Прекрасный сервис для просмотра файлов на сервере Кіровоградська обласна державна адміністрація Открыть NAS в Сеть тоже гениальная идея. Радикальная транспарентность. #FuckResponsibleDisclosure
От чего я устал походу #FRD, так от воя про нищую, несчастную госушеньку, у которой денежек на зарплатку не хватает. А дадите денежек, так сразу всё сразу и наладится. Ходить по кругу мне не хочется, потому я приведу другой аргумент. У нас в стране около ста тысяч державных и тесно с державой связанных установ, в которых числится (назвать это работой язык не поворачивается) сильно больше миллиона человек. Больше чем в УССР (а там другое совсем было государство, вникающее жестко и без мыла во все аспекты жизни).
А теперь немного очевидных фактов.
Ни одна сложная система не может работать без присмотра. Разве что Вояджер-2, да и то, что-то там перешивали удаленно и денег он стоит космических. И если вы захотите по два админа на каждую городушку, и даже отдадите им все деньги мира, то их нужно двести тысяч человек. Столько в Украине нет. Даже если всех тестеров и быдлокодеров на пыхе отправить на курсы админов и безопасников. Нет. И не будет. И аутсорсить по-тупому тоже не выйдет, потому что контрактору тоже нужно сказать, что от него нужно. А руководящих работников бесполезно пиздить, потому что они не понимают, что от них хотят.
Потому выход тут довольно простой - сокращение функций государства, дерегуляция, приватизация государственных предприятий, сокращение количества служащих и укрупнение (но не централизация) систем. Тогда и на зарплату денег хватит. И спрашивать будет с кого.
А теперь немного очевидных фактов.
Ни одна сложная система не может работать без присмотра. Разве что Вояджер-2, да и то, что-то там перешивали удаленно и денег он стоит космических. И если вы захотите по два админа на каждую городушку, и даже отдадите им все деньги мира, то их нужно двести тысяч человек. Столько в Украине нет. Даже если всех тестеров и быдлокодеров на пыхе отправить на курсы админов и безопасников. Нет. И не будет. И аутсорсить по-тупому тоже не выйдет, потому что контрактору тоже нужно сказать, что от него нужно. А руководящих работников бесполезно пиздить, потому что они не понимают, что от них хотят.
Потому выход тут довольно простой - сокращение функций государства, дерегуляция, приватизация государственных предприятий, сокращение количества служащих и укрупнение (но не централизация) систем. Тогда и на зарплату денег хватит. И спрашивать будет с кого.
Я уже писал об эпических победах киберполиции на просторах интернетов https://www.facebook.com/sean.townsend.7777019/posts/345925356265727 Если кратенько, то человек сделал себе немного сайтов, которыми сам и управлял, и то ли решил их монетизировать js-майнером, то ли его проломили и поставили майнер.
Однако полиция решила, что он "вмешался в работу" собственных сайтов (sic!), и предъявила ему 361 часть 2. Как всегда случается в подобных случаях, юридическое говновозилово продолжалось год и один день, и закончилось сделкой (8500 штраф и 1001 за "экспертизу"). Статья к тому моменту мутировала в 361-1 ч.1 (изготовление вредоносного ПО)
Естественно, JS-майнер никакое не вредоносное ПО (не больше чем Boomerang или фейсбук, от которых мой i7 воет и срет под себя гигабайтами), и конечно же владелец сайта не может несанкционированно вмешаться в работу собственного сайта (просто по определению). Дармоеды в тактических носках в очередной раз ограбили, оболгали и принудили к самооговору невиновного человека, что совсем не новость.
У меня возник другой вопрос. А сколько стоила вся эта бурная деятельность бюджету? Сотни часов работы полиции, прокуратуры, адвокатов, судей и всей их блядской кодлы? Про репутацию (какая там в пизду репутация!) и сопутствующий ущерб просто молчу.
Однако полиция решила, что он "вмешался в работу" собственных сайтов (sic!), и предъявила ему 361 часть 2. Как всегда случается в подобных случаях, юридическое говновозилово продолжалось год и один день, и закончилось сделкой (8500 штраф и 1001 за "экспертизу"). Статья к тому моменту мутировала в 361-1 ч.1 (изготовление вредоносного ПО)
Естественно, JS-майнер никакое не вредоносное ПО (не больше чем Boomerang или фейсбук, от которых мой i7 воет и срет под себя гигабайтами), и конечно же владелец сайта не может несанкционированно вмешаться в работу собственного сайта (просто по определению). Дармоеды в тактических носках в очередной раз ограбили, оболгали и принудили к самооговору невиновного человека, что совсем не новость.
