Life of a Netflix Partner Engineer — The case of extra 40 ms

Post Syndicated from Netflix Technology Blog original https://netflixtechblog.com/life-of-a-netflix-partner-engineer-the-case-of-extra-40-ms-b4c2dd278513

Life of a Netflix Partner Engineer — The case of the extra 40 ms

By: John Blair, Netflix Partner Engineering

The Netflix application runs on hundreds of smart TVs, streaming sticks and pay TV set top boxes. The role of a Partner Engineer at Netflix is to help device manufacturers launch the Netflix application on their devices. In this article we talk about one particularly difficult issue that blocked the launch of a device in Europe.

The mystery begins

Towards the end of 2017, I was on a conference call to discuss an issue with the Netflix application on a new set top box. The box was a new Android TV device with 4k playback, based on Android Open Source Project (AOSP) version 5.0, aka “Lollipop”. I had been at Netflix for a few years, and had shipped multiple devices, but this was my first Android TV device.

All four players involved in the device were on the call: there was the large European pay TV company (the operator) launching the device, the contractor integrating the set-top-box firmware (the integrator), the system-on-a-chip provider (the chip vendor), and myself (Netflix).

The integrator and Netflix had already completed the rigorous Netflix certification process, but during the TV operator’s internal trial an executive at the company reported a serious issue: Netflix playback on his device was “stuttering.”, i.e. video would play for a very short time, then pause, then start again, then pause. It didn’t happen all the time, but would reliably start to happen within a few days of powering on the box. They supplied a video and it looked terrible.

The device integrator had found a way to reproduce the problem: repeatedly start Netflix, start playback, then return to the device UI. They supplied a script to automate the process. Sometimes it took as long as five minutes, but the script would always reliably reproduce the bug.

Meanwhile, a field engineer for the chip vendor had diagnosed the root cause: Netflix’s Android TV application, called Ninja, was not delivering audio data quickly enough. The stuttering was caused by buffer starvation in the device audio pipeline. Playback stopped when the decoder waited for Ninja to deliver more of the audio stream, then resumed once more data arrived. The integrator, the chip vendor and the operator all thought the issue was identified and their message to me was clear: Netflix, you have a bug in your application, and you need to fix it. I could hear the stress in the voices from the operator. Their device was late and running over budget and they expected results from me.

The investigation

I was skeptical. The same Ninja application runs on millions of Android TV devices, including smart TVs and other set top boxes. If there was a bug in Ninja, why is it only happening on this device?

I started by reproducing the issue myself using the script provided by the integrator. I contacted my counterpart at the chip vendor, asked if he’d seen anything like this before (he hadn’t). Next I started reading the Ninja source code. I wanted to find the precise code that delivers the audio data. I recognized a lot, but I started to lose the plot in the playback code and I needed help.

I walked upstairs and found the engineer who wrote the audio and video pipeline in Ninja, and he gave me a guided tour of the code. I spent some quality time with the source code myself to understand its working parts, adding my own logging to confirm my understanding. The Netflix application is complex, but at its simplest it streams data from a Netflix server, buffers several seconds worth of video and audio data on the device, then delivers video and audio frames one-at-a-time to the device’s playback hardware.

A diagram showing content downloaded to a device into a streaming buffer, then copied into the device decode buffer.
Figure 1: Device Playback Pipeline (simplified)

Let’s take a moment to talk about the audio/video pipeline in the Netflix application. Everything up until the “decoder buffer” is the same on every set top box and smart TV, but moving the A/V data into the device’s decoder buffer is a device-specific routine running in its own thread. This routine’s job is to keep the decoder buffer full by calling a Netflix provided API which provides the next frame of audio or video data. In Ninja, this job is performed by an Android Thread. There is a simple state machine and some logic to handle different play states, but under normal playback the thread copies one frame of data into the Android playback API, then tells the thread scheduler to wait 15 ms and invoke the handler again. When you create an Android thread, you can request that the thread be run repeatedly, as if in a loop, but it is the Android Thread scheduler that calls the handler, not your own application.

To play a 60fps video, the highest frame rate available in the Netflix catalog, the device must render a new frame every 16.66 ms, so checking for a new sample every 15ms is just fast enough to stay ahead of any video stream Netflix can provide. Because the integrator had identified the audio stream as the problem, I zeroed in on the specific thread handler that was delivering audio samples to the Android audio service.

I wanted to answer this question: where is the extra time? I assumed some function invoked by the handler would be the culprit, so I sprinkled log messages throughout the handler, assuming the guilty code would be apparent. What was soon apparent was that there was nothing in the handler that was misbehaving, and the handler was running in a few milliseconds even when playback was stuttering.

Aha, Insight

In the end, I focused on three numbers: the rate of data transfer, the time when the handler was invoked and the time when the handler passed control back to Android. I wrote a script to parse the log output, and made the graph below which gave me the answer.

A graph showing time spent in the thread handler and audio data throughput.
Figure 2: Visualizing Audio Throughput and Thread Handler Timing

The orange line is the rate that data moved from the streaming buffer into the Android audio system, in bytes/millisecond. You can see three distinct behaviors in this chart:

  1. The two, tall spiky parts where the data rate reaches 500 bytes/ms. This phase is buffering, before playback starts. The handler is copying data as fast as it can.
  2. The region in the middle is normal playback. Audio data is moved at about 45 bytes/ms.
  3. The stuttering region is on the right, when audio data is moving at closer to 10 bytes/ms. This is not fast enough to maintain playback.

The unavoidable conclusion: the orange line confirms what the chip vendor’s engineer reported: Ninja is not delivering audio data quickly enough.

To understand why, let’s see what story the yellow and grey lines tell.

The yellow line shows the time spent in the handler routine itself, calculated from timestamps recorded at the top and the bottom of the handler. In both normal and stutter playback regions, the time spent in the handler was the same: about 2 ms. The spikes show instances when the runtime was slower due to time spent on other tasks on the device.

The real root cause

The grey line, the time between calls invoking the handler, tells a different story. In the normal playback case you can see the handler is invoked about every 15 ms. In the stutter case, on the right, the handler is invoked approximately every 55 ms. There are an extra 40 ms between invocations, and there’s no way that can keep up with playback. But why?

I reported my discovery to the integrator and the chip vendor (look, it’s the Android Thread scheduler!), but they continued to push back on the Netflix behavior. Why don’t you just copy more data each time the handler is called? This was a fair criticism, but changing this behavior involved deeper changes than I was prepared to make, and I continued my search for the root cause. I dove into the Android source code, and learned that Android Threads are a userspace construct, and the thread scheduler uses the epoll() system call for timing. I knew epoll() performance isn’t guaranteed, so I suspected something was affecting epoll() in a systematic way.

At this point I was saved by another engineer at the chip supplier, who discovered a bug that had already been fixed in the next version of Android, named Marshmallow. The Android thread scheduler changes the behavior of threads depending whether or not an application is running in the foreground or the background. Threads in the background are assigned an extra 40 ms (40000000 ns) of wait time.

A bug deep in the plumbing of Android itself meant this extra timer value was retained when the thread moved to the foreground. Usually the audio handler thread was created while the application was in the foreground, but sometimes the thread was created a little sooner, while Ninja was still in the background. When this happened, playback would stutter.

Lessons learned

This wasn’t the last bug we fixed on this platform, but it was the hardest to track down. It was outside of the Netflix application, in a part of the system that was outside of the playback pipeline, and all of the initial data pointed to a bug in the Netflix application itself.

This story really exemplifies an aspect of my job I love: I can’t predict all of the issues that our partners will throw at me, and I know that to fix them I have to understand multiple systems, work with great colleagues, and constantly push myself to learn more. What I do has a direct impact on real people and their enjoyment of a great product. I know when people enjoy Netflix in their living room, I’m an essential part of the team that made it happen.

Life of a Netflix Partner Engineer — The case of extra 40 ms was originally published in Netflix TechBlog on Medium, where people are continuing the conversation by highlighting and responding to this story.

Four new products: IQaudio is now Raspberry Pi

Post Syndicated from Roger Thornton original https://www.raspberrypi.org/blog/iqaudio-is-now-raspberry-pi/

We’re delighted to round off 2020 by welcoming four of the most popular IQaudio products to the Raspberry Pi fold. DAC+, DAC Pro, DigiAMP+, and Codec Zero will all be available to buy via our network of Raspberry Pi Approved Resellers.

