Который день я пытаюсь слезть с иглы общественного одобрения, перестать глумиться над зекомандой и заняться своими техническими штучками. Но тут уж они сами напросились. Ruslan Stefanchuk, человек и юрист, а по совместительству ещё немножечко идеолог, сказал:
"Ми хочемо замінити систему петицій, які не працюють, реальним впливом народного вето. ... (Воно) працює у багатьох країнах. Якщо Верховна рада приймає закони 16 січня, то за допомогою ІТ-технологій народ мобілізується і накладає вето. Для цього достатньо кожну бабцю у селі забезпечити смартфонами"
Что я могу сказать, это наше IT - не смартофоны, не сайты и не магические вундервафли, которые "сами решают проблемы". IT - это про управление и взаимодействие между людьми. Если идеолог и юрист не в состоянии понять настолько простую вещь, то пусть диджитализируется нахуй с нашей планеты.
Представительная демократия она в том числе и потому, что отнюдь не каждая бабка может потратить десятки часов времени на то, чтобы изучить четыре проекта законов "О телекоммуникациях" и оценить их последствия, и принять решение на основе "информированного согласия". Потому-то люди посылают своих представителей и зарплату им платят, чтобы те разбирались. Дальше, можно дать обранцям какой-нибудь НИИ или комиссию, которая будет объяснять сложное, как простое. Или призывать специалистов пред незамутненные интеллектом очи, как делает Конгресс.
Идём дальше, демократия нам нужна, для того чтобы принимать решения спорные, при ограниченном, как в стратегической игре наборе ресурсов, что построить следующим - казармы или заклинание диджитализации? Не было бы или-или, то и спорить было бы не о чем. И для того, чтобы соблюсти баланс интересов - и депутатов должно быть много, чтобы их тяжело было подкупить оптом, и право вето со стороны исполнительной власти (и преодоление вето тоже), и возможноть оспорить решение в суде.
И вот тут начинается самое интересное. Потому что субъектом в подобной схеме становится не Президент, который на Конституции клялся её охранять от посягательств, и даже не бабка, которой президентофон выдали на Укрпочте, а вот тот самый девайс и становится субъектом отношений, потому что бабку и её девайс не связывает ровным счетом ничего, ни риски, ни обязательства. Он живет своей отдельной от бабки цифровой жизнью. Харитон, Ульяна, Иван краткий. Услуга "вето на верховную раду" именем Президента появится тут же. Прямая и представительная демократия входят в клинч. Уж юрист мог бы и догадаться.
Обычные выборы, чтобы их вобще можно было провести, защищает тот же принцип распределенности. Можно нахимичить на одном участке или на десяти, но для того чтобы смошенничать хотя бы на половине участков потребуются колоссальные усилия, что и есть - мера безопасности. При электронном голосовании иначе. Если выявлено мошенничество, то выборы под ударом целиком и полностью. Это не значит, что нужно отказываться от ЭЦП, BankID и других технологий, а то, что нужно знать области их применения. А не придумывать "серебрянную пулю", которая машинным способом решит нетехнические проблемы.
"Ми хочемо замінити систему петицій, які не працюють, реальним впливом народного вето. ... (Воно) працює у багатьох країнах. Якщо Верховна рада приймає закони 16 січня, то за допомогою ІТ-технологій народ мобілізується і накладає вето. Для цього достатньо кожну бабцю у селі забезпечити смартфонами"
Что я могу сказать, это наше IT - не смартофоны, не сайты и не магические вундервафли, которые "сами решают проблемы". IT - это про управление и взаимодействие между людьми. Если идеолог и юрист не в состоянии понять настолько простую вещь, то пусть диджитализируется нахуй с нашей планеты.
Представительная демократия она в том числе и потому, что отнюдь не каждая бабка может потратить десятки часов времени на то, чтобы изучить четыре проекта законов "О телекоммуникациях" и оценить их последствия, и принять решение на основе "информированного согласия". Потому-то люди посылают своих представителей и зарплату им платят, чтобы те разбирались. Дальше, можно дать обранцям какой-нибудь НИИ или комиссию, которая будет объяснять сложное, как простое. Или призывать специалистов пред незамутненные интеллектом очи, как делает Конгресс.
Идём дальше, демократия нам нужна, для того чтобы принимать решения спорные, при ограниченном, как в стратегической игре наборе ресурсов, что построить следующим - казармы или заклинание диджитализации? Не было бы или-или, то и спорить было бы не о чем. И для того, чтобы соблюсти баланс интересов - и депутатов должно быть много, чтобы их тяжело было подкупить оптом, и право вето со стороны исполнительной власти (и преодоление вето тоже), и возможноть оспорить решение в суде.
И вот тут начинается самое интересное. Потому что субъектом в подобной схеме становится не Президент, который на Конституции клялся её охранять от посягательств, и даже не бабка, которой президентофон выдали на Укрпочте, а вот тот самый девайс и становится субъектом отношений, потому что бабку и её девайс не связывает ровным счетом ничего, ни риски, ни обязательства. Он живет своей отдельной от бабки цифровой жизнью. Харитон, Ульяна, Иван краткий. Услуга "вето на верховную раду" именем Президента появится тут же. Прямая и представительная демократия входят в клинч. Уж юрист мог бы и догадаться.
