Как же у меня горит. «Кричуще порушення Мінських угод – застосування артилерії – свідчить, щонайменше, про часткову втрату управління та контролю над найманцями. Ми сподіваємося, що російська сторона відновить контроль над цими підрозділами», - цитируют Владимира Александровича Узеленского в АП. Не нужно быть разведчиком, чтобы понять, что два армейских корпуса не могут состоять из "наёмников". В своей очередной речи генерал-оккупант Герасимов говорит прямым текстом: "Имеют боевой опыт все командующие войсками военных округов, общевойсковыми объединениями, объединениями ВВС и ПВО, а также 96 процентов командиров общевойсковых частей и соединений" И где они получили боевой опыт, как вы думаете? И Президент Украины надеется на то, что оккупант восстановит контроль над оккупационной армией. Вы там в АП как, ебанулись совсем? Так вы допиздитесь до того, что добрый народ "восстановит контроль" над улицами Грушевского, Институтской и Банковой.
P.S. В понедельник, в семь вечера, под АП пройдёт акция "Зупини капітуляцію!" https://www.facebook.com/events/309344260002574/
P.S. В понедельник, в семь вечера, под АП пройдёт акция "Зупини капітуляцію!" https://www.facebook.com/events/309344260002574/
Почему у нас жопа с безопасностью? И вобще жопа? Я когда-то попытался сформулировать ответ на сакраментальный вопрос. Всё потому, что те кто нихуя не сделал пытаются напарить тем, кто нихуя не понял, то чего у них не было ни-ког-да. Сия ебанистическая парадигма у нас закреплена законодательно. Реализовать её на практике нет ни малейшей возможности, потому она обильно смазана коррупцией, каковая есть единственный действующий инструмент, с помощью которого можно сделать хоть что-нибудь. Кто у нас отвечает за кибербезопасность? СБУ, МВД, МО, ДССЗЗІ и НБУ. На картинках для привлечения внимания вы можете видеть документы с грифами "Т" (литер "М" - мобилизационный план) и "ДСК" (доступ к КЗІ - аппаратура шифрования), принадлежащие двум из них. Документы любезно предоставлены "г̶р̶у̶п̶п̶о̶й̶ п̶а̶т̶р̶и̶о̶т̶и̶ч̶н̶ы̶х̶ х̶а̶к̶е̶р̶о̶в̶-к̶а̶р̶д̶е̶р̶о̶в̶" ФСБ РФ. Что они сделали - скоординировались, провели расследование, установили виновных? Да, хуй там, назвали предателя Прозорова алкашом и никто в слив даже не заглянул.
Все эти ведомства наглухо лишены субъектности и будут атакованы противником, точнее уже многократно были атакованы. Первоочередная цель. Они объект национальной кибербезопасности. Объект, который нуждается в защите в первую очередь. То есть именно у них должны быть киберцентры, CERT, CSIRT, целые департаменты целиком и полностью направленные внутрь, а не наружу. ЦКБЗ МО по изучению нихуя - не в счет. Это им нужно (под угрозой увольнения и тюрьмы) запрещать пользоваться Яндексом и MailRU, это у них должны быть ограничения на перемещения (особенно в Российскую Федерацию и страны-сателлиты). Не у вас. У них. Это они должны звать Яхимовича назад в страну, чтобы он поставил свой Миробейз (да, тот самый "Стахановец") на телефоны каждого уебня в погонах, чтобы мы потом не выуживали во взломанной почте фотки штабных карт, которые предатели отсылают прямиком в Россию. И, да, это именно гос. спец. связи нужно отбить руки до синевы, чтобы они своими невыполнимыми требованиями по КСЗІ не вставляли палки в колеса.
Про субъектность пока всё. Потом и по остальным заблуждениям пройдусь, с тэгом #кибердержопа
Все эти ведомства наглухо лишены субъектности и будут атакованы противником, точнее уже многократно были атакованы. Первоочередная цель. Они объект национальной кибербезопасности. Объект, который нуждается в защите в первую очередь. То есть именно у них должны быть киберцентры, CERT, CSIRT, целые департаменты целиком и полностью направленные внутрь, а не наружу. ЦКБЗ МО по изучению нихуя - не в счет. Это им нужно (под угрозой увольнения и тюрьмы) запрещать пользоваться Яндексом и MailRU, это у них должны быть ограничения на перемещения (особенно в Российскую Федерацию и страны-сателлиты). Не у вас. У них. Это они должны звать Яхимовича назад в страну, чтобы он поставил свой Миробейз (да, тот самый "Стахановец") на телефоны каждого уебня в погонах, чтобы мы потом не выуживали во взломанной почте фотки штабных карт, которые предатели отсылают прямиком в Россию. И, да, это именно гос. спец. связи нужно отбить руки до синевы, чтобы они своими невыполнимыми требованиями по КСЗІ не вставляли палки в колеса.
