Я вынесу из комментариев одну чудесную цитату для закрепления материала. "Да, верно, недоработки в защите могут нанести ущерб информационным системам, но мы должны помнить, что электронный паспорт - защищенный документ, и не имеет ничего общего с информационными системами". Не я придумал, в ICAO так говорят, именно они разрабатывали стандарт для ID-карт.
ID-карты защищены (ну почти) от скимминга, чтобы нельзя было снять незаметно копию (тут стандарт поломан в технической части) и от подделки (а тут в организационной). Токены ЕЦП сделаны так, что из них нельзя (скорее всего) извлечь ключи, но в них нет идентифицирующей информации. Банковский двуфактор - ящик с двумя ключами для хранения денег, и то ваш риск сколько там хранить денег - сотку или миллион. Банк вызывает больше доверия чем опсос, но строго делит ответственность.
Я совсем простой пример приведу из онлайн-мира, где вопросы аутентификации стоят давно и жестко. Восстанавливая доступ к аккаунту вам может понадобится всё и сразу, и телефон и какой-нибудь хотя бы из паролей, и фото с паспортом в руках, и возможно с бумажкой "двачик 21.08.2019", пруфпик и есть идентификатор, там можно что-то сравнивать между собой, а бумажка с надписью - защита от клонирования и скоростного фотошопа. И то бесплатный сервис, вроде почты, не банк даже и не нотариус.
MobileID уже теплее, но там за аутентификацию (подтверждение идентификации) отвечает продавец из салона с IQ 70 и примерно такой же зарплатой, если считать в банках с собачьими кормом. Конец будет так же предсказуем, как и "симки по паспорту" в зазеркальной федерации. И раз аутентификация поломана и изуродована безмозглыми энтузиастами ещё в колыбели, то хотя бы авторизацию не нужно доламывать, и оставить возможность не участвовать в электронном гадюшнике на колёсиках.
Второй вопрос - учет и ответственность. Потому помимо документа, где-то в далёком райотделе лежит "форма 1" со всеми многочисленными приложениями. И десять форм могут потечь, но не все сразу. А в документе серия и номер, и примерно известно, где те бланки лежат. (Если в идеале. Децентрализация) И всё это как раз для того, чтобы искать ментов неверных и наказывать их за выдачу левых документов и попытку сунуть нос куда не надо. А когда CSCA и SA совпадают, то тем самым вы снимаете ответственность со всей вертикали.
Расчёт в такой системе идёт на сравнение данных в многочисленных реестрах (которых вобще быть не должно), для чего их приходится объединять и они превращаются в единую точку отказа, утечки и подделки. Источник большой власти и больших денег. Бесконтрольной власти и бесконтрольных денег. И это настолько элементарные и очевидные вещи, что я просто не понимаю, насколько же нужно быть непроходимо, блядь, тупым и жадным, чтобы одновременно портить и бумажную систему и электронную.
ID-карты защищены (ну почти) от скимминга, чтобы нельзя было снять незаметно копию (тут стандарт поломан в технической части) и от подделки (а тут в организационной). Токены ЕЦП сделаны так, что из них нельзя (скорее всего) извлечь ключи, но в них нет идентифицирующей информации. Банковский двуфактор - ящик с двумя ключами для хранения денег, и то ваш риск сколько там хранить денег - сотку или миллион. Банк вызывает больше доверия чем опсос, но строго делит ответственность.
Я совсем простой пример приведу из онлайн-мира, где вопросы аутентификации стоят давно и жестко. Восстанавливая доступ к аккаунту вам может понадобится всё и сразу, и телефон и какой-нибудь хотя бы из паролей, и фото с паспортом в руках, и возможно с бумажкой "двачик 21.08.2019", пруфпик и есть идентификатор, там можно что-то сравнивать между собой, а бумажка с надписью - защита от клонирования и скоростного фотошопа. И то бесплатный сервис, вроде почты, не банк даже и не нотариус.