У меня возник другой вопрос. А сколько стоила вся эта бурная деятельность бюджету? Сотни часов работы полиции, прокуратуры, адвокатов, судей и всей их блядской кодлы? Про репутацию (какая там в пизду репутация!) и сопутствующий ущерб просто молчу.
Если вы помните (а если не помните, то лурк в помощь), был такой замечательный школяр Попов, который заменил в Ubuntu обои и назвал своё поделие BolgenOS. Телеканалы были в восторге, школьник из засралья написал "собственную операционную систему". Извинялись потом конечно же. Другое популярное развлечение за поребриком - портить Линуксы с целью повысить их невменяемость до общегосударственного уровня. Теперь эта беда докатилась и до нас. Попалась мне "защищенная операционная система (ЗОС) BBOS™", ™, блядь, не хуй собачий. С сертификацией по КСЗІ, ясное дело. При ближайшем рассмотрении сия "система" оказалась OpenBSD 6.8. Ребята сразу умудрились нарушить одну из самых свободных лицензий в мире, потому что "все рекламные материалы, упоминающие особенности данного ПО должны содержать следующее уведомление: "This product includes software developed by the University of California, Berkeley and its contributors". Что особенно печально ректор Черниговского университета, заслужений діяч науки і техніки Шкарлет пытается напарить чудо-разработку для установки в государственных учреждениях и сетях критической инфраструктуры. Не удивлюсь, если сей ученный муж связан с двумя ТОВками-"разработчиками". Ничего плохого в изготовлении клонов конечно нет, и внедрение open source достойное поле для деятельности, но подтягивать под это дело админ-ресурс, нарушать копирайты и выдавать необновляемое, но сильно сертифицированное говно за security by default очень нехорошо. Стыдно. И небезопасно.
Очень специальная в своих представлениях о реальности The State Service for Special Communication and Information Protection в очередной раз решила кого-нибудь осчастливить частно-государственным партерством, в этот раз провайдеров. Я вам очень коротко скажу про партнерство. У госухи есть три предложения для бизнеса (два честных и одно "как всегда") - "мы вам дадим контракты" (в случае провайдеров, куда вы, суки, денетесь с подводной лодки, сами приползёте), "мы вам дадим информацию", которая иначе осталась бы секретной (то больше интересует ИБ компании) и "мы вас не будем пиздить регуляцией" (ночь темна и полна ужасов, но за регуляцию в Интернете можно неслабо выхватить - ибо харам). Более того, телекомы одна из самых защищенных отраслей - у них есть опыт и квалифицированные сотрудники, а госуха - кровоточащая дыра в безопасности. Нищая, обосранная и дырявая госуха просит у телекомов, построить себе за свои деньги вундервафлю для защиты того, что не сломано, и которая им не нужна, чтобы что? Чтобы ебланопитеки подобрались поближе к частной инфе и инфраструктуре. А взамен что? Даже не писечку. Просто ничего. Как говорил кот Матроскин: "Совместный труд для моей пользы, он объединяет!" Охуительное предложение, я считаю. Я бы сразу послал прямым текстом.
P.S. Про IXP и DNS особенно доставило. #ДССЗЗІ
P.S. Про IXP и DNS особенно доставило. #ДССЗЗІ
Ещё один рак, разъедающий /govua/, отечественный говнет НСКЗ/НТМ, закон о создании которого ещё Кучма в 2002 году подписывал. С тех пор ретарды из ДССЗЗІ усиленно осваивали бюджеты на постройку чуда враждебной им техники. Я вернусь к самым основам и напомню для чего нужны говнеты. Приходит пересичный к державе, и говорит: а сделай мне, держава, что-нибудь любое моему сердцу, на что та ему отвечает, в день полной луны явись в неведомые ебеня и добудь для меня Справку о семи печатях, которую я сама же тебе и выдам, но не этой рукою, а другою. Пригорюнивается Ивашка-Дурашка, прижукнется, но надевает сапоги железные, чтобы стоптать их о пороги каменные. А нормальный человек, не привыкший к повседневным унижениям советского делопроизводства, должен сказать, нахуй пошла, карга большевицкая, тебе надо - ты и ходи! И ножкой топ, побыстрее, мол! Чиновник начинает чесать репу и шлёт запросы бумажные, что долго и муторно. Тут ему самое время научиться пользоваться имейлом. Потому, что почти бесплатно, то есть даром и не так утомительно, как марки облизывать. А избушек тех на курьих ножках, которые накапливают информацию, чтобы ей баражить и озалупливать население (в порядке электронной очереди) у нас не семь, как в законе "про засады", а сто ебучих тысяч (включая коммунальную хуедрочь и державные спиздприемства). И