Про субъектность пока всё. Потом и по остальным заблуждениям пройдусь, с тэгом #кибердержопа
Один из активистов прислал пополнение для #FRD. У ДП "Антонов" долгая история непростых отношений с информационной безопасностью. Их ломали дважды. По-настоящему ломали с хрустом и кишками наружу. Между двумя атаками Антонова предупреждали из ситуационного центра СБУ. Расследованием занималась Національна поліція України и The Security Service of Ukraine. The State Service for Special Communication and Information Protection по традиции отморозилась. Где, кстати, результаты расследования? Потом сайт долго лежал, теперь сделали новый. И никогда такого не было и вот опять! #XSS #необучаемость
КЕПська справа
Специалистам пост будет не интересен. Хочу покапитанствовать немного о жижитализации (высокодоходный процесс по превращению системы управления в говно при помощи современных технологий). Начнём с простейшего крипто, такого как RSA. Клинические гуманитарии могут сразу перейти ко второму абзацу. Вы генерируете пару больших простых чисел p и q, и вычисляете n = p * q, вместе с известным числом e - это ваш открытый ключ, и секретное число d, обладающее свойством de = 1 (mod (p - 1) * (q - 1)). (d, e) ваш секретный ключ, после чего вы можете зашифровать сообщение C = m^e (mod n) и расшифровать его m = C^d (mod n). "mod n" означает, что если после одинадцати ночи подождать 2 часа, то будет не 13 часов, а час ночи, что и записывается как 11 + 2 (mod 12) = 1. Не бином Ньютона, поверьте мне, бином Ньютона выглядит куда страшнее. Для того, чтобы подписать сообщение вы его всячески перемешиваете и тасуете, чтобы получить (снова) число H, которое вы шифруете своим секретным ключом и добавляете к сообщению. Получатель считает его заново и сравнивает с результатом расшифровки. Открытый ключ используемый для расшифровки публичен. Чтобы убедиться, что он принадлежит именно вам нужна третья сторона, которая его заверит своим секретным ключом, а взамен пообещает, что они вашу морду тщательно перед этим сверили с паспортом. Так появляются удостоверяющие центры (CA), и возникает инфраструктура публичных ключей (PKI). Пока всё выглядит хорошо и замечательно, но дьявол как известно любит бегать между капелек.
Во-первых, если вам ключ "выдали", то он больше не ваш и никак вы не проверите, что коробочка в которую сунули свежую карточку не заныкала по дороге число "d". В Украине используются эллиптические кривые, а не RSA, но на принцип это не влияет. Вам дали ключ, как в отеле. Он не ваш. Во-вторых, те числа p и q, с которых всё начиналось могут оказаться не очень-то и случайными. Чем однажды уже воспользовалось АНБ (намеренно) и наступила Эстония (глюкнула "надежная" библиотека). Любое пользовательское устройство по умолчанию можно считать взломанным. Вы думаете, что вы пиццу заказываете, а на самом деле только что подписали договор займа. И с безопасностью и SIM-картами и банковскими картами совсем не всё в порядке. Мошенники прекрасно научились пиздить и то и другое, не смотря на вороха паролей и двуфакторов. У банков просто давно посчитаны риски в долларах и центах, и заложены в стоимость услуги. Мало того, что не факт, что это ваши ключи, так они ещё и живут отдельной от вас жизнью. Вам же потом придётся доказывать, что это не вы подписали договор или открыли десять LLC с бенефициарами в солнечных республиках, а у вас их спиздили и вы просто хотели пожрать пиццу. Всевозможные (и юридически обязывающие) услуги открыты для вас по умолчанию, знаете ли вы об этом или нет. И отказаться от них нельзя. Не opt-in, не opt-out, а opt-нахуй-пошел. А раскидывая ответственность между различными удостоверяющими центрами, всё усугубляется многократно. В случае с телефоном риски известны и ограничены, в случае с банковским счетом тоже. С подписями, от которых невозможно отвертеться, всё гораздо сложнее. Завтра оператор в магазине опсоса получит подпись на ваше имя и продаст пакет из тысячи подписей по десятке за штуку. Вся ваша безопасность и риск таскаться по судам два года подряд зависит от уёбыша с зарплатой двести баксов. Не мент даже. Продавец цифровой шаурмы. И крайних потом не найти. Подумайте об этом на досуге, прежде чем строить государство ИЗ смартфонов, которыми управляет непонятно кто, и инфраструктуры, обслуживаемой кассирами из супер-маркетов. #Жижитализация. "Вільна каса!"
