Смешно и не смешно https://twitter.com/navosha/status/988728021346549762
Twitter
Дмитрий Навоша
РКН вчера забанил шрифт на @sportsru; мы используем один из стандартных гугловских, а вчера под бан угодил https://t.co/XDNNdDXryY. Пришлось срочно откладывать всё остальное и переносить шрифты к себе. Шрифт! Я не шучу. Да и это уже не смешно.
Почитайте и напишите Никите (привет, Никита!) что-нибудь хорошее
https://tjournal.ru/69612-runet-sloman-nado-chto-to-delat
https://tjournal.ru/69612-runet-sloman-nado-chto-to-delat
TJ
Рунет сломан. Надо что-то делать — Технологии на TJ
Его не вернуть по гарантии — с разрушительной деятельностью Роскомнадзора придётся смириться или что-то предпринимать.
Стоило на день отвлечься на трек-день, а тут столько всего интересного произошло:
хакеры стали опустошать кошельки с Ethereum пользователей MyEtherWallet (криптовалюта безопасная, все транзакции прослеживаются, вот это всё). Хакеры перехватывали ДНС-запросы на сайт сервиса и переправляли их на фишинговый сервис, который уже опустошал кошельки. Хакеры использовали для этого метод BGP-перехвата (http://www.washingtonpost.com/sf/business/2015/05/31/net-of-insecurity-part-2/) - как я понял, наполняют трафик всяким мусором для роутинга, чтобы перехватить трафик. Для этого нужен ещё один взлом в BGP-сервера какого-то интернет провайдера инфраструктуры, и тут очень подозрительным выглядит перехват ДНС амазоновских сервисов https://doublepulsar.com/hijack-of-amazons-internet-domain-service-used-to-reroute-web-traffic-for-two-hours-unnoticed-3a6f0dda6a6f
Короче, на myetherwallet.com пока что лучше не ходить, судя по всему, если у вас там кошелёк с эфирами
хакеры стали опустошать кошельки с Ethereum пользователей MyEtherWallet (криптовалюта безопасная, все транзакции прослеживаются, вот это всё). Хакеры перехватывали ДНС-запросы на сайт сервиса и переправляли их на фишинговый сервис, который уже опустошал кошельки. Хакеры использовали для этого метод BGP-перехвата (http://www.washingtonpost.com/sf/business/2015/05/31/net-of-insecurity-part-2/) - как я понял, наполняют трафик всяким мусором для роутинга, чтобы перехватить трафик. Для этого нужен ещё один взлом в BGP-сервера какого-то интернет провайдера инфраструктуры, и тут очень подозрительным выглядит перехват ДНС амазоновских сервисов https://doublepulsar.com/hijack-of-amazons-internet-domain-service-used-to-reroute-web-traffic-for-two-hours-unnoticed-3a6f0dda6a6f
Короче, на myetherwallet.com пока что лучше не ходить, судя по всему, если у вас там кошелёк с эфирами
Washington Post
Quick fix for an early Internet problem lives on a quarter-century later
A key protocol created as a short-term solution in 1989 is designed to automatically trust users, a flaw that leaves the network ripe for attack.
А вот ещё интересное - GrayKey, компания, которая продаёт коробочки для взломов айфонов (я много об этом писал тут, можно поискать по ключевым словам в канале), похоже, пострадала от утечки данных. Утёкла какая-то часть исходного кода, вроде не критичная, но этого было достаточно, чтобы получить требование о выкупе (2 биткойна):
https://motherboard.vice.com/en_us/article/qvx9jx/iphone-crackers-grayshift-graykey-leaked-code-extortion
Само требование https://webcache.googleusercontent.com/search?q=cache:BOZrdcfco8MJ:https://pastebin.com/AHPuLXt5+&cd=2&hl=en&ct=clnk&gl=uk
АПДЕЙТ Похоже, это был всё-таки просто жулик, изучивший хост тут https://www.shodan.io/host/166.164.61.146, где даже и не код как бы, а куски ГУИ
https://pirate.london/look-a-graykey-interface-on-the-internet-9adb19a5c263
https://motherboard.vice.com/en_us/article/qvx9jx/iphone-crackers-grayshift-graykey-leaked-code-extortion
Само требование https://webcache.googleusercontent.com/search?q=cache:BOZrdcfco8MJ:https://pastebin.com/AHPuLXt5+&cd=2&hl=en&ct=clnk&gl=uk
АПДЕЙТ Похоже, это был всё-таки просто жулик, изучивший хост тут https://www.shodan.io/host/166.164.61.146, где даже и не код как бы, а куски ГУИ
https://pirate.london/look-a-graykey-interface-on-the-internet-9adb19a5c263
Vice
Someone Is Trying to Extort iPhone Crackers GrayShift With Leaked Code
Last week an unknown party started to publish code snippets from iPhone unlocking tool GrayKey. To stop, the extortionists are demanding 2 bitcoin, but they may not have more code to offer.
