ФСБ, Минкомсвязь и Минпромторг обсуждают набор технических решений, которые позволят дешифровать весь интернет-трафик россиян в режиме реального времени. Об этом со ссылкой на собственные источники сообщает газета "Коммерсантъ".


В опубликованной статье сообщается, что обсуждаемая ФСБ технология является частью реализации нашумевшего «пакета Яровой».

Психопаты — это не только злодеи из ужастиков и поучительных историй с Уолл-стрит. Мы ежедневно встречаемся с ними в офисе, и поначалу они кажутся нам обычными людьми. Одно исследование обнаружило: небольшая, но заметная часть бизнес-лидеров — 3—4% — подходит под клиническое определение психопата. Как защититься при взаимодействии с такими людьми?

У меня более 10 лет стажа в IT-индустрии, но как радиолюбитель — я полнейший нуб. Как и многих в последнее время, меня заинтересовали возможности Arduino. Но не в качестве крутого устройства по управлению всем вокруг, а больше в качестве программируемого конструктора и развлечения.

Самое очевидное решение для таких как я — взять готовый набор в нарядной упаковке, с красочной инструкцией и здоровенным ценником. Но если хочется немного сэкономить, то приходится с головой нырять в мир радиоэлектроники и наверстывать недостающие знания. И только после нескольких потраченных вечеров начинаешь понимать, что и где стоит заказывать.

Итак, если вы хотите собрать бюджетный набор с ардуинкой, пригодный для прохождения большинства уроков, а времени для изучения рынка нет, то последующий текст для вас.

Lenovo расширила свое уведомление безопасности LEN-8324 об уязвимости ThinkPwn списком компьютеров, которые она затрагивает, а также обнародовала даты выхода обновлений для ее исправления. Ранее мы писали об этой 0day LPE уязвимости, которая присутствует в одном из драйверов UEFI-прошивки компьютеров производства Lenovo, а также указывали, что уязвимыми для нее являются и компьютеры других производителей, например, Dell и Hewlett Packard. Уязвимость позволяет вошедшему в систему атакующему с правами администратора исполнить в ней произвольный SMM-код, а также использовать этот метод для обхода аппаратной защиты от модификации памяти SPI-flash чипа.



По информации Lenovo, ThinkPwn наименее актуальна для десктопной и десктопной all-in-one (моноблоки) серии компьютеров, речь идет об IdeaCentre, Lenovo (B,D,E,G,H,M), Lenovo QITIAN и др. С другой стороны, наиболее подверженной для ThinkPwn оказалась серия ноутбуков ThinkPad и некоторые модели IdeaPad. Для части компьютеров ThinkStation уязвимость также актуальна.

Депутат Ирина Яровая. Фото: Станислав Красильников / ТАСС

Сегодня президент РФ подписал принятый парламентом и Советом Федерации пакет Яровой-Озерова с поправками в российское законодательство, в том числе поправками в закон «О связи». Тем самым поставлена окончательная точка в обсуждении этого пакета, который подробно обсуждался на Хабре.

Пакет новых законов обязывает операторов связи до трёх лет хранить метаданные и до шести месяцев трафик.

Согласно принятым законам, инфраструктура для прослушки населения будет оплачена самим населением, скорее всего, за счёт повышения тарифов на связь и снижения нормы прибыли операторов. Насколько именно вырастут цены на связь? Здесь мнения экспертов расходятся.

/ фото Sistema Bibliotecario Vimercatese CC

Практически каждая крупная организация нанимает в свой штат разработчиков программного обеспечения. При этом только треть из них заняты непосредственно в бизнесе, связанном с ИТ. Но вне зависимости от того, где они работают: в фармацевтической компании, образовательной или рекламной сферах, они остаются программистами.

Работа в команде – ответственное занятие, поскольку в этом случае люди отвечают не только за себя, но и за окружающих, они общаются, помогают друг другу. Как бы это ни было банально, ключом к продуктивному общению между людьми всегда является вежливость и взаимоуважение. Однако все же есть определенный список фраз, которые – даже когда они звучат вежливо и корректно – не стоит употреблять в разговоре с разработчиками и тестировщиками, если вы их коллега, заказчик, «владелец» или руководитель проекта.

В посте собрана подборка обучающих уроков по созданию векторной графики. На мой взгляд большинство материалов покажутся интересными для новичков только начинающих постигать векторное искусство. Но думаю, что специалисты также смогут найти для себя полезные уроки.