Специалистам пост будет не интересен. Хочу покапитанствовать немного о жижитализации (высокодоходный процесс по превращению системы управления в говно при помощи современных технологий). Начнём с простейшего крипто, такого как RSA. Клинические гуманитарии могут сразу перейти ко второму абзацу. Вы генерируете пару больших простых чисел p и q, и вычисляете n = p * q, вместе с известным числом e - это ваш открытый ключ, и секретное число d, обладающее свойством de = 1 (mod (p - 1) * (q - 1)). (d, e) ваш секретный ключ, после чего вы можете зашифровать сообщение C = m^e (mod n) и расшифровать его m = C^d (mod n). "mod n" означает, что если после одинадцати ночи подождать 2 часа, то будет не 13 часов, а час ночи, что и записывается как 11 + 2 (mod 12) = 1. Не бином Ньютона, поверьте мне, бином Ньютона выглядит куда страшнее. Для того, чтобы подписать сообщение вы его всячески перемешиваете и тасуете, чтобы получить (снова) число H, которое вы шифруете своим секретным ключом и добавляете к сообщению. Получатель считает его заново и сравнивает с результатом расшифровки. Открытый ключ используемый для расшифровки публичен. Чтобы убедиться, что он принадлежит именно вам нужна третья сторона, которая его заверит своим секретным ключом, а взамен пообещает, что они вашу морду тщательно перед этим сверили с паспортом. Так появляются удостоверяющие центры (CA), и возникает инфраструктура публичных ключей (PKI). Пока всё выглядит хорошо и замечательно, но дьявол как известно любит бегать между капелек.
Во-первых, если вам ключ "выдали", то он больше не ваш и никак вы не проверите, что коробочка в которую сунули свежую карточку не заныкала по дороге число "d". В Украине используются эллиптические кривые, а не RSA, но на принцип это не влияет. Вам дали ключ, как в отеле. Он не ваш. Во-вторых, те числа p и q, с которых всё начиналось могут оказаться не очень-то и случайными. Чем однажды уже воспользовалось АНБ (намеренно) и наступила Эстония (глюкнула "надежная" библиотека). Любое пользовательское устройство по умолчанию можно считать взломанным. Вы думаете, что вы пиццу заказываете, а на самом деле только что подписали договор займа. И с безопасностью и SIM-картами и банковскими картами совсем не всё в порядке. Мошенники прекрасно научились пиздить и то и другое, не смотря на вороха паролей и двуфакторов. У банков просто давно посчитаны риски в долларах и центах, и заложены в стоимость услуги. Мало того, что не факт, что это ваши ключи, так они ещё и живут отдельной от вас жизнью. Вам же потом придётся доказывать, что это не вы подписали договор или открыли десять LLC с бенефициарами в солнечных республиках, а у вас их спиздили и вы просто хотели пожрать пиццу. Всевозможные (и юридически обязывающие) услуги открыты для вас по умолчанию, знаете ли вы об этом или нет. И отказаться от них нельзя. Не opt-in, не opt-out, а opt-нахуй-пошел. А раскидывая ответственность между различными удостоверяющими центрами, всё усугубляется многократно. В случае с телефоном риски известны и ограничены, в случае с банковским счетом тоже. С подписями, от которых невозможно отвертеться, всё гораздо сложнее. Завтра оператор в магазине опсоса получит подпись на ваше имя и продаст пакет из тысячи подписей по десятке за штуку. Вся ваша безопасность и риск таскаться по судам два года подряд зависит от уёбыша с зарплатой двести баксов. Не мент даже. Продавец цифровой шаурмы. И крайних потом не найти. Подумайте об этом на досуге, прежде чем строить государство ИЗ смартфонов, которыми управляет непонятно кто, и инфраструктуры, обслуживаемой кассирами из супер-маркетов. #Жижитализация. "Вільна каса!"
