Про два ключа, скорей всего , шутка, и довольно банальная. На месте Дурова я бы распечатал пару сотен рандомно сгенеренных ключей, страниц так на 500, и передал их - пусть разбираются

В мире Apple Pay, Android Pay и других Pay пользоваться «умной картой» (которая типа заменяет собой сразу несколько карт, которые туда записываются), пользуются, скорей всего, мазохисты. Ничего удивительного, что оказывается, с таких «умных» карт можно слить чужие данные, если она попадёт в руки злоумышленников https://arstechnica.com/information-technology/2018/04/whatever-you-do-dont-give-this-programmable-payment-card-to-your-waiter/

Наверно, закрывая тему с T-Mobile Austria и их паролями в plain text (было пару дней назад в канале). Компания пообещала, что “Online-passwords will be salted and hashed in the future, as is considered state of the art in security. Other channels, including shops and call centers, will introduce additional security criteria. These steps will be implemented as quickly as possible.”
Лучше позже, чем никогда, конечно

читатели прислали (спасибо!) парочку полезных ссылочек в тему разворачивания своего VPN, о котором я упоминал тут (https://t.me/alexmakus/1907)

1. Дополню про автоматические скрипты для openvpn – напишите про STREISAND, полностью автоматизированный скрипт, ставит OpenVPN, Shadowsocks, stunnel и множество других прекрасных плюшек. Также настраивает фаервол. После установки есть вебморда (защищена https!) для выдачи ключей openvpn клиентам.
https://github.com/StreisandEffect/streisand/blob/master/README-ru.md

2. о, насчет openvpn на vps.

я себе разворачивал форк того, что ты скинул: https://github.com/Angristan/OpenVPN-install/ .

и на AWS EC2, который free tier for 12 month. конечно, что будет после того как пройдет 12 месяцев - точно не знаю сколько это будет стоить. по расчетам если юзать t2.micro on demand instance (который можно выключать, если не используется) будет около $10/мес.

но для доп безопасности можно новый аккаунт раз в год заводить.

ну и тут опять вопрос доверия: безопасность данных пользователя уже зависит не от политик/порядочности/безопасности ISP провайдера, а от VPS провайдера.

Не совсем опасносте, но забавно как кто-то сломал чатбота в скайпе

И снова здравствуйте! Сегодня с раннего утра (для большинства из вас) микс из ссылок читателей и других материалов.

1. Все ещё про VPN (популярная тема, я смотрю, особенно в стране, где промышляет Роскомнадзор).

https://github.com/trailofbits/algo/
Вот крутой ansible скрипт для разварачивания на DO

Для личного виртуал привейт нетворк за недорого вполне подойдёт арубушка.
https://www.arubacloud.com/
по 1 евро в месяц
или скалавай по три
https://cloud.scaleway.com/
А ещё можно самому поработать шелл интерпритатором и настроить выпыны самостоятеельно
https://www.digitalocean.com/community/tutorials/openvpn-ubuntu-16-04-ru

2. Вдруг будет интересно про разработчиков crm, отдающих в индекс поисковикам билеты на свои мероприятия: https://vk.com/katanay?w=wall2789869_2352

3. Несвежая новость про утечку данных косметической компании (ничего святого!)
https://wccftech.com/tarte-cosmetics-leaks-data-2-million-customers/amp/

4. Тоже не очень свежая, но интересная статья л: что же на самом деле представляет собой предиктивная модель Cambridge Analytica и имеет ли значение то, что данные они удалили. Спойлер: модель так себе, а данные уже не нужны, т. к. она уже обучена. http://www.niemanlab.org/2018/03/this-is-how-cambridge-analyticas-facebook-targeting-model-really-worked-according-to-the-person-who-built-it/

5. Видел вашу публикацию об утечке ip адреса через WebRTC

Еще было бы неплохо людям рассказать про Canvas Fingerprinting
https://habrahabr.ru/company/oleg-bunin/blog/321294/
https://geektimes.ru/post/284604/
И вот хороший аддон для браузеров дабы это дело прекратить https://github.com/kkapsner/CanvasBlocker/

6. P4wnP1 is a highly customizable USB attack platform, based on a low cost Raspberry Pi Zero or Raspberry Pi Zero W.

https://github.com/mame82/P4wnP1

PS вы же не поверили на самом деле во взломанного бота в скайпе? В интернете же никому нельзя верить!

Тема с VPN, я так понимаю, популярна не зря, потому что вот:

Таганский суд Москвы 13 апреля начнет по существу рассматривать иск Роскомнадзора о блокировке мессенджера Telegram.

