еще неизвестно, дадут ли пользователям возможность вообще модифицировать ОС на этих чипах. На других ARM-системах от Apple (iPad, iPhone, Apple TV, Watch) криптографически запрещено отключать такой функционал ОС. Для новых Mac на ARM по умолчанию скорее всего тоже будет запрещено, хотя, надеюсь, продвинутые пользователи смогут отключить некоторые средства защиты и настраивать систему. Я надеюсь, что утилита bputil(1) даст возможность отключить проверку целостности системного тома на новых Mac, что позволит нам удалить определенные системные службы из автозагрузки, не отключая все функции безопасности платформы. Больше информации узнаем в ближайшее время, когда ко мне приедет новый Mac на M1 в этом месяце.

В.: Если тебе не нравится Apple и ты не доверяешь их ОС, то почему ей пользуешься? Почему сказал, что покупаешь новый Mac на ARM?

О.: Простой ответ заключается в том, что без оборудования и программного обеспечения я не могу с уверенностью говорить о том, что они делают или не делают, или о шагах, которые можно предпринять для нивелирования проблем с конфиденциальностью. Длинный ответ заключается в том, что у меня есть более 20 компьютеров с примерно 6 различными архитектурами процессоров. У меня в коллекции имеются все операционные системы, о которых вы слышали, и некоторые из тех, о которых вы, вероятно, и не знали. Например, в моей лаборатории есть 68k Mac (16-битный, почти 32-битный (привет, мой IIcx) и чисто 32-битный), Mac на PowerPC, 32-битный Mac на Intel, 64-битный Mac на Intel (с чипом безопасности T2 и без). Да я бы прослыл последним бездельником, если немного не поковырялся в Mac на ARM64.

В.: Зачем Apple шпионит за нами?

О.: Я не верю, что это было специально разработано как часть телеметрии, но это прекрасно подходит для этой цели. Простое (без злого умысла) объяснение состоит в том, что это часть кампании Apple по борьбе c вредоносным ПО и обеспечению безопасности платформы в macOS. Кроме того, OCSP-трафик, генерируемый macOS, не зашифрован, что делает его идеальным объектом для использования в военных операциях по наблюдению (которые пассивно контролируют всех основных интернет-провайдеров и сетевые магистрали) с целью сбора диагностических данных. И неважно, намеренно ли Apple закладывала такой функционал или нет.

Еще что интересно: недавно Apple с обновлением iOS представила iCloud Backup, добавив закладку в iMessage, чтобы ФБР могло продолжить чтение всех данных на вашем телефоне.

Как говорил Голдфингер: "Один раз – случай, два – совпадение, три – заговор врага". Было всего пару раз, когда Apple (которая, кстати, нанимает крутейших специалистов по криптографии) признавала, что допускала передачу открытого текста или ключей шифрования в открытом виде с устройства в сеть/Apple, и извинилась: «Ой, это была случайность». И ей поверили.

Последний раз я сообщал Apple в 2005 году о проблеме, связанной с передачей открытого текста по сети. Тогда они быстро все исправили, но это касалось только поиска слов в словаре. Вскоре после того, как была представлена технология App Transport Security, которая помогает сторонним разработчикам приложений «не забивать» на сетевое шифрование, Apple усложнила отправку незашифрованных запросов в приложениях из App Store. Поэтому для меня непонятно, почему Apple до сих пор отправляет OCSP-запросы в незашифрованном виде, несмотря на то, что это стандартная практика в отрасли.

Если Apple действительно заботится о конфиденциальности пользователей, прежде, чем выпускать новую ОС, им следует тщательнее следить за передачей данных даже на ненастроенном Mac. Мы вот заботимся. Чем дольше они закрывают на это глаза, тем менее убедительными становятся их заявления о соблюдении конфиденциальности пользователей.

В.: Зачем ты поднимаешь ложную тревогу? Разве ты не знаешь, что OCSP предназначен только для предотвращения запуска вредоносных программ и обеспечения безопасности ОС, а не для сбора телеметрии?

О.: Побочный эффект в том, что он функционирует как телеметрия независимо от первоначального замысла. Кроме того, даже, несмотря на то, что OCSP-ответы подписаны, OCSP-запросы не зашифрованы, что позволяет любому пользователю сети (включая Разведывательное сообщество США) видеть, какие приложения вы запускаете и когда. А это можно считать крайней степенью халатности.