We’ve had a busy 2020 here at Raspberry Pi. From the High Quality Camera to 8GB Raspberry Pi 4 to Compute Module 4 and Raspberry Pi 400, this year’s products have been under development for several years, and bringing them to market required us to build new capabilities in the engineering team. Building capabilities, rather than money or engineer time, is the real rate-limiting step for introducing new Raspberry Pi products.

One market we’ve never explored is hi-fi audio; this is a world unto itself, with a very demanding customer base, and we’ve never felt we had the capabilities needed to offer something distinctive. Over time, third parties have stepped in with a variety of audio I/O devices, amplifiers, and other accessories.

IQaudio

Founded by Gordon and Sharon Garrity together with Andrew Rankin in 2015, IQaudio was one of the first companies to recognise the potential of Raspberry Pi as a platform for hi-fi audio. IQaudio products are widely used by hobbyists and businesses (in-store audio streaming being a particularly popular use case). So when the opportunity arose to acquire IQaudio’s brand and product line late last year, we jumped at it.

Today we’re relaunching four of the most popular IQaudio products, at new affordable price points, via our network of Raspberry Pi Approved Resellers.

IQaudio DAC+

Priced at just $20, DAC+ is our lowest-cost audio output HAT, supporting 24‑bit 192kHz high-resolution digital audio. It uses a Texas Instruments PCM5122 DAC to deliver stereo analogue audio to a pair of phono connectors, and also provides a dedicated headphone amplifier.

IQaudio DAC+ HAT

IQaudio DAC Pro

Priced at $25, DAC Pro is our highest-fidelity audio output HAT. It supports the same audio input formats and output connectors as DAC+, but uses a Texas Instruments PCM5242 DAC, providing an even higher signal-to-noise ratio.

IQaudio DAC Pro HAT

In combination with an optional daughter board (due for relaunch in the first quarter of 2021), DAC Pro can support balanced output from a pair of XLR connectors.

IQaudio DigiAMP+

Where DAC+ and DAC Pro are designed to be used with an external amplifier, DigiAMP+ integrates a Texas Instruments TAS5756M digital-input amplifier directly onto the HAT, allowing you to drive a pair of passive speakers at up to 35W per channel. Combined with a Raspberry Pi board, it’s a complete hi-fi that’s the size of a deck of cards.

IQaudio DigiAMP+ HAT

DigiAMP+ is priced at $30, and requires an external 12-21V 3A DC power supply, sold separately. XP Power’s VEC65US19, available here and here, is a suitable supply.

IQaudio Codec Zero

Codec Zero is a $20 audio I/O HAT, designed to fit within the Raspberry Pi Zero footprint. It is built around a Dialog Semiconductor DA7212 codec and supports a range of input and output devices, from the built-in MEMS microphone to external mono electret microphones and 1.2W, 8 ohm mono speakers.

IQaudio Codec Zero HAT

Unlike the other three products, which are in stock with our Approved Resellers now, Codec Zero will ship early in the New Year.

So there you have it. Four (nearly) new Raspberry Pi accessories, just in time for Christmas – hop over and buy yours now. This is the first time we’ve brought third-party products into our line-up like this; we’d like to thank the team at IQaudio for their help in making the transition.

The post Four new products: IQaudio is now Raspberry Pi appeared first on Raspberry Pi.

Hostopia Australia Signs Deal With Equinix, Launches New Private And Hybrid Cloud Offering

Post Syndicated from Andy Haine original https://www.anchor.com.au/blog/2020/12/hostopia-australia-signs-deal-with-equinix-launches-new-private-and-hybrid-cloud-offering/

Sydney, Australia – 02 December , 2020 – Cloud services and hosting provider Hostopia Australia today announced a long term deal with the world’s digital infrastructure company Equinix, Inc. (Nasdaq: EQIX).

Hostopia Australia will consolidate its current footprint of five separate data centres across Sydney and Melbourne into Equinix’s state of the art SY5 and ME2 International Business ExchangeTM (IBX®) data centres launched in late 2019 and early 2020 respectively. The Equinix facilities are designed, built and operated with high energy efficiency standards. The SY5 facility is Equinix’s largest data center in Australia.

The deployment will enable Hostopia to overcome the limitations of its current data centres spread across different locations, by leveraging Equinix’s world class infrastructure and network service capabilities, thus improving the service delivery and connectivity for over 50,000 of Hostopia’s customers across ANZ.

Ross Krumbeck, CTO for Hostopia Australia commented: “This collaboration with Equinix will enable us to consolidate and reduce the number of disparate providers we were working with. Beyond a simple data centre agreement, this collaboration will allow our customers to benefit from best of breed data centre facilities with high security and compliance standards, robust power and cooling redundancy as well as abundant connectivity options.”

The deployment with Equinix will allow Hostopia Australia’s managed cloud brand, Anchor, to provide customers with superior, best-of-breed equipment and high-speed connectivity. It also means Anchor will be able to provide more tailored data centre solutions, especially for those customers with very specialised needs and requirements, as well as do co-selling and build side-by-side services on Platform Equinix®.

Hostopia’s Anchor customers will also be able to access the Equinix Fabric™ – formerly known as Equinix Cloud Exchange Fabric, which allows businesses to set up on-demand and secure connections to more than 2,300 participants across all regions around the world.

Guy Danskine, Managing Director, Equinix Australia said: “Businesses across Australia are increasingly turning to hybrid cloud architectures as part of their digital transformation journeys. By deploying on Platform Equinix, Hostopia will give its customers access to our robust cloud ecosystem and benefit from improved service delivery and connectivity.  

“Beyond just supporting our existing and future customers across ANZ, Equinix’s global footprint means we’ll be able to expand our reach and support both ANZ customers looking to grow internationally, and overseas companies looking to start operations in our region. This is of utmost importance as we are just launching our private and hybrid cloud offering and expect to grow significantly in 2021”, added Krumbeck.  

Launching a new private and hybrid cloud offering, supported by Equinix

Platform Equinix will provide Hostopia with extra capabilities to support the launch of its new private and hybrid cloud offering which will trade under the Anchor name.

As of today, Anchor is offering ANZ customers the opportunity to build tailored private and hybrid cloud environments in VMWare, one of Anchor’s key partners, at Equinix SY5 and ME2 facilities.

This new offering has been built to support organisations which are not ready to operate in full public cloud environments yet. Anchor’s new private and hybrid cloud offering comes with extra managed and professional services layer:

Anchor’s cloud experts will be able to create 100% bespoke solutions based on each customer’s unique needs and requirements, and accompany them step by step in their cloud journey whether they want to stay in a private cloud environment, or move toward hybrid or public cloud.

For Darryn McCoskery, General Manager for Hostopia Australia:As a result of the COVID-19 pandemic we’ve seen a rush of organisations either expanding their cloud footprint, or looking into kick starting their cloud journeys. It’s important we can accompany those organisations every step of the way, no matter where they are at with their cloud journeys”. 

“What 2020 has proven is that cloud is not an option anymore, and as we enter 2021 it will be even more paramount to build resilience and stay relevant amid a constantly, rapidly changing economic environment”.

Hostopia is the largest hosting company in Australia and an emerging leader in Cloud Engineering Services. Hostopia provides fast, secure and scalable solutions, enabling digital success for thousands of businesses around the world. With more than 20 years of experience in the industry, Hostopia has built and procured a versatile portfolio of cloud and hosting brands. Learn more at www.hostopia.com.au.

The post Hostopia Australia Signs Deal With Equinix, Launches New Private And Hybrid Cloud Offering appeared first on AWS Managed Services by Anchor.

The 5.10 kernel has been released

Post Syndicated from original https://lwn.net/Articles/840017/rss

Linus has released the 5.10 kernel.
I pretty much always wish that the last week was even calmer than it
was, and that’s true here too. There’s a fair amount of fixes in here,
including a few last-minute reverts for things that didn’t get fixed,
but nothing makes me go ‘we need another week’. Things look fairly
normal.

Significant changes in this release include
support for the Arm memory tagging
extension,
restricted rings for io_uring,
sleepable BPF programs,
the process_madvise()
system call,
ext4 “fast commits”,
and more. See the LWN merge-window summaries (part 1, part 2) and the KernelNewbies 5.10 page
for more details.

