Компания Con Certeza ищет подрядчика для проведения исследования и реализации системы перехвата и дешифровки трафика таких мессенджеров как Skype, WhatsApp, Viber, Facebook Messenger и Telegram, сообщает «Коммерсантъ». Сама компания занимается разработкой технических систем и средств для обеспечения оперативно-розыскных мероприятий на сетях операторов связи.

В распоряжение издания попала переписка между представителем Con Certeza и одним из сотрудников компании в области информационной безопасности. Подлинность переписки подтвердил как «безопасник», так и его руководство. Представитель потенциального заказчика от комментариев отказался.

Обманное сообщение в приложении Zoom

Компания SpaceX запретила своим сотрудникам использовать приложение для видеоконференцсвязи Zoom из-за «значительных проблем конфиденциальности и безопасности». Уведомление разослано по внутренней почте через несколько дней после того, как американские правоохранительные органы предупредили пользователей о безопасности популярного приложения.

За последние три месяца количество пользователей Zoom выросло в двадцать раз: с 10 млн до 200 млн человек. Одновременно в программе обнаружен десяток новых уязвимостей и сомнительных функций. Среди них — автоматическая установка на компьютер без участия пользователя, автоматическое добавление в контакты посторонних лиц, удалённое получение рута под macOS, автоматическое преобразования путей к файлам в кликабельные ссылки (для получения хэшей NetNTLM от жертвы под Windows) и др.

Привет, Хабр!
В комментариях к нашему первому посту народ требовал хлеба и зрелищ кода и «success story». И если с первым у нас все более-менее нормально, то со вторым чего-то, как-то не складывается пока. Мы, знаете ли, люди все молодые, успехи у нас достаточно скромные, в баскетбол вот неплохо играем. Одним словом, сегодня мы пока просто немного покодим и раскажем о реализации end-to-end шифрования с использованием наших сервисов. А «success story»? Какие наши годы, будут еще в нашем блоге эти самые success stories.

Привет!
Мы уже показывали вам код, с помощью которого можно легко и просто реализовать end-to-end шифрование. Давайте пойдем дальше и, используя сервисы Virgil Security, разработаем безопасный IP мессенджер. Реализация безопасного IP мессенджера со встроенной функцией шифрования – задача далеко не тривиальная. В этой статье мы хотим рассказать как, используя Virgil API и Тwilio IP Messaging API, сделать этот процесс намного проще.

Привет, %username%

Пришло время для свежей пачки криптоновостей, пока они еще не перестали быть новостями. В этом выпуске:

• Новый рекорд вычисления дискретного логарифма
• VPN сервер и клиент, использующие Noise протокол
• Постквантовая криптография в Chrome уже сегодня!
• Чего вы не знаете о новом E2E шифровании в Facebook
• RLWE избавляется от R и это идет ему на пользу
• Comodo хотел поиметь Let`s Encrypt, но сфейлил. А Let`s Encrypt с завтрашнего дня будет поддерживать ddns
• Появились минимальные требования к реализациям алгоритмов RSA, DSA, DH, устойчивым к side-channel атакам

Предыдущий выпуск тут

На прошлой неделе Малкольм Тернбулл, премьер-министр Австралии, заявил, что правительству необходимо удостовериться в отсутствии какой-либо криминальной деятельности в своем сегменте Сети. Для этого экспертные группы прорабатывают вопрос о регулировании end-to-end шифрования или потенциального отказа от него в рамках юрисдикции Австралии.

Государство находится на грани нарушения конституционного права граждан на тайну связи

Национальный антитеррористический комитет России (НАК) по поручению Совета безопасности РФ создал рабочую группу для обсуждения вопросов регулирования шифрованного трафика. Возглавил её лично руководитель Роскомнадзора Александр Жаров.

В рабочую группу вошли представители всех силовых ведомств, Минэкономразвития, Минкомсвязи и отраслевые эксперты из Российской ассоциации электронных коммуникаций (РАЭК). Эти специалисты должны подготовить свои рекомендации по регулированию шифрованного трафика в интернете и представить свои рекомендации Совбезу до 1 июля 2016 года.

По оценке Роскомнадзора, доля шифрованного трафика в России в 2015 году составила порядка 15%, а в 2016-м может превысить 20% (По данным «Ростелекома», доля шифрованного трафика в его сети составляет около 50%). Это угрожает возможностям государства по эффективному контролю коммуникаций в Сети.

ФБР продолжает лоббировать внедрение универсального бэкдора, который позволит спецслужбам разлочить любой мобильный телефон. Главной проблемой считают iPhone.

Apple, хотя это американская компания, упорно отказывается внедрить в iOS такой «ключ» и, наоборот, только усиливает защитные механизмы. По мнению директора ФБР Джеймса Коми (James Comey), тем самым она невольно помогает террористам и преступникам: зашифрованные сообщения iPhone «являются проблемой в наших расследованиях», сказал он на слушаниях в сенатском комитете по разведке 9 февраля.

Уже более года ФБР, АНБ и их коллеги из других спецслужб борются против внедрения разными компаниями end-to-end шифрования, которое не могут взломать. Лоббирование идёт также на уровне штатов: недавно законодательные попытки ослабить криптографию предприняли Калифорния и Нью-Йорк. В обоих штатах пытаются протолкнуть законы, которые запрещают использование «режимов коммуникации, не дающих возможности правоохранительным органам получить доступ к содержимому при наличии ордера»: нью-йоркский законопроект, калифорнийский законопроект.

