В целом это был вопрос времени https://m.geektimes.com/post/300343/

Кстати, похоже, появилась определенность, какой оператор хотел платить за отсутствие негатива о нем в канале. Как я и предполагал, я не единственный, к кому с таким вопросом обращались. Речь об МТС, который ввёл платные входящие в роуминге

АПД - плату за входящие во внутреннем роуминге ввели вроде как все операторы: «Эти изменения мы реализуем в рамках нашего видения по исполнению Предупреждения ФАС об устранении признаков нарушения антимонопольного законодательства. Аналогичное Предупреждение ФАС есть и других крупных операторов. #билайн»
https://t.me/zatelecom/4892

Читатель тут прислал ссылку, и мне кажется, я даже как-то что-то об этом упоминал уже, потому что новость трёхнедельный давности:

https://m.roem.ru/07-04-2018/269404/chistka-ot-predustanovok/

Начальник Управления регулирования связи и информационных технологий ФАС России Елена Заева представила проект «дорожной карты» по развитию конкуренции в IT. В частности антимонопольное ведомство и их коллеги из Минкомсвязи и Роспотребнадзора к сентябрю 2018 года возможно разработают проект федерального закона, по которому от производителей компьютеров и смартфонов потребуют предустанавливать отечественные приложения «аналогичной функциональности».

Например мессенджер «ТамТам» (Mail.Ru Group) схож по функциональности с американскими и японскими мессенджерами WhatsApp и Viber, ВК схож с Facebook, Яндекс.Музыка схожа с Apple Music и Google Music.
———

Можно было бы написать длинный комментарий по этому поводу, но я просто скажу:
АХАХАХАХАХАХАХАХАХАХАХАХАХАХАХАХАХАХАХАХАХАХАХА

Не, ну то есть каких-то китайских ОЕМов с Андроид, может, на это и прогнут, но Эпол с айфоном... любой, кто думает, что это реально, плохо знает историю создания айфона и мобильного рынка США. Там операторы вертели производителей телефонов так, как хотят (впрочем, многих и до сих пор, это объясняет большую задержку с апдейтами для Андроида, которые должны в том числе идти через операторов), но когда Эпол запускала айфон, она сразу сказала (точнее, это, скорей всего, был Джобс): «никакого вашего этого операторского говна на моих телефонах не будет! Только через мой труп...” oh, wait... ну короче, шутки шутками, но все эти годы Apple никогда ничего операторского и стороннего не ставила, и ставить не будет. Короче, я очень хочу на эту схватку посмотреть :)

И снова здравствуйте! В этот замечательный пятничный день начнём с парочки интересных и полезных ссылок для разминки.

1. Если у вас Drupal, то вам будет полезно узнать о том, что в ядре платформы очередная критическая уязвимость, и надо срочно бежать устанавливать апдейт, если ещё не:
https://www.drupal.org/sa-core-2018-004

2. Хотите заработать три миллиона долларов? Не вопрос, стартап Crowdfence в Дубаи предлагает 3 млн долларов за уязвимости для различных операционных систем. До трёх миллионов долларов могут стоить уязвимости нулевого дня, которые не требуют взаимодействия пользователя и позволяют получить полный контроль над iOS или Android (уязвимости для других ОС они тоже покупают, но денег там меньше)
https://motherboard.vice.com/en_us/article/pax987/crowdfense-offers-3-million-for-iphone-android-hacks

3. Как можно c помощью несложных манипуляций получить IP-адрес пользователя WhatsApp (ФБ говорит, что исправлять это не планирует)
https://medium.com/@kankrale.rahul/whatsapp-users-ip-disclosure-with-link-preview-feature-39a477f54fba

В качестве более обстоятельного материала предлагаю почитать в Wired идею Рея Оззи (бывшего главного архитектора программных продуктов Microsoft) о том, как же обеспечить шифрование мобильных устройств с одной стороны, и доступ правоохранительных органов к зашифрованной информации в случае необходимости - с другой. Сама статья тут:
https://www.wired.com/story/crypto-war-clear-encryption

Если вкратце, то все, конечно же, сводится к методу, в рамках которого должен существовать некий мастер-ключ ко всем айфонам (в статье речь идёт об айфонах, поскольку самый яркий пример - история с террористом из Сан Бернардино, Калифорния, но, по сути, принцип должен относиться ко всем устройствам). Производитель генеририрует пару ключей, один из которых записан на устройстве, второй - это приватный ключ, который должен храниться в мегасейфе у Apple с ограниченным доступом к нему. Эта пара ключей должна позволять расшифровывать некий ПИН на устройстве: полицейский, получив ордер суда, на лок-скрине получает зашифрованный ПИН, отправляет его в Apple, там с помощью приватного ключа этот ПИН расшифровывают, и полицейский уже получает расшифрованный ПИН для устройства. При этом такой расшифрованный ПИН должен работать только для одного устройства и только один раз, после чего некий чип внутри устройства должен «самоуничтожаться», что обеспечит применение этого механизма только на одном устройстве и не позволит манипулировать данными на нем. Если все это звучит для вас как бэкдор, то только потому, что это он, родимый, и есть.

