Аргументы и функции, главное за неделю

Череда законопроектов, сотни тысяч свободных IP-адресов и целая горсть уязвимостей.
Аргументы и функции, 28 января

Первая полоса

Что случилось? Госдума приняла в первом чтении законопроект о штрафах за фейковые новости. По документу, это «заведомо недостоверная общественно значимая информация, которая создаёт угрозу жизни граждан и массового нарушения общественного порядка». Мера пресечения — штраф от 3−5 тысяч рублей для граждан и до миллиона для юрлиц.

Почему это важно? По мнению экспертов и ряда российских ведомств, законопроекту не хватает конкретики — веских критериев и определений. Тем не менее, он прошёл первое чтение.

***

Что случилось? Вместе с первым Госдума приняла в первом чтении второй законопроект — об оскорблении властей в Сети. Таковым считается опубликованная в Интернете информация, «выражающая в неприличной форме явное неуважение» к обществу, государству, госорганам и прочим высоким сущностям. Штраф — до 5 тысяч рублей или 15 суток ареста.

Почему это важно? По тем же причинам. Эти два законопроекта готовились в связке, и оба страдают от недостатка конкретики. К примеру, авторы не указывают, что именно считается «неприличной формой», поэтому есть вероятность, что каждый твитный чих будет отправляться на лингвистическую экспертизу.

***

Что случилось? Совет Федерации предлагает вести единую базу мобильных устройств. Регистрация в этой базе будет обязательной и платной (правительство с этим сбором не согласно).

Зачем это нужно? Закон должен воспрепятствовать обороту краденых и контрафактных устройств. Регистрация будет по IMEI — это международный идентификатор мобильного оборудования. Если человек потеряет свой смартфон, он может обратиться к оператору, тот заблокирует устройство и внесёт его IMEI в чёрный список. То есть, оно уже будет вне легального оборота.

«Аргументы и функции» — проект межплатформенный. Вы можете получать авторские обзоры новостей:

Выбирайте удобный способ и будьте на связи с IT-новостями 🙂

Колонка Роскомнадзора

Что случилось? Реестр запрещённых сайтов проснулся после долгой спячки:

  • В начале недели Роскомнадзор добавил в список порядка 3 тысяч IP-адресов. Источники сказали «Ведомостям», что ведомство снова пытается «отловить» прокси-сервера Telegram.
  • Потом в течение нескольких дней Роскомнадзор разблокировал 2,7 миллиона IP-адресов Amazon и 130 тысяч IP-адресов Microsoft.

Почему вдруг такая милость? По словам самого ведомства, эти подсети «длительное время не используются для обеспечения функционирования мессенджера Telegram». Они лежали в реестре с прошлого апреля.

***

Что случилось? Роскомнадзор проверил информацию об утечке данных клиентов «АКАДО Телеком». Напомним, что провайдер выгружал в открытую БД RIPE информацию о клиентах. ФИО и названия организаций, физические и IP-адреса, телефоны. В незашифрованном виде, простым текстом.

И что сказал РКН? Что ничьи права тут не нарушены и всё ок.

***

Что случилось? РКН завёл административные дела на Facebook и Twitter. Компаниям грозят штрафы до 5 тысяч рублей. (Портал vc.ru как-то считал, сколько им понадобится времени, чтобы «отбить» штрафы: Facebook — 0,04 секунды, Twitter — 0,8 секунд.)

За что штрафы? Эти две компании до сих пор не перенесли свои сервера на территорию России. РКН давал им поблажки несколько лет, но, видимо, терпение лопнуло.

Вестник безопасности

Что случилось? Крупные DNS-сервисы и производители DNS-серверов договорились устроить 1 февраля DNS Flag Day. С этого дня сайты, которые хостятся на серверах, не поддерживающих расширенный механизм DNS (EDNS), перестанут открываться.

Как можно узнать, грозит ли это сайту? Есть специальный инструмент. Жёлтый или зелёный индикатор означает, что всё в порядке.