Обычные выборы, чтобы их вобще можно было провести, защищает тот же принцип распределенности. Можно нахимичить на одном участке или на десяти, но для того чтобы смошенничать хотя бы на половине участков потребуются колоссальные усилия, что и есть - мера безопасности. При электронном голосовании иначе. Если выявлено мошенничество, то выборы под ударом целиком и полностью. Это не значит, что нужно отказываться от ЭЦП, BankID и других технологий, а то, что нужно знать области их применения. А не придумывать "серебрянную пулю", которая машинным способом решит нетехнические проблемы.
Между тем, 23 числа появилось обвинительный акт против Ассанжа https://int.nyt.com/data/documenthelper/1037-julian-assange-espionage-act-indictment/426b4e534ab60553ba6c/optimized/full.pdf Хоть я не испытываю ни малейшего пиетета в отношении WL и "святого" Джулиана, вынужден отметить, что обвинение не самое удачное. Из 18 пунктов разумными выглядит USC 1030 (Мошенничество и подобная деятельность в отношении компьютеров) - Ассанж попытался сбрутить хеш, переданный ему Меннингом, но ничего не получилось, так что данный эпизод не более, чем покушение на взлом, ещё и связанный не с получением информации, а с заметанием следов. А этически обоснованным выглядит пункт о том, что Викиликс не может и не хочет защищать источники. Что истерически смешно (не для источников, конечно), но законом вряд ли наказуемо. Оставшиеся 17 обвинений - USC 793 (сговор, получение и раскрытие секретной информации) и тут неиллюзорно, и неотвратимо на горизонте появляется Она. Чудо и гордость американской Конституции. Первая Поправка. #WL #CFAA #EA #1A
P.S. Новая реальность - ковровый шпионаж без заинтересованной стороны, точнее "стороной" выступает non-state actor. На месте прокуратуры я бы рыл в сторону координации с русскими по DNC. Но тема взрывоопасная. А то и Трамп запостил пару интересных твиттов, вполне укладывающихся в логику "подстрекательства к шпионажу".
P.S. Новая реальность - ковровый шпионаж без заинтересованной стороны, точнее "стороной" выступает non-state actor. На месте прокуратуры я бы рыл в сторону координации с русскими по DNC. Но тема взрывоопасная. А то и Трамп запостил пару интересных твиттов, вполне укладывающихся в логику "подстрекательства к шпионажу".
Каждый раз, когда речь заходит о электронных выборах на меня набегают какие-то одичавшие энтузиасты, апостолы святого блокчейна и свидетели "а вот в Европе". В последний раз засыпали ссылками на Швейцарию. Так вот мои милые, Swiss Post сразу наткнулась на криптозасаду. Если совсем коротко, то на сервер поступают зашифрованные голоса, перемешиваются и уходят на подсчет. Для того, чтобы убедиться, что на выходе те же голоса, что и на входе, использовалась схема обязательств.
Алиса и Боб играют в орлянку по переписке, Алиса делает ставку, и вместо орла или решки даёт Бобу "обязательство", Боб кидает монету и называет результат, Алиса раскрывает параметры обязательства (в случае Swiss Post, Pedersen commitment, упирающийся в дискретный логарифм) для проверки. Бинго. Swiss Post зафакапила реализацию, так что сервер может просто заменить голоса и списать потом всё на случайную ошибку. В Эстонии и вовсе никто не даёт никаких гарантий, вы просто должны поверить избирательной комиссии. Мы все им верим, и именно потому посылаем наблюдателей на участки.
С блокчейном всё ещё хуже. Кто будет подтверждать блоки? Избирательная комиссия? А в чем разница с центральным сервером? Все избиратели? Я думаю, что главным избирателем станет Российская Федерация. И от этого зависит не один участок, а выборы целиком. Голосовать должны граждане, то есть пройти идентификацию и авторизацию. До того как начнутся выборы. В блокчейне об этом ничего не написано, он распределенный гроссбух. Вы просто должны верить в Авакова. Неужели вы не любите Арсена Борисовича? Вы же знаете, я с детства за него.
Есть ещё очень простой нетехнический довод. И он убийственный. В Интернете не только никто не знает, что вы кот, но и никто не видит, как вас бьют бейсбольной битой, чтобы вы проголосовали. И если вы видите свой голос в блокчейне, то его увидит и ваш начальник, особенно после того, как ласково попросит у вас - или ключ на стол или заявление "по собственному желанию". Слышал, что с бюджетниками и не такое случается. Ещё к блокчейну для голосования можно приделать смарт-контракт и деньги поступят на ваш счет сразу после голосования. Анонимно. Чувствуете открывающиеся возможности?
Я бы пока не торопился. Пусть кто-нибудь ещё по граблям походит.
