С Рождеством друзья!
Каналу исполнился один год!
🎄🍊🍾🎊🎉

Все вы уже наверняка прочитали, но Atlassian купил Trello. Хорошо что у трелло уже есть много конкурентов, а то все, за что берётся Атласиан превращается в джиру http://www.forbes.com/sites/alexkonrad/2017/01/09/atlassian-acquires-popular-team-productivity-app-trello-for-425-million/

Следующий шаг в сфере беспроводных сетей последней мили пятого поколения (от текущих LTE Advanced Cat6/Cat12 и WiGig 802.11ad) для IoT и продвижения концепции connected world - устройства-сателлиты pWave Mini на базе технологии pCell от Artemis Networks.

https://youtu.be/QviU93Epubs

Крис Лэттнер (Chris Lattner), основатель проекта LLVM, автор языка программирования Swift, покинул Apple и перешёл в Tesla Motors на должность Vice President of Tesla Autopilot Software

https://www.tesla.com/blog/welcome-chris-lattner

Часто вижу как люди без OSX страдают с посредственными сервисами/приложениями менеджмента паролей. Попробуйте https://www.passwordstore.org

Менеджер паролей по линукс философии

Утилита pass спользует gpg для шифрования файлов, в которых хранятся чувствительные данные и пароли.
Для управления версиями файлов может использоваться git.
Для утилиты pass, есть простое, но очень классное GUI приложение, написанное на Go.

https://github.com/cortex/gopass

Идеология Unix, самостоятельные утилиты для выполнения конкретных задач - это удобно, отлаживаемо и автоматизируемо скриптами, и поэтому это правильная концепция.
В свою очередь раздельное хранение паролей и данных в отдельных зашифрованных файлах, защищённых контейнерах - это более безопасно, чем например хранение всех данных от разных ресурсов в одном зашифрованном xml файле, как это реализовано в KeePass.

Сегодня был выпущен первый релиз версии 1.0 десктопного клиента Telegram.

https://telegram.org/blog/desktop-1-0

Консервативная аудитория Telegram очень скептически отнеслась к текущему обновлению десктопного клиента, в первую очередь к его внешнему виду.
Однако если вам не понравился внешний вид - просто поставьте тему из официального канала @themes - внешний вид клиента теперь весьма кастомизируемый и это очень круто! 🤘😁

https://opennet.ru/opennews/art.shtml?num=45832

Если уже Эрик Рэймонд, имея многолетний опыт разработки, решил отказаться от небезопасного программирования на Си в пользу Rust или Go, для перевода на один из этих языков кодовой базы резидентного демона NTPsec, реализующего критичный к задержкам (GC latency) обработки сетевых пакетов протокол сетевого времени NTP - это сильно!

Более конкретно, Рэймонд упоминает проблемы, вызванные выходами за границы буфера и висячими указателями (wild pointers), заявляя, при этом, что он готов отказаться от C, несмотря на всё то время, которое он с 1983 года и по сей день вложил в изучение C со всеми его нюансами, поскольку сегодняшние высокие требования к безопасности продолжают расти, пришла пора перейти на новый уровень и снизить частоту появления ошибок.

Сегодня состоялся запуск ракеты Falcon-9 и доставка первого спутника Иридиум на орбиту для обновления орбитальной группировки со спуском и приземлением первой ступени на морскую платформу.

https://youtu.be/tTmbSur4fcs?t=37m

Второй точный лэндинг первой ступени Falcon-9 на морскую платформу - это абсолютно круто!
Ребята из SpaceX молодцы!
😄👍

https://youtu.be/tTmbSur4fcs?t=37m

Первый точный лэндинг первой ступени Falcon-9 на морскую платформу.

https://youtu.be/sYmQQn_ZSys

Сводные цифры по количеству модулей в репозиториях пакетов популярных языков программирования.

http://www.modulecounts.com

https://tobi.rocks/2017/01/whatsapp-vulnerability-bug-or-backdoor/

http://www.opennet.ru/opennews/art.shtml?num=45851

https://www.theguardian.com/technology/2017/jan/13/whatsapp-backdoor-allows-snooping-on-encrypted-messages

В реализации отложенной гарантированной доставки сообщений мессенджера WhatsApp есть бэкдор.
Бэкэнд сервиса WhatsApp хранит ключи асимметричного шифрования и может принудительно менять их, и таким образом расшифровывать и читать переписку, а также передавать ключи и дешифрованные сообщения третьей стороне.
Бэкэнд сервиса WhatsApp, без ведома отправителя и получателя сообщений, может принудительно сгенерировать новые ключи для пользователей, которые в данный момент находятся вне сети (offline).

