Влияние государства, действия глобальных корпораций и атаки киберпреступников — список проблем современного интернета весьма обширен, и может показаться, что эра всеобщей свободы и сетевого нейтралитета подходит к концу. Так ли это или с помощью блокчейна еще можно всё исправить — попробуем разобраться.

Невероятных размеров волна движется на нас на всех. Такое же ощущение было, когда приходил интернет, но сейчас оно сильнее, а явление масштабнее. Человек всё время идёт путём реализации возможностей внутренней нейронной среды вовне. И вот мы подходим к этапу, который можно назвать «Ты — это Я». Прямиком из «Ты — это Мы». Много всяких инструментов было создано для выражения воли этого «Мы»: государства, организации, религии, языки. Постепенно прогресс снял самые жесткие границы и обнаружилось, что «Мы» — это одна планета, один вид, один организм. Понеслась интеграция всего во всё.

В конце июня компания Google публиковала заявление, в котором говорилось об отказе от сканирования электронных писем пользователей Gmail с целью демонстрации релевантной рекламы этим же пользователям. Такой способ был очень удобен как для самой корпорации, так и для ее рекламных партнеров, которые имели возможность демонстрировать таргетированную рекламу обширной аудитории. Например, пользователь написал кому-то о любимой собаке, а потом в поисковике Google или в интерфейсе самого Gmail ему показывается реклама товаров для собак. Удобно.

Может быть это и так, но все же многие пользователи жаловались, заявляя, что не хотят, чтобы их письма просматривались (пускай и машиной), да еще с коммерческой целью. В итоге компания предпочла пойти навстречу с тем, чтобы пользователи перестали изливать недовольство (а главное — прекратили жаловаться в контролирующие органы США и других стран). Но, как оказалось, запрет на сканирование может быть лишь временной «акцией» от Google.

Создатель криптовалюты Bitcoin Сатоси Накамото остаётся самым загадочным миллиардером на планете. Это один или несколько человек, личность(-и) которых никому не известны. Точнее, не известны широкой публике. По словам известного интернет-предпринимателя и инвестора Александра Мьюса (Alexander Muse), который ссылается на свои источники в Министерстве национальной безопасности, специалистам всё-таки удалось деанонимизировать Сатоси с помощью систем тотальной прослушки PRISM, MUSCULAR и стилометрии. Впрочем, достоверность источника никто не проверял — и далеко не факт, что АНБ не ошиблось в своих вычислениях. По крайней мере, обнародовать настоящее имя Сатоси никто не собирается.

Независимо от достоверности результатов расследорвания, очень интересно, какие методы использует АНБ для деанонимизации пользователей, которые публикуют в интернете много текстов: на форумах, в незащищённых чатах, в письмах по электронной почте.

Российские власти предпринимают меры, чтобы вылечить «сертификатозависимость» от западных стран — и внедряют собственную систему шифрования трафика HTTPS.

О планах по созданию российского удостоверяющего центра (УЦ) для выдачи SSL-сертификатов стало известно в прошлом году. Тогда сообщалось, что администрация президента обсуждает, как дополнительно обезопасить передачу данных в интернете в случае конфликта с иностранными партнёрами. Тогда же эксперты высказывали предположение: первые российские SSL-сертификаты будут устанавливать на сайте госуслуг и других государственных порталах, а для массового использования SSL-сертификатов российского УЦ, основных производителей операционных систем и браузеров — Microsoft, Google, «Яндекс» и других — могут обязать предустановить в свои продукты специальный корневой сертификат.

Сейчас реализация плана началась, рассказал «Известиям» советник президента РФ Герман Клименко.

Тригонометрия, в ее классическом определении, это раздел математики, где изучаются тригонометрические функции, а также их использование в геометрии. Термин «тригонометрия» появился в 1565 году благодаря математику Бартоломеусу Питискусу, чья книга так и называлась — «Тригонометрия». Основы тригонометрии использовались не только в Средние века, эта наука была известна и древним ученым, которые проводили сложные расчеты в астрономии, архитектуре, геодезии и т.п.

Считалось, что первыми тригонометрию в разных целях (астрономия, строительство) стали использовать ученые Древней Греции. Но сейчас есть доказательства того, что первыми были вавилоняне, жившие на полторы тысячи лет раньше древнегреческого астронома Гиппарха. Его считают отцом тригонометрии, поскольку он создал первые тригонометрические таблицы, дошедшие до наших дней.