Forwarded from PLUSHEV/ПЛЮЩЕВ
Устал и читать, и постить про все новые и новые сбои. Но каждый раз, удивительно. Вот пишет мне читатель про проблемы у Volvo:
Во-первых не работает дилерский софт для взаимодействия и активации автомобилей (об этом в СМИ уже проходила информация, до сих пор вопрос не решен, специалисты ходят через Францию, все работает еле-еле, усложняет ситуацию то, что теперь софт всегда требует онлайн подключения). Во-вторых во всех авто с новой мультимедией (XC90, XC60, S90) отключились встроенные приложения (погода, вики, гугл поиск и пр.), не работает загрузка обновлений, карт (актуально для тех, у кого в машину вставлена сим-карта Мегафон и Теле2, МТС и Билайн возможно работают). Непонятна ситуация с их системами безопасности, которые в случае дтп самостоятельно звонят в службу поддержки (не Эра-Глонасс), у меня ради теста удалось связаться только с 3-го раза и 3-х минут ожидания связи.
Во всем этом поразительны две вещи. Нет, не упертость властей в стремлении разрушить все хорошее, что есть, это уже не удивляет. А насколько глубоко интернет уже укоренился в нашу жизнь, что ты его уже не замечаешь, часто он живет для тебя не только в компьютере или смартфоне, он уже везде. Ну и второе - несмотря на это всепроникновение, местами это удивительно хрупкая система.
Во-первых не работает дилерский софт для взаимодействия и активации автомобилей (об этом в СМИ уже проходила информация, до сих пор вопрос не решен, специалисты ходят через Францию, все работает еле-еле, усложняет ситуацию то, что теперь софт всегда требует онлайн подключения). Во-вторых во всех авто с новой мультимедией (XC90, XC60, S90) отключились встроенные приложения (погода, вики, гугл поиск и пр.), не работает загрузка обновлений, карт (актуально для тех, у кого в машину вставлена сим-карта Мегафон и Теле2, МТС и Билайн возможно работают). Непонятна ситуация с их системами безопасности, которые в случае дтп самостоятельно звонят в службу поддержки (не Эра-Глонасс), у меня ради теста удалось связаться только с 3-го раза и 3-х минут ожидания связи.
Во всем этом поразительны две вещи. Нет, не упертость властей в стремлении разрушить все хорошее, что есть, это уже не удивляет. А насколько глубоко интернет уже укоренился в нашу жизнь, что ты его уже не замечаешь, часто он живет для тебя не только в компьютере или смартфоне, он уже везде. Ну и второе - несмотря на это всепроникновение, местами это удивительно хрупкая система.
Какое-то время назад ко мне пришли с вот таким заманчивым предложением:
«Добрый день!
Скажите пожалуйста, сколько будет стоить пост с упоминанием/пиаром одного из мобильных операторов на вашем канале?
И сколько будет стоить на месяц, чтобы вы не размещали постов с прямыми или косвенными упоминаниями одного из операторов. По крайней мере негативными.»
Мои попытки выяснить «заказчика» этого сообщения не привели, к сожалению, к положительному результату. Возможно, в том числе и потому, что на второй пункт я сразу сказал, что «на это я пойти не могу». Подозреваю, что в каких-то каналах авторы могли быть более сговорчивыми.