VIRTUAL ACT OF STUPIDITY
Очень поучительная история. Пару дней назад NYT опубликовала большой отчет о том, что в последнее время Соединенные Штаты глубоко залезли в электрические сети России, чтобы пугануть газоспасаемую из своей критической инфраструктуры. Результат оказался печальным (и немного предсказуемым). Трамп обозвал действия Таймс "фактическим актом предательства", официальный Пентагон молчит, а усы Пескова довольно приговаривают, что нас давно атакуют из-за рубежа (кто бы это мог быть?), и что они готовы договариваться ("договариваться по-российски" означает превращение Интернета в концлагерь на всём шарике, а не только на одной девятой части суши), а иначе кибервойна. Я полагаю, что в Пентагоне прекрасно знают, что есть два вида сдерживания - deterrence by denial (молчим и притворяемся, что нам не больно) и deterrence by punishment (пиздим в ответ, чтобы было не повадно). Нужно или молчать или пиздить. Пиздить на половину не получалось ещё ни у кого. В отличии от ядерного сдерживания - страхом ответного удара, трясти и греметь "кибероружием" не выйдет, во-первых, оно "одноразовое" и потому - секретное, во-вторых, разведка не отличается от атаки - подготовка к войне и есть война. А значит, стратегам на заметку, никакого сдерживания в области кибер не происходит. Запомните, а лучше запишите - попытки сдерживания приводят к эскалации кибервойны, и сдерживанию самих себя. Пора этот реликт ядерного противостояния выкинуть из доктрин. #cyberwar #deterrence #us #terrorussia
Очень поучительная история. Пару дней назад NYT опубликовала большой отчет о том, что в последнее время Соединенные Штаты глубоко залезли в электрические сети России, чтобы пугануть газоспасаемую из своей критической инфраструктуры. Результат оказался печальным (и немного предсказуемым). Трамп обозвал действия Таймс "фактическим актом предательства", официальный Пентагон молчит, а усы Пескова довольно приговаривают, что нас давно атакуют из-за рубежа (кто бы это мог быть?), и что они готовы договариваться ("договариваться по-российски" означает превращение Интернета в концлагерь на всём шарике, а не только на одной девятой части суши), а иначе кибервойна. Я полагаю, что в Пентагоне прекрасно знают, что есть два вида сдерживания - deterrence by denial (молчим и притворяемся, что нам не больно) и deterrence by punishment (пиздим в ответ, чтобы было не повадно). Нужно или молчать или пиздить. Пиздить на половину не получалось ещё ни у кого. В отличии от ядерного сдерживания - страхом ответного удара, трясти и греметь "кибероружием" не выйдет, во-первых, оно "одноразовое" и потому - секретное, во-вторых, разведка не отличается от атаки - подготовка к войне и есть война. А значит, стратегам на заметку, никакого сдерживания в области кибер не происходит. Запомните, а лучше запишите - попытки сдерживания приводят к эскалации кибервойны, и сдерживанию самих себя. Пора этот реликт ядерного противостояния выкинуть из доктрин. #cyberwar #deterrence #us #terrorussia
Есть у нас такой указ Петра Алексеевича, утверждающий решение Александра Валентиновича - 254/2017, в котором закопано много рачьей мудрости. В жижитализацию умеют не только юный Владимир Александрович со своей припиздентской сратью. Масштабы конечно не те, но тоже интересно. Там всё прекрасно, всё без исключения. Начиная с пункта два, который делает ДССЗЗІ смотрящими по бэкапам на весь гос. сектор. Вангую появление филиала "Петровки" прямо у них в офисе. Все данные будут аккуратно собраны в одном месте, промаркированные и упакованные на продажу. А как выяснится, что что-то нужно восстановить после сбоя, так они сразу будут невиноватые. Но есть там ещё один хороший пункт 5(в), который предписывает Кабмину урагулировать (рагуляция - что-нибудь запретить или испортить ради высшего коррупционного блага, используя всю административную мощь державы) вопрос подключения госухи к Интернету. Сеть они, я полагаю, представляют себе как полевой к телефон - под покровом темноты, на провайдерский узел наползают вражеские шпионы, подключаются в порты 10 гигабит проржавевшими крокодилами, и начинают злобно подслушивать Государственную