первое, что сделал бы добрый молодец, чтобы поебать стотысячехуего дракона, так часть членов бы ему порубил. И сократил бы цифровую орду где-то до пятидесяти хабов, разделенных по региональному и ведомственному принципу. Потому, что по сисадмину с винчестером и по фельдъегерю с конем к каждой райраде не приставишь. А они там пусть с коллегами занимаются взаимным хозрасчетом во все дыры, в меру своей убогой фантазии. А сеть, милые мои, то совсем уже просто - там где трое соберутся во имя её, там и сеть - Алиса с Бобом и роутер Кэрол. Каковой за отсутствием собственной сетевой инфраструктуры принимает VPN-конекты. А когда появятся хабы, способные что-то хранить и обрабатывать, не насрав себе в штаны, то можно арендовать транспорт между ними и маршрутизацию поднять, чтобы изначальная архитектура типа "звезда" пиздою не прикучерявилась. А потом уже можно и своё колечко кинуть, на случай полномасштабного вторжения. И строго-настрого нельзя в той сети хранить даже ДСК, а не то секир башка сразу и довичный эцих с гвоздями. И не для всех она та сеть, а только для гражданского пользования, а военным и чекистам свои сети полагаются. И тому, кто компьютер с подключением к "Т"-сети воткнет в сеть общего пользования, тому не эцих, а сразу фало-перфоратор на тысячу ударов в минуту и измену родине. А гос. спец. связь нахуй разогнать конечно, и раз они так пилят хорошо, то поставить их на путь окончательного исправления и собрать из них краснознаменную артель лесорубов им. Александры Грей #ДССЗЗІ #НСКЗ #НТМ
Давайте с терминами определяться, а то господин Баканов к вчерашней пресс-конференции СБУ подготовился плохо, и говорил смешное и странное. Dark net - сеть обособленная от Интернета, а deep web - часть которая вроде бы и доступна, но только если знать куда идти. Самый яркий пример и того и другого, даже не TOR, а внутренний корпоративный веб-сайт для сотрудников. Интернет вполне справляется с саморегуляцией, и у каждого провайдера есть специальный адрес abuse@ для жалоб. А самые хитренькие мошенники просто делают свой собственный узел и на жалобы конечно не отвечают (на них тоже есть управа, но об этом в другой раз), и такой отмороженный сервис называется bullet proof или абузоустойчивый (именно так, через "у"). И поваленный вчера whost - именно такой сервис. А совсем никакой не даркнет. Всего было изъято 150 серверов, что согласитесь для "40 процентов даркнета" маловато, как по количеству, так и по возможной прибыли. Вступление от капитана Ясен Хер закончено, а теперь день перестаёт быть томным. Whost продолжает отвечать на сообщения, то ли СБУ затеяла оперативную игру, что довольно сложно делать после пресс-конференции, то ли с никнеймами опять вышла какая-то путаница. Прямо беда какая-то с теми никнеймами, даже Секретная служба и Федеральное Бюро могут сесть в лужу. :-)
P.S. Возможно, что это был действительно абузоустойчивый хостинг, но не тот. Может на свободе остались другие организаторы whost и ДЦ, который накрыла СБУ не единственный, иначе они бы просто не смогли продолжать работать. Мне на самом деле насрать и на WHost и на господина Рытикова, кем бы он ни был, но у меня просто глаза кровоточат от такой подачи материала.
Диджитализация СБУ Дубилетом меня, если честно, пугает, но то лучше обсудить отдельно.
P.S. Возможно, что это был действительно абузоустойчивый хостинг, но не тот. Может на свободе остались другие организаторы whost и ДЦ, который накрыла СБУ не единственный, иначе они бы просто не смогли продолжать работать. Мне на самом деле насрать и на WHost и на господина Рытикова, кем бы он ни был, но у меня просто глаза кровоточат от такой подачи материала.
Диджитализация СБУ Дубилетом меня, если честно, пугает, но то лучше обсудить отдельно.
Один из крупнейших европейских хостеров Hetzner Online GmbH давит на Тиждень из-за писульки Росконадзора. Подобное уже случалось в 2014, тогда газоспасаемая пыталась выпихнуть с насиженного места Главком. Закончилось тем, что Хетцнер извинился за попытку цензуры от российских беспредельщиков. Они и сами попадали под блокировки РКН целиком и полностью, и пора бы уже понять, что каждый уважающий себя человек письма от врагов Интернета и свободной прессы должен выбрасывать в мусорное ведро не читая. РФ недоговороспособна, с ними не о чем разговаривать. Я хотел бы, чтобы Міністерство закордонних справ України / MFA of Ukraine обратило внимание на этот случай и напомнило хостеру и о ценностях, и о законности.