Не знаю, на каком основании Оззи излучает оптимизм по поводу того, что такой мастерключ останется в безопасности, даже в случае с Apple, не говоря уже о менее ответственных вендорах. Сколько было историй про утечки из Apple (необязательно от азиатских подрядчиков компании), включая каких-то чуть ли не практикантов, которые вынесли из компании исходный код загрузчика iPhone. а если такой мастер-ключ утечет, последствия для компании и отрасли в целом вообще сложно представить. (А, можно ещё припомнить утечки материалов из ЦРУ, АНБ и других очень секретных организаций, у которых вся работа заключается в охране своих секретов). Про самоуничтожающийся чип тоже интересно - в принципе, такой hardware secure module в iPhone есть и сейчас (Secure Enclave), но почему-то он не мешает компаниям типа Cellebrite и GrayKey обходить защиту устройств и загружать информацию с устройств. Можно ли что-то вообще в этом мире абсолютно надежно сохранить? Спросите у тех же Cellebrite и GrayKey, которые уже сами были жертвами утечек данных. Да и вообще, как только такой доступ появится у правоохранительных органов одной страны, завтра Китай, Россия, Иран и десятки других стран потребуют себе возможность такого же доступа за право продавать телефон в этой стране. Короче, какая-то странная история с этим предложением Рея Оззи, которая, впрочем, в очередной раз обнажила известную проблему конфликта сторонников и противников криптографии: одни считают, что это слишком рискованно, другие - что риск того стоит. Мне кажется, это не тот случай, когда консенсус где-то посередине.

Как только РКН добрался до Яндекса, они сразу нашли в себе силы прокомментировать ситуацию с блокировками Телеграма
https://vc.ru/37173-yandeks-nazval-udarom-po-vsemu-runetu-massovye-blokirovki-ip-adresov-roskomnadzorom

И даже у ВК прорезался голос (но иллюстрируют они это с помощью фото Сегаловича из Яндекса)
https://vk.com/wall6492_6115

Совсем охренели в этих зарубежных компаниях, сознательно препятствуя решению районного суда и деятельности РосКомНадзора

Полезная утилита для Мак-пользователей: она отслеживает такое событие, как открытие крышки Макбука, и может сообщить об этом владельцу. Например, это полезно, если вы оставили ноутбук в отеле, или для каких-то других случаев. Там можно настроить разные события на открытие - сделать фото камерой, отправить уведомление, запустить скрипт. программка бесплатная, и с открытым исходным кодом. Конечно, от потери данных она не спасёт (если этим занимаются специалисты), если есть физический доступ к компьютеру, но уведомление для первой версии - тоже полезно.

https://objective-see.com/products/dnd.html

Нам пишут:

«Роскомнадзор пообещал больше не блокировать крупные подсети из-за Telegram

Вчера была проведена закрытая встреча, на которой обсуждалась ситуация, возникшая в результате блокировки мессенджера Telegram, а также варианты решения технических трудностей, с которыми пришлось столкнуться после этого. По словам главы Регионального общественного центра интернет технологий (РОЦИТ) Сергея Гребенникова, компании, попавшие в реестр ошибочно, просто не идут на контакт с государственными службами, именно поэтому и была организована данная встреча. Помимо этого, он заявил, что Роскомнадзор отныне будет подходить к блокировке точечно, а не вносить в реестр крупные подсети. По результатам встречи было также решено продолжить принимать претензии от пользователей и администраторов, которые пострадали в ходе блокировок.»

