Я хотел ещё на прошлой неделе написать об этом, но не счёл это заслуживающим записи в телеграмме, но обстоятельства немного изменились. Собственно, речь о некой базе пользовательских записей на 1,4 млрд штук, размером в 41ГБ. В СМИ начали об этом писать и поэтому стоит отметить следующее: по мнению экспертов, эта база состоит из сборной солянки ранее замеченных сливов, включая реальные и фейковые, так что особого интереса она не представляет. Что, конечно, не отменяет факта, что свои данные надо беречь смолоду

интересная штука - Google опубликовала информацию об уязвимости в iOS (которая присутствует в версии 11.1.2) и может быть использована для создания джейлбрейка под этой версией операционной системы. Уязвимость была исправлена в 11.2, хотя в наше-то время мне сложно представить себе, зачем людям может понадобиться джейлбрейк. Забавно, что поскольку уязвимость в ядре, то она присутствовала и в macOS, но в версии 10.13.1 уже была исправлена
https://thehackernews.com/2017/12/ios11-jailbreak-exploit.html

Чтобы не было путаницы, это не наши с @kashinguru иски. Это штраф за конкретный отказ предоставить ключи шифрования к переписке обвиняемых в теракте в метро Санкт-Петербурга.

Очень напоминает историю "Apple против ФБР", когда последнее требовало доступ к заблокированному телефону стрелка из Сан Бернардино. Apple тогда отказало, мотивируя тем, что это приведет к появлению в руках спецслужбы (откуда он может попасть в руки кого угодно) бэкдора, позволяющего вскрыть не только этот, но и вообще любой другой телефон Apple.
Почти то же самое и здесь, но есть и нюанс: предоставить такой доступ технически невозможно: шифрование переписки происходит на конечных устройствах. Тут, в общем, и универсальный бэкдор не особенно поможет.
Очевидно, что суд не понимает, или не хочет понимать, как устроен и работает Telegram, сегодняшнее решение - еще один шаг к блокировке этого сервиса в России.

Я подавал иск к ФСБ, считая его требования к Telegram незаконными, мне в иске с порога отказали (где-то между Королевской Почтой Великобритании и Почтой России ползет аналогичный от @kashinguru), я обжаловал отказ в Мосгорсуде, рассмотрение жалобы (оно обязательно будет) пока не назначено.

Ин Совиет Раша олл интернет-траффик гоус сру Раша!

Если у вас есть роутеры Airport, там для них вышли обновления прошивки, в которых исправляются известные уязвимости KRACK и Broadpwn. Вот релиз нота для роутеров с 802.11n https://support.apple.com/en-us/HT208258, а это релиз нота для роутеров с 802.11ac https://support.apple.com/en-us/HT208354

Несколько дней назад я писал про уязвимость в яблочном HomeKit (https://t.me/alexmakus/1513). Сегодня вышли апдейты для iOS и tvOS (11.2.1), исправляющие эту уязвимость.

Евгений Плющев пишет про отмену сетевого нейтралитета в США, за что сегодня проголосовали пидо... в смысле чиновники Федеральной комиссии по связи США. Нетфликсу с его кошельком это, конечно, не грозит, а вот более мелким компаниям и стартапам может быть хуже, если эта отмена таки вступит в действие (как правильно пишет Саша, судебная система может заблокировать это решение)
https://t.me/PlushevChannel/1668

Помните ботнет Mirai, который состоял из десятков тысяч домашних гаджетов (в основном камер наблюдения) и в сентябре 2016 года положил половину интернета? Короче, создатели этого ботнета признали свою вину и теперь им светит до 5 лет в тюрьме и штраф до 250 тыс долл
https://krebsonsecurity.com/2017/12/mirai-iot-botnet-co-authors-plead-guilty/

админам, у которых есть файрволлы Palo Alto. Там нашли уязвимость с исполнением кода, апдейты уже доступны от производителя
http://seclists.org/fulldisclosure/2017/Dec/38