Тайну, мерзко при том хихикая. И потому провайдер должен лечь всем своим худым коммерческим телом на входе и недопустить, и препятствовать, чтобы хорошо откормленные державные лица спали спокойно. Построить, стало быть, у себя комплексную систему защиты и узлы защищенной связи. И что вы думаете? Покручинились немного наши интернет-терпилы, достали бумажник и посчитали в программе "Калькулятор", что с одной стороны - пачка бабла на раздачу взяток за сертификацию (а честным образом те правила исполнить нельзя, не для того они писались), а с другой - оплата за услуги связи от весьма многочисленных гос. учреждений. Правая рука победила. Многие пошли вздрачивать (сверьтесь со словарём Даля) "комплексную систему". В ходе обсуждения, я даже услышал такую дичь, будто бы провайдер - продолжение периметра. Первая, так сказать, линия обороны, перед, трепещущей нежным розовым мясом, госухой. Чушь и бред. Никого и никогда КСЗИ на провайдере ещё не защитила от поимения. Я вам больше скажу, даже в тех государствах, которые ёбаные-переёбанные типа Ирана на всю практически госуху стоит злобный IPS (система предупреждения вмешательств), что конечно же отрезает ботов и пионеров, не более. Тут изначально попытка переложить проблему с больной головы на здоровую, распылить ответственность и попилить бабло. Те узлы связи не могут защитить даже саму гос. спец. связь. Я так думаю пора уже издавать книжку "Интернет для комсомольских работников" и начать её раздавать бесплатно на Банковой, Болбочана и Соломенской. Хотя на Соломенской можно сразу одно зданьице укоротить до двух этажей под конюшни для фельдегириных лошадей. А прочих ценных специалистов - на мороз, со своей отличной подготовкой они сразу найдут себе работу. Не так ли? Не так ли?
Для тех кто пропустил. Сегодня в полседьмого утра к нашему волонтёру Alexandr Galushchenko заявилась с обыском полиция из Департамента по защите экономики. Саша очень много сделал и для защиты нашей страны от агрессии, и особенно для того, чтобы позакрывать самые дурацкие дыры в компьютерной безопасности многих государственных учреждений. Мы в UCA уверены в том, что обвинение нашего волонтера в вымогательстве носит заказной характер, и ему просто таким образом пытаются заткнуть рот. Мы сейчас выясняем обстоятельства дела, и сделаем развернутое заявление чуть позже.
P.S. "Экономистам", которых выгнали из киберполиции, и их близким родственникам с российскими паспортами, отдельный пламенный привет.
P.S. "Экономистам", которых выгнали из киберполиции, и их близким родственникам с российскими паспортами, отдельный пламенный привет.
В который раз перечитываю ухвалу Печерского районного суда на обыск у нашего волонтера Александра Галущенко. Судья Карабань. Следователь Лютый. Подобного упоротого творчества я прочитал предостаточно, кто в реестр судебных решений ходит - тот в цирке больше не смеётся, но тут ситуация просто фантастическая. К Александру пришли потому, что он якобы взломал почтовый ящик.
Ага, ага, подумаете вы, у вас у хакеров 361-я статья на лбу написана. И будете не правы, дело ведётся по статьям 129 ("угроза убийством"), 146 ("похищение человека"), 345 ("насилие в отношении работника правоохранительных органов"), 255 ("создание преступной организации"), 256 ("помощь участникам преступных организаций"), 182 ("нарушение неприкосновенности жилища"), 163 ("нарушение тайны переписки") и 189 ("вымогательство"), как правило, часть четвертая, по всем статьям.
Даже как-то странно, что к почтовому ящику не привязали терроризм и преступления против человечности. У меня кровь из глаз. Почему в списке нет 361 догадаться не сложно. Тогда бы делом занимался не экономический департамент, а Киберполиция, которая такой лютой херни не творит.
Особенно, если учесть, что тот почтовый ящик НЕ БЫЛ взломан, о чем недоделанные пинкертоны сразу и заявили. Оцените мусорскую логику ещё раз (у меня с первого раза не получилось). Обвиняют во взломе, которого не было и предъявляют пачку таких статей, будто бы там пацаны из девяностых собрались и мента в посадке в жопу выебли личной перепиской, а не компьютерщик, показывающий гос. распилы на кибербезопасности.