На заседании 12 апреля ведомство потребовало немедленно заблокировать мессенджер в случае, если его иск удовлетворят:

«Данное судебное дело связано с распространением информации и, поскольку Telegram не предоставляются ключи для декодирования сообщений, мы заявляем ходатайство о немедленном исполнении судебного решения в случае удовлетворения искового заявления».

Там ещё, конечно, всякие апелляции-шмапелляции, но вот мой личный опыт показывает, что МосГорСуд не зря называют «МосГорШтамп», то есть инстанция, которая просто штампует решения судов нижнего уровня. Так что да, VPN всегда пригодится (пока не начнут блокировать и их как-нибудь)

Давненько я ничего про Android не писал. Тут у Wired вышла интересная статья по результатам исследования о том, как различные производители смартфонов делают патчи безопасности для своих устройств. Оказалось, что даже когда производитель/телефон говорят вам, что все апдейты у вас установлены, оказывается, что некоторые вендоры пропускают отдельные патчи, и в итоге телефоны оказываются с незакрытыми уязвимостями. Понятно, что в случае с Nexus/Pixel — самый безопасный вариант, и крупные вендоры вроде Samsung/Sony тоже стараются не пропускать патчи, а вот дальше начинается вакханалия. Xiaomi, HTC, Huawei, LG, Motorola — все этим промышляют, а что уж там говорить про китайских производителей вроде TLC или ZTE. Конечно, пропущенный патч не означает, что телефон торчит откровенными местами наружу, потому что в таком случае эксплуатация уязвимости осложняется менее предсказуемыми условиями, но осадочек остается. Исследователи, которые изучали телефоны, выпустили свое приложение SnoopSnitch, которое позволяет проверить владельцам телефонов реальное состояние с апдейтами безопасности.

статья про исследование https://www.wired.com/story/android-phones-hide-missed-security-updates-from-you/
ссылка на приложение для проверки https://play.google.com/store/apps/details?id=de.srlabs.snoopsnitch&hl=en

1 Password раздает бесплатную подписку тем, кто работает над OpenSource проектами. https://github.com/1Password/1password-teams-open-source

ссылка от читателя "про дыру в VestaCP. мы используем эту панель у нескольких клиентов - и пока из хостеров почесался Digital Ocean (от них мы и узнали о дыре), а амазон, например, молчит. панель довольно популярная, насколько мне известно. возможно, не помешало бы распространить инфу. ДО закрыл порт 8083 на всех своих серверах. ну и веста апдейт выпустила уже
https://www.digitalocean.com/community/questions/how-do-i-determine-the-impact-of-vestacp-vulnerability-from-april-8th-2018

Интересно: модное издание Outline публикует статью о том, что есть такой безопасный Телеграм, но на нем много пиратского контента. Как бы за него не взялись и в других странах.

Кстати, мне тут поступают вопросы про судьбу канала, если Телеграм всё-таки забанят в России. Канал продолжит своё вещание, потому что а) я не в России, б) зря, что ли, мы тут столько вам всем про VPN рассказывали? :) так что все будет хорошо и у канала, и у читателей!

Статей про то, как обойти блокировку Телеграма (мне пишут, что в Крыму уже местами блокируют), будет много, эта попалась вот на глаза первой https://snob.ru/selected/entry/136310

Официально блокировка Telegram еще не началась :)

Я уже как-то писал про то, как выглядит и работает устройство для разблокировки айфонов GrayKey https://t.me/alexmakus/1841
А вот Motherboard пишет, что полиция в США уже активно этими устройствами пользуется https://motherboard.vice.com/en_us/article/vbxxxd/unlock-iphone-ios11-graykey-grayshift-police. Были слухи и о том, что российские органы тоже хотели закупить подобные устройства. Так что заводите пароли посложнее на айфонах!

Как напоминает мне читатель к предыдущей новости, уже покупают - не GrayKey, а Cellebrite, но это сути не меняет https://hitech.newsru.com/article/14mar2018/rusufed

Информационная безопасность и «умные» устройства - штуки зачастую из разных вселенных, как демонстрирует это рассказом один мой знакомый: «Не знаю, опасносте это или нет, но у меня есть моноколесо китайской фирмы Kebye (Gotway). Замечательный способ передвижения, но у него есть один недостаток - модуль Bluetooth. Я обнаружил, что можно подключиться к любому подобному колесу и на ходу менять настройки :-)»

Котаны, тут такое дело. Ко мне пришёл провайдер VPN и предложил дать читателям канала по три месяца сервиса бесплатно. Утверждается, что сервис не хранит никаких логов. Так что пока что я проверяю информацию, и, надеюсь, в ближайшее время смогу сообщить детали. stay tuned!