Privacy and Compliance Reading List

Post Syndicated from Val Vesa original https://blog.cloudflare.com/privacy-and-compliance-reading-list/

Privacy and Compliance Reading List

Privacy and Compliance Reading List

Privacy matters. Privacy and Compliance are at the heart of Cloudflare’s products and solutions. We are committed to providing built-in data protection and privacy throughout our global network and for every product in our portfolio. This is why we have dedicated a whole week to highlight important aspects of how we are working to make sure privacy will stay at the core of all we do as a business.

In case you missed any of the blog posts this week addressing the topics of Privacy and Compliance, you’ll find a summary below.

Welcome to Privacy & Compliance Week: Reflecting Values at Cloudflare’s Core

We started the week with this introduction by Matthew Prince. The blog post summarizes the early decisions that the founding team made to make sure customer data is kept private, that we do not sell or rent this data to third parties, and why trust is the foundation of our business. > Read the full blog post.

Introducing the Cloudflare Data Localization Suite

Cloudflare’s network is private and compliant by design. Preserving end-user privacy is core to our mission of helping to build a better Internet; we’ve never sold personal data about customers or end-users of our network. We comply with laws like GDPR and maintain certifications such as ISO-27001. In a blog post by John Graham-Cumming, we announced the Data Localization Suite, which helps businesses get the performance and security benefits of Cloudflare’s global network while making it easy to set rules and controls at the edge about where their data is stored and protected. The Data Localization Suite is available now as an add-on for Enterprise customers. > Read the full blog post.

Privacy needs to be built into the Internet

John also reflected upon three phases of the evolution of the Internet: from its invention to the mid-1990s the race was on for expansion and connectivity. Then, as more devices and networks became interconnected, the focus shifted with the introduction of SSL in 1994 to a second phase where security became paramount. We’re now in the full swing of phase 3, where privacy is becoming more and more important than ever. > Read the full blog post.

Helping build the next generation of privacy-preserving protocols

The Internet is growing in terms of its capacity and the number of people using it and evolving in terms of its design and functionality. As a player in the Internet ecosystem, Cloudflare has a responsibility to help the Internet grow in a way that respects and provides value for its users. In this blog post, Nick Sullivan summarizes several announcements on improving Internet protocols with respect to something important to our customers and Internet users worldwide: privacy. These initiatives are focussed around: fixing one of the last information leaks in HTTPS through Encrypted Client Hello (ECH), which supersedes Encrypted SNI; making DNS even more private by supporting Oblivious DNS-over-HTTPS (ODoH); developing a superior protocol for password authentication, OPAQUE, that makes password breaches less likely to occur.  > Read the full blog post.

OPAQUE: The Best Passwords Never Leave your Device

Passwords are a problem. They are a problem for reasons that are familiar to most readers. For us at Cloudflare, the problem lies much deeper and broader. Most readers will immediately acknowledge that passwords are hard to remember and manage, especially as password requirements grow increasingly complex. Luckily there are great software packages and browser add-ons to help manage passwords. Unfortunately, the greater underlying problem is beyond the reaches of software to solve. Today’s deep-dive blog post by Tatiana Bradley, into OPAQUE, is one possible answer. OPAQUE is one among many examples of systems that enable a password to be useful without it ever leaving your possession. No one likes passwords, but as long they’re in use, at least we can ensure they are never given away.  > Read the full blog post.

Good-bye ESNI, hello ECH!

In this post Christopher Patton dives into Encrypted Client Hello (ECH), a new extension for TLS that promises to significantly enhance the privacy of this critical Internet protocol. Today, a number of privacy-sensitive parameters of the TLS connection are negotiated in the clear. This leaves a trove of metadata available to network observers, including the endpoints’ identities, how they use the connection, and so on. > Read the full blog post.

Improving DNS Privacy with Oblivious DoH in 1.1.1.1

Tanya Verma and Sudheesh Singanamalla wrote this blog post for our announcement of support for a new proposed DNS standard — co-authored by engineers from Cloudflare, Apple, and Fastly — that separates IP addresses from queries, so that no single entity can see both at the same time. Even better, we’ve made source code available, so anyone can try out ODoH, or run their own ODoH service! > Read the full blog post.

Deprecating the __cfduid cookie

Cloudflare never tracks end-users across sites or sells their personal data. However, we didn’t want there to be any questions about our cookie use, and we don’t want any customer to think they need a cookie banner because of what we do. Therefore we’ve announced that Cloudflare is deprecating the __cfduid cookie. Starting on 10 May 2021, we will stop adding a “Set-Cookie” header on all HTTP responses. The last __cfduid cookies will expire 30 days after that. So why did we use the __cfduid cookie before, and why can we remove it now? Read the full blog post by Sergi Isasi to find out.

Cloudflare’s privacy-first Web Analytics is now available for everyone

In September, we announced that we’re building a new, free Web Analytics product for the whole web. In this blog post by Jon Levine, we’re announcing that anyone can now sign up to use our new Web Analytics — even without changing your DNS settings. In other words, Cloudflare Web Analytics can now be deployed by adding an HTML snippet (in the same way many other popular web analytics tools are) making it easier than ever to use privacy-first tools to understand visitor behavior.

Announcing Workplace Records for Cloudflare for Teams

As businesses worldwide have shifted to remote work, many employees have been working from “home” — wherever that may be. Some employees have taken this opportunity to venture further from where they usually are, sometimes crossing state and national borders. Businesses worldwide pay employment taxes based on where their employees do work. For most businesses and in normal times, where employees do work has been relatively easy to determine: it’s where they come into the office. But 2020 has made everything more complicated, even taxes. In this blog post by Matthew Prince and Sam Rhea, we’re announcing the beta of a new feature for Cloudflare for Teams to help solve this problem: Workplace Records. Cloudflare for Teams uses Access and Gateway logs to provide the state and country from which employees are working. Workplace Records can be used to help finance, legal, and HR departments determine where payroll taxes are due and provide a record to defend those decisions.

Securing the post-quantum world

Quantum computing will change the face of Internet security forever — particularly in the realm of cryptography, which is the way communications and information are secured across channels like the Internet. Cryptography is critical to almost every aspect of modern life, from banking to cellular communications to connected refrigerators and systems that keep subways running on time. This ultra-powerful, highly sophisticated new generation of computing has the potential to unravel decades of work that have been put into developing the cryptographic algorithms and standards we use today. When will a quantum computer be built that is powerful enough to break all modern cryptography? By some estimates, it may take 10 to 15 years. This makes deploying post-quantum cryptography as soon as possible a pressing privacy concern. Cloudflare is taking steps to accelerate this transition. Read the full blog post by Nick Sullivan to find out more.

How to Build a Global Network that Complies with Local Law

Governments around the world have long had an interest in getting access to online records. Sometimes law enforcement is looking for evidence relevant to criminal investigations. Sometimes intelligence agencies are looking to learn more about what foreign governments or actors are doing. And online service providers of all kinds often serve as an access point for those electronic records.

For service providers like Cloudflare, though, those requests can be fraught. The work that law enforcement and other government authorities do is important. At the same time, the data that law enforcement and other government authorities are seeking does not belong to us. By using our services, our customers have put us in a position of trust over that data. Maintaining that trust is fundamental to our business and our values. Alissa Stark details in her blog post how Cloudflare works to ensure compliance with laws like GDPR, particularly in the face of legal orders that might put us in the difficult position of being required to violate it and that requires involving the courts.

Encrypting your WAF Payloads with Hybrid Public Key Encryption (HPKE)

The Cloudflare Web Application Firewall (WAF) blocks more than 72B malicious requests per day from reaching our customers’ applications. Typically, our users can easily confirm these requests were not legitimate by checking the URL, the query parameters, or other metadata that Cloudflare provides as part of the security event log in the dashboard. Request headers may contain cookies and POST payloads may contain username and password pairs submitted during a login attempt among other sensitive data.

We recognize that providing clear visibility in any security event is a core feature of a firewall, as this allows users to better fine-tune their rules. To accomplish this, while ensuring end-user privacy, we built encrypted WAF matched payload logging. This feature will log only the specific component of the request the WAF has deemed malicious — and it is encrypted using a customer-provided key to ensure that no Cloudflare employee can examine the data. Michael Tremante goes over this in full detail, explaining how only application owners who also have access to the Cloudflare dashboard as Super Administrators will be able to configure encrypted matched payload logging.

