Чтобы не было путаницы, это не наши с @kashinguru иски. Это штраф за конкретный отказ предоставить ключи шифрования к переписке обвиняемых в теракте в метро Санкт-Петербурга.

Очень напоминает историю "Apple против ФБР", когда последнее требовало доступ к заблокированному телефону стрелка из Сан Бернардино. Apple тогда отказало, мотивируя тем, что это приведет к появлению в руках спецслужбы (откуда он может попасть в руки кого угодно) бэкдора, позволяющего вскрыть не только этот, но и вообще любой другой телефон Apple.
Почти то же самое и здесь, но есть и нюанс: предоставить такой доступ технически невозможно: шифрование переписки происходит на конечных устройствах. Тут, в общем, и универсальный бэкдор не особенно поможет.
Очевидно, что суд не понимает, или не хочет понимать, как устроен и работает Telegram, сегодняшнее решение - еще один шаг к блокировке этого сервиса в России.

Я подавал иск к ФСБ, считая его требования к Telegram незаконными, мне в иске с порога отказали (где-то между Королевской Почтой Великобритании и Почтой России ползет аналогичный от @kashinguru), я обжаловал отказ в Мосгорсуде, рассмотрение жалобы (оно обязательно будет) пока не назначено.

Ин Совиет Раша олл интернет-траффик гоус сру Раша!

Если у вас есть роутеры Airport, там для них вышли обновления прошивки, в которых исправляются известные уязвимости KRACK и Broadpwn. Вот релиз нота для роутеров с 802.11n https://support.apple.com/en-us/HT208258, а это релиз нота для роутеров с 802.11ac https://support.apple.com/en-us/HT208354

Несколько дней назад я писал про уязвимость в яблочном HomeKit (https://t.me/alexmakus/1513). Сегодня вышли апдейты для iOS и tvOS (11.2.1), исправляющие эту уязвимость.

Евгений Плющев пишет про отмену сетевого нейтралитета в США, за что сегодня проголосовали пидо... в смысле чиновники Федеральной комиссии по связи США. Нетфликсу с его кошельком это, конечно, не грозит, а вот более мелким компаниям и стартапам может быть хуже, если эта отмена таки вступит в действие (как правильно пишет Саша, судебная система может заблокировать это решение)
https://t.me/PlushevChannel/1668

Помните ботнет Mirai, который состоял из десятков тысяч домашних гаджетов (в основном камер наблюдения) и в сентябре 2016 года положил половину интернета? Короче, создатели этого ботнета признали свою вину и теперь им светит до 5 лет в тюрьме и штраф до 250 тыс долл
https://krebsonsecurity.com/2017/12/mirai-iot-botnet-co-authors-plead-guilty/

админам, у которых есть файрволлы Palo Alto. Там нашли уязвимость с исполнением кода, апдейты уже доступны от производителя
http://seclists.org/fulldisclosure/2017/Dec/38

там, кстати, еще и в Офисе нашли какую-то аццкую уязвимость, и Microsoft уже выпустила апдейты. Правда, апдейты уязвимость не исправляют, а отключают технологию в Офисе, которая позволяет эту дыру эксплуатировать (Dynamic Update Exchange, DDE). Тот факт, что они выпустили апдейт даже для Office 2007, который давно не поддерживается, говорит о серьезности этой уязвимости. Вы знаете, что делать!
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV170021

полезная шпаргалка используемых популярными приложениями и сервисами портов

Как Мозилла наступила на грабли, установив пользователям расширение Firefox без разрешения https://techcrunch.com/2017/12/15/mozillas-mr-robot-promo-backfires-after-it-installs-firefox-extension-without-permission/

Говоря об установках, нельзя не отметить факап у Microsoft, которые ставили на свежую инсталляцию Windows 10 менеджер паролей Keeper, причем ту версию, в которой была уязвимость, позволяющая сайтам воровать пароли из него. Так-то юзерам надо было запустить Keeper и установить плагин в браузер, поэтому нельзя сказать, что прям опасносте-опасносте, но осадок, как говорится, остается. https://bugs.chromium.org/p/project-zero/issues/detail?id=1481&desc=3

Я просто оставлю это здесь без всяких комментариев. Выводы делайте сами.

Биометрические данные клиентов банков в России будут предоставляться МВД и ФСБ. Это предусмотрено законопроектом о биометрической системе и удаленной идентификации граждан, принятым Госдумой во втором чтении 15 декабря.