Нет, не так. Ещё раз. В ухвале написано про несанкционированное вмешательство в работу ЭВМ и нет 361 статьи, которая называется "несанкционированное вмешательство в работу ЭВМ". И самого вмешательства не было. Но, почему?
Да, блядь, просто нахуй пошли. Не почему.
Я хотел бы обратиться к Департаменту по защите экономики и объяснить, как для тупых, потому что иначе в экономической артели могут и не понять.
И в своей повседневной работе, и в волонтерской на благо державы, которую вы правоохраняете, мы придерживаемся действующего законодательства Украины. Да, к нам часто подходят люди и просят что-нибудь взломать for teh justice, на что я в порядке бесплатной правовой помощи и профилактики преступлений, рассказываю про статью 361.
Так что вы не по адресу, наша цель - победа в войне. В войне с тем государством чьи паспорта у вас приныканы.
Добром прошу, прекратите хуйню.
P.S. И пожалуйста, и перепост, и перессказ. Сил моих нет смотреть на безобразие. И прессу тоже прошу обратить внимание на беспредел.
Ага, ага, подумаете вы, у вас у хакеров 361-я статья на лбу написана. И будете не правы, дело ведётся по статьям 129 ("угроза убийством"), 146 ("похищение человека"), 345 ("насилие в отношении работника правоохранительных органов"), 255 ("создание преступной организации"), 256 ("помощь участникам преступных организаций"), 182 ("нарушение неприкосновенности жилища"), 163 ("нарушение тайны переписки") и 189 ("вымогательство"), как правило, часть четвертая, по всем статьям.
Даже как-то странно, что к почтовому ящику не привязали терроризм и преступления против человечности. У меня кровь из глаз. Почему в списке нет 361 догадаться не сложно. Тогда бы делом занимался не экономический департамент, а Киберполиция, которая такой лютой херни не творит.
Особенно, если учесть, что тот почтовый ящик НЕ БЫЛ взломан, о чем недоделанные пинкертоны сразу и заявили. Оцените мусорскую логику ещё раз (у меня с первого раза не получилось). Обвиняют во взломе, которого не было и предъявляют пачку таких статей, будто бы там пацаны из девяностых собрались и мента в посадке в жопу выебли личной перепиской, а не компьютерщик, показывающий гос. распилы на кибербезопасности.
Нет, не так. Ещё раз. В ухвале написано про несанкционированное вмешательство в работу ЭВМ и нет 361 статьи, которая называется "несанкционированное вмешательство в работу ЭВМ". И самого вмешательства не было. Но, почему?
Да, блядь, просто нахуй пошли. Не почему.
Я хотел бы обратиться к Департаменту по защите экономики и объяснить, как для тупых, потому что иначе в экономической артели могут и не понять.
И в своей повседневной работе, и в волонтерской на благо державы, которую вы правоохраняете, мы придерживаемся действующего законодательства Украины. Да, к нам часто подходят люди и просят что-нибудь взломать for teh justice, на что я в порядке бесплатной правовой помощи и профилактики преступлений, рассказываю про статью 361.
Так что вы не по адресу, наша цель - победа в войне. В войне с тем государством чьи паспорта у вас приныканы.
Добром прошу, прекратите хуйню.
P.S. И пожалуйста, и перепост, и перессказ. Сил моих нет смотреть на безобразие. И прессу тоже прошу обратить внимание на беспредел.
