Cisco является одним из крупнейших DNS-провайдеров в мире, предоставляя услугу безопасного DNS на базе Cisco Umbrella (ранее OpenDNS), но речь сегодня пойдет не о ней и даже не о безопасности. Дело в том, что 1-го февраля наступит так называемый DNS Flag Day, после которого ваш сайт может быть недоступен пользователям в Интернет.

Недавно я ужаснулся от того, как просто можно получить доступ к странице пользователя, зная только номер телефона, на который зарегистрирована страница жертвы. Стоимость взлома ~1000-1500 рублей, время взлома ~30 минут. Единственное условие — недобросовестный оператор мобильной связи?

Предупреждение. Все материалы и методы, изложенные ниже, представлены исключительно в ознакомительных и экспериментаторских целях. Напоминаем, что взлом персональных страниц пользователей и сбор данных незаконным путём преследуется законодательством РФ (в частности УК РФ). Будьте осторожны и экспериментируйте только со своими или тестовыми аккаунтами!

Было время, когда Google хотел попасть на китайский рынок, а Китай нуждался в Google. Теперь это время ушло.

Первый набег Google на китайские рынки стал недолгим экспериментом. Поисковую систему Google China запустили в 2006 году, а спустя четыре года её внезапно закрыли для материкового Китая после крупного взлома и споров по цензуре поисковой выдачи. Но в августе 2018 года сайт журналистских расследований The Intercept сообщил, что компания тайно работает над прототипом новой подцензурной поисковой системы для Китая под названием Project Dragonfly.

На фоне протеста правозащитников и некоторых сотрудников Google вице-президент США Майк Пенс призвал компанию прекратить работу над Dragonfly. Он заявил, что система «усилит цензуру Коммунистической партии и поставит под угрозу конфиденциальность пользователей». В середине декабря издание The Intercept сообщило, что Google приостановила разработку Dragonfly после претензий собственного отдела конфиденциальности, который узнал о проекте из СМИ.

Некоторые наблюдатели говорят, что решение вернуться на крупнейший рынок мира зависит от Google: пойдет ли она на компромисс со своими принципами и подвергнет цензуре поиск, как хочет Китай? Но наблюдатели упускают из внимания главное: на этот раз решение будет принимать китайское правительство.

Массачусетский Технологический институт. Курс лекций #6.858. «Безопасность компьютерных систем». Николай Зельдович, Джеймс Микенс. 2014 год

Computer Systems Security — это курс о разработке и внедрении защищенных компьютерных систем. Лекции охватывают модели угроз, атаки, которые ставят под угрозу безопасность, и методы обеспечения безопасности на основе последних научных работ. Темы включают в себя безопасность операционной системы (ОС), возможности, управление потоками информации, языковую безопасность, сетевые протоколы, аппаратную защиту и безопасность в веб-приложениях.

Лекция 1: «Вступление: модели угроз» Часть 1 / Часть 2 / Часть 3
Лекция 2: «Контроль хакерских атак» Часть 1 / Часть 2 / Часть 3
Лекция 3: «Переполнение буфера: эксплойты и защита» Часть 1 / Часть 2 / Часть 3
Лекция 4: «Разделение привилегий» Часть 1 / Часть 2 / Часть 3
Лекция 5: «Откуда берутся ошибки систем безопасности» Часть 1 / Часть 2
Лекция 6: «Возможности» Часть 1 / Часть 2 / Часть 3
Лекция 7: «Песочница Native Client» Часть 1 / Часть 2 / Часть 3
Лекция 8: «Модель сетевой безопасности» Часть 1 / Часть 2 / Часть 3
Лекция 9: «Безопасность Web-приложений» Часть 1 / Часть 2 / Часть 3
Лекция 10: «Символьное выполнение» Часть 1 / Часть 2 / Часть 3
Лекция 11: «Язык программирования Ur/Web» Часть 1 / Часть 2 / Часть 3
Лекция 12: «Сетевая безопасность» Часть 1 / Часть 2 / Часть 3
Лекция 13: «Сетевые протоколы» Часть 1 / Часть 2 / Часть 3
Лекция 14: «SSL и HTTPS» Часть 1 / Часть 2 / Часть 3
Лекция 15: «Медицинское программное обеспечение» Часть 1 / Часть 2 / Часть 3
Лекция 16: «Атаки через побочный канал» Часть 1 / Часть 2 / Часть 3
Лекция 17: «Аутентификация пользователя» Часть 1 / Часть 2 / Часть 3
Лекция 18: «Частный просмотр интернета» Часть 1 / Часть 2 / Часть 3
Лекция 19: «Анонимные сети» Часть 1 / Часть 2 / Часть 3
Лекция 20: «Безопасность мобильных телефонов» Часть 1 / Часть 2 / Часть 3
Лекция 21: «Отслеживание данных» Часть 1 / Часть 2 / Часть 3

Минувшим вечером один из сотрудников нашей компании «внезапно и без объявления войны» получил следующую весть от корпоративного Slack'а про санкции США «к определённым странам и регионам, таким как Куба, Иран, Северная Корея, Сирия и регион Украины Крым»:



Особенно неприятным прозвучало завершение: «closing the account effective immediately».

