В данный момент сражаемся за согласование. По словам главы департамента митинг перенесли на проспект Ак. Сахарова, однако официального ответа нам никто не дает в данном департаменте.

Напоминаем, что 26-ого августа пройдет митинг "За свободный интернет" в центре Москвы. Мы выступим против законодательного мракобесия относительно интернет-регулирования и за отмену серии законов, за реабилитацию всех репрессированных и пострадавших лиц от административного или уголовного преследования за интернет-деятельность, против досудебной блокировки ресурсов и инструментов и так же за отставку главы РосКомНадзора Александра Жарова.

А еще нам очень нужна ваша помощь. До митинга осталось всего 10 дней, а мы еще не собрали на сцену. А еще звук 😢. Если мы не сможем собрать на данные атрибуты - то митинг окажется под угрозой. Поэтому помогите интернету, он вам помогает каждый день по нескольку раз. Пожертвуйте сумму для организации митинга, внесите свой вклад в будущее интернета!

Яндекс.Деньги — 410014281197625
Вебмани — R207517596206
Биткоин — 17xsaWjzZAsqnkRDe8PPvBwyHpwGfcdzPN
Карта сбербанка: 4276 3800 8533 6258

Наша цель 200.000 рублей. Сейчас собрано 10%.

А еще мы очень просим репост. Чем больше людей увидят этот пост - тем больше вероятность успешной организации митинга.

http://www.rbc.ru/rbcfreenews/599418d59a7947761d7ccb3d

С одной стороны — правильно. С другой — откуда цифра в 800 миллионов взялась?
https://meduza.io/news/2017/08/17/rosteh-potratit-800-millionov-rubley-na-zaschitu-ot-hakerov

Предложение Минкомсвязи о внесении поправок в ФЗ «О Связи» приведёт к самоизоляции российского сегмента интернета от всемирной общей сети.

На мой взгляд, здесь снова усматриваются очередные потуги введения какого-то подобия Chinese Great Firewall в России. Разумеется, подадут это всё в самом аппетитном пропаганде виде, под соусом борьбы с терроризмом, интернет-суверенитета или чем-нибудь в этом духе. Вестись на это, конечно же, не нужно — причины очевидны и гораздо менее благородны, на мой взгляд.

Более того, есть опасения, что применение правок Минкомсвязи может привести к большим рискам в области информационной безопасности, т.к. вся "маршрутно-адресная информация" (там так написали, не я этот стрёмный термин придумал), в данном случае, окажется в одних руках. В руках, так называемой, «государственной информационной системы обеспечения целостности, устойчивости и безопасности функционирования российского национального сегмента». И в случае целенаправленной и успешной атаки на эти "одни руки" — последствия могут быть чудовищными.

Идея администрирования органами власти национальной доменной зоны (.ru и .рф) также не видится хорошей затеей — это даёт Минкомсвязи возможность в любой момент разделегировать домен любого неугодного им сайта (де-факто — это возможность введения цензуры).

В общем, так себе правочки.

http://regulation.gov.ru/projects#npa=71277

Это, конечно, ор выше гор. Провайдер пытается запретить сторонние DNS-серверы, чтобы соответствовать требованиям РКН. Вы только почитайте, серьёзно.

http://albeon.ru/cust/moscow/news/vvedenie-zapreta-na-ispolzovanie-storonnih-sluzhb-translyacii-domennyh-imen-dns1/

Ну и минутка русского языка с Александром Литреевым. Мой товарищ @dgnotes научил меня правильно говорить, научу и вас. "Сервера" — плохо. "Серверы" — хорошо.

Умельцу удалось получить доступ к Apple SEP (Secure Enclave Processor) — специальный модуль, отвечающий за хранение и обработку математических представлений об отпечатках пальцев. Хакер с ником "xerub" в Twitter опубликовал ключ FDC (Firmware Decryption Key), с помощью которого можно получить доступ к программному обеспечению и внутреннему устройству данного модуля.

Сразу оговорюсь — пользователи в безопасности. Основная роль FDC заключается в некой обфускации прошивки, доступа к хранимым и обрабатываемым данным он не предоставляет. Публикация данного ключа не делает SEP менее безопасным, а всего лишь даёт сторонним энтузиастам возможность поковыряться в прошивке данного компонента устройств Apple.

Более того, сканер Touch ID не сохраняет сами изображения отпечатков. В SEP хранятся только их математические представления (хэш-сигнатуры). Из математического представления невозможно получить настоящее изображение отпечатка. Информация об отпечатках шифруется ключом, доступным только для SEP. Они используются исключительно самим SEP и только для проверки совпадения отпечатка с сохраненными данными. Сам же SEP отделен от остальной части процессора и операционной системы iOS. Таким образом, данные об отпечатках никогда не будут использованы ОС или другими программами, никогда не будут отправлены на серверы Apple. Эти данные используются только функцией Touch ID и не могут быть использованы для сравнения с другими базами данных отпечатков.

https://www.theregister.co.uk/2017/08/17/apple_secure_enclave_decrypted/

Пока никаких громких новостей по Сайберсекьюрити™ нет, напоминаю — 26 августа пройдёт митинг «За Свободный Интернет».
Люди выйдут на улицы Москвы и других городов России, чтобы сказать своё решительное «НЕТ» цензуре, прослушке, угнетанию IT, некомпетентности гос. органов, которые, то и дело, суют свой нос куда не следовало бы.

