Это, конечно, ор выше гор. Провайдер пытается запретить сторонние DNS-серверы, чтобы соответствовать  требованиям РКН. Вы только почитайте, серьёзно.

http://albeon.ru/cust/moscow/news/vvedenie-zapreta-na-ispolzovanie-storonnih-sluzhb-translyacii-domennyh-imen-dns1/

Ну и минутка русского языка с Александром Литреевым. Мой товарищ @dgnotes научил меня правильно говорить, научу и вас. "Сервера" — плохо. "Серверы" — хорошо.

Умельцу удалось получить доступ к Apple SEP (Secure Enclave Processor) — специальный модуль, отвечающий за хранение и обработку математических представлений об отпечатках пальцев. Хакер с ником "xerub" в Twitter опубликовал ключ FDC (Firmware Decryption Key), с помощью которого можно получить доступ к программному обеспечению и внутреннему устройству данного модуля.

Сразу оговорюсь — пользователи в безопасности. Основная роль FDC заключается в некой обфускации прошивки, доступа к хранимым и обрабатываемым данным он не предоставляет. Публикация данного ключа не делает SEP менее безопасным, а всего лишь даёт сторонним энтузиастам возможность поковыряться в прошивке данного компонента устройств Apple.

Более того, сканер Touch ID не сохраняет сами изображения отпечатков. В SEP хранятся только их математические представления (хэш-сигнатуры). Из математического представления невозможно получить настоящее изображение отпечатка. Информация об отпечатках шифруется ключом, доступным только для SEP. Они используются исключительно самим SEP и только для проверки совпадения отпечатка с сохраненными данными. Сам же SEP отделен от остальной части процессора и операционной системы iOS. Таким образом, данные об отпечатках никогда не будут использованы ОС или другими программами, никогда не будут отправлены на серверы Apple. Эти данные используются только функцией Touch ID и не могут быть использованы для сравнения с другими базами данных отпечатков.

https://www.theregister.co.uk/2017/08/17/apple_secure_enclave_decrypted/

Пока никаких громких новостей по Сайберсекьюрити™ нет, напоминаю — 26 августа пройдёт митинг «За Свободный Интернет».
Люди выйдут на улицы Москвы и других городов России, чтобы сказать своё решительное «НЕТ» цензуре, прослушке, угнетанию IT, некомпетентности гос. органов, которые, то и дело, суют свой нос куда не следовало бы.

Листовки к митингу (https://goo.gl/cRCeiz) можно и нужно распечатать и, как говорят, распространить среди жильцов вашего жэка.

В офисе ПАРНАС на м. Новокузнецкой с сегодняшнего дня можно будет забрать себе для распространения уже отпечатанные агит-материалы. Приходите, не стесняйтесь. Для того, чтобы злая охрана пропустила добрых сочувствующих ребят - напишите заранее @wg_novikov, он поможет организоваться таким образом, чтоб и вам - и нам было максимально удобно.

Также, организаторы митинга всё еще собирают средства на организационные моменты (сцена, звук, агит-материалы & etc.), им можно (и нужно) помочь. Я, кстати, тоже отправил им свою копеечку.

Вот реквизиты:

Яндекс.Деньги — 410014281197625
Вебмани — R207517596206
Биткоин — 17xsaWjzZAsqnkRDe8PPvBwyHpwGfcdzPN
Карта сбербанка: 4276380085336258 (вот тут с любой карты можно сделать перевод —  tinkoff.ru/card2card)
PayPal: andrej.kuznetsov.mail@gmail.com

Следите за соц. сетями:
fb.com/events/1451432884936378/
vk.com/freedomrunet
t.me/freerunet
t.me/freerunetchat

Кто-то использует Trello для... ХРАНЕНИЯ ПАРОЛЕЙ.
https://dlg.im/en/blog/secrets-exposed-trello

За наводку спасибо @popyachsa.

Слабоумие и отвага!