Про квадратно-гнездовой способ мЫшленья. Volodymyr Styran уже прошелся по тексту "общих требований" по защите критической инфраструктуры. https://bit.ly/2Rvyf2L Слабонервным не читать. Я этот текст уже месяц верчу и так, и эдак, силясь понять, что это вобще, блядь, такое? Трусики или панамка? Ни на одно место не налазит, ни на жопу, ни на голову. Некоторые вещи вроде правильные, но не совсем, а другие как бы обязательные, но не вполне. Административные требования идут вперемешку с техническими. Архитектурные с коррупционными. Взять ту же сегментацию. Разделение сети на сегменты и зоны вещь правильная и нужная, но зачем их перечислять? Вспомнился мне один администратор, со специфическим устройством ума близким к военному. При заходе на сеть он тут же нарубил её на 100500 подсетей, потом составил гигантскую матрицу отношений между подсетями и начал методично расписывать правила фильтрации. Дня два я в охуении на всё это смотрел, а потом говорю - загоняй всё в дроп и открывай по одному. Тут вот тоже цельных пять зон нарисовали. Я бы хотел поинтересоваться у составителей документа, знаете ли вы сколько путей (без петель) из одного угла в другой в матрице пять на пять? 8512. Восемь ебаных тысяч. Тут межсетевыми экранами не обойдёшься, тут пора бы прекращать жрать в думалку фантазии о "защите от атак нулевого дня" и шкодливых вирусов, и начинать ей думать. Вы этими требованиями превратите всё в такой пиздец, что его потом вобще не разгрести будет. #КМУ #ебанариум
"И мобилки... обгорелые в пыли.
Киберпанк мы приближали как могли!.."
Есть ещё одно печальное заблуждение. Новые жижитальные правила пишутся так, будто бы где-то на благословенном заокраинном Западе, проблемы уже решены. У них мол и #ISO27K работает и #NIST, и Эстония, Эстония же! Кончить можно прямо в штаны какая цифровая. Сейчас посмотрим внематочно, переймём и, ух, как заживём! Только всё это херня. Проблемы с безопасностью не решены нигде. Два года назад был взломан #Equifax - большая контора, которой правительство зааутсорсило идентификацию граждан (отдали на сторону то, что отдавать нельзя, и если уж отдали, то там должна быть жесточайшая гос. регуляция), и оно было сертифицировано по NIST сверху донизу. Да, оно само предлагает услуги аудита и сертификации. Не помогло. И сейчас Government Accountability Office, вот прямо сейчас https://www.gao.gov/assets/700/699193.pdf предлагает выкинуть тех аутсорсеров на мороз. Вы знали что у государства должна быть ответственность перед гражданами? Но то лирика. Вобщем, предлагает заменить "something you know" на фоточки "something you have" (фото с правами в зубах) и второй фактор из телефона. Что тоже пиздец. Но альтернативы СЛИШКОМ ДОРОГИЕ. А нам дешево. Мы богатые. Совсем отказаться от удаленной идентификации они не могут. Тот поезд давно ушел. И пытаются привязать подорожник к вавке изолентой. Знаете в чем разница? Почему вам кажется что NIST работает? Да, потому что они заливают дыры баблом. Которое у них есть, а у нас его нет. И есть другие компенсаторы: работающая правоохранительная и судебная система, и репутация и прочее такое, о чем тут отродясь не слышали.
Киберпанк мы приближали как могли!.."
Есть ещё одно печальное заблуждение. Новые жижитальные правила пишутся так, будто бы где-то на благословенном заокраинном Западе, проблемы уже решены. У них мол и #ISO27K работает и #NIST, и Эстония, Эстония же! Кончить можно прямо в штаны какая цифровая. Сейчас посмотрим внематочно, переймём и, ух, как заживём! Только всё это херня. Проблемы с безопасностью не решены нигде. Два года назад был взломан #Equifax - большая контора, которой правительство зааутсорсило идентификацию граждан (отдали на сторону то, что отдавать нельзя, и если уж отдали, то там должна быть жесточайшая гос. регуляция), и оно было сертифицировано по NIST сверху донизу. Да, оно само предлагает услуги аудита и сертификации. Не помогло. И сейчас Government Accountability Office, вот прямо сейчас https://www.gao.gov/assets/700/699193.pdf предлагает выкинуть тех аутсорсеров на мороз. Вы знали что у государства должна быть ответственность перед гражданами? Но то лирика. Вобщем, предлагает заменить "something you know" на фоточки "something you have" (фото с правами в зубах) и второй фактор из телефона. Что тоже пиздец. Но альтернативы СЛИШКОМ ДОРОГИЕ. А нам дешево. Мы богатые. Совсем отказаться от удаленной идентификации они не могут. Тот поезд давно ушел. И пытаются привязать подорожник к вавке изолентой. Знаете в чем разница? Почему вам кажется что NIST работает? Да, потому что они заливают дыры баблом. Которое у них есть, а у нас его нет. И есть другие компенсаторы: работающая правоохранительная и судебная система, и репутация и прочее такое, о чем тут отродясь не слышали.