Туториалы бесплатные, но почти все на английском языке. Для удобства они поделены на три категории: приступая к работе, создание лиц, дизайн персонажей, ландшафт и окружающая среда и особые эффекты.

Итак, поехали:

Приступая к работе

1. Изучение векторной иллюстрации за 10 шагов



В этом уроке объясняется, каким образом создавать векторные иллюстрации используя Adobe Illustrator. Приводится объяснение ключевых параметров и инструментов, которое дополняется советами экспертов.

Петербургское информационное агентство «Судебные Решения РФ» получило предупреждение от Роскомнадзора за публикацию решений российских судов. Если агентство продолжит публиковать у себя на сайте открытую информацию с сайтов российских судов, то Роскомнадзор грозит внести сайт судебныерешения.рф в «чёрный список» ресурсов с информацией, которая запрещена к распространению на территории Российской Федерации.

История звучит как бред из параллельной реальности: впервые в истории российское СМИ получило предупреждение за дословное воспроизведение судебного приговора.

К сожалению, это действительная практика российского законодательства. В данном случае Роскомнадзор ссылается на статью 4 Закона РФ «О средствах массовой информации».

Есть мнение, что банковские CISO — скучные ребята. Совершенно не умеют работать руками, бесконечно совещаются и вообще занимаются всякой ерундой. Героя сегодняшней истории, isox’а, скучным назвать точно нельзя. Кому-то он известен как топовый багхантер Яндекса, кому-то как создатель открытой базы уязвимостей Vulners, а кому-то — просто как крутейший спец по корпсеку. Isox предельно честно рассказал о своей работе, о блеке, об анонимности и о взрослой ИБ в целом. Итак, знакомься — Кирилл «isox» Ермаков, главный безопасник QIWI!

Привет, GeekTimes. Сегодня я хочу рассказать о тернистом пути, который прошла наша компания за последние 1,5 года и о её новом перевоплощении в кэшбэк-поисковик. Кроме этого я буду рад подарить 100 рублей каждому человеку, который пройдёт регистрацию на обновлённом Dronk.ru до конца июня и особенно буду рад вашим комментариям, относительно нашего нового образа.

Если вы давно читаете наши публикации, то знаете, что полтора года назад мы создали сервис по выбору квадрокоптеров. С тех пор много воды утекло. Были удачные моменты, были совсем печальные. Но, будучи настоящим стартапом, который не умеет опускать руки — мы дважды перерождались, пройдя путь от выбора квадрокоптеров до создания системы, где каждый человек может возвращать до 8% от стоимости покупки на AliExpress, GearBest, Banggood и других интернет-магазинах Китая. Вот как это было.

В реестр заблокированных сайтов попал домен s3.amazonaws.com. В реестр внесена только одна страница игрового проекта 888poker, но Дом.ру блокирует целиком весь домен, т.к. заблокированная страница внесена в реестр с протоколом HTTPS со всеми вытекающими последствиями. Хотя блокировка была внесена в реестр 11 мая по каким-то причинам она начала действовать только сегодня. На данный момент домен заблокирован в сети Дом.ру, ТТК, Акадо и некоторых других провайдеров. В результате не доступны все веб-сервисы S3, ну и соответственно контент размещенный в корзинах S3.

Обновление: Дом.ру блокировку снял

Пока не Россия. Но уже Казахстан. Как писал ValdikSS в своем посте Казахстан внедряет свой CA для прослушивания всего TLS-трафика:

Государственный провайдер Казахтелеком, в связи с нововведениями закона Республики Казахстан «О связи», намерен с 1 января 2016 года прослушивать весь зашифрованный TLS-трафик, подменяя сертификаты сайтов национальным сертификатом безопасности, выпущенным Комитетом связи, информатизации и информации Министерства по инвестициям и развитию Республики Казахстан.

Что нового произошло с тех пор? Beeline и Telecom.kz (основной провайдер-монополист) выкатили обновленные инструкции по установке государственного сертификата, который позволит осуществлять атаку man-in-the-middle с подменой сертификата. Ссылка на государственный сертификат.

Попрактиковавшись в мастерстве составления заголовков новостей по методике современной журналистики, перейдем к делу:

У нас к списанию подошло большое количество серверов одной модели:

Dell PowerEdge 860



в модификации:

• Xeon 3050 (2 cores / 2.13 GHz)
• 2GB RAM
• 2 x 250GB HDDs

Списание по причине безнадежного морального устаревания.
Пристраиваем в хорошие руки бесплатно! Без СМС и регистрации, как говорится.

