Справедливости ради - СЕО T-Mobile в твите подтвердил, что компания не хранит пароли в plain text
(Апд. Меня тут поправляют, что речь в ответе шла об американском Тмобил, и необязательно та же политика применяется в европейском)
https://twitter.com/JohnLegere/status/982370944923549697

Глава Роскомнадзора высказался о судьбе популярных мессенджеров в России

«Давайте есть слона по частям. Сейчас мы подали иск в отношении Telegram и будем ждать решения суда. Пока на этом все», – заявил Александр Жаров.

Долго же MyFintessPal раздуплялся с нотификацией о взломе мне (и, видимо, не только мне) - об этом взломе уже неделю как все написали

Причём с тех пор я успел даже удалить там свой аккаунт, а они мне все равно написали. Возникает вопрос о том, насколько тщательно они удаляют пользовательские данные

В середине марта 2018 года программист Владимир Серов раскрыл самую крупную уязвимость в сервисе бесплатного Wi-Fi московского метро. Минимум год дыра позволяла любому получить номера телефонов всех подключенных пассажиров поезда, а затем прочитать в незашифрованном виде цифровой портрет каждого: примерный возраст, пол, семейное положение, достаток, а также станции, на которых человек живет и работает. Затем Серов пошел дальше и написал скрипт, позволяющий отслеживать передвижение по подземке конкретного абонента, если он подключен к сети MT_FREE, — обычно такие технологии доступны только спецслужбам. Компания «МаксимаТелеком», оператор системы, зашифровала номер телефона в течение суток после того, как об уязвимости стало известно публично. Остальные данные открыты до сих пор, а сколько человек могли сохранить всю незашифрованную базу за время, пока «дыра» была открыта — неизвестно.

http://www.the-village.ru/village/city/situation/308363-krupnaya-utechka-operator-wi-fi-v-metro-moskvy-vykladyvaet-dannye-o-polzovatelyah-v-obschiy-dostup

(За ссылку спасибо читателю канала)

Про два ключа, скорей всего , шутка, и довольно банальная. На месте Дурова я бы распечатал пару сотен рандомно сгенеренных ключей, страниц так на 500, и передал их - пусть разбираются

В мире Apple Pay, Android Pay и других Pay пользоваться «умной картой» (которая типа заменяет собой сразу несколько карт, которые туда записываются), пользуются, скорей всего, мазохисты. Ничего удивительного, что оказывается, с таких «умных» карт можно слить чужие данные, если она попадёт в руки злоумышленников https://arstechnica.com/information-technology/2018/04/whatever-you-do-dont-give-this-programmable-payment-card-to-your-waiter/

Наверно, закрывая тему с T-Mobile Austria и их паролями в plain text (было пару дней назад в канале). Компания пообещала, что “Online-passwords will be salted and hashed in the future, as is considered state of the art in security. Other channels, including shops and call centers, will introduce additional security criteria. These steps will be implemented as quickly as possible.”
Лучше позже, чем никогда, конечно

читатели прислали (спасибо!) парочку полезных ссылочек в тему разворачивания своего VPN, о котором я упоминал тут (https://t.me/alexmakus/1907)

1. Дополню про автоматические скрипты для openvpn – напишите про STREISAND, полностью автоматизированный скрипт, ставит OpenVPN, Shadowsocks, stunnel и множество других прекрасных плюшек. Также настраивает фаервол. После установки есть вебморда (защищена https!) для выдачи ключей openvpn клиентам.
https://github.com/StreisandEffect/streisand/blob/master/README-ru.md

2. о, насчет openvpn на vps.

я себе разворачивал форк того, что ты скинул: https://github.com/Angristan/OpenVPN-install/ .

и на AWS EC2, который free tier for 12 month. конечно, что будет после того как пройдет 12 месяцев - точно не знаю сколько это будет стоить. по расчетам если юзать t2.micro on demand instance (который можно выключать, если не используется) будет около $10/мес.

но для доп безопасности можно новый аккаунт раз в год заводить.

ну и тут опять вопрос доверия: безопасность данных пользователя уже зависит не от политик/порядочности/безопасности ISP провайдера, а от VPS провайдера.

Не совсем опасносте, но забавно как кто-то сломал чатбота в скайпе

И снова здравствуйте! Сегодня с раннего утра (для большинства из вас) микс из ссылок читателей и других материалов.