MobileID уже теплее, но там за аутентификацию (подтверждение идентификации) отвечает продавец из салона с IQ 70 и примерно такой же зарплатой, если считать в банках с собачьими кормом. Конец будет так же предсказуем, как и "симки по паспорту" в зазеркальной федерации. И раз аутентификация поломана и изуродована безмозглыми энтузиастами ещё в колыбели, то хотя бы авторизацию не нужно доламывать, и оставить возможность не участвовать в электронном гадюшнике на колёсиках.
Второй вопрос - учет и ответственность. Потому помимо документа, где-то в далёком райотделе лежит "форма 1" со всеми многочисленными приложениями. И десять форм могут потечь, но не все сразу. А в документе серия и номер, и примерно известно, где те бланки лежат. (Если в идеале. Децентрализация) И всё это как раз для того, чтобы искать ментов неверных и наказывать их за выдачу левых документов и попытку сунуть нос куда не надо. А когда CSCA и SA совпадают, то тем самым вы снимаете ответственность со всей вертикали.
Расчёт в такой системе идёт на сравнение данных в многочисленных реестрах (которых вобще быть не должно), для чего их приходится объединять и они превращаются в единую точку отказа, утечки и подделки. Источник большой власти и больших денег. Бесконтрольной власти и бесконтрольных денег. И это настолько элементарные и очевидные вещи, что я просто не понимаю, насколько же нужно быть непроходимо, блядь, тупым и жадным, чтобы одновременно портить и бумажную систему и электронную.
👍1
Страна розовой криптографии
Смотрю на то, как полным ходом проходит одубилечивание населения, и хочу вам рассказать, как должен был бы работать PKI, сферический и в вакууме. Итак, связывать субъекты (юридические и физические лица) с подписью должны не продавцы симок в супер-маркете и не низкооплачиваемые безымянные клерки ДФС (их легко подкупить), а специально уполномоченные люди, несущие полную (уголовную) ответственность за процесс аутентификации.
Вы приходите к регистратору подписей с чистым токеном, который самостоятельно генерирует ключевую пару (это не e-ID, не "Автор", не флешка и не симка), и после того как вводите пароль разблокировки (никаких "USB-хабов", привет Медок), тот отдаёт регистратору на подпись публичный ключ. Регистратор проверяет паспорт и подписывает ваш публичный ключ, своей собственной *именной* подписью. Если что-то пойдёт не так, то кто-то должен сесть за подделку документов.
Или он. Или вы. Без вариантов. Неотвратимо. В тюрьму.
Потом он печатает fingerprint и добавляет ваше фото с бумажкой в руках в архив на память. Если вы мошенник, то это фото появится на стендах "их разыскивает полиция". Если регулятор (а регуляция должна быть жесткой и непрерывной, никаких мораториев) не найдёт такой бумажки в архиве, то это будет фото регистратора.
Потом ключ подписанный регистратором (Signing Authority), заверяется подписью ЦСК (по-английски CA), тем самым ЦСК свидетельствует, что SA - его сотрудник, и они вместе несут солидарную ответственность. И за действие и за бездействие, и за халатность, и за утечку PII - за все возможные негоразды. Ключ CA подписан государством CSCA. Если нагнётся CSCA, то всем конец. Даже судьям и прокурорам.
Возникает цепочка доверия, и везде, на каждом уровне есть ответственный за то, что не будут созданы левые подписи, что они выданы тем кому надо, и у каждой ошибки есть имя, для пополнения "реестра заключенных" (одновремнно с конфискацией имущества и запретом занимать посады).
Бумажная система, по крайней мере, как она задумывалась, работает похожим образом. Если вы забыли, то загляните в свой паспорт, или вспомните как Приват фотографирует вас с картой в руках, а Фейсбук с паспортом. И это только ЭЦП.
О фактах и документах, о том зачем нужны посредники, о разрешении конфликтов и почему нельзя заменить отношения между людьми алгоритмом поговорим в следующий раз.
Смотрю на то, как полным ходом проходит одубилечивание населения, и хочу вам рассказать, как должен был бы работать PKI, сферический и в вакууме. Итак, связывать субъекты (юридические и физические лица) с подписью должны не продавцы симок в супер-маркете и не низкооплачиваемые безымянные клерки ДФС (их легко подкупить), а специально уполномоченные люди, несущие полную (уголовную) ответственность за процесс аутентификации.