Условия получения:

Я занимаюсь мобильной разработкой в статусе ИП вот уже полтора года. За это время пришлось поработать с разными людьми. После одного досадного случая, я решил, что мне необходимо усилить навыки общения с заказчиками и отстаивания своих интересов. Я попытался собрать свой опыт и опыт своих коллег. В результате получилось что-то вроде методических указаний для фрилансеров. Начинающих и не только.

Цена всех моделей ниже $200



На сайте HackerBoards.com уже несколько лет ведут каталог одноплатных компьютеров. Сейчас там представлена 81 одна модель. Я выбрал 11 из них, удовлетворяющих следующим критериям: стоимость платы должна быть ниже $200, ее программное обеспечение должно быть открытым, (Linux или Android). Платы должны поставляться с расширенной спецификацией, включая подробную схему. У каждой платы должно быть активное сообщество и техническая поддержка для индивидуальных разработчиков. Идеальной платой для разработчика можно назвать такую систему, которая часто упоминается на форумах, других ресурсах, посвященных разработке в сфере электроники.

Asus снова взялся за старое. Вы можете отправить любой исполняемый файл или даже прошивку BIOS на компьютер Asus под видом обновления — этот файл будет автоматически запущен на исполнение с максимальными привилегиями, а прошивка установлена, без каких-либо проверок. Ничего не нужно предпринимать — система взломает сама себя, автоматически.

Вкратце: компьютеры с материнскими платами Asus осуществляют запросы к удалённому серверу по HTTP на регулярной основе. Причиной является программное обеспечение LiveUpdate, которое предустанавливается на компьютеры Asus. Оно отвечает за скачивание новых прошивок BIOS/UEFI и исполняемых файлов. Обновления поступают в архивах ZIP по чистому HTTP, распаковываются во временную папку, а исполняемый файл запускается от имени пользователя. Не происходит никакой верификации файлов или аутентификации при их загрузке, что позволяет провести MiTM-атаку и банальную эскалацию привилегий до NT AUTHORITY\SYSTEM.

Защититься от «акустической криптоатаки» возможно, но очень сложно


Оборудование, используемое при проведении акустической криптоатаки

Известный специалист в области криптографии Ади Шамир (Adi Shamir) уже несколько лет работает над проектом акустического извлечения криптографических ключей. Исследования в этой сфере он начал еще в 2004 году, и сейчас продолжает совершенствовать методы «акустического криптоанализа». Проблема, над решением которой работает Шамир с командой, заключается в возможности извлекать RSA-ключи с использованием микрофона — качественного выделенного или микрофона смартфона.

Ранее эксперт с командой коллег (в нее входит разработчик программного обеспечения Лев Пахманов) опубликовал работу с демонстрацией практической реализации своей идеи. Им удалось извлечь ключи RSA с расстояния 4 метров, используя обычный параболический микрофон, и с расстояния в 30 сантиметров, используя микрофон смартфона. Теперь эксперты улучшили результат, научившись извлекать ключи с расстояния в 10 метров.

0day для всех версий Windows продаётся за $90 тыс.

^{Структура архива, похищенного с серверов компании Hacking Team. Фирма продавала эксплойты спецслужбам России и других стран}

В России открылась первая биржа, где разработчики и хакеры могут официально продавать уязвимости в программном обеспечении Linux, Windows, OS X, Tor, iOS, Android, браузеров Chrome, IE и др. Продавая уязвимость заинтересованному клиенту и сохраняя её в секрете, можно заработать гораздо больше, чем по официальной программе выплаты вознаграждения за уязвимости, которая предусматривает раскрытие информации и выпуск патча.

Правда, этичность такого бизнеса остаётся под вопросом, ведь правительственные агентства используют эти баги для шпионажа за гражданами и иностранной разведки. Но такая деятельность не противоречит законодательству.

Tl;dr: множество пользователей жалуются на то что их аккануты взломаны; сайт teamviewer.com не работал несколько часов из-за проблем с DNS.

Когда у нас надёжно заработала непрерывная интеграция на Jenkins и устоялись процессы выпуска релизов продукта, возникла мысль: а почему бы не перенять передовой опыт и не поставить в офисе свой электронный излучатель информации (information radiator): большой красивый экран, на котором автоматически отображаются происходящие с проектом процессы?



Мысль хорошая, но ведь это стоит денег и времени, т. е. того, чего никогда нет. Особенно сейчас. Особенно у маленьких компаний без бюджетов на всевозможные вспомогательные цели. Сделать всё предстояло за «пять копеек» и за «пять минут» — и вот как я с этим [частично] справился.