Неправильное использование сервисов аналитики «Google Analytics» и «Яндекс-метрика» может привести к ограничению доступа к сайту, заявил Роскомнадзор.

Таганский суд Москвы 19 декабря по иску Роскомнадзора к французскому регистратору доменов Gandi SAS вынес решение о блокировке сайта «коллективного голосования» 2019.vote. Ранее, 14 декабря, было опубликовано решение о добавлении сайта в реестр нарушителей обработчиков ПД в качестве обеспечительной меры по иску, а с 7 декабря началось ограничение доступа к сайту провайдерами:

Представитель Роскомнадзора объяснил, что в конце ноября на сайт поступили жалобы от нескольких неназванных граждан, которые пожаловались на незаконную обработку их данных на странице «умного голосования». После этого сотрудники ведомства провели собственную проверку, которая подтвердила наличие нарушений закона о персональных данных: форма для сбора данных на сайте Навального не соответствовала критериям, прописанным в законе, кроме того, на ресурсе не было прописанной политики конфиденциальности. Также Ампелонский добавил, что данные пользователей хранятся на зарубежных серверах, что противоречит законодательству.

Источник: ТАСС

Сегодня в Государственную думу внесен законопроект о необходимости обеспечения работы российского сегмента интернета в случае отключения от зарубежных серверов. Документы подготовлены группой депутатов во главе с Андреем Клишасом, главой комитета Совета Федерации по законодательству.

«Создается возможность для минимизации передачи за рубеж данных, которыми обмениваются между собой российские пользователи», — сообщает ТАСС. С этой целью будут определены точки подключения российских сетей к зарубежным. В свою очередь, владельцы точек, операторы связи, обязываются при возникновении угрозы обеспечивать возможность централизованного управления трафиком.

Отпечатки пальцев перестали быть просто способом идентификации людей – теперь их можно использовать для передачи личных сообщений

Анализ отпечатков пальцев, найденных на месте преступления – классический способ опознания преступника, случайно оставившего свою уникальную подпись. Но что, если бы существовал другой способ использовать отпечатки – даже помогающий преступнику достичь своих злостных намерений? Исследователи из Китая описали неожиданную идею – использовать отпечатки пальцев для кодирования тайных сообщений.

Посмотрите на свои пальцы и обратите внимание на непрерывные линии, иногда загибающиеся в спираль. Исследователи из Фуданского университета выработали сложный способ построения цифровых отпечатков пальцев, кодирующих секретные сообщения в этих спиральных точках. Их исследование было опубликовано на прошлой неделе в журнале IEEE Transactions on Image Processing.

Все мы давно знаем, что Google, Яндекс и другие коммерческие поисковые системы анализируют историю посещений и поисковую историю пользователя, на основе которых хитрые алгоритмы пытаются предсказать, что «пригодится» человеку в следующий раз. Когда эта технология только зарождалась, она казалась логичной и понятной, но сейчас этот подход выглядит крайне и крайне пугающе. Потому что раньше представители Google, самой популярной поисковой системы в мире, утверждали, что достаточно выйти из аккаунта, чтобы избавиться от «предвзятости» поисковой выдачи и получить нейтральные результаты при использовании сервиса.

Парни из DuckDuckGo в своем исследовании утверждают, что даже при выходе из аккаунта и переходе в анонимный режим, Google продолжает подстраивать поисковую выдачу согласно ранее собранной о пользователе информации. То есть компания не оставляет человеку выбора и все равно манипулирует поиском, даже если действия пользователя явно говорят о том, что он хочет получить «нейтральный» результат.

Всем привет! Меня зовут Дмитрий, я занимаюсь проектированием и строительством волоконно-оптических линий связи (ВОЛС) в DataLine. Сегодня расскажу, как мы создаем оптические трассы для наших клиентов и как устраняем аварии.


Монтажник укладывает волокна двух кабелей в оптической муфте.