Вы приходите к регистратору подписей с чистым токеном, который самостоятельно генерирует ключевую пару (это не e-ID, не "Автор", не флешка и не симка), и после того как вводите пароль разблокировки (никаких "USB-хабов", привет Медок), тот отдаёт регистратору на подпись публичный ключ. Регистратор проверяет паспорт и подписывает ваш публичный ключ, своей собственной *именной* подписью. Если что-то пойдёт не так, то кто-то должен сесть за подделку документов.
Или он. Или вы. Без вариантов. Неотвратимо. В тюрьму.
Потом он печатает fingerprint и добавляет ваше фото с бумажкой в руках в архив на память. Если вы мошенник, то это фото появится на стендах "их разыскивает полиция". Если регулятор (а регуляция должна быть жесткой и непрерывной, никаких мораториев) не найдёт такой бумажки в архиве, то это будет фото регистратора.
Потом ключ подписанный регистратором (Signing Authority), заверяется подписью ЦСК (по-английски CA), тем самым ЦСК свидетельствует, что SA - его сотрудник, и они вместе несут солидарную ответственность. И за действие и за бездействие, и за халатность, и за утечку PII - за все возможные негоразды. Ключ CA подписан государством CSCA. Если нагнётся CSCA, то всем конец. Даже судьям и прокурорам.
Возникает цепочка доверия, и везде, на каждом уровне есть ответственный за то, что не будут созданы левые подписи, что они выданы тем кому надо, и у каждой ошибки есть имя, для пополнения "реестра заключенных" (одновремнно с конфискацией имущества и запретом занимать посады).
Бумажная система, по крайней мере, как она задумывалась, работает похожим образом. Если вы забыли, то загляните в свой паспорт, или вспомните как Приват фотографирует вас с картой в руках, а Фейсбук с паспортом. И это только ЭЦП.
О фактах и документах, о том зачем нужны посредники, о разрешении конфликтов и почему нельзя заменить отношения между людьми алгоритмом поговорим в следующий раз.
Всю ночь в редакции Главком горел свет. Программисты и журналисты, уборщицы и корректоры, и даже главред Viktor Shlinchak пересчитывали на счетах голоса в онлайн опросе по поводу оценки первых ста дней зелебобы. Выкидывали голоса тысячами, капчу цепляли, по IP вычисляли, что та Антонина, и даже один раз снесли и создали заново, но не справились. Приторочил я сегодня утром к броузеру socks/VDS с белым ипом, чтобы электронно, смартфонно и демократично волеизъявиться, но голосовалку уже доломали до полностью неработающего состояния. Оказывается, что я уже проголосовал. Значит будет как в той шутке про безопасника и "резюме на рабочем столе". Исправленному прошу верить #XSS #FuckResponsibleDisclosure Архив http://archive.is/mT5O1
ПРО Е-ВЫБОРЫ И ДВОЙНОЙ КСОР
Пролистал препринт Pierrick Gaudry https://arxiv.org/pdf/1908.05127.pdf о взломе ключей в новой голосовалке на выборах в Мосгордуму. Поржал. Максимальная длина числа, которое можно использовать без дополнительных телодвижений в языке, на котором всё это написано - 256 бит (для эллиптических кривых это норм, но для Эль-Гамаля недостаточно). И тогда доморощенные гениальные левши зашифровали бюллетень трижды. Интуиция им наверное подсказала, что три ключа по 256 - так же хорошо, как один 768-битный. "Вчера по пять, а сегоня маленькие и по три". Интуиция, как всегда, даёт сбой, если вы не доверяете алгоритму или ключам, то их не нужно использовать совсем, накладывать их слоями бесмыссленно. Но ещё более смешные дела там происходят в организационной части. Избиратель заходит в личный, OMFG, кабинет, то есть накрав паспортных данных и прикупив симок можно нарегать избирателей, из тех кто не регистрировался (слушай е-гов, слушай, это именно то о чем я говорил), затем в броузере на компьютере набитом вирьём, гослос шифруется и через тот же "личный кабинет" якобы "анонимизируется". То есть вы должны просто поверить Собянину. С детства ему там все верят, с младенчества. И