Ну, хорошо, если так. Наверно, поэтому и Яндекс с ВК/ОК наконец-то выступили, потому что знали, что это уже заканчивается. До поры до времени

Неплохая статья
https://republic.ru/posts/90626?code=9b1997e247385ed0ef46b06429e15fc4
«Большинство VPN сейчас наклепали, чтобы по-быстрому срубить денег»

Идти или не идти - дело ваше

интересная статья про российскую компанию, которая продает уязвимости нулевого дня для программного обеспечения для больниц. Кто-то покупает это ПО для анализа безопасности своих больниц, а кто-то неизвестно зачем. С вендорами информацией об уязвиимостях компания не делится.

https://motherboard.vice.com/en_us/article/j5a7p3/russian-company-zero-days-hospital-medical-software

интересный proof of concept, который BSOD-ит Windows (сразу несколько читателей прислали мне эту ссылку, все любят, когда винда БСОДит)

https://www.bleepingcomputer.com/news/microsoft/poc-code-published-for-triggering-an-instant-bsod-on-all-recent-windows-versions/

Мир, труд, май вам в хату, подписанты! Несмотря на праздники, у меня все равно для вас есть апдейты по теме канала.

В России, я так понимаю, некая активная фаза борьбы с Телеграмом пока что затихла - возможно, стороны изучают свои опции и как делать это более эффективно, не ломая весь интернет при этом. Но зато Телеграм начали блокировать в Иране, и на эту схватку посмотреть будет даже интересней, чем в России (хотя россиянам российские блокировки, разумеется, были ближе к телу). В Иране у Телеграм гораздо больше пользователей - говорят, что более 40 млн, что составляет половину населения страны (в России у Телеграм около 15 млн пользователей).

Интересная концепция софта-вымогателя, который компилирует сам себя и загружает себя в память
https://www.bleepingcomputer.com/news/security/new-c-ransomware-compiles-itself-at-runtime/

Помните Meltdown? Ту самую аццкую уязвимость в процессорах Intel, которую бросились все обсуждать в начале этого года? Так вот, патч для неё для Windows 7 и Server 2008 R2 создал ещё большую уязвимость, которую назвали... Total Meltdown! В её рамках любой процесс может получить доступ на чтение и модификацию любого сегмента памяти. Но это было известно, а теперь исходный для эксплуатации этой уязвимости появился на GitHub, и все, что нужно сделать пользователям и админам пострадавших систем - это установить апдейт для Windows
here

(Кстати, кто-то из читателей несколько дней назад присылал мне ссылку об этом, но я её где-то пролюбил. Если я не отреагировал на ваше сообщение или не поблагодарил за присланную ссылку - заранее извините, слишком много всего происходит одновременно)

АПД Ссылка, которую мне присылали - вот!
http://blog.frizk.net/2018/03/total-meltdown.html

Основатель WhatsApp Ян Кум ушёл из Facebook (в смысле из компании, а не аккаунт закрыл), заявив, что хочет сфокусироваться на коллекционировании редких Porsche с воздушным охлаждением двигателя (завидую такому хобби!). Интересно то, что пишут, что он уходит из ФБ в связи с несогласием с руководством ФБ по поводу отношения к сохранности частных данных и требованию по «ослаблению шифрования», что бы это не значило. ФБ этот конфликт опровергает. Напомню, что второй сооснователь WhatsApp ещё в начале истории с Cambridge Analytica в твиттере писал о том, что пора бы удалить Facebook.
https://www.washingtonpost.com/business/economy/whatsapp-founder-plans-to-leave-after-broad-clashes-with-parent-facebook/2018/04/30/49448dd2-4ca9-11e8-84a0-458a1aa9ac0a_story.html

Кстати, про WhatsApp ещё. Пару дней назад я давал ссылку на то, как можно узнать реальный IP пользователя WhatsApp с помощью превью ссылки, которое генерится прямо на устройстве. Так вот, как написал мне читатель канала, на GitHub уже есть инструкция по этому поводу
https://github.com/moldabekov/whatsipp
Фраза «вычислю по IP» обретает новую жизнь.

Вот ещё интересная ссылка от читателя:

Вот любопытная статья на хабре: https://habr.com/company/ua-hosting/blog/354560/

Там интересно не столько как ловили Селезнева, а как его вычислили. "Регистрация PayPal на почту, предназначенную для продажи карт", "Покупка билетов и цветов жене", пренебрежение шифрованием и пр. Ну и особенно доставляет, как просто оказалось подключаться к компам кафе/ресторанов и воровать карты пользователей. "компьютеры были настроены очень слабо в отношении обеспечения безопасности информации посетителей, так как хранили данные 32 тыс. кредитных банковских карт в виде простых текстовых файлов"

Хакеры, видимо, целились в РосКомНадзор, но попали в РосПриродНадзор
http://rpn.gov.ru/