Устал и читать, и постить про все новые и новые сбои. Но каждый раз, удивительно. Вот пишет мне читатель про проблемы у Volvo:

Во-первых не работает дилерский софт для взаимодействия и активации автомобилей (об этом в СМИ уже проходила информация, до сих пор вопрос не решен, специалисты ходят через Францию, все работает еле-еле, усложняет ситуацию то, что теперь софт всегда требует онлайн подключения). Во-вторых во всех авто с новой мультимедией (XC90, XC60, S90) отключились встроенные приложения (погода, вики, гугл поиск и пр.), не работает загрузка обновлений, карт (актуально для тех, у кого в машину вставлена сим-карта Мегафон и Теле2, МТС и Билайн возможно работают). Непонятна ситуация с их системами безопасности, которые в случае дтп самостоятельно звонят в службу поддержки (не Эра-Глонасс), у меня ради теста удалось связаться только с 3-го раза и 3-х минут ожидания связи.

Во всем этом поразительны две вещи. Нет, не упертость властей в стремлении разрушить все хорошее, что есть, это уже не удивляет. А насколько глубоко интернет уже укоренился в нашу жизнь, что ты его уже не замечаешь, часто он живет для тебя не только в компьютере или смартфоне, он уже везде. Ну и второе - несмотря на это всепроникновение, местами это удивительно хрупкая система.

Какое-то время назад ко мне пришли с вот таким заманчивым предложением:

«Добрый день!

Скажите пожалуйста, сколько будет стоить пост с упоминанием/пиаром одного из мобильных операторов на вашем канале?

И сколько будет стоить на месяц, чтобы вы не размещали постов с прямыми или косвенными упоминаниями одного из операторов. По крайней мере негативными.»

Мои попытки выяснить «заказчика» этого сообщения не привели, к сожалению, к положительному результату. Возможно, в том числе и потому, что на второй пункт я сразу сказал, что «на это я пойти не могу». Подозреваю, что в каких-то каналах авторы могли быть более сговорчивыми.

Но вообще я хотел сказать о другом. Я подозреваю, что этот изначальный запрос был вызван ситуацией с блокировками Телеграма и в том числе поведением операторов, которые радостно исполняют решения РКН, причём зачастую ещё до решения суда (кажется, Теле2 так делал). Поэтому в новостях постоянно обсуждается то, как то у Билайна, то у МТС, то у Мегафона что-то то работает, то не работает. И как писал Никита в ТЖ, отличить просто сбои в работе сети (что бывает, и часто), от блокировок РКН, становится невозможно, и интернет оказывается сломан в принципе. Но расстраивает меня больше всего другое. Мне интересно, найдётся ли в России хотя бы одна компания с яйцами (мобильный оператор, провайдер интернета, хоть кто-нибудь), которая может публично выступить и сказать о том, что блокировки РКН не только вредны для свободы слова, но и нарушают работу интернета как базовой инфраструктуры современного общества. Когда ФБР пыталась заставить Apple в США написать бэкдор для айфона, чтобы взломать телефон террориста, все крупные технологические компании и масса юристов выступила с публичными заявлениями о том, что поведение ФБР разрушительно для основ не только юриспруденции, но и технологий безопасности. Это в том числе сыграло свою роль в решении вопроса, когда ФБР стала дополнительно искать варианты и таки нашла, без написания бэкдора. В России в защиту Телеграма не выступил никто. (ну ладно, пусть не в защиту Телеграма, но хотя бы против этих ковровых блокировок, приводящих к проблемам работы самых базовых сервисов типа Гугла). Тишина. Вот что грустно.

Наконец-то интересная новость не про блокировку Телеграма (хотя, конечно, обидно немного, что часть заблокированных пользователей её не прочитает. Эксперты компани F-Secure обнаружили уязвимость в электронных замках компании Assa Abloy, которые используются в миллионах номеров десятков тысяч отелей по всему миру. Уязвимость позволяет получить доступ к любой из этих номеров, защищённых замками этой компании. Производитель уже выпустил обновление программного обеспечения для замков, но мы же понимаем, что пока установка этого апдейта дойдёт до всех отелей, да с ленивыми администраторами, да с ограниченными бюджетами...
http://press.f-secure.com/2018/04/25/f-secure-researchers-master-keys-to-hotels-can-be-created-out-of-thin-air/

АПД мне напомнили тут про эту прекрасную историю о мастерключах для отельных замков, и возможность ходить по отелям и открывать любые комнаты
https://www.wired.com/2017/08/the-hotel-hacker/

Так что все как обычно: никогда такого не было, и вот опять!

Вот ещё тоже интересное от читателя канала:

Минкомсвязи разработало порядок передачи оператором Единой информационной системы («Ростелеком») в ФСБ и МВД биометрических данных российских граждан. Соответствующий документ опубликован на федеральном портале проектов нормативных правовых актов.