Спасибо всем, кто отметился в комментариях к моей первой статье. Получилось интересно (и, как обычно, упомянуто много ценного).
Для тех, у кого нет времени на изучение всех четырех сотен комментариев, собрал краткое содержание под катом.

С момента вступления в силу 25 мая 2018 года европейского регламента по защите персональных данных (General Data Protection Regulation – GDPR) прошло уже 6 месяцев. Этот закон распространяет свое действие в том числе и на территорию Российской Федерации, но лишь косвенно и далеко не всегда. Подробности о территориальном применении GDPR можно узнать из недавнего Гайдлайна европейского совета по защите данных (European Data Protection Board).

По этой и не только причине, защита персональных данных в нашей стране обделена серьезным вниманием как со стороны юристов, так и со стороны широкой общественности. Нередко можно столкнуться со мнением, что GDPR – просто искусственное, ни на чем не основанное нововведение европейских законодателей. На самом же деле, этот регламент является результатом длительного развития концепции фундаментальных прав и свобод человека, которая берет свое начало задолго до 25 мая 2018 года.

Как появился GDPR и откуда вообще взялась необходимость в приватности данных? Чтобы разобраться в этом вопросе, нужно обратиться к истории развития защиты персональных данных.

В начале этого года я делал небольшой обзор цен черного рынка на российские персональные данные, и вот пришло время его обновить и дополнить. Заодно посмотрим, изменились ли цены и предложение на «рынке».

Следует учитывать, что анализ услуг и цен на них делался по объявлениям на различного рода андеграундных форумах и площадках в Dark Web.

6 лет назад был принят злополучный №139-ФЗ. Именно он ввел в России систему блеклистов Роскомнадзора и дал возможность федеральным органам исполнительной власти и прокурорам требовать блокировки веб-сайтов силами российских провайдеров. И вот все эти 6 лет мы пытались разными способами совладать с этим законом, который, как и ожидалось, не показал никакой эффективности, и принес лишь колоссальный ущерб российскому Интернету и его обитателям.

Стоит признать, что в 2012 году мы ошибочно полагали, что наибольшая угроза злоупотреблений и необоснованных блокировок исходит от Федеральных органов исполнительной власти, которым было предоставлено полномочие требовать внесудебного ограничения доступа к информации. Мол, нет состязательности процесса, возможности заявить собственную правовую позицию. Но как же мы ошибались тогда, не представляя, что самая главная опасность исходит от прокуроров и судов, которые безнаказанно смогут блокировать сайты, не неся никакой отвественности за злоупотребления и противоправные решения. Спустя 6 лет, мы наконец смогли привлечь органы прокуратуры к имущественной отвественности за необоснованный иск и наказать рублем за нарушение права на свободу распространения информации.

Меня зовут Филипп Кулин. Я автор канала t.me/usher2, где рассказываю про блокировки интернета в России, и создатель сайта usher2.club, тот самый с графиками IP-адресов и надписью морзянкой DIGITALRESISTANCE в мае месяце.



Я хочу стать первой красавицей на Премии Рунета 2018 в номинации «Народный Интернет-проект».

Почему мой сайт? В водовороте событий, связанных с блокировкой Telegram, «Эшер II» оказался главным и единственным резонансным ресурсом, удерживающим Рунет от полного безумия. Все стеснялись, боялись, ленились, а у меня хватило знаний, наглости, друзей и удачи. И сейчас «Эшер II» является одним из немногих бастионов, стоящих на пути блокировок интернета в России.

Никакого духа в машине нет

В последние несколько лет СМИ захлестнули преувеличенные описания технологий искусственного интеллекта (ИИ) и машинного обучения (МО). Кажется, что ещё ни разу в области информатики не было такого, чтобы столько смехотворных заявлений делало такое количество людей, обладающих таким малым представлением о происходящем. Для любого человека, активно занимавшегося передовым компьютерным оборудованием в 1980-х, происходящее кажется странным.

В номере The Atlantic за этот месяц интеллектуал высокого полёта и автор бестселлеров "Sapiens. Краткая история человечества" и " Homo Deus: Краткая история завтрашнего дня", Юваль Ной Харари описывает влияние ИИ на демократию. Самым интересным аспектом статьи является чрезмерная вера Харари в возможности современных технологий ИИ. Он описывает товарища Google, программу для игры в шахматы от компании DeepMind, как «творческую», «обладающую воображением» и «гениальными инстинктами».