Но вообще я хотел сказать о другом. Я подозреваю, что этот изначальный запрос был вызван ситуацией с блокировками Телеграма и в том числе поведением операторов, которые радостно исполняют решения РКН, причём зачастую ещё до решения суда (кажется, Теле2 так делал). Поэтому в новостях постоянно обсуждается то, как то у Билайна, то у МТС, то у Мегафона что-то то работает, то не работает. И как писал Никита в ТЖ, отличить просто сбои в работе сети (что бывает, и часто), от блокировок РКН, становится невозможно, и интернет оказывается сломан в принципе. Но расстраивает меня больше всего другое. Мне интересно, найдётся ли в России хотя бы одна компания с яйцами (мобильный оператор, провайдер интернета, хоть кто-нибудь), которая может публично выступить и сказать о том, что блокировки РКН не только вредны для свободы слова, но и нарушают работу интернета как базовой инфраструктуры современного общества. Когда ФБР пыталась заставить Apple в США написать бэкдор для айфона, чтобы взломать телефон террориста, все крупные технологические компании и масса юристов выступила с публичными заявлениями о том, что поведение ФБР разрушительно для основ не только юриспруденции, но и технологий безопасности. Это в том числе сыграло свою роль в решении вопроса, когда ФБР стала дополнительно искать варианты и таки нашла, без написания бэкдора. В России в защиту Телеграма не выступил никто. (ну ладно, пусть не в защиту Телеграма, но хотя бы против этих ковровых блокировок, приводящих к проблемам работы самых базовых сервисов типа Гугла). Тишина. Вот что грустно.
«Добрый день!
Скажите пожалуйста, сколько будет стоить пост с упоминанием/пиаром одного из мобильных операторов на вашем канале?
И сколько будет стоить на месяц, чтобы вы не размещали постов с прямыми или косвенными упоминаниями одного из операторов. По крайней мере негативными.»
Мои попытки выяснить «заказчика» этого сообщения не привели, к сожалению, к положительному результату. Возможно, в том числе и потому, что на второй пункт я сразу сказал, что «на это я пойти не могу». Подозреваю, что в каких-то каналах авторы могли быть более сговорчивыми.
Но вообще я хотел сказать о другом. Я подозреваю, что этот изначальный запрос был вызван ситуацией с блокировками Телеграма и в том числе поведением операторов, которые радостно исполняют решения РКН, причём зачастую ещё до решения суда (кажется, Теле2 так делал). Поэтому в новостях постоянно обсуждается то, как то у Билайна, то у МТС, то у Мегафона что-то то работает, то не работает. И как писал Никита в ТЖ, отличить просто сбои в работе сети (что бывает, и часто), от блокировок РКН, становится невозможно, и интернет оказывается сломан в принципе. Но расстраивает меня больше всего другое. Мне интересно, найдётся ли в России хотя бы одна компания с яйцами (мобильный оператор, провайдер интернета, хоть кто-нибудь), которая может публично выступить и сказать о том, что блокировки РКН не только вредны для свободы слова, но и нарушают работу интернета как базовой инфраструктуры современного общества. Когда ФБР пыталась заставить Apple в США написать бэкдор для айфона, чтобы взломать телефон террориста, все крупные технологические компании и масса юристов выступила с публичными заявлениями о том, что поведение ФБР разрушительно для основ не только юриспруденции, но и технологий безопасности. Это в том числе сыграло свою роль в решении вопроса, когда ФБР стала дополнительно искать варианты и таки нашла, без написания бэкдора. В России в защиту Телеграма не выступил никто. (ну ладно, пусть не в защиту Телеграма, но хотя бы против этих ковровых блокировок, приводящих к проблемам работы самых базовых сервисов типа Гугла). Тишина. Вот что грустно.
