Hacker News Digest

Запуск собственного XMPP-сервера на базе ejabberd позволяет избежать слежки за перепиской и утечек данных, которые характерны для коммерческих мессенджеров. Это особенно актуально на фоне планов ЕС по автоматическому мониторингу всех чатов и сообщений. XMPP поддерживает шифрование OMEMO, обмен файлами, групповые чаты и аудио-/видеозвонки, оставаясь ресурсоэффективным решением.

Для развёртывания сервера требуется настроить DNS-записи для оснвных и вспомогательных поддоменов, установить ejabberd через официальный репозиторий или GitHub, открыть необходимые порты (5222, 5269, 5280 и другие) и настроить конфигурацию в YAML. Ключевые настройки включают отказ от модулей, нарушающих приватность (mod_last, mod_bosh), использование SQLite вместо Mnesia и генерацию свежих DH-параметров. Все шаги автоматизированы с помощью Ansible-ролей в открытом репозитории.

• Участники обсуждают проблемы с клиентами XMPP, особенно на iOS: отсутствие реакций, ненадежные уведомления, неудовлетворительный пользовательский интерфейс и недостаток современных функций (гифки, звонки).
• Многие отмечают простоту настройки и надежность серверов XMPP (Prosody, ejabberd), но подчеркивают, что основная сложность для широкого внедрения — это сетевой эффект и нежелание неподготовленных пользователей мириться с отсутствием привычного удобства.
• В качестве альтернатив упоминаются Matrix (критикуется за сложность и нестабильность), Delta.Chat (на основе email) и Signal (отмечаются проблемы с приватностью из-за номера телефона и возможный уход из ЕС).
• Поднимается вопрос цензуры и тотального мониторинга в ЕС, что может подтолкнуть пользователей к самохостингу и децентрализованным решениям.
• Обсуждаются технические аспекты развертывания: проблемы с блокировкой портов на публичных сетях, необходимость reverse proxy, использование Docker для упрощения установки и управления.

Иммиграционная служба США планирует создать круглосуточную команду для мониторинга социальных сетей, включая Facebook, TikTok, Instagram и YouTube, с целью выявления мигрантов для последующей депортации. Программа предполагает найм почти 30 частных аналитиков, которые будут работать в двух центрах — в Вермонте и Калифорнии, обрабатывая данные в режиме 24/7 и используя передовое программное обеспечение для слежки.

Собранная информация будет преобразовываться в досье для планирования рейдов и арестов. Хотя проект пока находится на стадии сбора предложений от подрядчиков, документы свидетельствуют о масштабных амбициях ICE, что вызывает вопросы о приватности и этике массового наблюдения.

• Участники сравнивают действия ICE с методами гестапо и Штази, выражая тревогу по поводу массовой слежки и создания досье на людей.
• Обсуждаются способы противодействия слежке: переход на альтернативные мессенджеры (Signal), децентрализованные сети и отказ от крупных соцсетей.
• Высказываются опасения, что ICE превращается в парамилитарную силу с расширенными полномочиями, включая контртеррористические операции.
• Критикуется пассивность сторонников Второй поправки, которые, по мнению комментаторов, не противостоят действиям правительства.
• Поднимаются вопросы о точности методов идентификации и рисках злоупотреблений при автоматическом сборе данных и работе с анонимными аккаунтами.

Предложение ЕС «Контроль за чатами» угрожает фундаментальным правом на приватность в Европе, требуя массового сканирования всех сообщений, фото и видео на устройствах пользователей под предлогом защиты детей. Это фактически уничтожает сквозное шифрование, создавая бэкдор для хакеров и враждебных государств, что даже разведки признают катастрофой для национальной безопасности. Германия, исторически защищавшая приватность, сейчас рискует отступить от своих принципов, что стало бы стратегической ошибкой в условиях геополитической нестабильности.

Signal рассматривает это как экзистенциальную угрозу и заявляет, что предпочтёт уйти с рынка, чем встроить систему слежки, поскольку шифрование либо работает для всех, либо не работает вообще. Решение Германии может определить будущее приватных коммуникаций в Европе — сохранятся ли они или будут подорваны массовой слежкой, угрожающей экономической и социальной безопасности. Важно не допустить повторения истории, но уже с масштабными базами данных и крайне чувствительной информацией.

• Пользователи выражают поддержку Signal и её борьбе против инициативы ЕС "Chat Control", видя в ней массовую слежку под предлогом защиты детей.
• Обсуждается опасность принятия закона, который может привести к сканированию всего контента на устройствах и уничтожению приватности и сквозного шифрования.
• Участники сравнивают "Chat Control" с практиками Штази и Гестапо, подчёркивая репрессивный характер инициативы и её угрозу гражданским свободам.
• Высказывается критика в адрес немецких политиков и партий (CDU, SPD), которые, по мнению комментаторов, исторически лоббируют тотальную слежку и ограничение свобод.
• Обсуждаются технические и правовые последствия, включая возможный запрет децентрализованных сетей и необходимость активного политического сопротивления.