От имени получателя, который в данный момент находится вне сети, может быть анонсирован новый публичный ключ, после чего механизм доставки на стороне отправителя автоматически перекодирует этим новым ключом все сообщения, ожидающие отправки.

Таким образом отправленные сообщения будут зашифрованы не оригинальным ключом собеседника, а подставным ключом, который сгенерирует сервис. При этом собеседник не узнает о том, что адресованные ему сообщения ушли не туда, а отправитель получит уведомление о смене ключа только если явно выставит в настройках соответствующую опцию и то, уведомление будет выведено после отправки с новым ключом.

Facebook был уведомлен о проблеме ещё в апреле прошлого 2016 года, но уязвимость до сих пор остаётся не исправлена. 

https://tobi.rocks/2016/04/whats-app-retransmission-vulnerability/

Напомню WhatsApp использует модифицированную версию XMPP сервера ejabberd для реализации своего протокола FunXMPP (https://github.com/mgp25/Chat-API/wiki/FunXMPP-Protocol), при этом сообщения с недавних пор шифруются криптометодами протокола Signal, который инкапсулирован в FunXMPP и используется как надстройка над ним для шифрования сообщений и обмена ключами.

Буквально недавно был опубликован тест - исследование мессенджеров, которое также рассматривает и смену ключей со стороны сервисов и клиентских приложений.

https://medium.com/@pepelephew/a-look-at-how-private-messengers-handle-key-changes-5fd4334b809a

В статье также весьма поверхностно поизводится анализ безопасности мессенджера Telegram.
Secret Charts в Telegram достаточно безопасны для передачи чувствительной информации (но дополнительная обработка текста средствами gnupg никогда не помешает 😉).
В Telegram ключи вырабатываются клиентскими приложениями при создании секретной чат комнаты, после чего производится обмен публичными ключами по p2p протоколу.
В такой секретной чат комнате история сообщений не сохраняется в облаке - обмен данными производится по peer-to-peer протоколу с сильным end-to-end ассиметричным шифрованием передаваемых данных.
При том в приложении-клиенте Telegram даже заскринить ключ нельзя стандартными системными средствами.
В документации протокола mtproto об этом сказано. То же самое подчёркивает Павел Дуров (@durov) в своём комментарии к статье в Twitter (https://mobile.twitter.com/durov/status/820963437241057281).

А уведомления мессенджера WhatsApp о смене ключей шифрования в переписке, включаемые в настройках клиента, считаю были сделаны просто для отвода и замыливания глаз от проблемы существующего в мессенджере WhatsApp бэкдора - ключи для крипточата должны быть выработаны лишь один раз для одного клиента на одном устройстве, как это сделано в секретных чатах Telegram. Весь обмен данными должен происходить строго p2p между клиентскими приложениями с сильным e2e шифрованием.
В иных случаях, даже при благих намерениях - сохранение истории, гарантированная доставка, смена устройства, переустановка приложения клиента - чат считается скомпрометированным.

Интересно, что мессенджер Wiper просуществовал лишь год, после чего команда стала развивать другой проект, мессенджер групповых чатов Fresh Team, включив в него все возможности Wiper.
Одной из главных фич Wiper были самоуничтожающиеся сообщения (self-destructing messages), которые помечались lifetime тэгом и по истечении времени жизни после доставки и прочтения гарантировано уничтожались клиентами у всех участников чата.
Сейчас подобная функциональность есть в Telegram и в других безопасных мессенджерах.