Supporting Jurisdictional Restrictions for Durable Objects

Durable Objects, currently in limited beta, already make it easy for customers to manage state on Cloudflare Workers without worrying about provisioning infrastructure. Greg McKeon announces in this blog post the upcoming launch of Jurisdictional Restrictions for Durable Objects, which ensure that a Durable Object only stores and processes data in a given geographical region. Jurisdictional Restrictions make it easy for developers to build serverless, stateful applications that not only comply with today’s regulations but can handle new and updated policies as new regulations are added. Head over to the blog post to read more and also request an invite to the beta.

I want my Cloudflare TV

We have also had a full week of CloudflareTV segments focussed on privacy and compliance and you can get the full list and more details on our dedicated Privacy Week page.

As always, we welcome your feedback and comments and we stay committed to putting the privacy and safety of your data at the core of everything we do.

Supporting Jurisdictional Restrictions for Durable Objects

Post Syndicated from Greg McKeon original https://blog.cloudflare.com/supporting-jurisdictional-restrictions-for-durable-objects/

Supporting Jurisdictional Restrictions for Durable Objects

Supporting Jurisdictional Restrictions for Durable Objects

Over the past week, you’ve heard how Cloudflare is making it easy for our customers to control where their data is stored and protected.

We’re not the only ones building these data controls. Around the world, companies are working to figure out where and how to store customer data in a way that is compliant with data localization obligations. For developers, this means new deployment models and new headaches — wrangling infrastructure in multiple regions, partitioning user data based on location, and staying on top of the latest rules from regulators.

Durable Objects, currently in limited beta, already make it easy for customers to manage state on Cloudflare Workers without worrying about provisioning infrastructure. Today, we’re announcing Jurisdictional Restrictions for Durable Objects, which ensure that a Durable Object only stores and processes data in a given geographical region. Jurisdictional Restrictions make it easy for developers to build serverless, stateful applications that not only comply with today’s regulations, but can handle new and updated policies as new regulations are added.

How Jurisdictional Restrictions Work

When creating a Durable Object, developers generate a unique ID that lets a Cloudflare Worker communicate with the Object.

Let’s say I want to create a Durable Object that represents a specific user of my application:

async function handle(request) {
    let objectId = USERS.newUniqueId();
    let user = await USERS.get(objectId);
}

The unique ID encodes metadata for the Workers runtime, including a mapping to a specific Cloudflare data center. That data center is responsible for handling the creation of the Object and maintaining a routing table entry, so that a Worker can communicate with the Object if the Object migrates to another Cloudflare data center.

If the user is an EU data subject, I may want to ensure that the Durable Object that handles their data only stores and processes data inside of the EU. I can do that when I generate their Object ID, which encodes a restriction that this Durable Object can only be handled by a data center in the EU.

async function handle(request) {
    let objectId = USERS.newUniqueId({jurisdiction: "eu"});
    let user = await USERS.get(objectId);
}

There are no servers to spin up and no databases to maintain. Handling a new set of regional restrictions will be as easy as passing a different string at ID generation.

Today, we only support the EU jurisdiction, but we’ll be adding more based on developer demand.

By setting restrictions at a per-object level, it becomes easy to ensure compliance without sacrificing developer productivity. Applications running on Durable Objects just need to identify the jurisdictional rules a given Object should follow and set the corresponding rule at creation time. Gone is the need to run multiple clusters of infrastructure across cloud provider regions to stay compliant — Durable Objects are both globally accessible and capable of partitioning state with no infrastructure overhead.

In the future, we’ll add additional features to Jurisdictional Restrictions — including the ability to migrate your Objects between Jurisdictions to handle changes in regulations.

Under the hood with Durable Object ID generation

Durable Objects support two types of IDs: system-generated, where the system creates a unique ID for you, and user-generated, where a user passes in an identifier to access the Durable Object. You can think of the user-provided identifier as a seed to a hash function that determines the data center the object starts in.

By default with system-generated IDs, we construct the ID so that it maps to a data center near the Worker that generated the ID. This data center is responsible for creating the Object and storing a routing record if that Object migrates.

If the user passes in a Jurisdictional Restriction, we instead encode in the ID a mapping to a jurisdiction, which encodes a list of data centers that adhere to the rules of the Jurisdictional Restriction. We guarantee that the data center we select for creating the Object is in this list and that we will not migrate the Object to a data center that isn’t in this list. In the case of the ‘eu’ jurisdiction, that maps to one of Cloudflare’s data centers in the EU.

For user-generated IDs, though, we cannot encode this data in the ID, since we must use the string the user passed us to generate the ID! This is because requests may originate anywhere in the world, and they need to know where to find an Object without depending on coordination. For now, this means we do not support Jurisdictional Restrictions in combination with user-generated IDs.

Join the Durable Objects limited beta

Durable Objects are currently in an invite-only beta, while we scale up our systems and build out additional features. If you’re interested in using Durable Objects to meet your compliance requirements, reach out to us with your use case!

Request a beta invite

И България е точка в обръчите на Circles Citizen Lab: Кръгов маратон с държавни клиенти на фирма за кибершпионаж

Post Syndicated from Екип на Биволъ original https://bivol.bg/circles-citizen-lab.html

събота 12 декември 2020


Преди 5 години Биволъ осветли фирмата за кибершпионаж Circles, която е базирана в България чрез “Съркълс България”. Тя се е регистрирала у нас като виртуален телеком оператор, за да получи достъп до сигналната системи на телекомите SS7. През SS7 софтуерът на Circles може да проследява местоположението на телефоните дори в роуминг и да прихваща незащитени SMS съобщения и обаждания.

През последните години бизнесът на “Съркълс България” просперира. Дружеството е собственост на кипърската компания “СС – Съркълс Солюшънс” Лимитед. През 2017 тя получава кредит от 275 милиона долара от две офшорки и швейцарска банка регистрирана на Кайманските острови. От 2015 до 2020 г. персоналът на българската фирма нараства двойно и в момента достига 150 души.

Договорът за заем на Circles с офшорни фирми.

Преди няколко дни излезе ново проучване на авторитетната лаборатория CitizenLab, в което се разкрива, че Circles е продавала шпионския си софтуер на държави с диктаторски режими. В много случаи те го използват, за да следят и репресират дисиденти.

Citizen Lab предупреждават правителството на САЩ, че дейностите на Circles представляват заплаха за националната сигурност. Експертите отправят предупреждение и към високорисковите потребители – правозащитници, граждански активисти, журналисти и правителствени агенти трябва да дезактивират всички услуги, използващи двуфакторна идентификация през SMS и да въведат допълнителни кодове за защита на приложенията Signal и WhatsApp.

Биволъ преведе статията на CitizenLab с незначителни съкращения.

Резюме и ключови констатации от доклада на Citizen Lab

Circles е компания за наблюдение, която съобщава, че се възползва от слабостите в глобалната система за мобилни телефони, за да подслушва разговори, проследява текстове и местоположението на телефоните по целия свят. Circles е свързана с NSO Group, която разработва най-често злонамерено употребявания шпионски софтуер Pegasus.

Circles, чиито продукти работят без да се хакне телефонът, твърдят, че продават само на държавно ниво. Според изтекли документи, клиентите на Circles могат да закупят система, която да свързват с инфраструктурата на местните телекомуникационни компании, или да използват отделна система, наречена “Circles Cloud”, която се свързва с телекомуникационните компании по целия свят.

Според Министерството на вътрешната сигурност на САЩ всички безжични мрежи в страната са уязвими към видовете слабости, за които се твърди, че се използват от Circles. По-голямата част от мрежите по света са също уязвими.

Използвайки интернет сканиране, намерихме уникален подпис, свързан с имената на хостовете на защитните стени (firewalls), използвани в разположенията на Circles. Това сканиране ни позволи да идентифицираме наличието на Circles в поне 25 държави.

Стигнахме до заключението, че правителствата на следните страни са вероятни клиенти: Австралия, Белгия, Ботсвана, Чили, Дания, Еквадор, Естония, Екваториална Гвинея, Гватемала, Хондурас, Индонезия, Израел, Кения, Малайзия, Мексико, Мароко, Нигерия, Перу, Сърбия, Тайланд, Обединените арабски емирства (ОАЕ), Виетнам, Замбия и Зимбабве.