P.S. В комментариях много стандартных предложений, и не менее стандартные возражения на них. Прочтите, прежде чем придумывать очередную "серебряную пулю".
Алиса и Боб играют в орлянку по переписке, Алиса делает ставку, и вместо орла или решки даёт Бобу "обязательство", Боб кидает монету и называет результат, Алиса раскрывает параметры обязательства (в случае Swiss Post, Pedersen commitment, упирающийся в дискретный логарифм) для проверки. Бинго. Swiss Post зафакапила реализацию, так что сервер может просто заменить голоса и списать потом всё на случайную ошибку. В Эстонии и вовсе никто не даёт никаких гарантий, вы просто должны поверить избирательной комиссии. Мы все им верим, и именно потому посылаем наблюдателей на участки.
С блокчейном всё ещё хуже. Кто будет подтверждать блоки? Избирательная комиссия? А в чем разница с центральным сервером? Все избиратели? Я думаю, что главным избирателем станет Российская Федерация. И от этого зависит не один участок, а выборы целиком. Голосовать должны граждане, то есть пройти идентификацию и авторизацию. До того как начнутся выборы. В блокчейне об этом ничего не написано, он распределенный гроссбух. Вы просто должны верить в Авакова. Неужели вы не любите Арсена Борисовича? Вы же знаете, я с детства за него.
Есть ещё очень простой нетехнический довод. И он убийственный. В Интернете не только никто не знает, что вы кот, но и никто не видит, как вас бьют бейсбольной битой, чтобы вы проголосовали. И если вы видите свой голос в блокчейне, то его увидит и ваш начальник, особенно после того, как ласково попросит у вас - или ключ на стол или заявление "по собственному желанию". Слышал, что с бюджетниками и не такое случается. Ещё к блокчейну для голосования можно приделать смарт-контракт и деньги поступят на ваш счет сразу после голосования. Анонимно. Чувствуете открывающиеся возможности?
Я бы пока не торопился. Пусть кто-нибудь ещё по граблям походит.
P.S. В комментариях много стандартных предложений, и не менее стандартные возражения на них. Прочтите, прежде чем придумывать очередную "серебряную пулю".
УПОРСТВО ДОЛБОЁБОВ
Прочитал на BBC как художник Гуо О Донг сотворил дивный арт-объект из старого ноутбука и шести "самых опасных" компьютерных вирусов. Уж не знаю, что больше привлекает людей, сумма нанесенного ущерба, чувство опасности или просто непонятное. Меня всегда напрягал визуальный ряд к компьютерным материалам. Клавиатуры светящиеся (у меня светятся), капюшончики в темноте под задумчивое и бессмысленное бормотание философов постмодерна. Идея, между прочим, второй свежести. Вирус уже был на биеннале в Венеции в 2001 году. Мне в таких случаях всегда вспоминается анекдот про Гильберта. Ему как-то рассказали, что его бывший студент теперь пишет стихи, на что Гильберт ответил: "Отлично, для математики у него не хватало воображения". Хакеры древности были другими, один из моих любимых примеров, Mental Driller, который без всяких подсказок "изобрёл" циклическую группу в кольце вычетов и догадался, что если сложить её со счетчиком, то получится перестановка. Это было красиво, а не ото ваши все дерриды с веслом и коврики со светящимися лебедями. С другой стороны, дура дурой, а "постоянство хаоса" ушло с аукциона за миллион с хвостом, так что тут ещё не известно, кто больший долбоёб.
Прочитал на BBC как художник Гуо О Донг сотворил дивный арт-объект из старого ноутбука и шести "самых опасных" компьютерных вирусов. Уж не знаю, что больше привлекает людей, сумма нанесенного ущерба, чувство опасности или просто непонятное. Меня всегда напрягал визуальный ряд к компьютерным материалам. Клавиатуры светящиеся (у меня светятся), капюшончики в темноте под задумчивое и бессмысленное бормотание философов постмодерна. Идея, между прочим, второй свежести. Вирус уже был на биеннале в Венеции в 2001 году. Мне в таких случаях всегда вспоминается анекдот про Гильберта. Ему как-то рассказали, что его бывший студент теперь пишет стихи, на что Гильберт ответил: "Отлично, для математики у него не хватало воображения". Хакеры древности были другими, один из моих любимых примеров, Mental Driller, который без всяких подсказок "изобрёл" циклическую группу в кольце вычетов и догадался, что если сложить её со счетчиком, то получится перестановка. Это было красиво, а не ото ваши все дерриды с веслом и коврики со светящимися лебедями. С другой стороны, дура дурой, а "постоянство хаоса" ушло с аукциона за миллион с хвостом, так что тут ещё не известно, кто больший долбоёб.
