Юричев напоминает о важности аутентификации шифрованных сообщений, но на не вполне подходящем примере лицензионного ключа. В вымышленном сеттинге AES+CRC32 внутри, для проверки целостности лицензии, состоящей из срока действия и набора включенных фич.
Потом показывает, что даже простым перебором можно найти корректную лицензию, не смотря на то, что внутри есть "защита" из "магических констант" или контрольных сумм. Потому что сам по себе AES деформируемый (malleable) и мы можем пробовать случайные значения, пока не повезёт.
Специально попробовал и где-то за минуту на ноуте нашел случайное значение (в том смысле, что меня не интересовало каким оно будет) такое, что у его хеша впереди 32 нулевых бита. С любыми другими маркерами - тоже самое. Если значения случайные и не очень длинные, то рано или поздно мы их случайным образом найдем.
Более подходящий вариант Encrypt-then-MAC, но когда в качестве MAC используется бесключевой хеш, то конец немного предсказуем, а если мы используем HMAC, то потеряем non-repudiation, и наш пользователь зная MAC-ключ сгенерирует столько лицензий, сколько ему захочется.
И если вы сопя вбивали с бумажки FCKGW-RHQQ2... так это не шифр с MAC, это серийник с цифровой подписью ECDSA, "сертификат" практически. Так как "сертифицирует" он коробку, а не пользователя или его компьютер, то многие его помнят до сих пор наизусть. И в оффлайне это не лечится, а вот по телефону уже вполне
(NB! Мне горько об это напоминать, но MAC - message authentication code, а не MAC-адрес)
Потом показывает, что даже простым перебором можно найти корректную лицензию, не смотря на то, что внутри есть "защита" из "магических констант" или контрольных сумм. Потому что сам по себе AES деформируемый (malleable) и мы можем пробовать случайные значения, пока не повезёт.
Специально попробовал и где-то за минуту на ноуте нашел случайное значение (в том смысле, что меня не интересовало каким оно будет) такое, что у его хеша впереди 32 нулевых бита. С любыми другими маркерами - тоже самое. Если значения случайные и не очень длинные, то рано или поздно мы их случайным образом найдем.
Более подходящий вариант Encrypt-then-MAC, но когда в качестве MAC используется бесключевой хеш, то конец немного предсказуем, а если мы используем HMAC, то потеряем non-repudiation, и наш пользователь зная MAC-ключ сгенерирует столько лицензий, сколько ему захочется.
И если вы сопя вбивали с бумажки FCKGW-RHQQ2... так это не шифр с MAC, это серийник с цифровой подписью ECDSA, "сертификат" практически. Так как "сертифицирует" он коробку, а не пользователя или его компьютер, то многие его помнят до сих пор наизусть. И в оффлайне это не лечится, а вот по телефону уже вполне
(NB! Мне горько об это напоминать, но MAC - message authentication code, а не MAC-адрес)
👍130🤔38🔥4
Как-то в 1958 году Китай решительно шагнул к стальному коню от крестьянской лошадки, для чего (внезапно!) понадобилась сталь. План был надежный как швейцарские часы. Сперва перегнать Великобританию по производству стали. Охуевших пейзан штыками согнали в коммуны и наказали плавить металл в каждой хате. Многие умерли по дороге.
Плавить руду в сарае конечно можно, но получается довольно убогий чугуний, из которого можно сделать передовую классовую мотыгу, а вот с пушками для мировой революции уже не очень. Потом года через три (многие при этом снова умерли, но от голода и разрухи) Большой Скачок Вперед пришлось свернуть. На то чтобы восстановить производство стали до уровня 58-го ушло еще столько же.
Миша, даже убогие приложуньки вроде Дии не делаются на коленке, уж ты-то должен знать. Но предлагаю не мелочиться, гордо преодолеть все трудности, и от производства домашних дронов сразу перейти к изготовлению 155-мм снарядов и порохов прямо на кухне, а так же нарастить непарнокопытную артиллерию и группировку глубоководных спутников. Даюэцзинь, маззафака!
Плавить руду в сарае конечно можно, но получается довольно убогий чугуний, из которого можно сделать передовую классовую мотыгу, а вот с пушками для мировой революции уже не очень. Потом года через три (многие при этом снова умерли, но от голода и разрухи) Большой Скачок Вперед пришлось свернуть. На то чтобы восстановить производство стали до уровня 58-го ушло еще столько же.
Миша, даже убогие приложуньки вроде Дии не делаются на коленке, уж ты-то должен знать. Но предлагаю не мелочиться, гордо преодолеть все трудности, и от производства домашних дронов сразу перейти к изготовлению 155-мм снарядов и порохов прямо на кухне, а так же нарастить непарнокопытную артиллерию и группировку глубоководных спутников. Даюэцзинь, маззафака!