Многие вещи функционируют как телеметрия, даже если изначально это и не было задумано. Спецслужбы, которые шпионят за каждым, могут воспользоваться этим независимо от намерений разработчиков.

Не стоит организовывать тотальный контроль на каждым, чтобы, например, победить терроризм, или пересаживать всех на платформу с тотальной слежкой для борьбы с вредоносным ПО. В погоне за созданием безопасной платформы, вы отказывайтесь от того светлого, что уже имеете. Вы создаете платформу, которая по своей сути небезопасна из-за низкого уровня конфиденциальности.

В.: Они поместили закладку в сквозное шифрование iMessage? Охренели вообще?!

О: Ага. Технический разбор в моих комментариях тут и тут.

TL;DR: Об этом даже говорится на их сайте: https://support.apple.com/en-us/HT202303.

Сообщения в iCloud также используют сквозное шифрование. Если у вас включено резервное копирование в iCloud, ваша резервная копия содержит копию ключа, защищающего ваши сообщения. Этот подход гарантирует, что вы сможете восстановить свои Сообщения, если потеряете доступ к связке ключей iCloud и своим доверенным устройствам. При отключении резервного копирования iCloud на вашем устройстве создается новый ключ для защиты будущих сообщений, который не хранится у Apple.

(курсив — автора)

Обратите внимание, что само резервное копирование iCloud не имеет сквозного шифрования, что приводит к проблеме условного депонирования ключа iMessage, которая препятствует сквозному шифрованию последнего. На этой веб-странице есть раздел, в котором перечислены материалы, которые используют сквозное шифрование, и вот резервного копирования iCloud там нет.

Как и ваши фотографии в iCloud. Системные администраторы в Apple (а также военные и федералы США) могут спокойно видеть все ваши интимные фотографии в iCloud или iMessage.

Дальнейшее чтение

Ads
AdBlock has stolen the banner, but banners are not teeth — they will be back

More

Comments 102

    +3

    Это наконец-то случилось. К сожалению. Ну, и понятно, что сопротивление было бесполезно — крупные корпорации сращены с властью и имеют практически неограниченные ресурсы. Есть «островки» свободы. Делают же малосерийные ноутбуки на открытых технологиях с открытым фирмварем, но это удел фриков

      0

      Так в чудном, дивном мире живём же!

        +2

        Простите, не мы, а вы.
        Не все пользуются продуктами Apple и Microsoft.

          –1

          Ага, есть еще 0,01 % линуксойдов, которые ходят с кнопочными телефонами. То выбор каждого!

            +1

            Почему с кнопочными? Я за последние пять лет три модели смартфона сменил, все с GNU/Linux.

              –3

              Блажен, кто верует. :)

                +2
                Это какие такие?
                  –2
                    +4
                    Спасибо, но вопрос направлялся не вам, и мне всё-таки интересны 3 модели за последние 5 лет, а не единственная Нокия 10-летней давности
                      +5

                      Jolla C, Xperia X, Xperia 10 Plus. На последние два уже после покупки устанавливалась Sailfish.
                      Ещё у меня есть планшет BQ Aquaris M10, который поставлялся с Ubuntu Touch, позже был прошит UBports, и Gemini PDA (КПК с физической клавиатурой), но последний оказался не очень практичным для повседневного использования.


                      Ещё есть достойные внимания PinePhone и Librem 5.

                0

                В кнопочных телефонах проприетарная ОС Nucleos RTOS американской компании Mentor Graphics.

                0

                Статистика десктоп операционок говорит сама за себя :shrug:

              0
              По заголовку думаю очевидно, что это ответ на первую статью.
                +10

                Ваша статья вам не принадлежит.

                +1

                Еще я писал про схожую проблему.
                Там Apple блочила компьютеры, которые сама неправильно починила
                https://habr.com/ru/post/519462/

                –6
                Паникёры какие-то.
                  +5
                  А потом — ой, что это у меня сзади торчит?
                    +2
                    скорее не торчит, а всунуто
                    –3
                    Вот вы уверены, что будет торчать. И знаете почему? Потому что паникёр. А на самом деле ничего торчать не будет.
                      +12
                        0
                        Ха-ха, ров внутри — это пятикилометровая запретная зона внутри российских границ))
                        Ой, шептаться же запрещено…
                      +2
                      А на самом деле ничего торчать не будет.