Я знаю вы любите голосовать. Богдана на сайте петиций травили зачетно. Теперь нужно сделать ещё одно полезное дело. П̶р̶о̶ш̶л̶о̶г̶о̶ р̶о̶к̶у̶ м̶и̶ п̶о̶с̶і̶я̶л̶и̶ 3̶0̶ ц̶е̶н̶т̶н̶е̶р̶і̶в̶ н̶а̶ г̶е̶к̶т̶а̶р̶ В прошлом году Демократична Сокира выдвинула трех своих представителей в РГК НАБУ. В̶с̶е̶х̶ а̶н̶т̶и̶к̶о̶р̶у̶п̶ц̶и̶о̶н̶е̶р̶ п̶о̶ж̶р̶а̶л̶ И они, курва, работали. Сейчас совместно с "Рухом Ветеранів України" - 14 кандидатов, так что Go, Go, Go! GOлосуем. Наши ГО "Астартес", "Ксенос", "Сорорітас" и "Демократична Сокира Орди", а так же "Рух Ветеранів України" и "Ветеранське Братерство". Для голосования нужен e-mail, телефон и ещё к голосованию не допускаются роботы, извините, мои железные, ваши права пока не на часі. Страница для голосования здесь:
https://voting.nabu.gov.ua/voting/
И список кандидатов:
️✔️ Бурмістенко Михайло Борисович, ГО "Астартес"
✔️ Діжечко Максим Володимирович, ГО "Демократична сокира орди"
✔️ Карпюк Олександр Андрійович, ГО "Ксенос"
✔️ Колумбет Антон Сергійович, ГО "Астартес"
✔️ Кузьмич Богдан Володимирович, ГО "Астартес"
✔️ Локацька Тетяна Станіславівна, ГО "Сорорітас"
✔️ Мазур Анатолій Іванович, ГО "Демократична сокира орди"
✔️ Помазан Богдан Юрійович, ГО "Ксенос"
✔️ Савчук Марк Сергійович, ГО "Ксенос"
✔️ Артьомов Сергій Миколайович, ГС "Рух Ветеранів України"
✔️ Карась Євген Васильович, ГС "Рух Ветеранів України"
✔️ Мінко Володимир Дмитрович, ГО "Ветеранське Братерство"
✔️ Салата Максим Сергійович, ГО "Ветеранське Братерство"
✔️ Трофименко Віктор Євгенович, ГО "Ветеранське Братерство"
Голосвание продолжается до девяти вечера. Спасибо, и репост приветствуется.
https://voting.nabu.gov.ua/voting/
И список кандидатов:
️✔️ Бурмістенко Михайло Борисович, ГО "Астартес"
✔️ Діжечко Максим Володимирович, ГО "Демократична сокира орди"
✔️ Карпюк Олександр Андрійович, ГО "Ксенос"
✔️ Колумбет Антон Сергійович, ГО "Астартес"
✔️ Кузьмич Богдан Володимирович, ГО "Астартес"
✔️ Локацька Тетяна Станіславівна, ГО "Сорорітас"
✔️ Мазур Анатолій Іванович, ГО "Демократична сокира орди"
✔️ Помазан Богдан Юрійович, ГО "Ксенос"
✔️ Савчук Марк Сергійович, ГО "Ксенос"
✔️ Артьомов Сергій Миколайович, ГС "Рух Ветеранів України"
✔️ Карась Євген Васильович, ГС "Рух Ветеранів України"
✔️ Мінко Володимир Дмитрович, ГО "Ветеранське Братерство"
✔️ Салата Максим Сергійович, ГО "Ветеранське Братерство"
✔️ Трофименко Віктор Євгенович, ГО "Ветеранське Братерство"
Голосвание продолжается до девяти вечера. Спасибо, и репост приветствуется.
Вкусная и плотная статья Эндрю Одлыжко "Кибербезопасность не так уж и важна": Растет число взломов. Ещё быстрее растет волна истерии по поводу очевидных причин этих взломов - а именно, печальное состояние информационной инфраструктуры. Тем не менее, мир неплохо себя чувствует, и ещё не пострадал от часто упоминаемой угрозы гигантских цифровых катастроф. Продолжающееся развитие общества говорит о том, что безопасность не так уж и важна. Приспособление к киберпространству способов, которыми защищен традиционный физический мир - основной путь преодоления проблем, которые возникали. Подход "с жевачкой и изолентой", скорее всего будет использоваться и дальше, как основной метод решения, и даёт адекватный уровень безопасности.