Наконец-то интересная новость не про блокировку Телеграма (хотя, конечно, обидно немного, что часть заблокированных пользователей её не прочитает. Эксперты компани F-Secure обнаружили уязвимость в электронных замках компании Assa Abloy, которые используются в миллионах номеров десятков тысяч отелей по всему миру. Уязвимость позволяет получить доступ к любой из этих номеров, защищённых замками этой компании. Производитель уже выпустил обновление программного обеспечения для замков, но мы же понимаем, что пока установка этого апдейта дойдёт до всех отелей, да с ленивыми администраторами, да с ограниченными бюджетами...
http://press.f-secure.com/2018/04/25/f-secure-researchers-master-keys-to-hotels-can-be-created-out-of-thin-air/
АПД мне напомнили тут про эту прекрасную историю о мастерключах для отельных замков, и возможность ходить по отелям и открывать любые комнаты
https://www.wired.com/2017/08/the-hotel-hacker/
Так что все как обычно: никогда такого не было, и вот опять!
http://press.f-secure.com/2018/04/25/f-secure-researchers-master-keys-to-hotels-can-be-created-out-of-thin-air/
АПД мне напомнили тут про эту прекрасную историю о мастерключах для отельных замков, и возможность ходить по отелям и открывать любые комнаты
https://www.wired.com/2017/08/the-hotel-hacker/
Так что все как обычно: никогда такого не было, и вот опять!
WIRED
Inside an Epic Hotel Room Hacking Spree
A vulnerability in hotel keycard locks was a security disaster—and the opportunity of a lifetime for one burglar.
Вот ещё тоже интересное от читателя канала:
Минкомсвязи разработало порядок передачи оператором Единой информационной системы («Ростелеком») в ФСБ и МВД биометрических данных российских граждан. Соответствующий документ опубликован на федеральном портале проектов нормативных правовых актов.
Речь идёт о данных изображения лица и данных голоса. Эта информация позволяет с высокой степенью точности идентифицировать конкретного человека в большом объёме голосового трафика («верификация по голосу») или на камерах видеонаблюдения.
https://geektimes.com/post/300327/
Минкомсвязи разработало порядок передачи оператором Единой информационной системы («Ростелеком») в ФСБ и МВД биометрических данных российских граждан. Соответствующий документ опубликован на федеральном портале проектов нормативных правовых актов.
Речь идёт о данных изображения лица и данных голоса. Эта информация позволяет с высокой степенью точности идентифицировать конкретного человека в большом объёме голосового трафика («верификация по голосу») или на камерах видеонаблюдения.
https://geektimes.com/post/300327/
Хабр
Разработан порядок передачи биометрических данных россиян в ФСБ и МВД
Идентификация или верификация человека в технологиях VoiceKey и VoiceNet осуществляется по фрагментам спонтанной речи продолжительностью более 16 секунд. Минко...
Дайошъ каждый третий пост про ТГ
https://habr.com/post/354314/
https://habr.com/post/354314/
Habr
Блокировки Роскомнадзора в деле Telegram дошли до майнинг-пулов
О ситуации с Telegram наслышаны почти все жители России. Из-за «войны» Роскомнадзора и Telegram страдают и многие другие сервисы, которые все мы в какой-то степени привыкли использовать. Репрессии...
В целом это был вопрос времени https://m.geektimes.com/post/300343/
Habr
Роскомнадзор начинает войну против прокси и VPN
По сообщениям в каналах Telegram и в СМИ , в частности на канале «ЗаТелеком» (его ведет исполнительный директор Общества защиты интернета Михаил Климарев) РКН начинает новый виток борьбы с...