                      Вас заминусовали, но я предполагаю, что просто шутка была слишком тонкая. Вы имели ввиду, что "даже ничего торчать не будет", да?

                    +13

                    Джеффри Пол одобрил мой перевод. LOL :)
                    https://sneak.berlin/i18n/2020-11-12-your-computer-isnt-yours.ru/

                      +1

                      у меня дежавю или я это уже читал, причем в переводе тут на Хабре?

                        +26

                        В конце статьи я указал, почему я перевел статью. Именно перевел, а не засунул 1/3 от оригинальной стать и переводчик, как это сделал автор той статьи, и исказил каждое предложение, добавив свои мысли, которых не было в оригинале. В идеале надо было вообще пожаловаться на статью, так как позорит сообщество. И легко он наьрал 150 плюсов, не приложив ни каплю труда.

                        +2

                        В оригинале добавили обновление от 16 ноября. Завтра возьмусь.

                          0
                          Теоретически — можно запустить MacOS, а внутри неё запустить вирт.машину с иной операционкой. Тогда MacOS не сможет сообщать в ЦРУ о том, какие программы запускает пользователь.
                            0

                            но сможет точно так же сливать трафик ДНС и прочего (он же будет проходить через хостовую ОС), но это проконтролировать apple уже существенно сложнее, чем саму MacOS.

                              0

                              Можно изнутри виртмашины поднять туннель до доверенного сервера.

                                0
                                Смысл в этих туннелях если вся оперативная память и CPU Scheduler хоста находятся в юридической плоскости Apple Inc.?
                                  0
                                  вся оперативная память и CPU Scheduler хоста находятся в юридической плоскости Apple Inc.

                                  Извините, не распарсил. Это как? О_о

                                    0
                                    Речь идёт о виртуальных машинах. Даже если использовать опенсорсную ВМ на Маке, то Эппл всё равно оставляет за собой право модифицировать любой код и память на своей системе т.к. ОС стоит выше виртуальной машины.
                                    С таким положением вещей пользователь согласился при установке системы.
                                      0

                                      А можно точную цитату из eula?

                                        0
                                        Я не хочу искать. Такие формулировки есть везде где есть автообновление, и тем более телеметрия: «включая, но не ограничиваясь» — так проще для юристов в спорных случаях.
                                          0

                                          Про модификацию кода/данных пользователя по желанию левой пятки я впервые слышу вообще. Похоже на какие-то фантазии.
                                          Макось может отказать в запуске неподписанного аппа (что впрочем тривиально обходится запуском собственно бинарника руками). Именно app bundle, а не любого произвольного бинарника.
                                          Автообновление софта — это совсем про другое. Разработчик софта может обновлять части своего софта, это собственно и есть суть обновления.

                                            0
                                            В качестве примера могу привести автообновление Windows, которое затирает в т.ч. пользовательские настройки, самовосстанавливая себя как заправская малварь.
                                            Чем Apple хуже? Разницы между этими корпорациями я не вижу.
                                            это совсем про другое

                                            Ну вот — мне даже мемом отвечать не нужно.
                                              0
                                              пользовательские настройки

                                              Это не код/данные пользователя, это часть операционной системы. И то момент довольно спорный, тихонечко чистить настройки как-то ну такое.
                                              Продолжая аналогию с виндой — это вот если бы система при обновлении себя втихую удалила бы у вас гуглохром и каталог с фотками котиков.
                                              (и я сейчас не говорю про ситуации с явными багами системы (что уже бывало) или с несовместимостью установленного софта с новой системой (что уже тоже было, и система явно предупреждала об этом))


                                              Ну вот — мне даже мемом отвечать не нужно.

                                              Да, лучше найдите точную цитату из eula :)

                                                0
                                                Продолжая аналогию с виндой — это вот если бы система при обновлении себя втихую удалила бы у вас гуглохром и каталог с фотками котиков.