Много всего поучительного и смешного, история о том как 82-летняя монашка пробралась на ядерный объект, концепция "естественной тупости" (в противоположность искусственному интеллекту), человекопространство, повторяющееся напоминание о том, что безопасность не есть самоцель, и если с нами и случится "электронный Перл Харбор", то в конце концов у нас уже был настоящий и мы его как-то пережили. Постправда, стеклянные стены, экономика безопасности и всё-такое. Шнаер вполне предсказуемо напоминает https://www.schneier.com/blog/archives/2019/03/an_argument_tha.html , что в мире где у компьютеров будет "физическое представительство" безопасность станет вопросом жизни и смерти. Думаю, что полная картина рисков будет видна, когда компьютеры будут убивать больше людей, чем всеми любимые автомобили. А статью рекомендую к прочтению http://www.dtc.umn.edu/~odlyzko/doc/cyberinsecurity.pdf
Много всего поучительного и смешного, история о том как 82-летняя монашка пробралась на ядерный объект, концепция "естественной тупости" (в противоположность искусственному интеллекту), человекопространство, повторяющееся напоминание о том, что безопасность не есть самоцель, и если с нами и случится "электронный Перл Харбор", то в конце концов у нас уже был настоящий и мы его как-то пережили. Постправда, стеклянные стены, экономика безопасности и всё-такое. Шнаер вполне предсказуемо напоминает https://www.schneier.com/blog/archives/2019/03/an_argument_tha.html , что в мире где у компьютеров будет "физическое представительство" безопасность станет вопросом жизни и смерти. Думаю, что полная картина рисков будет видна, когда компьютеры будут убивать больше людей, чем всеми любимые автомобили. А статью рекомендую к прочтению http://www.dtc.umn.edu/~odlyzko/doc/cyberinsecurity.pdf
Как же у меня горит. «Кричуще порушення Мінських угод – застосування артилерії – свідчить, щонайменше, про часткову втрату управління та контролю над найманцями. Ми сподіваємося, що російська сторона відновить контроль над цими підрозділами», - цитируют Владимира Александровича Узеленского в АП. Не нужно быть разведчиком, чтобы понять, что два армейских корпуса не могут состоять из "наёмников". В своей очередной речи генерал-оккупант Герасимов говорит прямым текстом: "Имеют боевой опыт все командующие войсками военных округов, общевойсковыми объединениями, объединениями ВВС и ПВО, а также 96 процентов командиров общевойсковых частей и соединений" И где они получили боевой опыт, как вы думаете? И Президент Украины надеется на то, что оккупант восстановит контроль над оккупационной армией. Вы там в АП как, ебанулись совсем? Так вы допиздитесь до того, что добрый народ "восстановит контроль" над улицами Грушевского, Институтской и Банковой.
P.S. В понедельник, в семь вечера, под АП пройдёт акция "Зупини капітуляцію!" https://www.facebook.com/events/309344260002574/
P.S. В понедельник, в семь вечера, под АП пройдёт акция "Зупини капітуляцію!" https://www.facebook.com/events/309344260002574/
Почему у нас жопа с безопасностью? И вобще жопа? Я когда-то попытался сформулировать ответ на сакраментальный вопрос. Всё потому, что те кто нихуя не сделал пытаются напарить тем, кто нихуя не понял, то чего у них не было ни-ког-да. Сия ебанистическая парадигма у нас закреплена законодательно. Реализовать её на практике нет ни малейшей возможности, потому она обильно смазана коррупцией, каковая есть единственный действующий инструмент, с помощью которого можно сделать хоть что-нибудь. Кто у нас отвечает за кибербезопасность? СБУ, МВД, МО, ДССЗЗІ и НБУ. На картинках для привлечения внимания вы можете видеть документы с грифами "Т" (литер "М" - мобилизационный план) и "ДСК" (доступ к КЗІ - аппаратура шифрования), принадлежащие двум из них. Документы любезно предоставлены "г̶р̶у̶п̶п̶о̶й̶ п̶а̶т̶р̶и̶о̶т̶и̶ч̶н̶ы̶х̶ х̶а̶к̶е̶р̶о̶в̶-к̶а̶р̶д̶е̶р̶о̶в̶" ФСБ РФ. Что они сделали - скоординировались, провели расследование, установили виновных? Да, хуй там, назвали предателя Прозорова алкашом и никто в слив даже не заглянул.
Все эти ведомства наглухо лишены субъектности и будут атакованы противником, точнее уже многократно были атакованы. Первоочередная цель. Они объект национальной кибербезопасности. Объект, который нуждается в защите в первую очередь. То есть именно у них должны быть киберцентры, CERT, CSIRT, целые департаменты целиком и полностью направленные внутрь, а не наружу. ЦКБЗ МО по изучению нихуя - не в счет. Это им нужно (под угрозой увольнения и тюрьмы) запрещать пользоваться Яндексом и MailRU, это у них должны быть ограничения на перемещения (особенно в Российскую Федерацию и страны-сателлиты). Не у вас. У них. Это они должны звать Яхимовича назад в страну, чтобы он поставил свой Миробейз (да, тот самый "Стахановец") на телефоны каждого уебня в погонах, чтобы мы потом не выуживали во взломанной почте фотки штабных карт, которые предатели отсылают прямиком в Россию. И, да, это именно гос. спец. связи нужно отбить руки до синевы, чтобы они своими невыполнимыми требованиями по КСЗІ не вставляли палки в колеса.