Кстати, похоже, появилась определенность, какой оператор хотел платить за отсутствие негатива о нем в канале. Как я и предполагал, я не единственный, к кому с таким вопросом обращались. Речь об МТС, который ввёл платные входящие в роуминге
АПД - плату за входящие во внутреннем роуминге ввели вроде как все операторы: «Эти изменения мы реализуем в рамках нашего видения по исполнению Предупреждения ФАС об устранении признаков нарушения антимонопольного законодательства. Аналогичное Предупреждение ФАС есть и других крупных операторов. #билайн»
https://t.me/zatelecom/4892
АПД - плату за входящие во внутреннем роуминге ввели вроде как все операторы: «Эти изменения мы реализуем в рамках нашего видения по исполнению Предупреждения ФАС об устранении признаков нарушения антимонопольного законодательства. Аналогичное Предупреждение ФАС есть и других крупных операторов. #билайн»
https://t.me/zatelecom/4892
Telegram
ЗаТелеком
Но на самом деле, я искал инфу, за которую мне хотели заплатить, чтоб не писал. Кажется, нашёл. МТС опять завёл платные входящие в роуминге. Если что - проверьте счёт
Читатель тут прислал ссылку, и мне кажется, я даже как-то что-то об этом упоминал уже, потому что новость трёхнедельный давности:
https://m.roem.ru/07-04-2018/269404/chistka-ot-predustanovok/
Начальник Управления регулирования связи и информационных технологий ФАС России Елена Заева представила проект «дорожной карты» по развитию конкуренции в IT. В частности антимонопольное ведомство и их коллеги из Минкомсвязи и Роспотребнадзора к сентябрю 2018 года возможно разработают проект федерального закона, по которому от производителей компьютеров и смартфонов потребуют предустанавливать отечественные приложения «аналогичной функциональности».
Например мессенджер «ТамТам» (Mail.Ru Group) схож по функциональности с американскими и японскими мессенджерами WhatsApp и Viber, ВК схож с Facebook, Яндекс.Музыка схожа с Apple Music и Google Music.
———
Можно было бы написать длинный комментарий по этому поводу, но я просто скажу:
АХАХАХАХАХАХАХАХАХАХАХАХАХАХАХАХАХАХАХАХАХАХАХА
Не, ну то есть каких-то китайских ОЕМов с Андроид, может, на это и прогнут, но Эпол с айфоном... любой, кто думает, что это реально, плохо знает историю создания айфона и мобильного рынка США. Там операторы вертели производителей телефонов так, как хотят (впрочем, многих и до сих пор, это объясняет большую задержку с апдейтами для Андроида, которые должны в том числе идти через операторов), но когда Эпол запускала айфон, она сразу сказала (точнее, это, скорей всего, был Джобс): «никакого вашего этого операторского говна на моих телефонах не будет! Только через мой труп...” oh, wait... ну короче, шутки шутками, но все эти годы Apple никогда ничего операторского и стороннего не ставила, и ставить не будет. Короче, я очень хочу на эту схватку посмотреть :)
https://m.roem.ru/07-04-2018/269404/chistka-ot-predustanovok/
Начальник Управления регулирования связи и информационных технологий ФАС России Елена Заева представила проект «дорожной карты» по развитию конкуренции в IT. В частности антимонопольное ведомство и их коллеги из Минкомсвязи и Роспотребнадзора к сентябрю 2018 года возможно разработают проект федерального закона, по которому от производителей компьютеров и смартфонов потребуют предустанавливать отечественные приложения «аналогичной функциональности».
Например мессенджер «ТамТам» (Mail.Ru Group) схож по функциональности с американскими и японскими мессенджерами WhatsApp и Viber, ВК схож с Facebook, Яндекс.Музыка схожа с Apple Music и Google Music.
———
Можно было бы написать длинный комментарий по этому поводу, но я просто скажу:
АХАХАХАХАХАХАХАХАХАХАХАХАХАХАХАХАХАХАХАХАХАХАХА
Не, ну то есть каких-то китайских ОЕМов с Андроид, может, на это и прогнут, но Эпол с айфоном... любой, кто думает, что это реально, плохо знает историю создания айфона и мобильного рынка США. Там операторы вертели производителей телефонов так, как хотят (впрочем, многих и до сих пор, это объясняет большую задержку с апдейтами для Андроида, которые должны в том числе идти через операторов), но когда Эпол запускала айфон, она сразу сказала (точнее, это, скорей всего, был Джобс): «никакого вашего этого операторского говна на моих телефонах не будет! Только через мой труп...” oh, wait... ну короче, шутки шутками, но все эти годы Apple никогда ничего операторского и стороннего не ставила, и ставить не будет. Короче, я очень хочу на эту схватку посмотреть :)
roem.ru
ФАС задумал закон о предустановке отечественных приложений на смартфоны, PC и Mac
Одновременно появится требование о возможности удаления любого предустановленного ПО пользователем
И снова здравствуйте! В этот замечательный пятничный день начнём с парочки интересных и полезных ссылок для разминки.