наконец-то голос загружается в приватный блокчейн, котрым та же Мосгордума и управляет. Я думаю, что с консенсусом проблем не возникнет, будет единоглассное "за". И даже, если бы то был публичный блокчейн, то разницы бы никакой не было, потому что узлам сети нечего проверять, они просто должны поверить личному кабинету мосгордуры, и опять-таки всё было бы единогласно и с переходом в долгие, несмолкающие аплодисменты. In soviet Russia блокчейн голосует тобой. С тем же успехом можно было бы просто сгенерировать разделяемый (DH) секрет и опубликовать зашифрованный голос в текстовом файле. Разницы никакой. Безопасности тоже никакой. В божественном и непогрешимом Эстонском еврайхе - тоже самое. Вы просто должны верить, что следующее поколение людей будет жить при коммунизме. Зачем московитам это нужно? Затем же, что и всем. Выглядеть модно и молодежно и подделывать результаты ввборов, потому что изначально дырявое электронное голосование сводит в ноль и оффлайновые усилия тоже. Они не только нарушили самую суть демократической процедуры, но сделали её ещё слабее чем бумага. Отличный пример карго-культа и крипто-наебалова. Так что, если вам кто-то будет рассказывать про выборы е-паспортами на блокчейне, сразу бейте его ногами в лицо, оглоблей бейте, плюйте и ссыте на него, потому что перед вами - проходимец и жулик.
Пролистал препринт Pierrick Gaudry https://arxiv.org/pdf/1908.05127.pdf о взломе ключей в новой голосовалке на выборах в Мосгордуму. Поржал. Максимальная длина числа, которое можно использовать без дополнительных телодвижений в языке, на котором всё это написано - 256 бит (для эллиптических кривых это норм, но для Эль-Гамаля недостаточно). И тогда доморощенные гениальные левши зашифровали бюллетень трижды. Интуиция им наверное подсказала, что три ключа по 256 - так же хорошо, как один 768-битный. "Вчера по пять, а сегоня маленькие и по три". Интуиция, как всегда, даёт сбой, если вы не доверяете алгоритму или ключам, то их не нужно использовать совсем, накладывать их слоями бесмыссленно. Но ещё более смешные дела там происходят в организационной части. Избиратель заходит в личный, OMFG, кабинет, то есть накрав паспортных данных и прикупив симок можно нарегать избирателей, из тех кто не регистрировался (слушай е-гов, слушай, это именно то о чем я говорил), затем в броузере на компьютере набитом вирьём, гослос шифруется и через тот же "личный кабинет" якобы "анонимизируется". То есть вы должны просто поверить Собянину. С детства ему там все верят, с младенчества. И наконец-то голос загружается в приватный блокчейн, котрым та же Мосгордума и управляет. Я думаю, что с консенсусом проблем не возникнет, будет единоглассное "за". И даже, если бы то был публичный блокчейн, то разницы бы никакой не было, потому что узлам сети нечего проверять, они просто должны поверить личному кабинету мосгордуры, и опять-таки всё было бы единогласно и с переходом в долгие, несмолкающие аплодисменты. In soviet Russia блокчейн голосует тобой. С тем же успехом можно было бы просто сгенерировать разделяемый (DH) секрет и опубликовать зашифрованный голос в текстовом файле. Разницы никакой. Безопасности тоже никакой. В божественном и непогрешимом Эстонском еврайхе - тоже самое. Вы просто должны верить, что следующее поколение людей будет жить при коммунизме. Зачем московитам это нужно? Затем же, что и всем. Выглядеть модно и молодежно и подделывать результаты ввборов, потому что изначально дырявое электронное голосование сводит в ноль и оффлайновые усилия тоже. Они не только нарушили самую суть демократической процедуры, но сделали её ещё слабее чем бумага. Отличный пример карго-культа и крипто-наебалова. Так что, если вам кто-то будет рассказывать про выборы е-паспортами на блокчейне, сразу бейте его ногами в лицо, оглоблей бейте, плюйте и ссыте на него, потому что перед вами - проходимец и жулик.