Речь идёт о данных изображения лица и данных голоса. Эта информация позволяет с высокой степенью точности идентифицировать конкретного человека в большом объёме голосового трафика («верификация по голосу») или на камерах видеонаблюдения.

https://geektimes.com/post/300327/

Дайошъ каждый третий пост про ТГ
https://habr.com/post/354314/

Не знаю, настоящее ли, но «предупреждён - значит вооружён»

Upd: пишут, что все-таки фейк

В целом это был вопрос времени https://m.geektimes.com/post/300343/

Кстати, похоже, появилась определенность, какой оператор хотел платить за отсутствие негатива о нем в канале. Как я и предполагал, я не единственный, к кому с таким вопросом обращались. Речь об МТС, который ввёл платные входящие в роуминге

АПД - плату за входящие во внутреннем роуминге ввели вроде как все операторы: «Эти изменения мы реализуем в рамках нашего видения по исполнению Предупреждения ФАС об устранении признаков нарушения антимонопольного законодательства. Аналогичное Предупреждение ФАС есть и других крупных операторов. #билайн»
https://t.me/zatelecom/4892

Читатель тут прислал ссылку, и мне кажется, я даже как-то что-то об этом упоминал уже, потому что новость трёхнедельный давности:

https://m.roem.ru/07-04-2018/269404/chistka-ot-predustanovok/

Начальник Управления регулирования связи и информационных технологий ФАС России Елена Заева представила проект «дорожной карты» по развитию конкуренции в IT. В частности антимонопольное ведомство и их коллеги из Минкомсвязи и Роспотребнадзора к сентябрю 2018 года возможно разработают проект федерального закона, по которому от производителей компьютеров и смартфонов потребуют предустанавливать отечественные приложения «аналогичной функциональности».

Например мессенджер «ТамТам» (Mail.Ru Group) схож по функциональности с американскими и японскими мессенджерами WhatsApp и Viber, ВК схож с Facebook, Яндекс.Музыка схожа с Apple Music и Google Music.
———

Можно было бы написать длинный комментарий по этому поводу, но я просто скажу:
АХАХАХАХАХАХАХАХАХАХАХАХАХАХАХАХАХАХАХАХАХАХАХА

Не, ну то есть каких-то китайских ОЕМов с Андроид, может, на это и прогнут, но Эпол с айфоном... любой, кто думает, что это реально, плохо знает историю создания айфона и мобильного рынка США. Там операторы вертели производителей телефонов так, как хотят (впрочем, многих и до сих пор, это объясняет большую задержку с апдейтами для Андроида, которые должны в том числе идти через операторов), но когда Эпол запускала айфон, она сразу сказала (точнее, это, скорей всего, был Джобс): «никакого вашего этого операторского говна на моих телефонах не будет! Только через мой труп...” oh, wait... ну короче, шутки шутками, но все эти годы Apple никогда ничего операторского и стороннего не ставила, и ставить не будет. Короче, я очень хочу на эту схватку посмотреть :)

И снова здравствуйте! В этот замечательный пятничный день начнём с парочки интересных и полезных ссылок для разминки.

1. Если у вас Drupal, то вам будет полезно узнать о том, что в ядре платформы очередная критическая уязвимость, и надо срочно бежать устанавливать апдейт, если ещё не:
https://www.drupal.org/sa-core-2018-004

2. Хотите заработать три миллиона долларов? Не вопрос, стартап Crowdfence в Дубаи предлагает 3 млн долларов за уязвимости для различных операционных систем. До трёх миллионов долларов могут стоить уязвимости нулевого дня, которые не требуют взаимодействия пользователя и позволяют получить полный контроль над iOS или Android (уязвимости для других ОС они тоже покупают, но денег там меньше)
https://motherboard.vice.com/en_us/article/pax987/crowdfense-offers-3-million-for-iphone-android-hacks

3. Как можно c помощью несложных манипуляций получить IP-адрес пользователя WhatsApp (ФБ говорит, что исправлять это не планирует)
https://medium.com/@kankrale.rahul/whatsapp-users-ip-disclosure-with-link-preview-feature-39a477f54fba

В качестве более обстоятельного материала предлагаю почитать в Wired идею Рея Оззи (бывшего главного архитектора программных продуктов Microsoft) о том, как же обеспечить шифрование мобильных устройств с одной стороны, и доступ правоохранительных органов к зашифрованной информации в случае необходимости - с другой. Сама статья тут:
https://www.wired.com/story/crypto-war-clear-encryption

Если вкратце, то все, конечно же, сводится к методу, в рамках которого должен существовать некий мастер-ключ ко всем айфонам (в статье речь идёт об айфонах, поскольку самый яркий пример - история с террористом из Сан Бернардино, Калифорния, но, по сути, принцип должен относиться ко всем устройствам). Производитель генеририрует пару ключей, один из которых записан на устройстве, второй - это приватный ключ, который должен храниться в мегасейфе у Apple с ограниченным доступом к нему. Эта пара ключей должна позволять расшифровывать некий ПИН на устройстве: полицейский, получив ордер суда, на лок-скрине получает зашифрованный ПИН, отправляет его в Apple, там с помощью приватного ключа этот ПИН расшифровывают, и полицейский уже получает расшифрованный ПИН для устройства. При этом такой расшифрованный ПИН должен работать только для одного устройства и только один раз, после чего некий чип внутри устройства должен «самоуничтожаться», что обеспечит применение этого механизма только на одном устройстве и не позволит манипулировать данными на нем. Если все это звучит для вас как бэкдор, то только потому, что это он, родимый, и есть.