1. Если у вас Drupal, то вам будет полезно узнать о том, что в ядре платформы очередная критическая уязвимость, и надо срочно бежать устанавливать апдейт, если ещё не:
https://www.drupal.org/sa-core-2018-004
2. Хотите заработать три миллиона долларов? Не вопрос, стартап Crowdfence в Дубаи предлагает 3 млн долларов за уязвимости для различных операционных систем. До трёх миллионов долларов могут стоить уязвимости нулевого дня, которые не требуют взаимодействия пользователя и позволяют получить полный контроль над iOS или Android (уязвимости для других ОС они тоже покупают, но денег там меньше)
https://motherboard.vice.com/en_us/article/pax987/crowdfense-offers-3-million-for-iphone-android-hacks
3. Как можно c помощью несложных манипуляций получить IP-адрес пользователя WhatsApp (ФБ говорит, что исправлять это не планирует)
https://medium.com/@kankrale.rahul/whatsapp-users-ip-disclosure-with-link-preview-feature-39a477f54fba
1. Если у вас Drupal, то вам будет полезно узнать о том, что в ядре платформы очередная критическая уязвимость, и надо срочно бежать устанавливать апдейт, если ещё не:
https://www.drupal.org/sa-core-2018-004
2. Хотите заработать три миллиона долларов? Не вопрос, стартап Crowdfence в Дубаи предлагает 3 млн долларов за уязвимости для различных операционных систем. До трёх миллионов долларов могут стоить уязвимости нулевого дня, которые не требуют взаимодействия пользователя и позволяют получить полный контроль над iOS или Android (уязвимости для других ОС они тоже покупают, но денег там меньше)
https://motherboard.vice.com/en_us/article/pax987/crowdfense-offers-3-million-for-iphone-android-hacks
3. Как можно c помощью несложных манипуляций получить IP-адрес пользователя WhatsApp (ФБ говорит, что исправлять это не планирует)
https://medium.com/@kankrale.rahul/whatsapp-users-ip-disclosure-with-link-preview-feature-39a477f54fba
Vice
Startup Offers $3 Million to Anyone Who Can Hack the iPhone
A new startup in Dubai is offering six and seven figure payouts for zero-day exploits for Android, iOS, Windows and Mac.
В качестве более обстоятельного материала предлагаю почитать в Wired идею Рея Оззи (бывшего главного архитектора программных продуктов Microsoft) о том, как же обеспечить шифрование мобильных устройств с одной стороны, и доступ правоохранительных органов к зашифрованной информации в случае необходимости - с другой. Сама статья тут:
https://www.wired.com/story/crypto-war-clear-encryption
Если вкратце, то все, конечно же, сводится к методу, в рамках которого должен существовать некий мастер-ключ ко всем айфонам (в статье речь идёт об айфонах, поскольку самый яркий пример - история с террористом из Сан Бернардино, Калифорния, но, по сути, принцип должен относиться ко всем устройствам). Производитель генеририрует пару ключей, один из которых записан на устройстве, второй - это приватный ключ, который должен храниться в мегасейфе у Apple с ограниченным доступом к нему. Эта пара ключей должна позволять расшифровывать некий ПИН на устройстве: полицейский, получив ордер суда, на лок-скрине получает зашифрованный ПИН, отправляет его в Apple, там с помощью приватного ключа этот ПИН расшифровывают, и полицейский уже получает расшифрованный ПИН для устройства. При этом такой расшифрованный ПИН должен работать только для одного устройства и только один раз, после чего некий чип внутри устройства должен «самоуничтожаться», что обеспечит применение этого механизма только на одном устройстве и не позволит манипулировать данными на нем. Если все это звучит для вас как бэкдор, то только потому, что это он, родимый, и есть.