Секретаріат Уповноваженого ВРУ з прав Людини как это трогательно! (Спасибо Serhiy Guryev) Мне даже кажется, что сей обмудсмен уже попадался, так что ничего нового (кроме мимишных картинок, я выбрал самые приличные, такой я зайчик), даже разбираться лень где там дыра, по сравнению с надписью "МГБ ЛНР" на одном из сайтов СБУ - привычный порядок вещей #FuckResponsibleDisclosure
Проснулся ни свет, ни заря, и решил почитать о Mobile ID. Попалась статья с формальной проверкой эстонского протокола и даже немного разобрался в логике разработчиков, которые сделали несколько довольно сильных утверждений. Вся затея расчитана на то, что клиентское приложение (C) живёт в компьютере, пусть даже и зараженном, а телефон (P) - отдельно, и что "троянские атаки на мобильные телефоны представляют собой пренебрежимую часть рынка вирусов" (это самое смешное предсказание из тех, с которыми я сталкивался). Дальше предполагается, что сервис-посредник (D) и оператор (O) всегда работают честно и каналы связи между ними полностью надежны, почему? Потому что это большие организации под пристальным взором общественности. Операторы-то ещё ладно, но на суды, нотариусов, реестры и правоохранителей мы тоже смотрим долго и пристально, и верим в них всех с детства. Сервисы (S) и пользователи (U) могут находится под частичным контролем противника. Слово частичный - важное, напомню, что телефон в модели живет отдельно от приложений и он - хранилище ключей и второй фактор. А, да, канал между пользователем (U) и приложением (C) тоже должен быть надежен, посмотрел в телефон, посмотрел в компьютер. Так же подразумевается, что запчастям не входящим непосредственно в модель, таким как PKI тоже можно доверять (под общественным контролем, ага) Если все условия соблюдены, то протокол формально надежен. Если ослабить часть условий, то ад пустеет и все черти немедля срываются с цепи, что отмечают и авторы исследования. Доброе утро!
Совок у смартфоні
(Чим небезпечне електронне урядування й електронне голосування в українських умовах)
Одна з «фішечок», яку активно просуває команда президента Зеленського, — цифровізація, електронний уряд і «держава в смартфоні». Багато й часто про це говорить Михайло Федоров, відповідальний за диджитал-напрям у Зеленського. У суспільстві, просякнутому недовірою до влади й хтонічним жахом від необхідності взаємодіяти з пострадянською бюрократичною системою, такі ідеї знаходять живий відгук. Цей підхід дуже перегукується з наївною вірою тихоокеанських дикунів у те, що якщо побудувати літак із соломи, то рано чи пізно з нього посиплеться тушонка. Як deus ex machina грецького театру, із комп’ютера вийде дух прогресу й вирішить усі проблеми (навіть ті, яких у нас насправді немає).
Технології пришвидшують і спрощують уже наявні процеси. Кредитні картки й онлайн-банкінг покращують життя і продавцям, і покупцям, але вони ж допомагають злодіям і шахраям діяти зі ще більшою швидкістю та безкарністю. Це не означає, що потрібно повернутися до платіжних доручень і піших походів у банк, але й на ризики нових технологій потрібно зважати. PIN та CVV-коди, паролі і двофакторна ідентифікація ускладнюють крадіжку, але й не виключають таку можливість, у крайньому разі ви втратите заздалегідь відому суму грошей, яку банк може вам компенсувати, щоб підвищити довіру до банківської системи. Усі можливі витрати, пов’язані з шахрайством, давно підраховані й закладені у вартість послуг. У випадку з юридично значущими е-послугами» та «е-виборами все набагато складніше. ... https://tyzhden.ua/Politics/233970
(Чим небезпечне електронне урядування й електронне голосування в українських умовах)
Одна з «фішечок», яку активно просуває команда президента Зеленського, — цифровізація, електронний уряд і «держава в смартфоні». Багато й часто про це говорить Михайло Федоров, відповідальний за диджитал-напрям у Зеленського. У суспільстві, просякнутому недовірою до влади й хтонічним жахом від необхідності взаємодіяти з пострадянською бюрократичною системою, такі ідеї знаходять живий відгук. Цей підхід дуже перегукується з наївною вірою тихоокеанських дикунів у те, що якщо побудувати літак із соломи, то рано чи пізно з нього посиплеться тушонка. Як deus ex machina грецького театру, із комп’ютера вийде дух прогресу й вирішить усі проблеми (навіть ті, яких у нас насправді немає).