Сведения будут направляться в МВД и ФСБ оператором биометрической системы по запросу правоохранительных органов, а порядок взаимодействия оператора и спецслужб определит правительство. Как заявил председатель думского комитета по финансовому рынку, соавтор законопроекта и председатель совета ассоциации банков «Россия» Анатолий Аксаков, «доступ будет только на основании полномочий, которые определены законом для силовых структур».

Исполнительный вице-президент Ассоциации российских банков Эльман Мехтиев отметил, что «если человек законопослушен, то и причины бояться нет». Он добавил, что доступ силовых ведомств к биометрии клиентов банков вряд ли снизит желание граждан пользоваться удаленной идентификацией.

Биометрическая система позволит жителям РФ получать услуги любого банка онлайн. Первичную идентификацию клиент проходит в финансовой организации с паспортом. После этого в банке снимают потенциального клиента на видео, записывают его голос и отправляют эти сведения в биометрическую систему. В дальнейшем россиянин сможет получить банковские услуги удаленно, передавая свое изображение и голос для сверки с системой.

Как указывают «Ведомости», МВД заинтересовалось проектом осенью 2017 года и хотело стать оператором биометрической системы. Однако еще в мае было решено, что функции оператора будет исполнять «Ростелеком».

общеобразовательная статья на Quartz о том, что надо быть осторожным, покупая IoT-устройства с рук. (не говоря уже о том, что продавцам тоже надо не забывать о том, что при продаже таких устройств их нужно сбрасывать в заводские настройки, чтобы не передать какие-то личные данные покупателю). так вот, при покупке надо быть уверенным, что продавец туда не воткнул какой-нибудь дополнительный софт, настройки или даже "приборчик" для последующего наблюдения за покупателем. самый надежный способ — покупать у производителя или хотя бы у крупной компании-продавца. Впрочем, это не защитит устройство от участия в каком-нибудь ботнете. https://qz.com/1156059/dont-buy-second-hand-internet-connected-iot-devices-from-sites-like-ebay-ebay/

в эпидемии вируса-вымогателя WannaCry США обвинили Северную Корею https://www.reuters.com/article/us-usa-cyber-northkorea/u-s-blames-north-korea-for-wannacry-cyber-attack-idUSKBN1ED00Q

Канада поддержала https://www.cse-cst.gc.ca/en/media/2017-12-19

Топ 25 паролей по популярности в 2017 году. Если у вас один из них — рекомендуется поменять его везде, где он используется, на что-то более безопасное. Информацию собрала компания SplashData

если у вас есть блог на WordPress и там используется плагин Captcha, то вам стоит знать, что недавно этот плагин был заражен и устанавливал скрытый бэкдор на сайтах, где он использовался. Интересно, что оригинальный разработчик продал плагин другому разработчику, который через три месяца после покупки выпустил апдейт, устанавливавшийся хитрым образом, минуя репозиторий Вордпресса. Покупатель проворачивал такую схему уже неоднократно, скупая плагины и выпуская апдейты со ссылками на свою компанию, которая выдает краткосрочные кредиты. Это помогает его компании подниматься выше в результатах поиска. Короче, нехороший человек, редиска.
https://www.bleepingcomputer.com/news/security/backdoor-found-in-wordpress-plugin-with-more-than-300-000-installations/

Вчера не успел написать о малвари, обнаруженной специалистами Лаборатории Касперского. вредоносное ПО умеет показывать рекламы, участвовать в DDoS атаках, слать текстовые сообщения и втихаря подписываться на платные сервисы. Но что еще хуже — оно майнит криптовалюту, причем настолько агрессивно, что может привести к физическому повреждению аккумулятора телефона. Троян распространяется внутри приложений из сторонних магазинов, через рекламу в браузерах и спам по SMS. Больше деталей по ссылке https://securelist.com/jack-of-all-trades/83470/

PS подумаешь, троян. у Apple вон и без всяких троянов иногда вспухают батареи. А у Самсунг вообще была огненная рекламная кампания с Note 7

и хорошие новости для пользователей твиттера. наконец-то твиттер разрешил для двухфакторной авторизации использовать не коды, приходящие по СМС, а сторонние приложения вроде Google Authenticator
https://help.twitter.com/en/managing-your-account/two-factor-authentication

Подписчик канала (а также по совместительству автор канала по схожей тематике https://t.me/vulns) прислал интересную авторскую статью об уязвимостях в различных сервисах, связанных с криптовалютой. Это должно помочь принять решение о том, где лучше хранить свои криптосбережения https://habrahabr.ru/post/343152/