Три основателя The Pirate Bay: Фредрик Ней, Готфрид Свартхольм и Петер Сунде

Самый что ни на есть «пиратский» ресурс The Pirate Bay работает уже много лет, несмотря на попытки правообладателей ограничить его работу или вовсе закрыть. При этом основатели «бухты» постоянно находятся между молотом и наковальней. Как только заканчивается одна неприятность, начинается другая.

На этот раз Фредрик Ней и Готфрид Свартхольм были признаны судом виновными в нарушении прав сразу нескольких компаний-правообладателей. В первую очередь, речь идет о музыкальных лейблах. В качестве наказания ответчикам придется выплатить около $477 000. Дело в отношении The Pirate Bay и ее основателей было инициировано не сейчас, а еще в ноябре 2011 года.

На днях специалисты по информационной безопасности обнаружили очередную утечку тысяч пар логин-пароль от устройств «Интернета вещей», которые были прописаны вместе с IP гаджетов, доступ к которым можно получить при помощи этих данных. Сообщается, что данные, которые ушли в Сеть — валидные, их без проблем могут использовать взломщики для превращения IoT-гаджетов в «зомби» или других целей. База размещена в Pastebin, впервые ее опубликовали еще в июне. С тех пор авторы утечки обновляли содержимое базы несколько раз.

Стоит отметить, что пароли и логины, о которых идет речь, подходят к 8233 IoT устройствам, 2174 которых на момент утра пятницы находились в сети и были доступны по Telnet. Информация об утечке предоставлена GDI Foundation в лице ее руководителя Виктора Джерверса. Он же рассказал о том, что из 2174 систем, находившихся в пятницу в онлайне, 1774 были доступны по логинам и паролям из базы. Примечательно, что для всех 8223 устройств использовались лишь 144 пары логин/пароль. Другими словами, пользователи этих девайсов вряд ли меняли данные доступа по умолчанию.

Государственный провайдер Казахтелеком, в связи с нововведениями закона Республики Казахстан «О связи», намерен с 1 января 2016 года прослушивать весь зашифрованный TLS-трафик, подменяя сертификаты сайтов национальным сертификатом безопасности, выпущенным Комитетом связи, информатизации и информации Министерства по инвестициям и развитию Республики Казахстан.
Чтобы пользователи не пугались сообщений о подмене сертификата, АО «Казахтелеком» намерен чуть позже в декабре выпустить подробную пошаговую инструкцию по добавлению его в ключницы в мобильные телефоны и планшеты на базе iOS и Android, персональные компьютеры и ноутбуки на базе Windows и MacOS, на сайте www.telecom.kz

Согласно Закону операторы связи обязаны осуществлять пропуск трафика с использованием протоколов, поддерживающих шифрование, с применением сертификата безопасности, за исключением трафика, шифрованного средствами криптографической защиты информации на территории Республики Казахстан.

Национальный сертификат безопасности обеспечит защиту казахстанских пользователей при использовании протоколов шифрованного доступа к зарубежным ресурсам сети Интернет.

По словам Управляющего директора по инновациям АО «Казахтелеком» Нурлана Мейрманова, пользователям сети Интернет необходимо установить национальный сертификат безопасности, который будет доступен через Интернет-ресурсы АО «Казахтелеком». «Пользователю необходимо зайти на сайт www.telecom.kz и установить на своих устройствах выхода в сеть Интернет данный сертификат, следуя пошаговой инструкции по установке» — подчеркнул Н. Мейрманов.

Считаете ли вы, что содержимое письма электронной почты нельзя изменить после доставки? Если вас интересует вопрос информационной безопасности, вам следует узнать о методе атаки, который исследователи из Mimecast назвали ROPEMAKER.

Акроним ROPEMAKER расшифровывается как «Remotely Originated Post-delivery Email
Manipulation Attacks Keeping Email Risky». В действительности ROPEMAKER — это тип хакерской атаки через электронную почту, обнаруженный Франциско Рибейро (@blackthorne) из Mimecast. Этот эксплойт может дать злоумышленнику возможность удаленно изменять контент письма электронной почты в любое время после доставки. Является ли ROPEMAKER уязвимостью, которую необходимо исправить, чтобы защитить обычных пользователей? Мы надеемся, что эта статья поможет ответить на этот вопрос.

Накануне митинга «За свободный Интернет!» мы взяли интервью у математика Дмитрия Богатова, который был помещен на 3 месяца в СИЗО, а сейчас находится под домашним арестом по сути за то, что являлся оператором выходного узла сети Tor.