                                                Уже бывали кейсы. Пруфов прям сейчас не найду, но в новостях писали 100%

                                                  0
                                                  (и я сейчас не говорю про ситуации с явными багами системы (что уже бывало) или с несовместимостью установленного софта с новой системой (что уже тоже было, и система явно предупреждала об этом))
                                                0
                                                Что я делаю не так, раз за 5 лет 10 ни разу ничего не затерла? А я знаю толк в тонкой настройке.
                                0
                                Почему тогда не купить компьютер сразу с иной операционкой?
                                  0

                                  А подскажите плз модели, чтобы +- аналогично по ТТХ ну хоть макбукам 2019 года и чтобы не виндовс там нормально работал (все железо поддерживалось и батарейка не улетала за 2 часа)?

                                    0

                                    Как владелец Microsoft Surface Laptop 3 (купленного вместо Air 2020), его могу посоветовать крайне. Но он на Win :)

                                      0
                                      не виндовс

                                      :(

                                      0
                                      Иронично порекомендую топовый пиксельбук го. Не-виндовс, +- ТТХ аира, батарейки часов на 8-10.
                                        0

                                        А мне бы ТТХ +-про… 8 ядер+HT, 16+ оперативы. Ну и батарейки часов на 10-12

                                        0
                                        У system76 есть интересные модели, заточены на linux. Но насчёт времени работы не вкурсе. У razer недавно рабочий ноут вышел.
                                          0

                                          Да, довольно интересно, спасибо.
                                          Жаль что они официально в РФ не доставляют, плюс хз что там с гарантией/обслуживанием :(

                                            0
                                            Они еще и заморачиваются над выпиливанием ME.
                                            0

                                            Thinkpad последние очень хороши.
                                            Linux без проблем.

                                              0

                                              Что-то у наших локальных дилеров их ровно одна модель в наличии :(
                                              Заказывать же из Штатов мне не очень нравится по причинам озвученным выше.
                                              Плюс вы уверены насчет линуксов? Я вот смотрю, на оффсайте для тех же ThinkPad P1 Gen 3 Mobile Workstation официально заявлена только десятка.

                                                0

                                                Там все даже лучше, чем я думал.
                                                https://news.lenovo.com/pressroom/press-releases/lenovo-brings-linux-certification-to-thinkpad-and-thinkstation-workstation-portfolio-easing-deployment-for-developers-data-scientists/


                                                Не в курсе ваших причин, но в штатах на официальном сайте Леново часто бывают отличные скидки на топ модели.
                                                По весу и батарейке — аналогично МакБук
                                                Есть модели на новых apu amd
                                                Клавиатура лучшая в классе. Особенно если привыкнете к трекпоинту.


                                                Искренне советую.
                                                Можете посмотреть у местных дельцов на локальных досках объявлений.
                                                Не знаю как у вас, у нас полно предложений, в том числе с гарантией.
                                                Конфигураций правда много, рекомендую Т серию или X для работы

                                                  0
                                                  https://news.lenovo.com/pressroom/press-releases/lenovo-brings-linux-certification-to-thinkpad-and-thinkstation-workstation-portfolio-easing-deployment-for-developers-data-scientists/

                                                  Круто, учту :)


                                                  Не в курсе ваших причин, но в штатах на официальном сайте Леново часто бывают отличные скидки на топ модели.

                                                  Ну вот смотрите. Покупаю я ноут за $2.5-3K (забудем даже про таможенную пошлину):


                                                  • приезжает, а там, скажем царапины/битые пиксели/что-то не работает/совсем не работает. что делать?
                                                  • приезжает, все ок. через месяц отваливается видюшка/начинает залипать клава/все вообще не работает. что делать?

                                                  В случае с местными офф. дилерами эпл я просто пойду и по гарантии сдам. На крайний случай могу лично сгонять в соседний город в официальный СЦ.


                                                  А местные барыги — ну такое. Имел уже опыт.

                                                    0
                                                    Прекрасно понимаю ваши сомнения.
                                                    Насколько помню, у Thinkpad есть международная гарантия как опция, подробно не изучал. Проверить при покупке теоретически может сервис пересылки из USA — но сам не пользовался, так что это теория.
                                                    Сам покупаю у местных б/у модели прошлых годов за копейки и радуюсь, на мои задачи хватает. На будущее смотрю в сторону x395 и т.п
                                                    У меня 2 шт x230 — самый моддинговый ноутбук ever :)
                                                    16гб, core i5 3rd gen, ssd, battery 5-6ч, вес 1,5 — около 200$
                                                    Учитывая количество на вторичном рынке — любую деталь можно заменить, от корпуса до процессора.
                                            0
                                            isden, хозяйская операционка имеет полные права (в смысле — физические возможности) делать с приложениями что угодно (в частности, на этом принципе основан swaping/paging). А вирт.машина — это именно приложение.