👍577🔥82👎25🥱9🤮6
Эрефия нстолько убогое смыслами место, что украинские хакеры становятся образцом для подражания даже для самих россиян.
🔥237👍56🥱19👎1
От технических отчетов о том, что очередной апт-хуяпт применил новое уникальное "кибер-оружие" на шелле уже просто тошнит. И я задумался над тем, как в сущности мало мы знаем о нашем противнике. С Cold River, например, "андеграунд Сыктывкара" многое объясняет, а вот те которые кадровые кадры из института криптографии, что ими движет? Помните, они в 2014 году во время выборов взломали ЦВК, чтобы показать по своему телеку скриншот с победой Яроша? Почему Ярош-то? Почему скриншот? Как будто бы кто-то деревянную залупу посыпал фентанилом, привязал её к перфоратору и десять лет подряд ебался ей в глаза и уши. А они же потом отчеты писали об успешно проведенной операции и в них нельзя писать про наркоту и перфоратор. И про залупу с занозами тоже нельзя. Загадка.
👍199🔥32🤔29🥱8🤮6
О. Вот теперь хорошо. Мои поздравления разведчикам, норм таргет и четкий недвусмысленный пресс-релиз. Так и надо.
👍494🔥139🤔13🤮8
И зачем русским зона "ру"? И так не страна, а сплошная зона. А DNSSEC так и вовсе неправославное, лучше пусть справочную заведут: "Ало, барышня, яндекс пожалуйста!" А та такая: "Вам А или MX?, A, что, не слышу... "A" - ожидайте..." Для важных случаев записи можно и на бумаге подписать, в двух экземплярах и с мокрой печатью
👍546🔥161🤮10🥱8👎4
А для вас новость, что "Дія" єто такой паровозик чух-чух для самых тупых? Братья марио на кофеварке. Вы от неё вобще чего ждали, колоний на Марсе, серьёзно?
👍427🔥57🥱33👎9🤮3
Мы без конца ругаем арестовичей, и, разумеется, за дело, но вы-то зачем играете в медиа-гиену? "Хакеры взломали фронт-компанию КСИР и выяснили цену шахеда". А точно КСИР? Что об этом думает OFAC, или может там люди какие-то есть в переписке? Или кроме Хомейни и Хаменеи мы из Ирана никого не знаем, да и про этих думаем, что они брат и сестра? Что за хакеры? Я про этот анонимный зашморг-е-напиздан слышу вобще в первый раз.
Почему в компании, кторая занимается нефтью и конденсатом лежат чертежи заводов? Почему документов, на которые вы все накинулись нет в почтовых дампах? А я скажу зачем. Как правило, за тем, чтобы вы растащили приманку, а там уже внутри дампов есть что-то неприятное, и дяди и тёти, которым до россии и украины дело есть, но не сейчас, так решают свои задачи. Может конечно и правда это был Анонимус-Науру или Фронт Освобождения Маврикия, но я в этом сомневаюсь
P.S. Танкер для газпром-нефти, который сопровождает иранская логистика там в почте есть, а алабуги нет. Я не говорю, что оно не настоящее, а о том что вы взяли "документ" из места, на котором буквально написано "мы анонимная хуйня из интернета" и потащили ))) А потом вы тем же самым ртом говорите про медиа-грамотность и информационную безопасность.
Почему в компании, кторая занимается нефтью и конденсатом лежат чертежи заводов? Почему документов, на которые вы все накинулись нет в почтовых дампах? А я скажу зачем. Как правило, за тем, чтобы вы растащили приманку, а там уже внутри дампов есть что-то неприятное, и дяди и тёти, которым до россии и украины дело есть, но не сейчас, так решают свои задачи. Может конечно и правда это был Анонимус-Науру или Фронт Освобождения Маврикия, но я в этом сомневаюсь
P.S. Танкер для газпром-нефти, который сопровождает иранская логистика там в почте есть, а алабуги нет. Я не говорю, что оно не настоящее, а о том что вы взяли "документ" из места, на котором буквально написано "мы анонимная хуйня из интернета" и потащили ))) А потом вы тем же самым ртом говорите про медиа-грамотность и информационную безопасность.
👍420🤔96🥱17🔥7👎2
Хахакеры, которые якобы взломали иранскую компанию "Sahara Thunder", настолько суровы, что предлагают копировать атачи из EML-файлов в текстовом редакторе и декодировать их вручную. О существовании почтовых клиентов они видимо не знают. И о том, что в атачах нет "алабуги" тоже, на то чтобы всё "просмотреть" таким способом уйдет месяца два. Если это закос под идиотов, то весьма убедительный и очень смешной :-)
🔥184👍72👎33🤔23🥱11
Ах, как это успокоительно звучит: «покойный мистер Навальный!»