Не знаю, на каком основании Оззи излучает оптимизм по поводу того, что такой мастерключ останется в безопасности, даже в случае с Apple, не говоря уже о менее ответственных вендорах. Сколько было историй про утечки из Apple (необязательно от азиатских подрядчиков компании), включая каких-то чуть ли не практикантов, которые вынесли из компании исходный код загрузчика iPhone. а если такой мастер-ключ утечет, последствия для компании и отрасли в целом вообще сложно представить. (А, можно ещё припомнить утечки материалов из ЦРУ, АНБ и других очень секретных организаций, у которых вся работа заключается в охране своих секретов). Про самоуничтожающийся чип тоже интересно - в принципе, такой hardware secure module в iPhone есть и сейчас (Secure Enclave), но почему-то он не мешает компаниям типа Cellebrite и GrayKey обходить защиту устройств и загружать информацию с устройств. Можно ли что-то вообще в этом мире абсолютно надежно сохранить? Спросите у тех же Cellebrite и GrayKey, которые уже сами были жертвами утечек данных. Да и вообще, как только такой доступ появится у правоохранительных органов одной страны, завтра Китай, Россия, Иран и десятки других стран потребуют себе возможность такого же доступа за право продавать телефон в этой стране. Короче, какая-то странная история с этим предложением Рея Оззи, которая, впрочем, в очередной раз обнажила известную проблему конфликта сторонников и противников криптографии: одни считают, что это слишком рискованно, другие - что риск того стоит. Мне кажется, это не тот случай, когда консенсус где-то посередине.
https://www.wired.com/story/crypto-war-clear-encryption
Если вкратце, то все, конечно же, сводится к методу, в рамках которого должен существовать некий мастер-ключ ко всем айфонам (в статье речь идёт об айфонах, поскольку самый яркий пример - история с террористом из Сан Бернардино, Калифорния, но, по сути, принцип должен относиться ко всем устройствам). Производитель генеририрует пару ключей, один из которых записан на устройстве, второй - это приватный ключ, который должен храниться в мегасейфе у Apple с ограниченным доступом к нему. Эта пара ключей должна позволять расшифровывать некий ПИН на устройстве: полицейский, получив ордер суда, на лок-скрине получает зашифрованный ПИН, отправляет его в Apple, там с помощью приватного ключа этот ПИН расшифровывают, и полицейский уже получает расшифрованный ПИН для устройства. При этом такой расшифрованный ПИН должен работать только для одного устройства и только один раз, после чего некий чип внутри устройства должен «самоуничтожаться», что обеспечит применение этого механизма только на одном устройстве и не позволит манипулировать данными на нем. Если все это звучит для вас как бэкдор, то только потому, что это он, родимый, и есть.
Не знаю, на каком основании Оззи излучает оптимизм по поводу того, что такой мастерключ останется в безопасности, даже в случае с Apple, не говоря уже о менее ответственных вендорах. Сколько было историй про утечки из Apple (необязательно от азиатских подрядчиков компании), включая каких-то чуть ли не практикантов, которые вынесли из компании исходный код загрузчика iPhone. а если такой мастер-ключ утечет, последствия для компании и отрасли в целом вообще сложно представить. (А, можно ещё припомнить утечки материалов из ЦРУ, АНБ и других очень секретных организаций, у которых вся работа заключается в охране своих секретов). Про самоуничтожающийся чип тоже интересно - в принципе, такой hardware secure module в iPhone есть и сейчас (Secure Enclave), но почему-то он не мешает компаниям типа Cellebrite и GrayKey обходить защиту устройств и загружать информацию с устройств. Можно ли что-то вообще в этом мире абсолютно надежно сохранить? Спросите у тех же Cellebrite и GrayKey, которые уже сами были жертвами утечек данных. Да и вообще, как только такой доступ появится у правоохранительных органов одной страны, завтра Китай, Россия, Иран и десятки других стран потребуют себе возможность такого же доступа за право продавать телефон в этой стране. Короче, какая-то странная история с этим предложением Рея Оззи, которая, впрочем, в очередной раз обнажила известную проблему конфликта сторонников и противников криптографии: одни считают, что это слишком рискованно, другие - что риск того стоит. Мне кажется, это не тот случай, когда консенсус где-то посередине.