ЕС продвигает законопроект ChatControl, который обяжет все платформы обмена сообщениями сканировать личные переписки и изображения пользователей — включая зашифрованные мессенджеры вроде Signal и WhatsApp. Цель формально — борьба с материалами о сексуальном насилии над детьми, но метод подразумевает тотальный мониторинг без возможности отказа. Регламент автоматически применяется во всех странах ЕС и может отменять национальные конституционные гарантии приватности.

Технически сканирование нарушает принципы сквозного шифрования, создаёт риски ложных срабатываний и уязвимо для обхода злоумышленниками. Против выступают учёные и эксперты по безопасности. Инициатива также выгодна коммерческим игрокам, продающим технологии мониторинга. Сейчас идёт обсуждение среди стран-членов ЕС, но если закон примут, это установит глобальный прецендент массовой слежки под предлогом защиты детей.

• Опасения потери контроля над правительством и гражданских свобод из-за массового сканирования личной переписки
• Критика неэффективности мер в борьбе с CSAM, поскольку они не устраняют коренные причины и легко обходятся преступниками
• Сомнения в законности инициативы, противоречащей праву на приватность (Статья 8 ECHR), и мотивах властей
• Предложение технических обходных решений (например, PGP, собственные серверы) и использование открытого ПО для защиты приватности
• Непонимание технических деталей реализации инициативы и её применения к opensource-приложениям и не-EU юрисдикциям

• Бывший глава кибербезопасности WhatsApp подал в суд на Meta, заявив, что компания ставила под угрозу миллиарды пользователей.
• По его словам, инженеры WhatsApp могли перемещать и красть контакты и IP-адреса.

• Бывший глава безопасности WhatsApp обвинил Meta в том, что 1500 инженеров имели неограниченный доступ к метаданным пользователей без аудита.
• Некоторые бывшие сотрудники Meta утверждают, что доступ к данным строго логируется и карается увольнением, но другие сомневаются в реальном контроле.
• Участники обсуждения подчеркивают: даже при E2E-шифровании метаданные (контакты, IP, аватарки) остаются уязвимы, если «концы» контролируются компанией.
• Несколько комментаторов считают, что WhatsApp — это «feature, not bug» для разведок, особенно вне США и Китая.
• Появляются призывы переходить на открытые решения вроде Signal с открытым кодом и воспроизводимыми сборками.

Что такое Chat Control
ЕС хочет заставить мессенджеры и почту сканировать все переписки на «подозрительный» контент автоматически и до отправки. Это касается даже зашифрованных чатов.

Почему это плохо

• Тотальный массовый контроль, а не выборочный.
• Конец приватной переписки и доверию к европейским сервисам.
• Ложные срабатывания: интимные фото, медкарты, ЛГБТ-подростки — всё попадёт в базу.
• Хакеры и злоупотребления: централизованные сканы — приманка для атак и утечек.
• Детей не спасёт: реальные преступники уйдут в даркнет и зарубежные платформы.

Как отразится

• В ЕС: придётся соглашаться или уезжать.
• За пределами: европейские письма и звонки станут «прослушиваемыми» по умолчанию; тренд быстро расползётся в другие страны.

Что делать

1. ЕС-граждане:
   • Написать депутатам Европарламента (пошаблонно тут → saveprivacy.eu).
   • Подписать европетицию Stop Scanning Me.
2. Всем:
   • Перейти на открытые, проверенные мессенджеры с端到端-шифрованием (Signal, Matrix, XMPP+OMEMO).
   • Отказаться от «безопасных» облаков Big Tech, использовать шифрование клиента (Cryptomator, age).
   • Рассказать друзьям, поделиться мемами и роликами (#StopChatControl).

Ссылки

• Кратко и по-русски: edri.org, epicenter.works
• Видео: Patrick Breyer, The Hated One
• Петиции и инфа: stopchatcontrol.eu, saveprivacy.eu

• Chat Control — это предложенный ЕС регламент, обязывающий все сервисы сканировать переписку и файлы, включая зашифрованные, на предмет «запрещённого контента».
• Участники обсуждения считают молчание СМИ и общества тревожным; статья, вызвавшая тред, критикуется за невнятное изложение сути.
• Технически инициатива невыполнима без разрушения end-to-end шифрования и встроенных бэкдоров; злоумышленники просто перейдут на самописные каналы.
• Многие видят в проекте «размыкание» охвата: сначала борьба с CSAM, далее — копирайт, политический диссонанс, коммерческий шпионаж и тренировка ИИ.
• Германия пока против, но новое правительство ещё не высказалось; считается, что позиция Берлина (и/или Парижа) решит исход голосования.
• Пользователи призывают переходить на самостоятельные, несовместимые протоколы и отказываться от «удобных» централизованных мессенджеров.