                                            Единственная надежда — что хозяйская операционка не сумеет понять, где какие данные в вирт.машине. А беспорядочная мешанина — бесполезна.

                                            Tatikoma, Apple выпускает ноутбуки с определёнными характеристиками. И если хочется именно такой, или такой уже имеется — то можно попробовать обойти телеметрию таким извращённым способом.
                                              0
                                              хозяйская операционка имеет полные права (в смысле — физические возможности)

                                              Ну понятное дело что имеет. Это очевидно, и других вариантов тут вообще нигде нет и быть не может. Но иметь != делать что угодно.

                                                0
                                                Принцип мешанины всё равно будет находиться в оперативной памяти. Ну или в TPM, что тоже не идеально.
                                            –5
                                            MacOS? Что это вообще такое?
                                              +3

                                              В новой редакции правильно теперь "macOS". ОС такая от Apple. :) Google it!

                                              +3

                                              Мой компьютер на самом деле мой. А если у вас MacOS, то это исключительно ваш выбор.

                                              –7
                                              Не зря я никогда не переваривал этот кусок кривого софта.
                                                0
                                                много ты понимаешь в маках.
                                                0

                                                Не подключайте интернет и он будет ваш

                                                  –5
                                                  Да ну? И снижение частоты процессора, типа для спасения стареющего аккумулятора, само вдруг отвалится? И вечно глючные проприетарные драйверы станут открытыми сразу?
                                                  Я уж молчу, что мелкомягкие поделия без подключения к инету устроят…
                                                    +4
                                                    Пожалуйтесь еще, что заводы по производству мат. плат не спрашивают вашего мнения при развязке элементов. Покупаете сложную штуку и жалуетесь, что сделали ее без вас?
                                                    Обладание от необладания, исходя из статьи, связано с тем, что ваши данные утекают без вашего ведома.
                                                      +1
                                                      Даже как-то странно услышать столь примитивное суждение на данном ресурсе.
                                                      При чем тут железо, когда обсуждается софт?
                                                      Тем более рассматривается вопрос собственности.
                                                      В вашем же стиле тогда объясню.
                                                      Если вы купите авто с автопилотом, а оно будет катать вас через раз куда вы не просили, но куда вздумается производителю по его команде извне — это ваша машина или производителя?
                                                      Ведь вся эта вакханалия в конец охреневших производителей как раз в этой канве — лишение прав собственности потребителя.
                                                      По сути это называется лизинг, но никак не продажа.
                                                        0
                                                        Вы про какой софт и железо? Может быть майкрософт офис и отделен от железа, но биос, например, в опенсурс как-то никто из вендоров не выкладывает. Наверное, это часть коммерческой тайны. Так и не получается разделения железа от софта.
                                                        — это ваша машина или производителя?

                                                        Я не знаю категорий обладания. Сейчас машины и без автопилота катают вас в сервис и за бензином регулярно, куда вам нахой не нужно. И тело ваше ходит в магазин, куда вам нахой не нужно, тратить время на жевания, выделение и прочее. Все это зависит от определения того, что вас устраивает. В какую степень зависимости вы готовы вступить в обмен на что-то.

                                                        Ведь вся эта вакханалия в конец охреневших производителей как раз в этой канве — лишение прав собственности потребителя.

                                                        Сложно обвинять, что он работает на спрос и на свою прибыль, если большинство так устраивает. Чем больше вендерлока, тем дешевле можно сделать девайс, спрогнозировав прибыль. Самсунг вон, готов флагманы продавать с 50% скидкой каждый год, если заключишь договор на то, что обязуешься менять телефон каждый год. Мне это не нравится, а может и понравится, будь у меня средства.
                                                          0
                                                          А где такое предложение от самсунга? В РФ есть?
                                                          0

                                                          Нет, не катают они сами — всегда можно взять и заправить из канистры, например. А некоторые и от выделений удовольствия получают, что уж говорить о гурманах, из-за которых рестораны и существуют.