WIRED
Can This New Encryption Method Finally Crack the Crypto War?
Ray Ozzie thinks he has an approach for accessing encrypted devices that attains the impossible: It satisfies both law enforcement and privacy purists.
Как только РКН добрался до Яндекса, они сразу нашли в себе силы прокомментировать ситуацию с блокировками Телеграма
https://vc.ru/37173-yandeks-nazval-udarom-po-vsemu-runetu-massovye-blokirovki-ip-adresov-roskomnadzorom
https://vc.ru/37173-yandeks-nazval-udarom-po-vsemu-runetu-massovye-blokirovki-ip-adresov-roskomnadzorom
vc.ru
«Яндекс» назвал «ударом по всему рунету» массовые блокировки IP-адресов Роскомнадзором — Офтоп на vc.ru
Андрей Фролов Офтоп27.04.2018
И даже у ВК прорезался голос (но иллюстрируют они это с помощью фото Сегаловича из Яндекса)
https://vk.com/wall6492_6115
https://vk.com/wall6492_6115
VK
Андрей Рогозов. Запись со стены.
Мы представляем будущее интернета как безопасную площадку, где каждый может быть уверен в сохранност... Смотрите полностью ВКонтакте.
Полезная утилита для Мак-пользователей: она отслеживает такое событие, как открытие крышки Макбука, и может сообщить об этом владельцу. Например, это полезно, если вы оставили ноутбук в отеле, или для каких-то других случаев. Там можно настроить разные события на открытие - сделать фото камерой, отправить уведомление, запустить скрипт. программка бесплатная, и с открытым исходным кодом. Конечно, от потери данных она не спасёт (если этим занимаются специалисты), если есть физический доступ к компьютеру, но уведомление для первой версии - тоже полезно.
https://objective-see.com/products/dnd.html
https://objective-see.com/products/dnd.html
objective-see.org
Do Not Disturb
evil maids: stay out!
Нам пишут:
«Роскомнадзор пообещал больше не блокировать крупные подсети из-за Telegram
Вчера была проведена закрытая встреча, на которой обсуждалась ситуация, возникшая в результате блокировки мессенджера Telegram, а также варианты решения технических трудностей, с которыми пришлось столкнуться после этого. По словам главы Регионального общественного центра интернет технологий (РОЦИТ) Сергея Гребенникова, компании, попавшие в реестр ошибочно, просто не идут на контакт с государственными службами, именно поэтому и была организована данная встреча. Помимо этого, он заявил, что Роскомнадзор отныне будет подходить к блокировке точечно, а не вносить в реестр крупные подсети. По результатам встречи было также решено продолжить принимать претензии от пользователей и администраторов, которые пострадали в ходе блокировок.»
Ну, хорошо, если так. Наверно, поэтому и Яндекс с ВК/ОК наконец-то выступили, потому что знали, что это уже заканчивается. До поры до времени
«Роскомнадзор пообещал больше не блокировать крупные подсети из-за Telegram
Вчера была проведена закрытая встреча, на которой обсуждалась ситуация, возникшая в результате блокировки мессенджера Telegram, а также варианты решения технических трудностей, с которыми пришлось столкнуться после этого. По словам главы Регионального общественного центра интернет технологий (РОЦИТ) Сергея Гребенникова, компании, попавшие в реестр ошибочно, просто не идут на контакт с государственными службами, именно поэтому и была организована данная встреча. Помимо этого, он заявил, что Роскомнадзор отныне будет подходить к блокировке точечно, а не вносить в реестр крупные подсети. По результатам встречи было также решено продолжить принимать претензии от пользователей и администраторов, которые пострадали в ходе блокировок.»
Ну, хорошо, если так. Наверно, поэтому и Яндекс с ВК/ОК наконец-то выступили, потому что знали, что это уже заканчивается. До поры до времени