Листовки к митингу (https://goo.gl/cRCeiz) можно и нужно распечатать и, как говорят, распространить среди жильцов вашего жэка.

В офисе ПАРНАС на м. Новокузнецкой с сегодняшнего дня можно будет забрать себе для распространения уже отпечатанные агит-материалы. Приходите, не стесняйтесь. Для того, чтобы злая охрана пропустила добрых сочувствующих ребят - напишите заранее @wg_novikov, он поможет организоваться таким образом, чтоб и вам - и нам было максимально удобно.

Также, организаторы митинга всё еще собирают средства на организационные моменты (сцена, звук, агит-материалы & etc.), им можно (и нужно) помочь. Я, кстати, тоже отправил им свою копеечку.

Вот реквизиты:

Яндекс.Деньги — 410014281197625
Вебмани — R207517596206
Биткоин — 17xsaWjzZAsqnkRDe8PPvBwyHpwGfcdzPN
Карта сбербанка: 4276380085336258 (вот тут с любой карты можно сделать перевод — tinkoff.ru/card2card)
PayPal: andrej.kuznetsov.mail@gmail.com

Следите за соц. сетями:
fb.com/events/1451432884936378/
vk.com/freedomrunet
t.me/freerunet
t.me/freerunetchat

Кто-то использует Trello для... ХРАНЕНИЯ ПАРОЛЕЙ.
https://dlg.im/en/blog/secrets-exposed-trello

За наводку спасибо @popyachsa.

Слабоумие и отвага!

Давно понятно, что не стоит хранить пароли в сервисах, для этого не предназначенных, вот вам наглядный пример https://trello.com/b/wvhU4nNV/projectmash

Дорогие друзья, завтра в 16:00 на проспекте Сахарова пройдёт митинг «За Свободный Интернет», где мы скажем решительное "нет" цензуре, бездумным блокировкам, абсурдным законам и угнетанию IT-индустрии в нашей стране.

Обязательно приходите! И да, сюрприз! Я специально прилечу в Москву, чтобы поучаствовать в митинге в качестве одного из спикеров. Приходите и меня послушать, и свою точку зрения выразить.

Вместе победим!

https://twitter.com/alexlitreev/status/901144116691705862

Спасибо всем, кто вчера пришёл. Я очень горжусь тем, что вы мои сограждане. Это было мое первое публичное выступление, немного волнительно, но очень здорово.

Запись всего митинга здесь: https://youtu.be/3m9yNRtc3QM

За организацию трансляции благодарю @popyachsa. Молодец.

Ну а мы возвращаемся к главному топику этого канала – Сайберсекьюрити.

На днях, один энтузиаст Адам Доненфельд опубликовал код эксплоита для дыры в ядре iOS, позволяющий получить root-доступ к операционной системе.

Эксплоит использует уязвимости, присутствующие в iOS до версии 10.3.1 включительно. В последних версиях эта проблема была исправлена.

http://www.securitylab.ru/news/488078.php

Другой занимательный материал: новый (на самом деле нет) интересный способ атаки на смартфон. Заключается он в замене компонента смартфона. Допустим, разбили вы экран на своём Nexus 6P. Приходите в ремонт, сдаёте телефон, вам меняют экран. Так вот. Тот, кто поставляет компоненты для ремонта, может внедрить маленький, шпионский и очень дешевый чип в сенсорную панель. Ну а последствия — они очевидны.

https://www.theverge.com/2017/8/21/16177916/malicious-replacement-touch-screens-control-smart-phone

На днях, из-за BGP Hijacking'а Google случайно положил почти весь интернет в Японии.

Это, кстати, уже не первый случай подобных крупных проблем, связанных с неправильной эксплуатацией BGP — в феврале 2008 года власти Пакистана случайно сделали YouTube недоступным во всём мире, вместо того, чтобы заблокировать его только на территории собственного государства.

http://safe.cnews.ru/news/top/2017-08-28_google_obrushila_yaponskij_internet_izza_oshibki

Из других новостей:
1. Огонь горячий
2. Вода мокрая
3. Небо синее

http://www.securitylab.ru/news/488143.php

Тот момент, когда в прямом смысле слова, можно "взломать чьё-то сердечко" ❤️

В США массово отзывают кардиостимуляторы фирмы Abbott из-за дыры, делающих девайсы уязвимыми к дистанционным кибератакам. Благо, вытаскивать куски железок из людей никто не будет — обойдутся перепрошивкой. Отозвано, в общей сложности, 465 тысяч кардиостимуляторов.

https://motherboard.vice.com/en_us/article/nee5bw/465000-patients-need-software-updates-for-their-hackable-pacemakers-fda-says

Немного полезной (и не очень) информации.

У нашего канала есть свой чат, где можно общаться на тему Сайберсекьюрити™. Попасть в него можно вот здесь — @alexlitreev_chat.
Кроме этого канала я веду еще и свой личный, где пишу обо всём, что мне интересно и публикую всякую всячину — @alexthoughts.
Ну и Твиттер, наконец: twitter.com/alexlitreev

Спасибо, что вы с нами.