Когда я был маленький, у меня была желтенькая, потрепанная книжка Пети Хижняка "Пишем вирус и антивирус", треш ужасный, 1991 год всё-таки, и в предисловии автор пытался всех предупредить, что когда-нибудь вирусы доберутся и до атомных элекростанций. А я читал и смеялся. Потом в 1995 году я с удовольствием смотрел фильм "Хакеры". Задорно, молодежно. Смотрел и смеялся.
И у меня появилась мечта. С тех пор прошло много времени, и м̶е̶н̶т̶ы̶ мечты сбываются. Сводил меня Alexandr Galushchenko и на атомные станции, и во всякие другие интересные места. Только теперь мне совсем не смешно. От этих компьютерных штучек зависит жизнь каждого из нас.
А к дяде Саше, который показывал дыры в госухе, пришли неверные менты из Департамента защиты экономики (Киберполиция тут не при чем; вы знаете, за мной не заржавеет, но и наговаривать на них зря не буду), и помешали ему, помимо всего прочего, привезти больного сына в Украину https://www.facebook.com/alexandr.galushchenko/posts/2494787133894141 А сегодня один из наших волонтёров (пожелавший пока остаться неизвестным) показал мне прекрасное.
Раньше мы находили дыры в министерствах по одному, а теперь два сразу. Міністерство внутрішніх справ и Державне агентство з питань електронного урядування України Проёбаны ключи и формы загрузки для розыскных баз МВД. И у меня прямо руки зачесались, как в том старом фильме, добавить Гринчака Александра Васильевича, Кропиву Сергея Васильевича и Тимошенко Ивана Александровича из ДЗЕ Національна поліція України, отдел противодействия преступлениям в сфере систем управления противодействию преступности в финансовой сфере и отраслях экономики (блядь, еле выговорил) прямо в их собственную розыскную базу. Чтобы они почувствовали вкус украинского правосудия на собственной шкуре. К счастью, мы все взрослые, ответственные люди и болезненно законопослушны.
Всё найдено в открытом доступе, при помощи броузера сети Интернет. Ни одно министерство не пострадало. Arsen Борисович и Сергій Миколайович может вы ваших орлов из "информационного отдела противодействия экономическому противодействию" отправите дыры латать, вместо того чтобы активистам жизнь портить? Искать нужно там где потеряли, а не там где светло.
#FuckResponsibleDisclosure
И у меня появилась мечта. С тех пор прошло много времени, и м̶е̶н̶т̶ы̶ мечты сбываются. Сводил меня Alexandr Galushchenko и на атомные станции, и во всякие другие интересные места. Только теперь мне совсем не смешно. От этих компьютерных штучек зависит жизнь каждого из нас.
А к дяде Саше, который показывал дыры в госухе, пришли неверные менты из Департамента защиты экономики (Киберполиция тут не при чем; вы знаете, за мной не заржавеет, но и наговаривать на них зря не буду), и помешали ему, помимо всего прочего, привезти больного сына в Украину https://www.facebook.com/alexandr.galushchenko/posts/2494787133894141 А сегодня один из наших волонтёров (пожелавший пока остаться неизвестным) показал мне прекрасное.
Раньше мы находили дыры в министерствах по одному, а теперь два сразу. Міністерство внутрішніх справ и Державне агентство з питань електронного урядування України Проёбаны ключи и формы загрузки для розыскных баз МВД. И у меня прямо руки зачесались, как в том старом фильме, добавить Гринчака Александра Васильевича, Кропиву Сергея Васильевича и Тимошенко Ивана Александровича из ДЗЕ Національна поліція України, отдел противодействия преступлениям в сфере систем управления противодействию преступности в финансовой сфере и отраслях экономики (блядь, еле выговорил) прямо в их собственную розыскную базу. Чтобы они почувствовали вкус украинского правосудия на собственной шкуре. К счастью, мы все взрослые, ответственные люди и болезненно законопослушны.
Всё найдено в открытом доступе, при помощи броузера сети Интернет. Ни одно министерство не пострадало. Arsen Борисович и Сергій Миколайович может вы ваших орлов из "информационного отдела противодействия экономическому противодействию" отправите дыры латать, вместо того чтобы активистам жизнь портить? Искать нужно там где потеряли, а не там где светло.
#FuckResponsibleDisclosure
🔥1