Про субъектность пока всё. Потом и по остальным заблуждениям пройдусь, с тэгом #кибердержопа
Все эти ведомства наглухо лишены субъектности и будут атакованы противником, точнее уже многократно были атакованы. Первоочередная цель. Они объект национальной кибербезопасности. Объект, который нуждается в защите в первую очередь. То есть именно у них должны быть киберцентры, CERT, CSIRT, целые департаменты целиком и полностью направленные внутрь, а не наружу. ЦКБЗ МО по изучению нихуя - не в счет. Это им нужно (под угрозой увольнения и тюрьмы) запрещать пользоваться Яндексом и MailRU, это у них должны быть ограничения на перемещения (особенно в Российскую Федерацию и страны-сателлиты). Не у вас. У них. Это они должны звать Яхимовича назад в страну, чтобы он поставил свой Миробейз (да, тот самый "Стахановец") на телефоны каждого уебня в погонах, чтобы мы потом не выуживали во взломанной почте фотки штабных карт, которые предатели отсылают прямиком в Россию. И, да, это именно гос. спец. связи нужно отбить руки до синевы, чтобы они своими невыполнимыми требованиями по КСЗІ не вставляли палки в колеса.
Про субъектность пока всё. Потом и по остальным заблуждениям пройдусь, с тэгом #кибердержопа
Один из активистов прислал пополнение для #FRD. У ДП "Антонов" долгая история непростых отношений с информационной безопасностью. Их ломали дважды. По-настоящему ломали с хрустом и кишками наружу. Между двумя атаками Антонова предупреждали из ситуационного центра СБУ. Расследованием занималась Національна поліція України и The Security Service of Ukraine. The State Service for Special Communication and Information Protection по традиции отморозилась. Где, кстати, результаты расследования? Потом сайт долго лежал, теперь сделали новый. И никогда такого не было и вот опять! #XSS #необучаемость
КЕПська справа
Специалистам пост будет не интересен. Хочу покапитанствовать немного о жижитализации (высокодоходный процесс по превращению системы управления в говно при помощи современных технологий). Начнём с простейшего крипто, такого как RSA. Клинические гуманитарии могут сразу перейти ко второму абзацу. Вы генерируете пару больших простых чисел p и q, и вычисляете n = p * q, вместе с известным числом e - это ваш открытый ключ, и секретное число d, обладающее свойством de = 1 (mod (p - 1) * (q - 1)). (d, e) ваш секретный ключ, после чего вы можете зашифровать сообщение C = m^e (mod n) и расшифровать его m = C^d (mod n). "mod n" означает, что если после одинадцати ночи подождать 2 часа, то будет не 13 часов, а час ночи, что и записывается как 11 + 2 (mod 12) = 1. Не бином Ньютона, поверьте мне, бином Ньютона выглядит куда страшнее. Для того, чтобы подписать сообщение вы его всячески перемешиваете и тасуете, чтобы получить (снова) число H, которое вы шифруете своим секретным ключом и добавляете к сообщению. Получатель считает его заново и сравнивает с результатом расшифровки. Открытый ключ используемый для расшифровки публичен. Чтобы убедиться, что он принадлежит именно вам нужна третья сторона, которая его заверит своим секретным ключом, а взамен пообещает, что они вашу морду тщательно перед этим сверили с паспортом. Так появляются удостоверяющие центры (CA), и возникает инфраструктура публичных ключей (PKI). Пока всё выглядит хорошо и замечательно, но дьявол как известно любит бегать между капелек.
Во-первых, если вам ключ "выдали", то он больше не ваш и никак вы не проверите, что коробочка в которую сунули свежую карточку не заныкала по дороге число "d". В Украине используются эллиптические кривые, а не RSA, но на принцип это не влияет. Вам дали ключ, как в отеле. Он не ваш. Во-вторых, те числа p и q, с которых всё начиналось могут оказаться не очень-то и случайными. Чем однажды уже воспользовалось АНБ (намеренно) и наступила Эстония (глюкнула "надежная" библиотека). Любое пользовательское устройство по умолчанию можно считать взломанным. Вы думаете, что вы пиццу заказываете, а на самом деле только что подписали договор займа. И с безопасностью и SIM-картами и банковскими картами совсем не всё в порядке. Мошенники прекрасно научились пиздить и то и другое, не смотря на вороха паролей и двуфакторов. У банков просто давно посчитаны риски в долларах и центах, и заложены в стоимость услуги. Мало того, что не факт, что это ваши ключи, так они ещё и живут отдельной от вас жизнью. Вам же потом придётся доказывать, что это не вы подписали договор или открыли десять LLC с бенефициарами в солнечных республиках, а у вас их спиздили и вы просто хотели пожрать пиццу. Всевозможные (и юридически обязывающие) услуги открыты для вас по умолчанию, знаете ли вы об этом или нет. И отказаться от них нельзя. Не opt-in, не opt-out, а opt-нахуй-пошел. А раскидывая ответственность между различными удостоверяющими центрами, всё усугубляется многократно. В случае с телефоном риски известны и ограничены, в случае с банковским счетом тоже. С подписями, от которых невозможно отвертеться, всё гораздо сложнее. Завтра оператор в магазине опсоса получит подпись на ваше имя и продаст пакет из тысячи подписей по десятке за штуку. Вся ваша безопасность и риск таскаться по судам два года подряд зависит от уёбыша с зарплатой двести баксов. Не мент даже. Продавец цифровой шаурмы. И крайних потом не найти. Подумайте об этом на досуге, прежде чем строить государство ИЗ смартфонов, которыми управляет непонятно кто, и инфраструктуры, обслуживаемой кассирами из супер-маркетов. #Жижитализация. "Вільна каса!"