Технології пришвидшують і спрощують уже наявні процеси. Кредитні картки й онлайн-банкінг покращують життя і продавцям, і покупцям, але вони ж допомагають злодіям і шахраям діяти зі ще більшою швидкістю та безкарністю. Це не означає, що потрібно повернутися до платіжних доручень і піших походів у банк, але й на ризики нових технологій потрібно зважати. PIN та CVV-коди, паролі і двофакторна ідентифікація ускладнюють крадіжку, але й не виключають таку можливість, у крайньому разі ви втратите заздалегідь відому суму грошей, яку банк може вам компенсувати, щоб підвищити довіру до банківської системи. Усі можливі витрати, пов’язані з шахрайством, давно підраховані й закладені у вартість послуг. У випадку з юридично значущими е-послугами» та «е-виборами все набагато складніше. ... https://tyzhden.ua/Politics/233970
ОПАСНЫЙ ГОРОД
Любая система всегда сложнее, чем простая сумма своих частей, как-нибудь расскажу о том, как малейшая утечка приводит к полному взлому, а пока посмотрим какую прелесть нашел Kir Vaznitcky.
Если вы обращали внимание, у нас уже давно висят камеры наблюдения, уже лет семь как. Для вашей же безопасности между прочим. Любая сомнительная хрень делается для вашей безопасности, а если не доходит с первого раза, то для безопасности ваших детей. Вы что хотите, чтобы ваша дочь стала педофилом?
В странах где знают, что такое тайна частной жизни, подобные поползновения полиции вызывают жесточайшее бурление прав человека, а менты отмахиваются лопатой священного долга и говорят, что у них раскрываемость повысилась на 2 процента в год. В связи с чем возникает вопрос, что может полиция должна лучше работать, а не лезть вам в начале в карман, а потом в трусы?
Наши же правоохренители, не сдерживаемые ни законом, ни общественностью, на вашу частную жизнь просто ложили железнодорожный болт. У них слова такого нет в лексиконе. Сначала подчиняйся, потом обжалуй. И вовсю строят цифровой концлагерь, по лучшим китайским образцам, только на коленке из Лего и Ардуино. Безопасным оно не может быть просто по определению.
Кир нашел чудесную базу - логины, пароли, доступ к внутренним сервисам Національна поліція України, розыскная база (локальная), камера наблюдения. Пароли от сервера с базами данных. Всё полностью в открытом доступе. Никаких взломов. Потом они ещё какую-нибудь трембиту сверху натрембитят, чтобы сделать себе кнопку "Заебись".
Хорошо бы взять парочку авто-номеров генеральских и объявить на них план "Перехват". Для вразумления. #FuckResponsibleDisclosure
Любая система всегда сложнее, чем простая сумма своих частей, как-нибудь расскажу о том, как малейшая утечка приводит к полному взлому, а пока посмотрим какую прелесть нашел Kir Vaznitcky.
Если вы обращали внимание, у нас уже давно висят камеры наблюдения, уже лет семь как. Для вашей же безопасности между прочим. Любая сомнительная хрень делается для вашей безопасности, а если не доходит с первого раза, то для безопасности ваших детей. Вы что хотите, чтобы ваша дочь стала педофилом?
В странах где знают, что такое тайна частной жизни, подобные поползновения полиции вызывают жесточайшее бурление прав человека, а менты отмахиваются лопатой священного долга и говорят, что у них раскрываемость повысилась на 2 процента в год. В связи с чем возникает вопрос, что может полиция должна лучше работать, а не лезть вам в начале в карман, а потом в трусы?
Наши же правоохренители, не сдерживаемые ни законом, ни общественностью, на вашу частную жизнь просто ложили железнодорожный болт. У них слова такого нет в лексиконе. Сначала подчиняйся, потом обжалуй. И вовсю строят цифровой концлагерь, по лучшим китайским образцам, только на коленке из Лего и Ардуино. Безопасным оно не может быть просто по определению.