там, кстати, еще и в Офисе нашли какую-то аццкую уязвимость, и Microsoft уже выпустила апдейты. Правда, апдейты уязвимость не исправляют, а отключают технологию в Офисе, которая позволяет эту дыру эксплуатировать (Dynamic Update Exchange, DDE). Тот факт, что они выпустили апдейт даже для Office 2007, который давно не поддерживается, говорит о серьезности этой уязвимости. Вы знаете, что делать!
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV170021

полезная шпаргалка используемых популярными приложениями и сервисами портов

Как Мозилла наступила на грабли, установив пользователям расширение Firefox без разрешения https://techcrunch.com/2017/12/15/mozillas-mr-robot-promo-backfires-after-it-installs-firefox-extension-without-permission/

Говоря об установках, нельзя не отметить факап у Microsoft, которые ставили на свежую инсталляцию Windows 10 менеджер паролей Keeper, причем ту версию, в которой была уязвимость, позволяющая сайтам воровать пароли из него. Так-то юзерам надо было запустить Keeper и установить плагин в браузер, поэтому нельзя сказать, что прям опасносте-опасносте, но осадок, как говорится, остается. https://bugs.chromium.org/p/project-zero/issues/detail?id=1481&desc=3

Я просто оставлю это здесь без всяких комментариев. Выводы делайте сами.

Биометрические данные клиентов банков в России будут предоставляться МВД и ФСБ. Это предусмотрено законопроектом о биометрической системе и удаленной идентификации граждан, принятым Госдумой во втором чтении 15 декабря.

Сведения будут направляться в МВД и ФСБ оператором биометрической системы по запросу правоохранительных органов, а порядок взаимодействия оператора и спецслужб определит правительство. Как заявил председатель думского комитета по финансовому рынку, соавтор законопроекта и председатель совета ассоциации банков «Россия» Анатолий Аксаков, «доступ будет только на основании полномочий, которые определены законом для силовых структур».

Исполнительный вице-президент Ассоциации российских банков Эльман Мехтиев отметил, что «если человек законопослушен, то и причины бояться нет». Он добавил, что доступ силовых ведомств к биометрии клиентов банков вряд ли снизит желание граждан пользоваться удаленной идентификацией.

Биометрическая система позволит жителям РФ получать услуги любого банка онлайн. Первичную идентификацию клиент проходит в финансовой организации с паспортом. После этого в банке снимают потенциального клиента на видео, записывают его голос и отправляют эти сведения в биометрическую систему. В дальнейшем россиянин сможет получить банковские услуги удаленно, передавая свое изображение и голос для сверки с системой.

Как указывают «Ведомости», МВД заинтересовалось проектом осенью 2017 года и хотело стать оператором биометрической системы. Однако еще в мае было решено, что функции оператора будет исполнять «Ростелеком».

общеобразовательная статья на Quartz о том, что надо быть осторожным, покупая IoT-устройства с рук. (не говоря уже о том, что продавцам тоже надо не забывать о том, что при продаже таких устройств их нужно сбрасывать в заводские настройки, чтобы не передать какие-то личные данные покупателю). так вот, при покупке надо быть уверенным, что продавец туда не воткнул какой-нибудь дополнительный софт, настройки или даже "приборчик" для последующего наблюдения за покупателем. самый надежный способ — покупать у производителя или хотя бы у крупной компании-продавца. Впрочем, это не защитит устройство от участия в каком-нибудь ботнете. https://qz.com/1156059/dont-buy-second-hand-internet-connected-iot-devices-from-sites-like-ebay-ebay/

в эпидемии вируса-вымогателя WannaCry США обвинили Северную Корею https://www.reuters.com/article/us-usa-cyber-northkorea/u-s-blames-north-korea-for-wannacry-cyber-attack-idUSKBN1ED00Q

Канада поддержала https://www.cse-cst.gc.ca/en/media/2017-12-19

Топ 25 паролей по популярности в 2017 году. Если у вас один из них — рекомендуется поменять его везде, где он используется, на что-то более безопасное. Информацию собрала компания SplashData