Только через смех можно рассказывать, как плоды долгой и упорной работы распространяются по всем компьютерам страны, но не приносят ни капли дохода. Только улыбка поможет принять хорошее, честное предложение распределения прибыли 1 к 12, где 1 — разработчику, а остальное агрегатору. И трудно слегка не загрустить, слушая о том удивительном времени абсолютно пустого рынка мобильных игр и почти азартном энтузиазме разработчиков. И, наверное, только у Вадима Башурова (PapaBubaDiop) такой длинный путь и невероятный опыт, чтобы иметь в запасе множество невыдуманных смешных и грустных историй.

Так уж повезло, что по случаю тридцатилетнего юбилея своей первой игры, Вадим пришел на Apps Conf. Да, когда вышла самая популярная игра того времени, многие из нас еще не родились, а ныне уважаемые Head of mobile пешком под стол ходили. Но каждый, кто в начале 90-х видел компьютер, видел и игру «Поле Чудес» и думал, что же такое Арзамас.

Внезапно, без предварительного анонса, на 8.8.8.8 заработал DNS over TLS. Ранее Google анонсировал только поддержку DNS over HTTPS.

Публичный резолвер от компании CloudFlare с IP-адресом 1.1.1.1 поддерживает DNS over TLS с момента запуска проекта.

Зачем это нужно

При использовании классической схемы DNS, провайдеры могут лезть своими грязными лапами в ваши DNS-пакеты, просматривать, какие домены вы запрашиваете, и подменять ответы как угодно. Этим же занимаются мошенники, подменяя резолверы на взломанных роутерах, чтобы направить пользователя на поддельный сервер.

C DNS over TLS/HTTPS запросы посылаются внутри зашифрованного тоннеля так, что провайдер не может подменить или просмотреть запрос.

А с приходом шифрования имени домена в сертификатах X.509 (ESNI) станут невозможны блокировки через DPI по SNI (Server Name Indication, специальное поле, в котором передается имя домена в первом TLS-пакете), которые сейчас применяются у некоторых крупных провайдеров.

Как это работает

На порт TCP:853 выполняется TLS-подключение, при этом проверка сертификата резолвера происходит с использованием системных корневых сертификатов, точно так же, как HTTPS в браузере. Это избавляет от необходимости добавлять какие-либо ключи вручную. Внутри тоннеля выполняется обычный DNS-запрос. Это создает меньше накладных расходов по сравнению с DNS over HTTPS, который добавляет HTTP-заголовки к запросу и ответу.

К сожалению, на текущий момент только в Android 9 (Pie) поддержка DNS over TLS встроена в системный резолвер. Инструкция по настройке для Android 9.

Для остальных систем предлагается использовать сторонний демон, а системный резолвер направлять на localhost (127.0.0.1).

Настройка на macOS

Разберем настройку DNS over TLS на последней версии macOS, на примере резолвера knot

Чем больше людей закачивают свою ДНК на веб-сайты с родословными, тем легче становится находить преступников

За последние шесть месяцев небольшой открытый сайт с базой данных по генеалогии стал незаменимым источником информации для раскрытия старых преступлений. Бесплатный инструмент GEDmatch позволяет людям загрузить их ДНК и поискать родственников – это открытый вариант платных сервисов AncestryDNA и 23andMe.

С апреля исследователи использовали GEDmatch для определения личности жертв, убийц и пропавших людей по всем США по меньшей мере в 19 делах, многие из которых были заведены десятилетия назад – так пишут авторы отчёта, опубликованного в октябрьском номере журнала Science. Авторы предсказывают, что в ближайшем будущем при наборе популярности генетических отчётов такие инструменты можно будет использовать, чтобы найти практически любого человека с предками из США или Европы.

«Данные – нефть цифровой экономики» — выражение, которое уже стало афоризмом. Действительно, в современном мире пользовательские данные превратились в один из наиболее ценных и востребованных ресурсов. Так, по данным компании PwC, в 2018 году мировая выручка от использования пользовательских данных достигнет $300 млрд. Что касается России, то по данным журнала РБК в 2017 году оборот рынка продажи и покупки персональных данных в России составил не менее 3,3 млрд рублей. Более того, эксперты прогнозируют дальнейший интенсивный рост этого рынка.

Тем не менее, использование персональных данных в бизнесе пока не имеет должного правового регулирования. Текущее законодательство оставляет открытым вопрос об оборотоспособности данных и возможности их монетизации. Также в судебной практике пока не сформированы универсальные критерии, позволяющие найти баланс между необходимостью защиты частной жизни пользователей и потребностями бизнес-сообщества в условиях цифровой экономики.