Не знаю, на каком основании Оззи излучает оптимизм по поводу того, что такой мастерключ останется в безопасности, даже в случае с Apple, не говоря уже о менее ответственных вендорах. Сколько было историй про утечки из Apple (необязательно от азиатских подрядчиков компании), включая каких-то чуть ли не практикантов, которые вынесли из компании исходный код загрузчика iPhone. а если такой мастер-ключ утечет, последствия для компании и отрасли в целом вообще сложно представить. (А, можно ещё припомнить утечки материалов из ЦРУ, АНБ и других очень секретных организаций, у которых вся работа заключается в охране своих секретов). Про самоуничтожающийся чип тоже интересно - в принципе, такой hardware secure module в iPhone есть и сейчас (Secure Enclave), но почему-то он не мешает компаниям типа Cellebrite и GrayKey обходить защиту устройств и загружать информацию с устройств. Можно ли что-то вообще в этом мире абсолютно надежно сохранить? Спросите у тех же Cellebrite и GrayKey, которые уже сами были жертвами утечек данных. Да и вообще, как только такой доступ появится у правоохранительных органов одной страны, завтра Китай, Россия, Иран и десятки других стран потребуют себе возможность такого же доступа за право продавать телефон в этой стране. Короче, какая-то странная история с этим предложением Рея Оззи, которая, впрочем, в очередной раз обнажила известную проблему конфликта сторонников и противников криптографии: одни считают, что это слишком рискованно, другие - что риск того стоит. Мне кажется, это не тот случай, когда консенсус где-то посередине.

Как только РКН добрался до Яндекса, они сразу нашли в себе силы прокомментировать ситуацию с блокировками Телеграма
https://vc.ru/37173-yandeks-nazval-udarom-po-vsemu-runetu-massovye-blokirovki-ip-adresov-roskomnadzorom

И даже у ВК прорезался голос (но иллюстрируют они это с помощью фото Сегаловича из Яндекса)
https://vk.com/wall6492_6115

Совсем охренели в этих зарубежных компаниях, сознательно препятствуя решению районного суда и деятельности РосКомНадзора

Полезная утилита для Мак-пользователей: она отслеживает такое событие, как открытие крышки Макбука, и может сообщить об этом владельцу. Например, это полезно, если вы оставили ноутбук в отеле, или для каких-то других случаев. Там можно настроить разные события на открытие - сделать фото камерой, отправить уведомление, запустить скрипт. программка бесплатная, и с открытым исходным кодом. Конечно, от потери данных она не спасёт (если этим занимаются специалисты), если есть физический доступ к компьютеру, но уведомление для первой версии - тоже полезно.

https://objective-see.com/products/dnd.html

Нам пишут:

«Роскомнадзор пообещал больше не блокировать крупные подсети из-за Telegram

Вчера была проведена закрытая встреча, на которой обсуждалась ситуация, возникшая в результате блокировки мессенджера Telegram, а также варианты решения технических трудностей, с которыми пришлось столкнуться после этого. По словам главы Регионального общественного центра интернет технологий (РОЦИТ) Сергея Гребенникова, компании, попавшие в реестр ошибочно, просто не идут на контакт с государственными службами, именно поэтому и была организована данная встреча. Помимо этого, он заявил, что Роскомнадзор отныне будет подходить к блокировке точечно, а не вносить в реестр крупные подсети. По результатам встречи было также решено продолжить принимать претензии от пользователей и администраторов, которые пострадали в ходе блокировок.»

Ну, хорошо, если так. Наверно, поэтому и Яндекс с ВК/ОК наконец-то выступили, потому что знали, что это уже заканчивается. До поры до времени

Неплохая статья
https://republic.ru/posts/90626?code=9b1997e247385ed0ef46b06429e15fc4
«Большинство VPN сейчас наклепали, чтобы по-быстрому срубить денег»

Идти или не идти - дело ваше

интересная статья про российскую компанию, которая продает уязвимости нулевого дня для программного обеспечения для больниц. Кто-то покупает это ПО для анализа безопасности своих больниц, а кто-то неизвестно зачем. С вендорами информацией об уязвиимостях компания не делится.

https://motherboard.vice.com/en_us/article/j5a7p3/russian-company-zero-days-hospital-medical-software

интересный proof of concept, который BSOD-ит Windows (сразу несколько читателей прислали мне эту ссылку, все любят, когда винда БСОДит)

https://www.bleepingcomputer.com/news/microsoft/poc-code-published-for-triggering-an-instant-bsod-on-all-recent-windows-versions/