Специалистам пост будет не интересен. Хочу покапитанствовать немного о жижитализации (высокодоходный процесс по превращению системы управления в говно при помощи современных технологий). Начнём с простейшего крипто, такого как RSA. Клинические гуманитарии могут сразу перейти ко второму абзацу. Вы генерируете пару больших простых чисел p и q, и вычисляете n = p * q, вместе с известным числом e - это ваш открытый ключ, и секретное число d, обладающее свойством de = 1 (mod (p - 1) * (q - 1)). (d, e) ваш секретный ключ, после чего вы можете зашифровать сообщение C = m^e (mod n) и расшифровать его m = C^d (mod n). "mod n" означает, что если после одинадцати ночи подождать 2 часа, то будет не 13 часов, а час ночи, что и записывается как 11 + 2 (mod 12) = 1. Не бином Ньютона, поверьте мне, бином Ньютона выглядит куда страшнее. Для того, чтобы подписать сообщение вы его всячески перемешиваете и тасуете, чтобы получить (снова) число H, которое вы шифруете своим секретным ключом и добавляете к сообщению. Получатель считает его заново и сравнивает с результатом расшифровки. Открытый ключ используемый для расшифровки публичен. Чтобы убедиться, что он принадлежит именно вам нужна третья сторона, которая его заверит своим секретным ключом, а взамен пообещает, что они вашу морду тщательно перед этим сверили с паспортом. Так появляются удостоверяющие центры (CA), и возникает инфраструктура публичных ключей (PKI). Пока всё выглядит хорошо и замечательно, но дьявол как известно любит бегать между капелек.
Во-первых, если вам ключ "выдали", то он больше не ваш и никак вы не проверите, что коробочка в которую сунули свежую карточку не заныкала по дороге число "d". В Украине используются эллиптические кривые, а не RSA, но на принцип это не влияет. Вам дали ключ, как в отеле. Он не ваш. Во-вторых, те числа p и q, с которых всё начиналось могут оказаться не очень-то и случайными. Чем однажды уже воспользовалось АНБ (намеренно) и наступила Эстония (глюкнула "надежная" библиотека). Любое пользовательское устройство по умолчанию можно считать взломанным. Вы думаете, что вы пиццу заказываете, а на самом деле только что подписали договор займа. И с безопасностью и SIM-картами и банковскими картами совсем не всё в порядке. Мошенники прекрасно научились пиздить и то и другое, не смотря на вороха паролей и двуфакторов. У банков просто давно посчитаны риски в долларах и центах, и заложены в стоимость услуги. Мало того, что не факт, что это ваши ключи, так они ещё и живут отдельной от вас жизнью. Вам же потом придётся доказывать, что это не вы подписали договор или открыли десять LLC с бенефициарами в солнечных республиках, а у вас их спиздили и вы просто хотели пожрать пиццу. Всевозможные (и юридически обязывающие) услуги открыты для вас по умолчанию, знаете ли вы об этом или нет. И отказаться от них нельзя. Не opt-in, не opt-out, а opt-нахуй-пошел. А раскидывая ответственность между различными удостоверяющими центрами, всё усугубляется многократно. В случае с телефоном риски известны и ограничены, в случае с банковским счетом тоже. С подписями, от которых невозможно отвертеться, всё гораздо сложнее. Завтра оператор в магазине опсоса получит подпись на ваше имя и продаст пакет из тысячи подписей по десятке за штуку. Вся ваша безопасность и риск таскаться по судам два года подряд зависит от уёбыша с зарплатой двести баксов. Не мент даже. Продавец цифровой шаурмы. И крайних потом не найти. Подумайте об этом на досуге, прежде чем строить государство ИЗ смартфонов, которыми управляет непонятно кто, и инфраструктуры, обслуживаемой кассирами из супер-маркетов. #Жижитализация. "Вільна каса!"