http://thenextweb.com/apps/2016/05/15/messaging-app-wiper-shut-down

https://fresh.team

https://play.google.com/store/apps/details?id=team.fresh

0-Day уязвимость с эскалацией привелегий процессов в Docker контейнерах, позволяющая использовать системные вызовы и системные процессы хоста из контейнера, широкую эксплуатацию которой предотвратила подсистема безопасности ядра SELinux.

http://rhelblog.redhat.com/2017/01/13/selinux-mitigates-container-vulnerability/

https://access.redhat.com/security/cve/CVE-2016-9962

https://www.youtube.com/watch?v=y_RiG_9jEJ0

https://blog.docker.com/2017/01/whats-new-in-docker-1-13/

https://opennet.ru/opennews/art.shtml?num=45891

Выпуск cистемы управления контейнерной виртуализацией Docker 1.13

После шести месяцев разработки подготовлен релиз инструментария для управления изолированными Linux-контейнерами Docker 1.13, предоставляющего высокоуровневый API для манипуляции контейнерами на уровне изоляции отдельных приложений. Docker позволяет, не заботясь о формировании начинки контейнера, запускать произвольные процессы в режиме изоляции и затем переносить и клонировать сформированные для данных процессов контейнеры на другие серверы, беря на себя всю работу по созданию, обслуживанию и сопровождению контейнеров. Инструментарий базируется на применении встроенных в ядро Linux штатных механизмов изоляции на основе пространств имён (namespaces) и групп управления (cgroups). Код Docker написан на языке Go и распространяется под лицензией Apache 2.0.

Основные изменения:

Расширены возможности режима Swarm, начиная с прошлой версии интегрированного в состав движка Docker и предоставляющего средства кластеризации для упакованных в контейнеры приложений. Swarm даёт возможность управлять кластером из нескольких хостов Docker по аналогии с работой с одним виртуальным хостом. В новой версии обеспечена поддержка использования compose-файлов (docker-compose.yml) для развёртывания сервисов в режиме Swarm (сложный мультисервисный стек теперь можно развернуть на нескольких хостах одной командой "docker stack deploy"). Из плюсов применения docker-compose.yml отмечается возможность указания желаемого числа экземпляров каждого сервиса, применение политики обновления и определения условий запуска сервисов.
Улучшена обратная совместимость на уровне взаимодействия управляющего демона с инструментарием командной строки (CLI). Если раньше использование новой версии клинта со старой версией демона приводило к проблемам (выводилась ошибка "Error response from daemon: client is newer than server"), то начиная с выпуска 1.13 новые версии CLI учитывают особенности прошлых выпусков демона и могут использоваться для управления ими, что значительно упрощает организацию управления инфраструктурой с одной системы. На случай если клиент пытается выполнить действие, которое ещё не реализовано в демоне в новом выпуске добавлены средства для согласования функциональности клиента и сервера;
Реализованы две новые команды "docker system df" и "docker system prune" для отображения сведений об используемом дисковом пространстве и для выполнения операции очистки неиспользуемых данных;
Проведена реструктуризация интерфейса командной строки, все команды реорганизованы для более логичного соответствия объектам, с которыми они взаимодействуют. Например, команды "list" и "start", применяемые для вывода списка контейнеров и запуска контейнера, перенесены в команду "docker container" и теперь являются подкомандами ("docker container list" и "docker container start" вместо "docker list" и "docker start"), а команда "docker history" преобразована в "docker image history". Поддержка старого синтаксиса команд сохранена для обеспечения обратной совместимости;
Расширены средства мониторинга. Добавлена экспериментальная команда "docker service logs", позволяющая упростить отладку сервисов за счёт избавления администратора от ручного сбора логов из отдельных хостов и контейнеров. При выполнении "docker service logs" логи из всех контейнеров, в которых выполняется указанный сервис, будут перенаправлены в текущую консоль. Кроме того, в новой версии появилась точка сбора параметров (/metrics) с метриками контейнеров, образов и состояния управляющего демона, выводящая данные в стиле Prometheus;

В команде "docker build" появился новый флаг "--squash", позволяющий агрегировать все производимые при сборке слои файловой системы в один сводный слой, что может оказаться полезным при создании минималистичных образов контейнеров. Ценой такого объединения является увеличение накладных расходов при перемещении образов и невозможность совместного использования таких контейнеров. В команду сборки также добавлен флаг "--compress" для сжатия сборочного контекста, отправляемого из CLI в управляющий демон, что позволяет ускорить сборки, при которых осуществляется взаимодействие с демонами на других хостах;
Началось бета-тестирование Docker для облачных платформ AWS и Azure.