***

Что случилось? Команда Google Chrome перерабатывает правила для расширений. Одно из новых ограничений — на работу с webRequest API — может нарушить работу многих блокировщиков рекламы и защитных решений.

Тогда зачем Google это делает? Дело в том, что расширения сейчас имеют право не только просматривать сетевые запросы, но и редактировать их, перенаправлять. В результате страница загружается гораздо дольше, к тому же, страдает приватность пользователей и уровень безопасности.

***

Что случилось? В Chrome обнаружены 170 уязвимых расширений, через которые злоумышленники могут запускать у пользователя произвольный код, получать его куки, закладки и историю просмотров, сохранять/извлекать файлы и делать прочие гнусные вещи.

Как защититься? Самый надёжный способ — удалить уязвимые расширения. В материале новости на нашем сайте есть специальный инструмент для их выявления и инструкция.

***

Что случилось? В MySQL есть задокументированная уязвимость. Подключившись к базе данных под управлением этой СУБД, сторонний сервер может читать не только данные самой базы, но и другие файлы, хранящиеся на том же сервере. Так действует функция LOAD DATA.

И что с этим делать? Команда MySQL рекомендует ограничить контакты с ненадёжными серверами или запретить внешние запросы на доступ к данным непосредственно в клиентских приложениях.

***

Что случилось? Критическую уязвимость нашли в пакетном менеджере APT (распространён в Debian, Ubuntu и других Linux-системах). Выяснилось, что APT некорректно проверяет поля при HTTP-редиректах, чем открывает себя для атаки посредника.

Во время установки одного пакета злоумышленник может подменить его на другой. Приложение ничего не заметит и в итоге запустит вредоносный код с правами суперпользователя.

Защита есть? Да, есть. Нужно обновиться до версии APT 1.4.9, там эта уязвимость закрыта.

***

Что случилось? В Wi-Fi-прошивке ThreadX RTOS обнаружена уязвимость переполнения буфера. Патча пока нет.

Почему это важно? Эту уязвимость до смешного легко эксплуатировать. Надо лишь отправить на целевое устройство Wi-Fi-пакет и подождать, пока оно во время сканирования сети его получит и запустит вредоносный код.

Под угрозой 6,2 миллиарда устройств, в том числе: Samsung Chromebook, Microsoft Surface, Sony PS4, Xbox One и Valve Steamlink.

***

Что случилось? В популярной Python-библиотеке NumPy (версии с 1.10 по 1.16) есть уязвимость, которая заключается в некорректной работе с модулем pickle. Если Python-приложение загрузит заражённые данные, используя функцию numpy.load, злоумышленник сможет удалённо запустить на устройстве любой код.

Как защититься? Патча пока нет, но можно защитить приложение самостоятельно: поставить значение «False» для параметра allow_pickle в функции numpy.load. Говорят, в NumPy 1.17 это будет по умолчанию.

Занятные истории

Что случилось? Алгоритм AlphaStar (разработан в DeepMind) обыграл двух профессиональных игроков в StarCraft II. В обеих сериях из пяти матчей ИИ от DeepMind победил со счётом 5:0.

Почему это важно? Победу можно назвать майлстоуном: по словам DeepMind, до этого момента ни один алгоритм не мог приблизиться к результатам в StarCraft II профессиональных игроков-людей. Однако некоторые считают, что условия были нечестные: ряд возможностей ИИ людям недоступен физически.

Можно посмотреть трансляцию матча (осторожно, почти 3 часа):

***

Что случилось? Портал The Bell сообщил, что рабочая версия блокчейн-платформы TON (Telegram Open Network) откроется в марте. По информации издания, тестовая версия то ли будет запущена в январе, то ли уже запущена, но в целом платформа на 90 % готова. Инвесторам обещали разослать свежие новости о платформе в феврале.

Почему это важно? Сроки запуска сети уже много раз откладывались, по словам создателей, из-за «инновационной природы разработки». Ждём.