                                                          Так что не надо подменять понятия.

                                                            0
                                                            бензин в канистре откуда? Это не отменяет факта вынужденной поездки за бензином, которая обусловлена техническими необходимостями.
                                                      0
                                                      Я уж молчу, что мелкомягкие поделия без подключения к инету устроят…

                                                      Что?
                                                    0
                                                    Я правильно понял. Если на внешнем сетевом устройстве заблокировать протоколы Apple хэш то устройство юзера превращается в (шорты) кирпич?
                                                      0
                                                      Эпл использует http и https — заблокируйте их на внешнем сетевом устройстве без знания, которая программа их послала, не обрезав при этом «нормальный» трафик, от того же эпла, других сервисов. Deep packet inspection и MITM для https на самого себя осуществлять будете? :)
                                                      +4
                                                      Sanctuary_s
                                                      Поместите тогда пометку о «зачем» перевода в самое начало, а то вопросы будут сыпаться без остановки.
                                                      Вы Джефу писали, что сделали перевод? Я бы тогда это тоже добавил в сноски под текстом, и то что перевод автором «признан официальным».
                                                        0

                                                        Да, отправил md-файл. Он без ответа сразу опубликовал.


                                                        то перевод автором «признан официальным»

                                                        Сделано!

                                                        +5
                                                        Да, ваш перевод определённо лучше, чем предыдущий.
                                                          +1
                                                          macOS 11.0 Big Sur получила новые API, которые ломают работу Little Snitch.

                                                          На сайте Little Snitch есть версия 5 и есть раздел «Redesigned for macOS Big Sur».

                                                          Скажите, пожалуйста, после редизайна Little Snitch научилась обходить эту проблему?
                                                            +1
                                                            Нет. Я писал тут и тут.
                                                            Хоть публикацию запиливай, чтобы вопросы не повторялись. Только как-то не считаю что пара простых тестов с разбором как это сделать того достойны.
                                                            +2
                                                            Большинству людей на этой планете вообще ничего не принадлежит: ни их «имущество» (кредиты), ни их идеи (Terms & Conditions на инструментарий создания/передачи/хранения — не везде, но постепенно к этому идём), ни даже их жизни (всякие хитрые чрезвычайные положения и прочая госбезопасность). Гоните иллюзии прочь.

                                                            А вот что с этой ситуацией делать — уже совсем другой вопрос…
                                                              0
                                                              сначала подумал, что будут в очередной раз про название «Этот компьютер» расписывать и тайные заговоры
                                                                0

                                                                Добавил перевод обновления от 16 ноября.

                                                                  +6
                                                                  image
                                                                    +2

                                                                    Бесплатный антивирус должен самосвалом все данные вывозить, учитывая его админский доступ в систему

                                                                      0
                                                                      Именно для этого есть пиратский антивирус
                                                                      Скрытый текст
                                                                      Который сливает данные релиз-группе
                                                                      0

                                                                      Если алгоритм такой: подключение есть, соединения с сервером телеметрии нет — приложение не запускается, то как оно на территории Китая работает?

                                                                        0
                                                                        В китае стоят сервера принимающие все соединения. Только физически эти сервера находятся во владении китайских фирм. Таким же образом работают Azure и AWS — там целые датацентры так.
                                                                          0

                                                                          А при авторизации в публичном вайфае? А при настройке роутера через вебморду, пока он не настроен? И вообще при работе с любым оборудованием, прикидывающимся точкой доступа с вебмордой. А в огороженной корпоративной локалке?

                                                                        0

                                                                        О один момент… Люди открою глаза но будет поздно…

                                                                          0
                                                                          Оформление и переносы местами — просто кровь из глаз.



                                                                            0
                                                                            Исправил. Бета-редактор ломает так.
                                                                            –1
                                                                            В моем Thinkpad на Linux осталось несколько мест, до которых сильно лень дотягиваться — хотя можно перепрошить bios, и дезактивировать хардварные закладки интела.
                                                                            Так что более-менее он мой ;)
                                                                            Раньше думал о макбуке, но чем дальше, тем безальтернативней линукс по приватности.

                                                                            Only users with full accounts can post comments. Log in, please.