Подробно о самом деле и ходе следствия можно ознакомиться в следующих материалах:

→ Узник Тора
→ Таймлайн
→ Общественная кампания в поддержку Димы

Прошло 4 года с момента создания российской «антипиратской» машины, которая в настоящее время работает на основе 3-х «антипиратских» законов:

Наблюдая за столь активной законодательной и судебной деятельностью, нацеленной на борьбу с онлайн-пиратством и защиту исключительных прав на произведения, нам стало любопытно, насколько эффективна и благотворна эта борьба для российского интернета и рынка цифрового контента. Этой цели мы вместе с активистами из Пиратской партии России и Роскомсвободы посвятили исследование

«Антипиратский закон: правоприменение, тенденции и системные проблемы»

Магия слова Биткоин распространяется и на его форки: едва появившаяся в результате отделения от биткоина монета Bitcoin Cash уже попадает в заголовки, начав расти вслед за старшим братом.



Когда инфраструктура битка пришла в норму, владельцы Bitcoin обнаружили у себя аналогичную сумму в Bitcoin Cash. Правда, условием для этого была поддержка биржей или кошельком новой криптовалюты. Курс форка сразу после стабилизации был неплохим, что-то около 300 долларов США за монетку. Мнения о будущем Bitcoin Cash разделились. Скептики сразу оказались в большинстве: оно и понятно — никто особо не знал, что можно делать с новой валютой, куда её вкладывать и как майнить. Высокая сложность майнинга (сейчас она упала) и туманное будущее ограничили интерес майнеров к Cash. С ним до сих пор работает ограниченное количество бирж, а поначалу форк поддерживали и вовсе единицы. Но «альтернативный биткоин» держится на плаву и даже умудряется удивлять аналитиков неожиданной динамикой курса.

Данный текст будет являться новой главой для учебного пособия по защите информации кафедры радиотехники и систем управления МФТИ (ГУ). Полностью учебник доступен на github. На хабре я же планирую выкладывать новые «большие» куски, во-первых, чтобы собрать полезные комментарии и замечания, во-вторых, дать сообществу больше обзорного материала по полезным и интересным темам.

Когда у вас есть знания о том, что такое криптографически стойкая хеш-функция, понять, что такое blockchain («цепочка блоков») очень просто. Blockchain – это последовательный набор блоков (или же, в более общем случае, ориентированный граф), каждый следующий блок в котором включает в качестве хешируемой информации значение хеш-функции от предыдущего блока.

Технология blockchain используется для организации журналов транзакций, при этом под транзакцией может пониматься что угодно: финансовая транзакция (перевод между счетами), аудит событий аутентификации и авторизации, записи о выполненных ТО и ТУ автомобилей. При этом событие считается случившимся, если запись о нём включена в журнал.

В таких системах есть три группы действующих лиц:

• источники событий (транзакций)
• источники блоков (фиксаторы транзакций)
• получатели (читатели) блоков и зафиксированных транзакций.

В зависимости от реализации эти группы могут пересекаться. В системах типа BitCoin, например, все участники распределённой системы могут выполнять все три функции. Хотя за создание блоков (фиксацию транзакций) обычно отвечают выделенные вычислительные мощности, а управляющими их участников называют майнерами (см. раздел про децентрализованный blockchain далее).

Основное требование к таким журналам таково:

• Невозможность модификации журнала: после добавления транзакции в журнал должно быть невозможно её оттуда удалить или изменить.

На фото: Лорри Фейт Кранор, профессор Университета Карнеги — Меллон, в платье с 500 самыми популярными паролями в интернете, на саммите по кибербезопасности в Стэнфордском университете. Она надеется, что изучение платья поможет окружающим людям осознать необходимость поменять свой слабый пароль.

В 2003 году Билл Бёрр (Bill Burr) работал менеджером среднего звена в Национальном институте стандартов и технологий. Ему с коллегами поручили написать скучную инструкцию — документ с инструкциями по выбору и управлению паролей, который должен был стать рекомендацией для государственных организаций США. Сотрудники выполнили задание — и этот документ стал известен как NIST Special Publication 800-63B. Лично Бёрр написал приложение А к этому стандарту (Appendix A) — восьмистраничный пример, который даёт практические советы по выбору и управлению паролями. Билл Бёрр рекомендовал чередовать цифры, специальные символы, строчные и прописные буквы, а также периодически менять пароли.