Някои от конкретните правителствени клонове, които идентифицираме с различна степен на категоричност като клиенти на компанията, имат история, която използва дигиталната технология за нарушения на правата на човека. В няколко конкретни случая успяхме да посочим местоположението на определен клиент – като командването на операциите по сигурността (ISOC) на Кралската армия на Тайланд, за която се твърди, че е измъчвала задържани.

1. Обща информация

Обществената дискусия около наблюдението и проследяването до голяма степен е съсредоточена върху добре познати технически средства, като например целенасочено хакерство и прихващане в мрежата. Въпреки това други форми на проследяване се използват редовно и широко от правителствата и третите страни за осъществяване на трансгранично наблюдение и мониторинг.

Една от най-широко използваните (и недооценени) възможности е установяването на слабости в глобалната инфраструктура на мобилните телекомуникации, за да се следят и прихващат телефонните обаждания и трафика.
Макар, че добре обезпечените правителства отдавна имат възможност да извършват такава дейност, през последните години се появиха компании за продажба на тези екстри. Например, Guardian съобщи през март 2020 г., че Саудитска Арабия вероятно “експлоатира слабости в глобалната мобилна телекомуникационна мрежа за проследяване на гражданите, докато пътуват из САЩ”. Други разследващи доклади сочат, че журналисти, дисиденти и опозиционни политици в Нигерия и Гватемала са били обект на подобна цел.

Злоупотребата с глобалната телефонна система за проследяване и мониторинг се смята за широко разпространена, но е трудно да се разследва. Когато дадено устройство се проследява или са прихванати съобщения, не е задължително да останат следи по въпросното устройство, за да могат да се открият проследяващите. Междувременно при клетъчните оператори са налице много технически трудности да идентифицират и блокират злоупотребите с тяхната инфраструктура.

SS7 атаки

Системата за сигнализация 7 (SS7) е протоколен пакет, разработен през 1975 г. за обмен на информация и маршрутизиране на телефонни разговори между различните телекомуникационни компании. По време на развитието на SS7 глобалната телефонна мрежа се състои от малък клуб от монополисти телекомуникационни оператори. Тъй като тези компании обикновено се доверяват една на друга, дизайнерите на SS7 не са счели за нужно удостоверяването или контрола на достъпа. Въпреки това, с появата на телекомуникационното дерегулиране и мобилните технологии скоро започнаха спорове около предположението за доверие. Обаче SS7 издържа, благодарение на желанието да се поддържа оперативна съвместимост с по-старо оборудване.

Поради липсата на удостоверяване на SS7, всеки нападател, който свързва мрежата на SS7 (като разузнавателна агенция, кибер-престъпник или фирма за наблюдение, която управлява фалшива телефонна компания) може да изпраща команди до абонатната “домашна мрежа” и да показва, че абонатът е роуминг. Тези команди позволяват на нападателя да следи местоположението на жертвата и да прихваща гласови повиквания и SMS текстови съобщения.

Тези възможности могат да се използват и за прихващане на кодове, използвани за двуфакторно удостоверяване, изпратени чрез SMS. За телекомуникационните оператори е трудно и скъпо да различават злонамерения трафик от доброкачественото поведение, което прави тези атаки трудни за блокиране.

Днес SS7 се използва предимно в 2G и 3G мобилните мрежи (4G мрежите използват по-новия протокол Diameter). Една от основните функции на SS7 в тези мрежи е обработката на роуминг, където абонат на “домашна мрежа” може да се свърже с различна “посетена мрежа”, като например при пътуване в чужбина. В този случай SS7 се използва за обработка на пренасочване на телефонни обаждания и SMS текстови съобщения до “посетена мрежа”. Въпреки че протоколът Diameter на 4G включва функции за удостоверяване и контрол на достъпа, те са по избор. Освен това необходимостта от Diameter мрежи за свързване с SS7 мрежите също предизвиква и проблеми със сигурността. Налице е широко разпространената загриженост, че 5G технологиите и други постижения ще наследят рисковете от тези по-стари системи.

Circles

Докато компаниите, които продават системи за експлоатация на глобалната клетъчна система са склонни да работят в тайна, една компания се очертава като известен играч: Circles. Компанията е създадена през 2008 г., придобита през 2014 г. от Francisco Partners, след което се слива с NSO Group. Circles е известна с продажбата на системи за използване на SS7 уязвимости и твърди, че продава тази технология изключително на национални държави.

За разлика от Pegasus spyware на NSO Group, механизмът SS7, чрез който се твърди, че работи продуктът на Circles, няма очевиден подпис на целевия телефон, като например насочването на SMS с цел да се нанесе злонамерен линк, който понякога се намира на телефон, насочен към Pegasus.

Повечето проучвания на Circles разчитат на вътрешна информация и разузнаване с отворен код, а не на технически анализ. Например разследване от 2016 г. на нигерийския вестник Premium Times разкри, че двама държавни лидери в Нигерия са придобили системите на Circles и ги използват, за да шпионират политически опоненти. В единия случай системата е инсталирана в резиденцията на един от въпросните властници. Нашето проучване откри две системи на Circles в Нигерия.

Документи, подадени като част от съдебно дело срещу NSO Group в Израел показват имейли, разменени между Circles и няколко клиенти в ОАЕ. Те показват изпращане на местоположение на обекти и телефонни записи (Call Detail Records или CDRs) от Circles до Върховния съвет на ОАЕ за национална сигурност (SCNS), очевидно като част от демонстрация на продукта. Имейлите показват и, че прихващането на телефонни разговори на чужда цел има по-голям шанс за успех, когато целта е роуминг.

Същите документи обясняват някои аспекти на работата на системата Circles. SCNS е с нагласата да получи две отделни системи: самостоятелна, която може да се използва за местни прихващания и друга отделна система, свързана със “Circles Cloud” ( с договори за роуминг по света), която може да се използва за прихващания извън ОАЕ, ако желае.

През 2015 г. Intelligence Online предлага на Circles да стартира фалшива телефонна компания, наречена “Circles България”, за да улесни прихващането на хора по целия свят. Неотдавна докладът на Forensic News от 2020 г. повдигна въпроси за истинския бизнес на FloLive, за която се предполага, че е компания за връзка с интернет. Forensic News откри, че FloLive се е свързала със Circles и предлага компанията да бъде “лице за хакерите и частните шпиони зад Circles”.

Има и ограничена информация за това как системата Circles се интегрира с водещия шпионски софтуер Pegasus spyware на NSO Group, въпреки, че бивш служител на NSO Group посочил, че дънната платка на Pegasus има “ужасна интеграция с Circles и че Circles “преувеличават способностите на тяхната система”.

2. Снемане на дигитални отпечатъци и сканиране за Circles

Докато търсихме с Shodan (първата в света търсачка за свързани с интернет устройства, бел.ред.), се натъкнахме на интересни резултати в AS200068, блок от IP адреси, регистрирани в Circles Bulgaria. (Снимка 2). Тези резултати показват имена на хостове на защитните стени, произведени от Check Point, както и имена на хостове на SmartCenter екземпляра на защитната стена. SmartCenter може да се използва за централизирано управление на множество защитни стени с Check Point.

Резултати от Shodan за защитните стени на контролния център на AS200068 (Circles България Ltd).

Сред регистрираните хостове в SmartCenter в Circles, AS200068 съдържа домейна с име tracksystem.info. Изглежда ясно, че tracksystem.info е свързан със Circles, тъй като изтекли документи разкриват служителите на Circle, комуникиращи от @tracksystem.info имейл-адреси. Освен това, за RiskIQ, 17 от 37-те IP адреса, посочени от tracksystem.info или неговите поддомейни, са в AS200068, както и AS60097, също регистрирани в Circles Bulgaria.

Търсихме Check Point защитни стени с хост в SmartCenter, съдържащи tracksystem.info в Shodan, Censys, Fofa, и sonar-ssl данни в Rapid7. Търсихме и IP адреси, които връщат особено “случайни” TLS сертификати, съвпадащи със следвания регулярен израз, като видяхме тези сертификати върнати от Check Point защитната стена с tracksystem.info в техните имена на хостовете в SmartCenter:

Като цяло идентифицирахме 252 IP адреса в 50 ASN, съответстващи на нашите цифрови отпечатъци. Много от тях имат поле “Firewall Host”, привидно показващо, че системите са били клиентски, например client-circles-thailand-nsb-node-2, въпреки, че някои използват думата telco на мястото на клиента, а някои са по-скоро родово име, отколкото име на клиент, например, cf-00-182-1. В случаите, когато идентифицирахме Check Point защитни стени в Circles на доставчик на Transit/Access ISP (т.е. интернет доставчик на не-център за данни ISP), допуснахме, че някои агенции на правителството на съответната държава са били клиент на Circles.