Новость одной строкой...

https://www.instagram.com/p/BPnd4_BAwFf/

#кинозал

Сейчас будет длинный, но интересный пост про ИИ. Когда нейросеть распознаёт образ, она не видит "образы" в привычном для нас смысле. Нейросеть - это черный ящик. Внутри него находятся несколько слоёв коэффициентов ("нейронов"), которые определенным образом меняются в зависимости от того, что подают на вход. Допустим, мы научили нейросеть распознавать лошадей, обучив её на нескольких миллионах фото. Если теперь подать на её вход любое изображение, нейросеть преобразует его в многослойный набор коэффициентов и сравнит с теми наборами, которые получались, когда ей показывали лошадей.

"Лошадь" или любой другой образ для нейросети - это не картинка, а набор чисел. И вот здесь начинается интересное. Потому что образ "страус" может преобразовываться внутри нейросети в очень похожий набор чисел. И если, зная это, совсем немного подправить изображение лошади (изменение будет даже незаметным для человека), то нейросеть будет с уверенностью "видеть" вместо лошади страуса. Или любой другой образ. Для этого даже не надо знать, как нейросеть устроена внутри - её можно обмануть не открывая "чёрный ящик", просто показывая картинки и записывая её реакцию.

Вот подробная статья в Popular Science с иллюстрациями, не поленитесь посмотреть. Вжух - и нейросеть видит вместо здания страуса, вместо панды - обезьяну, а вместо одних дорожных знаков - совсем другие. Кто и зачем всё это исследует - по ссылке.
http://www.popsci.com/byzantine-science-deceiving-artificial-intelligence

Подобным атакам подвержены и системы распознавания речи. Учёные разработали специальные голосовые команды, которые для человеческого уха звучат как белый шум, но при этом голосовые ассистенты (вроде Siri или Google Now) их слышат и распознают. Встроив скрытую команду в выпуск радио, ТВ, или в Youtube-ролик, злоумышленнники могут направить людей на вредоносный сайт, украсть их личные данные или деньги. Это не фантастика: недавно в Техасе домашние устройства Alexa некоторых телезрителей отреагировали на голосовую команду, которую произнёс ведущий местной передачи. Правда, мой смартфон эти команды не распознал. Но на деморолике всё работает, посмотрите: http://www.hiddenvoicecommands.com/demo

Подробнее: https://www.theatlantic.com/technology/archive/2017/01/the-demon-voice-that-can-talk-to-your-smartphone/513743/

Посты по теме:

В чём проблема "чёрного ящика" ИИ и как её можно решить:
https://t.me/brodetsky/608, https://t.me/brodetsky/510

Как исследователи научились копировать алгоритмы машинного обучения из "черного ящика": https://t.me/brodetsky/565

Как работает перенос стиля с помощью нейросетей в приложениях вроде Prisma:
https://t.me/brodetsky/642

Весьма интересный спич по инфобезу с интересным гостем.
Вывод - чем сильнее мы зависим от цифровых технологий и данных, тем более небезопасен наш мир, а движемся мы к connected world и грань между доступом и использованием информации во благо или во зло становится всё тоньше, и всё более нам требуется экспертиза в области информационной безопасности.

https://www.youtube.com/watch?v=Yb7CjQBQ9XE

http://oper.ru/news/read.php?t=1051618634

Аудио версия:
http://oper.ru/video/getaudio/interview_infosec.mp3

Instagram пару часов назад наконец-то запустил Live видео трансляции в приложении для всей сети.

В течение некоторого времени Live видео трансляции станут доступны всем пользователям сети.

Ранее этот функционал был доступен только в бета версии приложения из Google Play для пользователей из западных штатов.

https://www.instagram.com/p/BPqAhqzAJzq/

PS: Не Periscope'ом единым!