VIRTUAL ACT OF STUPIDITY
Очень поучительная история. Пару дней назад NYT опубликовала большой отчет о том, что в последнее время Соединенные Штаты глубоко залезли в электрические сети России, чтобы пугануть газоспасаемую из своей критической инфраструктуры. Результат оказался печальным (и немного предсказуемым). Трамп обозвал действия Таймс "фактическим актом предательства", официальный Пентагон молчит, а усы Пескова довольно приговаривают, что нас давно атакуют из-за рубежа (кто бы это мог быть?), и что они готовы договариваться ("договариваться по-российски" означает превращение Интернета в концлагерь на всём шарике, а не только на одной девятой части суши), а иначе кибервойна. Я полагаю, что в Пентагоне прекрасно знают, что есть два вида сдерживания - deterrence by denial (молчим и притворяемся, что нам не больно) и deterrence by punishment (пиздим в ответ, чтобы было не повадно). Нужно или молчать или пиздить. Пиздить на половину не получалось ещё ни у кого. В отличии от ядерного сдерживания - страхом ответного удара, трясти и греметь "кибероружием" не выйдет, во-первых, оно "одноразовое" и потому - секретное, во-вторых, разведка не отличается от атаки - подготовка к войне и есть война. А значит, стратегам на заметку, никакого сдерживания в области кибер не происходит. Запомните, а лучше запишите - попытки сдерживания приводят к эскалации кибервойны, и сдерживанию самих себя. Пора этот реликт ядерного противостояния выкинуть из доктрин. #cyberwar #deterrence #us #terrorussia
Очень поучительная история. Пару дней назад NYT опубликовала большой отчет о том, что в последнее время Соединенные Штаты глубоко залезли в электрические сети России, чтобы пугануть газоспасаемую из своей критической инфраструктуры. Результат оказался печальным (и немного предсказуемым). Трамп обозвал действия Таймс "фактическим актом предательства", официальный Пентагон молчит, а усы Пескова довольно приговаривают, что нас давно атакуют из-за рубежа (кто бы это мог быть?), и что они готовы договариваться ("договариваться по-российски" означает превращение Интернета в концлагерь на всём шарике, а не только на одной девятой части суши), а иначе кибервойна. Я полагаю, что в Пентагоне прекрасно знают, что есть два вида сдерживания - deterrence by denial (молчим и притворяемся, что нам не больно) и deterrence by punishment (пиздим в ответ, чтобы было не повадно). Нужно или молчать или пиздить. Пиздить на половину не получалось ещё ни у кого. В отличии от ядерного сдерживания - страхом ответного удара, трясти и греметь "кибероружием" не выйдет, во-первых, оно "одноразовое" и потому - секретное, во-вторых, разведка не отличается от атаки - подготовка к войне и есть война. А значит, стратегам на заметку, никакого сдерживания в области кибер не происходит. Запомните, а лучше запишите - попытки сдерживания приводят к эскалации кибервойны, и сдерживанию самих себя. Пора этот реликт ядерного противостояния выкинуть из доктрин. #cyberwar #deterrence #us #terrorussia
Есть у нас такой указ Петра Алексеевича, утверждающий решение Александра Валентиновича - 254/2017, в котором закопано много рачьей мудрости. В жижитализацию умеют не только юный Владимир Александрович со своей припиздентской сратью. Масштабы конечно не те, но тоже интересно. Там всё прекрасно, всё без исключения. Начиная с пункта два, который делает ДССЗЗІ смотрящими по бэкапам на весь гос. сектор. Вангую появление филиала "Петровки" прямо у них в офисе. Все данные будут аккуратно собраны в одном месте, промаркированные и упакованные на продажу. А как выяснится, что что-то нужно восстановить после сбоя, так они сразу будут невиноватые. Но есть там ещё один хороший пункт 5(в), который предписывает Кабмину урагулировать (рагуляция - что-нибудь запретить или испортить ради высшего коррупционного блага, используя всю административную мощь державы) вопрос подключения госухи к Интернету. Сеть они, я полагаю, представляют себе как полевой к телефон - под покровом темноты, на провайдерский узел наползают вражеские шпионы, подключаются в порты 10 гигабит проржавевшими крокодилами, и начинают злобно подслушивать Государственную Тайну, мерзко при том хихикая. И потому провайдер должен лечь всем своим худым коммерческим телом на входе и недопустить, и препятствовать, чтобы хорошо откормленные державные лица спали спокойно. Построить, стало быть, у себя комплексную систему защиты и узлы защищенной связи. И что вы думаете? Покручинились немного наши интернет-терпилы, достали бумажник и посчитали в программе "Калькулятор", что с одной стороны - пачка бабла на раздачу взяток за сертификацию (а честным образом те правила исполнить нельзя, не для того они писались), а с другой - оплата за услуги связи от весьма многочисленных гос. учреждений. Правая рука победила. Многие пошли вздрачивать (сверьтесь со словарём Даля) "комплексную систему". В ходе обсуждения, я даже услышал такую дичь, будто бы провайдер - продолжение периметра. Первая, так сказать, линия обороны, перед, трепещущей нежным розовым мясом, госухой. Чушь и бред. Никого и никогда КСЗИ на провайдере ещё не защитила от поимения. Я вам больше скажу, даже в тех государствах, которые ёбаные-переёбанные типа Ирана на всю практически госуху стоит злобный IPS (система предупреждения вмешательств), что конечно же отрезает ботов и пионеров, не более. Тут изначально попытка переложить проблему с больной головы на здоровую, распылить ответственность и попилить бабло. Те узлы связи не могут защитить даже саму гос. спец. связь. Я так думаю пора уже издавать книжку "Интернет для комсомольских работников" и начать её раздавать бесплатно на Банковой, Болбочана и Соломенской. Хотя на Соломенской можно сразу одно зданьице укоротить до двух этажей под конюшни для фельдегириных лошадей. А прочих ценных специалистов - на мороз, со своей отличной подготовкой они сразу найдут себе работу. Не так ли? Не так ли?