1. Все ещё про VPN (популярная тема, я смотрю, особенно в стране, где промышляет Роскомнадзор).

https://github.com/trailofbits/algo/
Вот крутой ansible скрипт для разварачивания на DO

Для личного виртуал привейт нетворк за недорого вполне подойдёт арубушка.
https://www.arubacloud.com/
по 1 евро в месяц
или скалавай по три
https://cloud.scaleway.com/
А ещё можно самому поработать шелл интерпритатором и настроить выпыны самостоятеельно
https://www.digitalocean.com/community/tutorials/openvpn-ubuntu-16-04-ru

2. Вдруг будет интересно про разработчиков crm, отдающих в индекс поисковикам билеты на свои мероприятия: https://vk.com/katanay?w=wall2789869_2352

3. Несвежая новость про утечку данных косметической компании (ничего святого!)
https://wccftech.com/tarte-cosmetics-leaks-data-2-million-customers/amp/

4. Тоже не очень свежая, но интересная статья л: что же на самом деле представляет собой предиктивная модель Cambridge Analytica и имеет ли значение то, что данные они удалили. Спойлер: модель так себе, а данные уже не нужны, т. к. она уже обучена. http://www.niemanlab.org/2018/03/this-is-how-cambridge-analyticas-facebook-targeting-model-really-worked-according-to-the-person-who-built-it/

5. Видел вашу публикацию об утечке ip адреса через WebRTC

Еще было бы неплохо людям рассказать про Canvas Fingerprinting
https://habrahabr.ru/company/oleg-bunin/blog/321294/
https://geektimes.ru/post/284604/
И вот хороший аддон для браузеров дабы это дело прекратить https://github.com/kkapsner/CanvasBlocker/

6. P4wnP1 is a highly customizable USB attack platform, based on a low cost Raspberry Pi Zero or Raspberry Pi Zero W.

https://github.com/mame82/P4wnP1

PS вы же не поверили на самом деле во взломанного бота в скайпе? В интернете же никому нельзя верить!

Тема с VPN, я так понимаю, популярна не зря, потому что вот:

Таганский суд Москвы 13 апреля начнет по существу рассматривать иск Роскомнадзора о блокировке мессенджера Telegram.

На заседании 12 апреля ведомство потребовало немедленно заблокировать мессенджер в случае, если его иск удовлетворят:

«Данное судебное дело связано с распространением информации и, поскольку Telegram не предоставляются ключи для декодирования сообщений, мы заявляем ходатайство о немедленном исполнении судебного решения в случае удовлетворения искового заявления».

Там ещё, конечно, всякие апелляции-шмапелляции, но вот мой личный опыт показывает, что МосГорСуд не зря называют «МосГорШтамп», то есть инстанция, которая просто штампует решения судов нижнего уровня. Так что да, VPN всегда пригодится (пока не начнут блокировать и их как-нибудь)

Давненько я ничего про Android не писал. Тут у Wired вышла интересная статья по результатам исследования о том, как различные производители смартфонов делают патчи безопасности для своих устройств. Оказалось, что даже когда производитель/телефон говорят вам, что все апдейты у вас установлены, оказывается, что некоторые вендоры пропускают отдельные патчи, и в итоге телефоны оказываются с незакрытыми уязвимостями. Понятно, что в случае с Nexus/Pixel — самый безопасный вариант, и крупные вендоры вроде Samsung/Sony тоже стараются не пропускать патчи, а вот дальше начинается вакханалия. Xiaomi, HTC, Huawei, LG, Motorola — все этим промышляют, а что уж там говорить про китайских производителей вроде TLC или ZTE. Конечно, пропущенный патч не означает, что телефон торчит откровенными местами наружу, потому что в таком случае эксплуатация уязвимости осложняется менее предсказуемыми условиями, но осадочек остается. Исследователи, которые изучали телефоны, выпустили свое приложение SnoopSnitch, которое позволяет проверить владельцам телефонов реальное состояние с апдейтами безопасности.

статья про исследование https://www.wired.com/story/android-phones-hide-missed-security-updates-from-you/
ссылка на приложение для проверки https://play.google.com/store/apps/details?id=de.srlabs.snoopsnitch&hl=en

1 Password раздает бесплатную подписку тем, кто работает над OpenSource проектами. https://github.com/1Password/1password-teams-open-source

ссылка от читателя "про дыру в VestaCP. мы используем эту панель у нескольких клиентов - и пока из хостеров почесался Digital Ocean (от них мы и узнали о дыре), а амазон, например, молчит. панель довольно популярная, насколько мне известно. возможно, не помешало бы распространить инфу. ДО закрыл порт 8083 на всех своих серверах. ну и веста апдейт выпустила уже
https://www.digitalocean.com/community/questions/how-do-i-determine-the-impact-of-vestacp-vulnerability-from-april-8th-2018

Интересно: модное издание Outline публикует статью о том, что есть такой безопасный Телеграм, но на нем много пиратского контента. Как бы за него не взялись и в других странах.

Кстати, мне тут поступают вопросы про судьбу канала, если Телеграм всё-таки забанят в России. Канал продолжит своё вещание, потому что а) я не в России, б) зря, что ли, мы тут столько вам всем про VPN рассказывали? :) так что все будет хорошо и у канала, и у читателей!

Статей про то, как обойти блокировку Телеграма (мне пишут, что в Крыму уже местами блокируют), будет много, эта попалась вот на глаза первой https://snob.ru/selected/entry/136310