Рекомендация NIST с годами превратилась в стандарт, который стал обязателен для исполнения во многих государственных учреждениях, а сам сейчас автор в полной мере осознал масштаб своих ошибок и теперь очень сожалеет о содеянном, пишет The Wall Street Journal.

Немецкая компания SoundCloud существует уже около девяти лет. Все это время команда проекта активно занималась расширением функциональности своего сервиса и привлечением новых пользователей. Собственно, представителям SoundCloud удалось почти все задуманное. Сервисом стали пользоваться не только обычные люди, но и крупнейшие организации вроде НАСА. Но, к сожалению, несмотря на свою популярность, SoundCloud не смог достичь финансового успеха. Сейчас сервис так и вообще близок к закрытию из-за хронической нехватки звонкой монеты.

Для того, чтобы избежать угрозы прекращения работы, руководство компании приняло решение сократить 40% персонала, а также закрыть офисы в Лондоне и Сан-Франциско. Но и это может не помочь, поскольку у SoundCloud заканчиваются деньги. Эту проблему обсуждали неоднократно самые разные СМИ, включая The Financial Times and TechCrunch. И хотя представители сервиса утверждают, что все не так страшно, как кажется со стороны, все выглядит не слишком хорошо. А ведь SoundCloud не просто какой-то сервис, на серверах компании хранятся 135 миллионов аудиозаписей, включая ценнейшие материалы.

Пять лет я наблюдаю за дискуссиями вокруг действительности Роскомнадзора по всему рунету и по-прежнему отмечаю, что часть IT-сообщества плохо представляет себе, как функционируют блокировки, и почему они функционируют именно так. Вопрос это юридический, и далее я попробую вас с ним познакомить. Предупреждаю, чтиво совсем не пятничное.

Провайдеры Российской Федерации, в большинстве своем, применяют системы глубокого анализа трафика (DPI, Deep Packet Inspection) для блокировки сайтов, внесенных в реестр запрещенных. Не существует единого стандарта на DPI, есть большое количество реализации от разных поставщиков DPI-решений, отличающихся по типу подключения и типу работы.

Существует два распространенных типа подключения DPI: пассивный и активный.

Пассивный DPI

Пассивный DPI — DPI, подключенный в провайдерскую сеть параллельно (не в разрез) либо через пассивный оптический сплиттер, либо с использованием зеркалирования исходящего от пользователей трафика. Такое подключение не замедляет скорость работы сети провайдера в случае недостаточной производительности DPI, из-за чего применяется у крупных провайдеров. DPI с таким типом подключения технически может только выявлять попытку запроса запрещенного контента, но не пресекать ее. Чтобы обойти это ограничение и заблокировать доступ на запрещенный сайт, DPI отправляет пользователю, запрашивающему заблокированный URL, специально сформированный HTTP-пакет с перенаправлением на страницу-заглушку провайдера, словно такой ответ прислал сам запрашиваемый ресурс (подделывается IP-адрес отправителя и TCP sequence). Из-за того, что DPI физически расположен ближе к пользователю, чем запрашиваемый сайт, подделанный ответ доходит до устройства пользователя быстрее, чем настоящий ответ от сайта.

Кому-то может показаться, что это начало какой-то детской загадки, но на самом деле это реальность. Ответ на нее Департамент Информационных Технологий.

Заранее говорю, что статья является лишь сводом информации. Каждый из вас может сделать собственные выводы.

[UPD]: ДИТ ответил в комментариях
[UPD]: ДИТ прислал официальный ответ
[UPD]: Сайты, которые указывают на связь компании Альтрикс и компании Тактик Лабс почистили, но интернет помнит все
Часть 2. Сначала они воруют, а когда ты побеждаешь, то тебя убивают

На свободу интернета в России очередной раз наступают, и на этот раз ситуация довольно серьезная. Принят закон против всех анонимайзеров, VPN-сервисов, браузеров Tor и Opera. Теперь, если они не будут перекрывать доступ ко всем сайтам по требованию Роскомнадзора, в России их заблокируют. Также запрещенные ресурсы отныне нельзя показывать в выдаче поисковых систем. Закон приняли в Госдуме почти единогласно, и уже на следующий день его подписал президент. Говорят, на такой срочности настоял лично директор ФСБ.

Новый запрет касается нас напрямую. Мы занимаемся доставкой в Россию покупок из американских интернет-магазинов. И многие из них пользователей с российскими IP к себе просто не пускают. Это особенно характерно для сайтов брендов –