Някои от клиентите, които идентифицирахме, имат никнейм с две думи, като първата е марка на автомобил, която почти винаги съвпада с първата буква на държавата на очевидния клиент. Например, защитните стени на Circles, чиито IP адреси са с геолокации в Мексико, се наричат “Mercedes”, тези в Тайланд са “Toyota”, други с геолокации до Абу Даби се наричат “Aston”, а в Дубай са “Dutton”.

Използването на марки на автомобили за обозначаване на клиенти е съобщено за първи път от израелския в. „Haaretz“, макар, че в доклада се посочва, че това е практика на NSO Group, а не на “Circles”. „Haaretz“ съобщава следните кодови имена: Саудитска Арабия е “Subaru”, Бахрейн е “BMW”, а Йордания е “Jaguar”. Нашите проучвания не разкриха никакви Check Point защитни стени, свързани със Circles под имената Subaru или Jaguar, въпреки че ние идентифицирахме защитни стени с името “BMW” с локация в Белгия.

3. Списък на глобалното внедряване на Circles

От 252 IP адреса, които открихме в 50 ASN, ние идентифицирахме 25 правителства, които са вероятни клиенти на Circles. Идентифицирахме и 17 специфични правителствени клонове, които изглежда са клиенти на Circles, базирани в WHOIS, пасивни DNS и с история на сканирани данни от IP адреси на Check Point защитна стена на IP или на техните съседи.

Австралия, Белгия, Ботсвана (Дирекция за разузнаване и сигурност), Чили (Разследваща полиция), Дания (Военно командване), Еквадор, Ел Салвадор, Естония, Екваториална Гвинея, Гватемала (Генерална дирекция за гражданско разузнаване), Хондурас (Национална дирекция за разследване и разузнаване), Индонезия, Израел, Кения, Малайзия, Мексико (Мексиканска флота; Щат Дуранго), Мароко (Министерство на вътрешните работи), Нигерия (Агенция за разузнаване по отбраната), Перу (Национална разузнавателна дирекция), Сърбия (Агенция за информационна сигурност), Тайланд (Управление на операциите по вътрешна сигурност; Батальон за военно разузнаване; Бюро за борба с наркотиците), Обединените арабски емирства (Върховен съвет по национална сигурност; правителството на Дубай; (Royal Group), Виетнам, Замбия и Зимбабве.

Докато анализът ни доведе до категорични резултати от страните, усилията ни да определим самоличността на клиентите в някои случаи не се увенчаха с пълен успех.

Държави, които вероятно имат поне един клиент на Circles.

Натъкнахме се и на поне четири системи, които не можахме да свържем с конкретна държава.

4. Фокус – разгръщането на Circles

Нашите изследвания идентифицираха присъствие в 25 държави. В няколко случая успяхме да стигнем по-далеч и да идентифицираме технически елементи, сочещи към конкретен държавен клиент с различна степен на сигурност. В редица случаи правителството като цяло или правителственият клиент в частност имат история на злоупотреба с технологии за наблюдение и нарушения на правата на човека. 

Ботсвана

Идентифицирахме две системи Circles в Ботсвана: една без име и друга на име Bentley Bullevard, която изглежда се управлява от Дирекцията за разузнаване и сигурност (DISS) в страната, тъй като TLS сертификати, използвани в Check Point защитната стена, бяха подписани със собствен сертификат TLS за “CN= sid.org.bw”, което е име на домейн, използван от Дирекцията за разузнаване и сигурност.

Злоупотребите с наблюдение в Ботсвана
Има многобройни съобщения за злоупотреба с оборудване за наблюдение в Ботсвана, за да се потисне докладването и публичната информация за корупцията в правителството. През 2014 г. беше съобщено, че DISS е участвала в използването на технологии за наблюдение и заглушаване, разработени от Elbit Systems за провеждане на “електронни военни действия” срещу медиите. Освен това, според съобщенията, DISS се е ангажирала с опити за компрометиране на неприкосновеността на личния живот на отношенията между източниците и репортерите.

Чили
Нашето сканиране установи една система на Circles с кодово име Cadillac Polaris. Системата вероятно се управлява от Разследващата полиция на Чили (PDI), тъй като Check Point защитните стени идентифицират клиента като “Chile PDI”. PDI е основната правоохранителна агенция на Чили. Тя също е клиент на хакерски екип с дистанционно управление на шпионски софтуер, въпреки че те твърдят, че такъв е бил използван само за преследване на престъпления с предварително съдебно разрешение.

Злоупотреби с наблюдение в Чили
Между 2017 и 2018 г. другата голяма национална полицейска агенция на Чили, Carabineros, незаконно е прихванала разговорите, чатовете в WhatsApp и съобщенията в Telegram на множество журналисти. Чилийската полиция също е проследила съобщенията на лидерите на местните Мапуче и цитира прихванати разговори, за да се оправдаят арестите. По-късно обаче властите бяха осъдени за прикачване на фалшиви доказателства по телефоните на лидерите.

Гватемала
Идентифицирахме една система на Circles в Гватемала – Ginetta Galileo. Системата изглежда е управлявана от Генералната дирекция за гражданско разузнаване (DIGICI), тъй като в публичните WHOIS информационни записи IP-та на защитната стена са регистрирани на “Dirección General de Inteligencia Civil”(Генерална дирекция за гражданско разузнаване).

Злоупотреби с наблюдение в Гватемала
Разследване от 2018 г. на гватемалския вестник Nuestro Diario установи, че израелски търговец на оръжия е продал на секретна единица в DIGICI различни шпионски инструменти, включително шпионски софтуер на NSO Group и система на Circles. Според съобщенията, звеното използва оборудването за провеждане на незаконно наблюдение срещу журналисти, хора от бизнеса и политически опоненти на правителството. Злоупотребата се появи на фона на изключителна физическа заплаха за представителите на гражданското общество. В неотдавнашен доклад бяха установени над 900 нападения в периода 2017-2018 г. в Гватемала, с произход както от правителствени, така и от неправителствени организации.

Мексико
Идентифицирахме кои са 10-те системи на Circles в Мексико. Едната – Mercedes Ventura, вероятно е използвана от мексиканския военноморски флот (SEMAR). Всички IP адреси на защитната стена за системата Mercedes Ventura са около 24 с множество други IP адреси, които са насочени към имена на домейни и връщат валидни TLS сертификати за semar.gob.mx и други уебсайтове, свързани с мексиканския военноморски флот. Безименната система вероятно е била използвана от щата Дуранго, тъй като един от нейните IP адреси на защитната стена е посочен от десетки поддомейни от durango.gob.mx.

Докладите преди свързваха мексиканското правителство с покупката на друго SS7 оборудване за наблюдение, като ULIN made by Ability, както и система с кодово кодово име SkyLock, продадена от Verint Systems Inc.

Злоупотреби с наблюдение в Мексико
В Мексико има много данни за злоупотреби с наблюдението. По-специално, нашите предишни изследвания показват, че структурите в правителството на Мексико последователно злоупотребяват с шпионския софтуер Pegasus на NSO Group, като се прицелват в над 25 репортери, защитници на правата на човека и семействата на хора, убити от картели и изчезнали. Моделът на злоупотребите се простира и до други форми на цифрово наблюдение.

Организациите за човешки права документираха, че мексиканският флот е отговорен за гражданските жертви в конфликти и за нарушения на човешките права, включително незаконно задържане, отвличане, изтезания и сексуално насилие. Националната комисия по правата на човека на Мексико неотдавна потвърди този модел в своя препоръка.

Мароко
Нашето проучване установи, че е налична една система на Circles в Мароко. Ip адресите на мароканския клиент са еднакви /27 като няколко сайта на Централното бюро за съдебни разследвания (Bureau central d’investigation judiciaire (BCIJ) и са едни и същи /26 като страницата на мароканските спомагателни сили (FA). FA и BCIJ са под егидата на МВР на Мароко. Правителствена агенция в страната също изглежда клиент на филиал на NSO Group на Circles, въпреки че идентичността на тази мароканска агенция не е установена.