Міністерство інформаційної політики України и Міністерство фінансів України, один из наших волонтёров послал меня к вам, чтобы я у вас спросил: вы уверены, что полные дампы базы данных с логинами и паролями нужно называть "fulldump.dump" и выкладывать в папку "minfin" на FTP, логин и пароль от которого лежит на одноименной веб-странице? Буду очень благодарен вам за ответ. Я конечно понимаю, что вы сторонники открытости, но не настолько же радикальной? #FuckResponsibleDisclosure
P.S. Хеши паролей - несоленый MD5:
eb0a191797624dd3a48fa681d3061212 = master
(охуенный пароль, я считаю)
P.S. Хеши паролей - несоленый MD5:
eb0a191797624dd3a48fa681d3061212 = master
(охуенный пароль, я считаю)
Чем хорош хакерский дискурс, так своим тончайшим флёром таинственности и непостижимости. Достаточно сказать "хакеры, хакеры!" И вроде как бы уже и всё понятно, и в то же время возникает ощущение, что сие глубокая тайна есть и окончательной правды мы не узнаем никогда. "Это хакеры ворвались, взломали. Я сам был в Краснодаре в этот момент. Мне аппарат докладывал". Вопрос закрыт. Очень удобно. Уже какое-то время наблюдаю за гастролями труппы "Digital Revolution", тут тебе и 1337 Sp33cH и черепа какие-то в будёновках, пламенные борцы с ФСБ, взвейтесь, да развейтесь - все дела. Балалаек не хватает. Только слишком много всего понамешано, тут тебе и аккаунт-одноневка "0v1ru$" (думаю, что этот кретинизм читается как zero virus) и предложение сливать инсайд на якобы наизащищеннейшую ликсо-подобную систему, и банда хакеров и всё в одном лице. Детали не бются между собой. Сегодня BBC опубликовало очередной мега-хацкерный слив (несколько доков и парочка скриншотов из якобы 8 терабайт) https://www.bbc.com/russian/features-49050982 Все сливы посвящены около-ФСБшным конторкам, которые одновременно занимаются, в меру своего скудного понимания, и атакой и защитой. На скриншоте мы видим типичный троян для Андроид, которым почему-то (и не факт что это правда) заинтересовались в Мосэнерго, есть и защитные решения. Естественно, ни в каких "цифровых нео-революционеров" и зерохрюкеров я не верю. Западным спец. службам технологии позднего неолита тоже без надобности. Например, time-based атака на TOR в отдельно взятой стране технически невозможна. И заливать их таким соусом бессмысленно: слежка и прослушка прописаны в законах РФ, ничего тайного там нет. Итого. Cui bono? Точно так же как и при нашем СБУ и ДССЗЗІ, вокруг ФСБ вертится огромное количество проходимцев, мечтающих о том, чтобы присесть на гос. заказ и защиту родины. Собственные возможности ФСБ и ГРУ в области in-house разработок близки к нулевым. И таким незатейливым, но эффектным способом кто-то из крупных игроков на рынке безопасности избавляется от горе-конкурентов. Для security компании взлом - гроб с музыкой. Даже не очень-то и прячутся. А если вы вдруг поверили в борцов за свободу и прочую закулисную анаконду, ну что же, можете и помечтать.
P.S. История с Рытиковым-Вхостом тоже получила неожиданное продолжение, но там понамешано настолько густо и часто, что я ещё до конца не разобрался.
P.S. История с Рытиковым-Вхостом тоже получила неожиданное продолжение, но там понамешано настолько густо и часто, что я ещё до конца не разобрался.
BBC News Русская служба
Москит, Надежда, Наутилус: хакеры раскрыли суть проектов тайного подрядчика ФСБ
Хакеры взломали сервер крупного подрядчика российских спецслужб и ведомств, а затем поделились с журналистами описаниями десятков непубличных проектов в области интернета: от деанонимизации пользователей браузера Tor до исследования уязвимости торрентов.
Всё-таки когда некоторых людей сравнивают с аквариумными рыбками, это большой им комплимент. Пролистать 93 страницы (их там 92) и ничего не вспомнить и не понять - я так не умею. А отдельные твиттеряне справляются, самые "одарённые" умудряются задавать вопросы, не читая даже твит. https://twitter.com/ictopyk/status/1152847294573641728?s=07
А саму статью "The Surkov Leaks: The Inner Workings of Russia’s Hybrid War in Ukraine" очень рекомендую, хорошая основательная работа https://www.rusi.org/sites/default/files/201907_op_surkov_leaks_web_final.pdf #SurkovLeaks
А саму статью "The Surkov Leaks: The Inner Workings of Russia’s Hybrid War in Ukraine" очень рекомендую, хорошая основательная работа https://www.rusi.org/sites/default/files/201907_op_surkov_leaks_web_final.pdf #SurkovLeaks