Чтобы остановить этот поток, двое американских конгрессменов — Тед Лью (Ted Lieu) от Демократической партии и Блейк Фарентолд (Blake Farenthold) от Республиканской партии — предложили законопроект Ensuring National Constitutional Rights of Your Private Telecommunications (ENCRYPT) Act of 2016, который запрещает отдельным штатам отменять стойкую криптографию на уровне штата. Правила должны быть едиными для всей страны.

Тестирование в больших компаниях, в enterprise, чаще всего дело сложное и неблагодарное. Разрыв между бизнес-подразделениями и IT огромный: когда разработчик имеет видение на уровне кода, а проверку – на уровне модульных тестов, а заказчик мыслит работающими или неработающими даже не услугами, а целыми процессами, выходящими за рамки одной команды разработки, а то и целого подразделения\компании. И просит организовать бизнес-тестирование, или сквозное тестирование, или тестирование на основании сценариев от начала и до конца (end 2 end).

Привет, %username%!



В обсуждении новости про Passport разгорелись жаркие дискуссии на тему безопасности последней поделки от авторов Telegram.

Давайте посмотрим, как он шифрует ваши персональные данные и поговорим о настоящем End-To-End.

В прошлых статьях уже писали о том, как у нас устроены технологии распознавания текста:


Примерно так же до 2018 года было устроено распознавание японских и китайских символов: в первую очередь с использованием растровых и признаковых классификаторов. Но с распознаванием иероглифов есть свои трудности:

1. Огромное количество классов, которое нужно различать.
2. Более сложное устройство символа в целом.

Сказать однозначно, сколько символов насчитывает китайская письменность, так же сложно, как точно посчитать, сколько слов в русском языке. Но наиболее часто в китайской письменности используются ~10 000 символов. Ими мы и ограничили число классов, используемых при распознавании.

Обе описанные выше проблемы также приводят и к тому, что для достижения высокого качества приходится использовать большое количество признаков и сами эти признаки вычисляются на изображениях символов дольше.

Чтобы эти проблемы не приводили к сильнейшим замедлениям во всей системе распознавания, приходилось использовать множество эвристик, в первую очередь направленных на то, чтобы быстро отсечь значительное количество иероглифов, на которые эта картинка точно не похожа. Это всё равно не до конца помогало, а нам хотелось вывести наши технологии на качественно новый уровень.

Мы стали исследовать применимость свёрточных нейронных сетей, чтобы поднять как качество, так и скорость распознавания иероглифов. Хотелось заменить весь блок распознавания отдельного символа для этих языков с помощью нейронных сетей. В этой статье мы расскажем, как нам в итоге это удалось.

Тестировщики, это вам. 12 апреля в 19:00 собираемся в офисе роботов — поговорим про автоматизацию, матрицу зависимостей, end-to-end тесты и, не побоимся этого слова, agile. Будет полезный нетворкинг общение со своими, хорошие доклады, вкусности и атмосфера QA-взаимопонимания. Все как мы любим.

Регистрация — тут, подробности — под катом.

Существует несколько подходов к понимаю машиной разговорной речи: классический трехкомпонентный подход (включает компонент распознавания речи, компонент понимания естественного языка и компонент, отвечающий за некую бизнес-логику) и End2End-подход, который предполагает четыре модели реализации: прямую, совместную, многоступенчатую и многозадачную. Рассмотрим все плюсы и минусы этих подходов, в том числе на основе экспериментов компании Google, и подробно разберем, почему End2End-подход решает проблемы классического подхода.

12 апреля роботы собрали 76 специалистов по качеству, чтобы обсудить end-to-end тесты, автоматизацию с помощью Appium и Python, матрицу зависимостей в тестировании и стратегию выживания в огне аджайла. Всё, о чём говорили, мы записали.

Стремление уйти от ручного регрессионого тестирования — хороший повод внедрить автотесты. Вопрос, какие именно? Разработчики интерфейсов Наталья Стусь и Алексей Андросов вспомнили, как их команда прошла несколько итераций и построила тестирование фронтенда в Авто.ру на базе Jest и Puppeteer: юнит-тесты, тесты на отдельные React-компоненты, интеграционные тесты. Самое интересное из этого опыта — изолированное тестирование React-компонентов в браузере без Selenium Grid, Java и прочего.



Алексей:
— Для начала надо немного рассказать, что такое Авто.ру. Это сайт по продаже машинок. Там есть поиск, личный кабинет, автосервисы, запчасти, отзывы, кабинеты дилеров и многое другое. Авто.ру — очень большой проект, очень много кода. Весь код мы пишем в большой монорепе, потому что это все перемешивается. Одни и те же люди делают схожие задачи, например, для мобильных и десктопа. Получается много кода, и монорепа нам жизненно необходима. Вопрос — как ее тестировать?

Что такое End2End-распознавание речи, и зачем же оно нужно? В чем его отличие от классического подхода? И почему для обучения хорошей модели на основе End2End нам потребуется огромное количество данных — в нашем сегодняшнем посте.

Классический подход к распознаванию речи

Прежде чем рассказать про End2End-подход, стоит сначала поговорить про классический подход к распознаванию речи. Что он из себя представляет?