• Непал блокирует Facebook, X, YouTube и др. за отказ регистрироваться в стране.
• Платформы должны были до среды указать локального представителя и модератора.
• Из 10 крупнейших лишь TikTok и Viber оформились; остальным грозит отключение.
• Правозащитники: «внезапное закрытие удар по свободе слова».

• Непал заблокировал 26 популярных соцсетей и мессенджеров (Meta, YouTube, Signal, Reddit и др.), требуя от компаний зарегистрироваться и назначить локального представителя.
• Блокировка пока DNS-уровня: смена DNS или VPN открывает доступ, но уже появляются IP-блоки (Telegram).
• Мнения разделились: кто-то считает мерой защиты от «цифрового госпереворота» и вреда психике, кто-то — авторитарным цензурированием и нарушением свободы слова.
• Часть пользователей рада избавлению от «алгоритмичного трэша» и призывает другие страны последовать примеру; другие опасаются погони за VPN и дальнейшей цензуры.

• ICE получает доступ к израильскому шпионскому ПО Paragon Graphite, способному взламывать iPhone и Android без взаимодействия с жертвой и читать переписку в WhatsApp, Signal, Telegram.
• Контракт на 8 млн $ подписан в 2024 г.; ПО использует уязвимости ОС, а не «бэкдоры» мессенджеров.
• Paragon основана бывшими сотрудниками NSO Group; Graphite позиционируется как инструмент «борьбы с преступностью».
• Критика: правозащитники и конгрессмены беспокоятся о массовом надзоре и отсутствии прозрачности; ICE ранее применяла NSO Pegasus.
• Данные: ICE купила 40 лицензий, но не раскрывает, как и против кого использует технологию.

• Правительство США вынуждено покупать шпионские технологии у частных компаний, потому что NSA не может (или не хочет) использовать свои 0-day против граждан.
• Paragon утверждает, что продаёт Graphite «только демократиям» и якобы не знает, как клиенты используют шпионку, что вызывает скепсис.
• Уязвимости обычно заходят через WhatsApp/Signal, SMS/MMS и браузеры; Lockdown Mode может частично защитить, но не гарантирует безопасность.
• Обсуждаются связи Paragon с бывшими политиками и инвесторами из окружения Эпштейна, что усиливает недоверие.
• Участники предлагают переход на децентрализованные приложения и отказ от локального хранения данных, но сомневаются в реальности такого сценария.

Цели мастер-класса

• Основные: узнать о «одноразовых» телефонах и получить удовольствие.
• Скрытые: понять границы этих устройств, связать их с общей цифровой гигиеной, научиться делиться знаниями.
• Запреты: не раскрывать личные данные, не поощрять вред или преследование.

Моделирование рисков
Ответьте на три вопроса:

1. Что защищаем?
2. От кого?
3. Что случится, если всё провалится?

Примеры: протест, рейд ICE, онлайн-преследование, борьба с зависимостью от смартфона. Учитывайте риски для всей вашей сети.

Почему смартфон — это риск

• IMEI (железо) и IMSI (SIM) делают полную анонимность почти невозможной.
• Четыре категории утечек:
  1. Идентификация и финансы (платежи, контракты).
  2. Местоположение (GPS, Wi-Fi, вышки).
  3. Коммуникации и соцграф (звонки, контакты).
  4. Контент и хранилище (фото, бэкапы, приложения).

Быстрые меры для любого телефона

• Обновляйте ОС.
• ПИН-код вместо биометрии.
• Отключите облачные бэкапы или шифруйте их.
• Установите Signal.
• Жёстко ограничьте разрешения приложений.
• Выключа­йте радиомодули, когда не нужны.
• Храните минимум чувствительных данных.

Android

• Выключите Google Location History и персонализированную рекламу.
• Используйте Firefox/Brave, F-Droid, GrapheneOS или CalyxOS.

iPhone

• «Запретить отслеживать», ограничить Siri, включить режим Lockdown при высоком риске.

• Мобильные телефоны изначально проектировались как трек-устройства из-за роутинга вызовов и биллинга; «анонимные» бёрнеры почти невозможны в странах с обязательной идентификацией.
• Даже если купить аппарат и SIM за наличные, нужно держать «бёрнер» отдельно от основного телефона и не включать его дома/на работе, иначе корреляция по времени и месту выдаёт владельца.
• Альтернативы: LoRa-мэш (MeshCore), приёмники старых пейджеров, спутниковые телефоны, ham-радио — но всё это текст, ограниченный радиус или требует лицензий.
• eSIM и современные SoC с закрытым baseband делают отслеживание ещё глубже: модем «спит» даже в авиарежиме, а отключить радио полностью нельзя.
• Лучший совет — начать с threat-modeling и, если риск высок, просто оставить телефон домой: любое включённое радио — это маяк.