Злоупотреби с наблюдение в Мароко
Страната е свързана с множество случаи на злоупотреба с наблюдение през последното десетилетие, като се започне от фокуса към организации за човешки права с шпионски софтуер Hacking Team до поредица от по-скорошни случаи, в които Spyware на NSO Group е бил използван срещу гражданското общество в Мароко и в чужбина.

Нигерия
Сканирането ни идентифицира две системи на Circles в Нигерия. Едната система може да се управлява от същия обект като един от нигерийските клиенти на шпионския софтуер FinFisher, който открихме през декември 2014 г. IP адресите на защитната стена са еднакви /27 като IP адреса на сървъра FinFisher C&C, открити в нашите сканирания от 2014 г. (41.242.50.50). Другият клиент вероятно е Нигерийската агенция за отбрана (DIA), тъй като нейните IP адреси на защитната стена са в AS37258, блок от IP адреси, регистрирани в “HQ Defence Intelligence Agency Asokoro, Nigeria, Abuja“ – Щаб на отбранителна агенция Асокоро, Нигерия, Абуджа.

Злоупотреби с наблюдение в Нигерия
Членовете на гражданското общество в Нигерия са изправени пред широк спектър от дигитални заплахи. В неотдавнашен доклад на Front Line Defenders се заключава, че правителството на Нигерия “е извършило масово наблюдение на гражданските телекомуникации”. Комитетът за защита на журналистите (CPJ) също докладва за множество случаи на нигерийското правителство, което злоупотребява с телефонното наблюдение.

Разследване на нигерийския в. “Premium Times” разкрива, че управителите на щатите Байелса и Делта са купили системи от Circles, за да шпионират политическите си опоненти. Вестникът посочва, че в Делта системата е инсталирана в “резиденция на губернатора” и се управлява от негови служители, а не от полицията. В щата Байелса губернаторът използва системата, за да шпионира опонента си на изборите, както и съпругата на съперника си и помощниците му. Разследването установява също, че двете системи на Circles са внесени без необходимите разрешения от Службата на съветника по националната сигурност на Нигерия.

Тайланд
Нашето разследване установи кои са тримата настоящи клиенти в Тайланд. IP адресите на защитната стена за Toyota Regency са еднакви /29 като онлайн “War Room” на командването на операциите за вътрешна сигурност на Кралската армия, известно като ISOC за кратко (the Royal Thai Army’s Internal Security Operations Command ). IP адресите на защитната стена за неназованата система са едни и същи /29 като wiki, показващи логото на батальон за военно разузнаване (MIBn – Military Intelligence Battalion), което изглежда е подразделение на командването на военното разузнаване на армията при тайландската главна агенция за военно разузнаване. Третата система, Toyota Dragon, се идентифицира от Check Point защитните си стени за като “Thailand NSB”, която според нас е препратка към Бюрото за борба с наркотиците.

Злоупотреби с наблюдение в Тайланд
Тайланд има история на привличане на широк спектър от технологии за наблюдение и тормоз на гражданското общество. Предишно изследване на Citizen Lab също идентифицира шпионския оператор Pegasus, активен в Тайланд.

ISOC бе обвинен в мъчения и удавяния на активисти, и съди активисти, които твърдят, че са изтезавани от ръцете на военните. Напоследък се появиха тревожни доклади за отвличания на тайландски дисиденти, които живеят извън Тайланд. В един случай трима тайландски дисиденти, живеещи в Лаос критици на военните изчезнали, а телата им по-късно бяха открити от тайландски рибар. Телата им бяха “изкормени и натъпкани с бетонни стълбове”, крайниците им са строшени. Докато тези отвличания и убийства не са били окончателно приписани на Кралската армия, изчезванията е трябвало да се случат, докато бившият лидер на военната хунта Прают Чан-о-ча е бил на посещение в Лаос. Чан-о-ча е настоящият министър-председател на Тайланд, както и директор на ISOC.

Обединени Арабски емирства
Идентифицирахме кои са тримата активни клиенти в ОАЕ: Върховният съвет на ОАЕ за национална сигурност, правителството на Дубай, и клиент, който може да бъде свързан с Royal Group на шейх Тахнун бин Зайед ал-Нахян и бившия силен човек на Фатах Мохамед Дахлан (считан за един от най-ожесточените противници на Ясер Арафат и гласът на недоволните в палестинското общество, бел.ред.)

Royal Group
Открихме система без име на ОАЕ в Circles, на която Check Point защитните стени са еднакви / 25 като уебсайтове за компании от Royal Group, включително Mauqah Technology, които известният и опериращ шпионския софтуер Hacking Team придобива и през 2012 г. използва системата, за да я насочи (наред с другото) към активиста в ОАЕ Ахмед Мансур. Командният и контролен сървър за този шпионски софтуер за кратко посочи IP адрес, регистриран на шейх Тахнун бин Зайед ал-Нахян, председател на Кралската група и сега съветник по националната сигурност на ОАЕ. Шейх Тахнун е тясно свързан и с ToTok, популярно приложение за чат, което беше забранено от магазините на Apple и Google Play, след като Ню Йорк Таймс съобщи, че е свързан с със службите за разузнаване на ОАЕ.

Изтекла фактура от 2014 г. показва сделка между Circles и Al Thuraya Consultancy and Researches LLC, която изглежда свързана с Royal Group. Регистрите, получени в ливанския вестник „Al Akhbar“ от търговската камара в Абу Даби и записите на companies.rafeeg.ae показват, че Ал Thuraya има номер на пощенска кутия (“PO Box 5151, Abu Dhabi”) и номер на факс (“8111112”) с Royal Group. Освен това, търговският лиценз на Ал Thuraya показва “Dhahi Mohammed Hamad Al-Thumairi” като един от двамата партньори на компанията.

Ал-Тумайри се обучавал в джиу-джицу с осиновения син на Шейх Тахнун Файсал Акетби, получил насърчение от самия шейх Тахнун и дал името му на първия си син. Още едно от джиу-джицу насърчение от шейх Тахнун се появи в случая с ТоТок като единствен директор на Breej Holding, компания, включена като разработчик на iOS на приложението.

Връзки между клиента на Circles Al-Thuraya Consultancy, съветника за националната сигурност на ОАЕ Шейх Тахнун бин Зайед ал-Нахян и Мохамед Дахлан.

Al Thuraya е консултантска фирма на Мохамед Дахлан, бивш ръководител на превантивната палестинска сигурност и бивш член на Централния комитет на Фатах. Дахлан е изваден от Фатах през юни 2011 г. и впоследствие избягал в ОАЕ. Всъщност, изтеклата през 2014 г. фактура показва адреса на Ал Thuraya като “POB 128827, Abu Dhabi, United Arab Emirates”, който е включен в записите на WHOIS за уебсайта на Дахлан dahlan.ps от септември 2013 г. и е използван от Дахлан през юни 2017 г., когато той безуспешно е съдил за клевета онлайн-вестника „Middle East Eye“ в Лондон. За Дахлан в него пише, че е ръководил от ОАЕ програма за убийства в Йемен, която е набелязала и убила опозиционни политици. Съобщава се, че Дахлан е участвал в неотдавнашната сделка, която нормализира отношенията между ОАЕ и Израел.

Върховен съвет на ОАЕ по националната сигурност
В изтекъл през 2015 г. обмен става ясно, че държавният служител на Върховния съвет на националната сигурност на ОАЕ (SCNS) Ахмед Али Ал-Хабси е поискал Circles за прихващане на повиквания за определени телефонни номера, очевидно като част от демонстрация на продукта. Открихме система на Circles, наречена Aston Andromeda, IP адресите на защитната стена на която са регистрирани на същия служител на SCNS по публични данни на WHOIS.

Изтеклите документи описват и продажба от 2016 г. на Circles за Националната агенция за електронна сигурност на ОАЕ (National Electronic Security Authority (NESA) чрез DarkMatter. Докато NESA е дъщерно дружество на SCNS по закона на ОАЕ, ние не сме сигурни дали сделките с демото на SCNS и DarkMatter/ NESA са свързани. След като Ройтерс съобщава за кампанията на NESA за хакване на проекта Raven, NESA е разделена на няколко агенции, включително и на Агенция за разузнавателни сигнали (Signals Intelligence Agency).