👍372🔥92🤮48👎31🥱18
Есть такая компания Freshcode, наверное как и у всех - дружный коллектив и просторный офис, размеренная it-гребля под бой барабана, и конечно как и всем им сложно во время войны находить сотрудников. Только вот человек не к конкурентам сбежал, а мобилизовался в армию добровольно, после чего его просто кинули на отработанную зарплату https://cutt.ly/YwBDnW8b , "придумал" он, видите ли, себе какую-то страну, которую нужно защищать. Прямо слышу сквозь все отмазки: "мы вас туда не посылали". Ясное дело не посылали, так вот и проявите хотя бы каплю уважения. Гифок с флажками недостаточно.
🤔171🤮105👍45👎11🥱5
Законопроект 11031 без сомнения нужно принять. Больше камер китайскому богу камер. Сэкономим россиянам бюджет на агентуру. Начать беспощадную борьбу за безопасность можно с туалетов на Богомольца, 10, ибо хуй его знает чем они там занимаются. Скорее всего наркотики. А пароли как у этой львовской лучше вобще не ставить, или 12345 тоже хороший пароль. Хуй кто угадает. Тут даже бесполезно обсуждать как именно оно будет взломано, потому что взломано оно еще вчера.
🔥363👍182🤮17🤔12🥱7
Cyber Legions похозяйничали в Polykod - разработка софта для русской нефтянки. Там изрядный архив гиг на шестьдесят. Вспомнил анекдот: что будет, если построить в Сахаре коммунизм? Дефицит песка. То же самое ждет и помойную страну-бензоколонку.
🔥441👍110🥱6👎4🤮3
В Штатах служба генерального испектора решила проверить, как работает система безопасности министерства природных ресурсов. Сгенерили набор данных, похлжих на то, что лежит в министерстве, поставили внутри виртуалку, и потом спокойно гоняли данные туда сюда, при нулевой реакции со стороны дороговалютных "программно-аппаратных комплексов" и "квалифицированного, тщательно обученного персонала". Что довольно типично на самом деле. Потом еще и риг прикупили, чтобы брутфорсить пароли сотрудников. Сразу вспомнился один черный форум, который сразу банил любую учетку, которую у админов получилось сбрутить. Это куда ближе к реальности чем та подрочь, которую называют "учениями". Реальная жизнь не CTF. И всё равно недостаточно, чтобы взбодрить защитников, нужно сразу запускать команду красных в прод без предупреждения, возможно даже с "форой" в виде случайно выбранных доступов. А предупреждать только тогда, когда админы в слезах из последних сил пополут к рубильнику. :-)
👍339🔥49🤔15
Прямо классическими методичками повеяло от опубликованных боброедкой разговоров немецких генералов.
В 1967 году КГБ анонимно разослало европейской прессе (в основном левой, проплаченной и мызамирной, что часто совпадало) украденный у американцев план на случай войны в Европе, и довольно мрачный - с применением тактического и стратегического ядерного оружия и партизанской войной за линией фронта, которая вырисовывалось по Рейну. Кампания продолжалась годами с пиком в начале восьмидесятых, с очевидными целями, потому что у советов тоже были планы, и до Рейна они планировали дойти за семь дней.
Проблема с теперешней кампанией в том, что пропагандисты настолько загнались, что видимо забыли о том, что никто не признаёт Крым российской территорией, а даже если б и было иначе, то думаю, что европейцы с неменьшим удовольствием чем украинцы посмотрят на то как матушка глотает руины моста, хотя бы потому, что он далеко. А вот то, что россияне прослушивают генералов бундесвера и сливают куда попало, действительно проблема (и для россии в том числе), ну тем уже пусть занимается военная контрразведка.
В 1967 году КГБ анонимно разослало европейской прессе (в основном левой, проплаченной и мызамирной, что часто совпадало) украденный у американцев план на случай войны в Европе, и довольно мрачный - с применением тактического и стратегического ядерного оружия и партизанской войной за линией фронта, которая вырисовывалось по Рейну. Кампания продолжалась годами с пиком в начале восьмидесятых, с очевидными целями, потому что у советов тоже были планы, и до Рейна они планировали дойти за семь дней.
Проблема с теперешней кампанией в том, что пропагандисты настолько загнались, что видимо забыли о том, что никто не признаёт Крым российской территорией, а даже если б и было иначе, то думаю, что европейцы с неменьшим удовольствием чем украинцы посмотрят на то как матушка глотает руины моста, хотя бы потому, что он далеко. А вот то, что россияне прослушивают генералов бундесвера и сливают куда попало, действительно проблема (и для россии в том числе), ну тем уже пусть занимается военная контрразведка.
👍301🥱8🤮3👎2