Давно понятно, что не стоит хранить пароли в сервисах, для этого не предназначенных, вот вам наглядный пример https://trello.com/b/wvhU4nNV/projectmash

Дорогие друзья, завтра в 16:00 на проспекте Сахарова пройдёт митинг «За Свободный Интернет», где мы скажем решительное "нет" цензуре, бездумным блокировкам, абсурдным законам и угнетанию IT-индустрии в нашей стране.

Обязательно приходите! И да, сюрприз! Я специально прилечу в Москву, чтобы поучаствовать в митинге в качестве одного из спикеров. Приходите и меня послушать, и свою точку зрения выразить.

Вместе победим!

https://twitter.com/alexlitreev/status/901144116691705862

Спасибо всем, кто вчера пришёл. Я очень горжусь тем, что вы мои сограждане. Это было мое первое публичное выступление, немного волнительно, но очень здорово.  

Запись всего митинга здесь: https://youtu.be/3m9yNRtc3QM

За организацию трансляции благодарю @popyachsa. Молодец.

Ну а мы возвращаемся к главному топику этого канала – Сайберсекьюрити.

На днях, один энтузиаст Адам Доненфельд опубликовал код эксплоита для дыры в ядре iOS, позволяющий получить root-доступ к операционной системе.

Эксплоит использует уязвимости, присутствующие в iOS до версии 10.3.1 включительно. В последних версиях эта проблема была исправлена.

http://www.securitylab.ru/news/488078.php

Другой занимательный материал: новый (на самом деле нет) интересный способ атаки на смартфон. Заключается он в замене компонента смартфона. Допустим, разбили вы экран на своём Nexus 6P. Приходите в ремонт, сдаёте телефон, вам меняют экран. Так вот. Тот, кто поставляет компоненты для ремонта, может внедрить маленький, шпионский и очень дешевый чип в сенсорную панель. Ну а последствия — они очевидны.

https://www.theverge.com/2017/8/21/16177916/malicious-replacement-touch-screens-control-smart-phone

На днях, из-за BGP Hijacking'а Google случайно положил почти весь интернет в Японии.

Это, кстати, уже не первый случай подобных крупных проблем, связанных с неправильной эксплуатацией BGP — в феврале 2008 года власти Пакистана случайно сделали YouTube недоступным во всём мире, вместо того, чтобы заблокировать его только на территории собственного государства.

http://safe.cnews.ru/news/top/2017-08-28_google_obrushila_yaponskij_internet_izza_oshibki

Из других новостей:
1. Огонь горячий
2. Вода мокрая
3. Небо синее

http://www.securitylab.ru/news/488143.php

Тот момент, когда в прямом смысле слова, можно "взломать чьё-то сердечко" ❤️

В США массово отзывают кардиостимуляторы фирмы Abbott из-за дыры, делающих девайсы уязвимыми к дистанционным кибератакам. Благо, вытаскивать куски железок из людей никто не будет — обойдутся перепрошивкой. Отозвано, в общей сложности, 465 тысяч кардиостимуляторов.

https://motherboard.vice.com/en_us/article/nee5bw/465000-patients-need-software-updates-for-their-hackable-pacemakers-fda-says

Немного полезной (и не очень) информации.

У нашего канала есть свой чат, где можно общаться на тему Сайберсекьюрити™. Попасть в него можно вот здесь — @alexlitreev_chat.
Кроме этого канала я веду еще и свой личный, где пишу обо всём, что мне интересно и публикую всякую всячину — @alexthoughts.
Ну и Твиттер, наконец: twitter.com/alexlitreev

Спасибо, что вы с нами.

К новостям успешных корпораций: http://www.securitylab.ru/news/488135.php

Уязвимость с  session hijacking’ом в GitLab’е была исправлена последним обновлением в среду.

https://threatpost.com/session-hijacking-bug-exposed-gitlab-users-private-tokens/127747/