Злоупотребите с наблюдение в ОАЕ
Правителството на ОАЕ е документиран сериен насилник чрез технологиите за наблюдение, за да потиска несъгласията и преследва критичните гласове. Някои видни активисти като Ахмед Мансур, лишен от свобода в Емиратите, затворник от 2017 г., са били наблюдавани с помощта на технологии от Hacking Team, FinFisher на Gamma Group, технология, разработена от Проекта Raven, и шпионския софтуер Pegasus на NSO Group.

Използването от ОАЕ на бивши служители на Американската агенция за национална сигурност за насочване към и проследяване на устройствата на дисиденти, журналисти и политически опоненти също е добре документирано, както е видно и прилагането на тази цел за разобличаване и затвор за блогъри и други критици на правителството. В някои случаи целите включват американци.

Замбия
Идентифицирахме една система Circles в Замбия, управлявана от неизвестна агенция.

Злоупотреба с надзора в Замбия
През 2019 г. се съобщава, че в Замбия е арестувана група блогъри, които са управлявали опозиционен новинарски сайт с помощта на “отдел за кибер-наблюдение в офисите на регулаторния орган на телекомуникациите на Замбия”, който “посочи местоположението на блогърите” и е “в постоянен контакт с полицейските части, готови да ги арестуват”. Докато системата на Circles позволява на правителствата да проследяват телефони, не е ясно дали в случая тя е била използвана в страната.

Дискусия

Circles са част от голям и разрастващ се глобален надзорен сектор, който да се използва от държавни клиенти. Много от правителствените клиенти, които изглежда са придобили и/или внедрили технологията на Circles, имат записи за нарушения на човешките права и технически възможности за наблюдение. За много от тях липсва обществена прозрачност и отчетност и имат минимален или никакъв независим надзор върху дейностите на агенциите си за сигурност.

Circles: Друг играч на индустрията, който подхранва разпространението на неотменимо наблюдение

Трудно е да се разследват и проследяват компании като Circles, които използват недостатъците в протокола SS7. Много атаки на SS7 не изискват ангажиране с целите сами и не оставят видими артефакти на целевите устройства, които по невнимание могат да разкрият операцията. Липсата на прозрачност от страна на доставчиците на далекосъобщителни услуги за злоупотреби също помага на компаниите за наблюдение, а техните клиенти избягват експозицията, което допълнително увеличава вероятността от злоупотреба.

Авторитарният профил на някои от очевидните правителствени клиенти на Circles е тревожен, но не е изненадващ. През последното десетилетие, експлозията на глобалната надзорна индустрия доведе до огромен трансфер на шпионски технологии към проблемни режими и услуги за сигурност. Тези клиенти са използвали новопридобитите си възможности да злоупотребяват с правата на човека и да неутрализират политическата опозиция, дори и извън границите им. Circles са особено загрижени за случая поради близките им отношения и явната интеграция с NSO Group, известна с рекордните данни за допускането на злоупотреби с наблюдение.

Експанзията на нерегулираната индустрия за наблюдение

Проучванията на Citizen Lab и други, включително Amnesty International и Privacy International, показват, че индустрията за наблюдение е слабо регулирана и нейните продукти са удобни за злоупотреба. “Саморегулирането”, което компаниите твърдят, че практикуват, изглежда не е тласнало нарастващия прилив на случаи на злоупотреба. В доклад от 2019 г. относно сектора за наблюдение специалният докладчик на ООН за насърчаването и защитата на правото на свобода на мнение и изразяване призова за “незабавен мораториум върху продажбата и трансфера на технологии за частно наблюдение до установяване на строги гаранции за правата на човека, за да се регулират тези практики и да се гарантира, че правителствата и неправителствените субекти използват инструментите по легитимен начин”.

Тъй като индустрията на наблюдението продължава да расте относително безпрепятствено, пространствата за легитимна демократична дейност ще продължат да се свиват. Способностите на правителствата да защитават своите граждани, както и техните основни услуги и националната сигурност, също ще продължат да се стесняват. Този проблем ще изисква пряко съсредоточаване върху реформирането на сектора за наблюдение, включително, наред с други стъпки:

-Въвеждане на по-стабилни национални, регионални и международни правни рамки, оборудвани със съдържателна прозрачност, правоприлагане и механизми за надзор, за контрол на износа и вноса на технологии за наблюдение;

-Задължения за неотменима комплексна проверка на компаниите за наблюдение и механизми за принудително изпълнение със строги санкции за нарушения на тези задължения;

-Законодателни промени, за да се определят правните и регулаторни пропуски, така че страните, засегнати от технологиите за наблюдение, да могат да предявяват искове срещу компаниите за тези вреди.

В допълнение към тези по-широки мерки, насочени към сектора на надзора, считаме, че уязвимостите, присъщи на глобалната телекомуникационна система, изискват спешни действия от страна на правителствата и телекомуникационните оператори. Глобалният сектор на телекомуникациите предоставя значителна възможност за злоупотреба от страна на сектора за наблюдение и клиентите му в светлината на продължаващия провал на далекосъобщителните оператори, а държавите трябва да предотвратят такова използване. В обсъжданията по-долу ние определяме ясни действия, които законодателите и безжичните оператори трябва да предприемат, за да предотвратят продължаващата експлоатация и злоупотреби.

Аларма: Ясна и настояща заплаха за националната сигурност

Според неотдавнашно проучване, по-голямата част от телекомуникационните мрежи по света са уязвими към видовете техники, които се използват от Circles. Както широко се съобщава, индустрията се стреми да омаловажи и да скрие тези рискове.

Не е изненада, че докладите сочат, че SS7 е бил злонамерено внедрен от страни като Саудитска Арабия, за да се насочи към хора по целия свят, включително в САЩ.

Неотдавнашно проучване на сигурността на безжичната мрежа на ЕС, направено от Агенцията на Европейския съюз за киберсигурност (ENISA) стигна до заключението, че мнозинството от операторите са разполагали с мерки за сигурност, които могат да “обхващат само основни атаки”.

Тревожно е, че докладването на мащаба на тези заплахи остава трудно за постигане, тъй като злоупотребата със SS7 не е в рамките на текущите задължения за доклади за европейския сектор на телекомуникациите.

Освен това е известно, че в рамките на отрасъла някои държави не изпълняват основните задължения за надлежна проверка и надзор по отношение на техните мрежи, което дава възможност на чуждестранните субекти да получат достъп до SS7 и Diameter за целите на провеждането на глобално наблюдение.

Смятаме, че исторически ограничената обществена информация за злоупотребите е позволила на телекомуникационния бранш да минимизира допълнително проблема. Не се съобщава публично от повечето телекомуникационни компании за мащаба на заплахите за потребителите, броя на набелязаните и блокирани атаки или пътна карта за справяне с тези заплахи в бъдеще. Това състояние на нещата ще доведе до предвидими и предотвратими вреди за клиентите по целия свят.

/Тук публикацията продължава с детайли за рисковете в САЩ и Канада, с препоръки към безжичните оператори и към правителствата, които ще спестим на читателите ни. Но предупреждението долу е изключително важно/.

Внимание: Препоръки за високорискови потребители

Независимо дали сте журналист, защитник на правата на човека или служител на правителството, уязвимостите в телекомуникационните мрежи могат да направят възможно противниците да прихващат вашите проверки на SMS-те и да компрометират акаунтите ви. Ако смятате, че сте изправени пред заплахи, поради това кой сте или какво правите в някоя от страните, споменати в този доклад, или дори държава, която не е посочена по-горе, ние ви призоваваме да се лишите от двуфакторно удостоверяване, базирано на SMS, незабавно за всички сметки, където е възможно.

Освен това, за акаунтите на популярни приложения като Сигнал, WhatsApp и Telegram, ви призоваваме незабавно да активирате ПИН код за сигурност или парола за профила си. Вижте тук:

https://support.signal.org/hc/en-us/articles/360007059792-Signal-PIN

https://faq.whatsapp.com/general/verification/how-to-manage-two-step-verification-settings/?lang=fb

https://telegram.org/blog/sessions-and-2-step-verification

Автори: Бил Марчак, Джон Скот-Рейлтън, Сидхарт Пракаш Рао, Сиена Анстис и Рон Дийбърт, Citizen Lab
Превод: Биволъ

The collective thoughts of the interwebz

By continuing to use the site, you agree to the use of cookies. more information

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close