Кир нашел чудесную базу - логины, пароли, доступ к внутренним сервисам Національна поліція України, розыскная база (локальная), камера наблюдения. Пароли от сервера с базами данных. Всё полностью в открытом доступе. Никаких взломов. Потом они ещё какую-нибудь трембиту сверху натрембитят, чтобы сделать себе кнопку "Заебись".
Хорошо бы взять парочку авто-номеров генеральских и объявить на них план "Перехват". Для вразумления. #FuckResponsibleDisclosure
👍1
Просматривая ленту за чашкой чая, наткнулся на дежурную картинку, для насаждения принудительной культуры быта и подъёма самооценки. Запорожская газета год назад запостила билборд "Пять признаков быдла". Бросил бутылку или ещё как-то намусорил - быдло. 53 тысячи человек поделились и делают это до сих пор. Комментарии сотнями - "надо как в Сингапуре". Такие все культурные, что плюнуть некуда. Что вобщем-то неплохо, но есть ещё один важнейший признак.
Признак "коммунального активиста", призрак которого, по-прежнему, бродит в нашей части Европы.
Что делает "активист"? Вместо того, чтобы поставить урну - начинает выкладывать цветами плакат "насмітив - хрюкни". И я вас уверяю, что на Левобережной в Киеве, где расположена настолько же вдохновляющая композиция, до ближайшей урны не меньше километра в обе стороны. А то и двух. И если вы купите бутылку минералки в гидропарке и решите пройтись пешком до следующей станции, то как раз окажетесь с пустой бутылкой в руках напротив агитационного шедевра.
Сразу вспоминается персонаж Булгакова: "3начит, когда эти баритоны кричат "Бей разруху!" - я смеюсь. (Лицо Филипп Филипповича перекосило так, что тяпнутый открыл рот.) Клянусь вам, мне смешно! Это означает, что каждый из них должен лупить себя по затылку! И вот, когда он вылупит из себя всякие галлюцинации и займется чисткой сараев - прямым своим делом, разруха исчезнет сама собой." Сто лет прошло, а грабли всё те же.
Не только мусора касается, отнюдь.
Признак "коммунального активиста", призрак которого, по-прежнему, бродит в нашей части Европы.
Что делает "активист"? Вместо того, чтобы поставить урну - начинает выкладывать цветами плакат "насмітив - хрюкни". И я вас уверяю, что на Левобережной в Киеве, где расположена настолько же вдохновляющая композиция, до ближайшей урны не меньше километра в обе стороны. А то и двух. И если вы купите бутылку минералки в гидропарке и решите пройтись пешком до следующей станции, то как раз окажетесь с пустой бутылкой в руках напротив агитационного шедевра.
Сразу вспоминается персонаж Булгакова: "3начит, когда эти баритоны кричат "Бей разруху!" - я смеюсь. (Лицо Филипп Филипповича перекосило так, что тяпнутый открыл рот.) Клянусь вам, мне смешно! Это означает, что каждый из них должен лупить себя по затылку! И вот, когда он вылупит из себя всякие галлюцинации и займется чисткой сараев - прямым своим делом, разруха исчезнет сама собой." Сто лет прошло, а грабли всё те же.
Не только мусора касается, отнюдь.
26-08-2019 О, говорящая лошадь Лавров опять говорит о "формуле Штайнмайера", та же самая "федерализация" только в профиль. Давайте вы отдадите ставленникам Кремля политический контроль над всей страной (желательно с правом вето, особый статус - вот это вот всё), а потом прекратим стрелять, но это не точно. Думал, что они что-то новенькое придумают. Эту "формулу" Старая Площадь давно уже и активно пыталась продвигать через западные СМИ, а особенно переводы, уже здесь. Денег потратили без счета, Ардзинба особенно старался, чтобы подать эту зраду как компромисс и "мнение западных экспертов". Даже сметы есть, если поискать. Подонки.
Я собирался рассказать, как сочетание уязвимостей приводит ко взлому (примерно так оно часто и происходит). Попалась как-то пользовательская учетка к российскому гос. сервису, напечатанная прямо в письме, чтобы пользователи не ставили пароль "1234". Оно бы может быть и ничего, но письма теперь не отправляют с почтальоном, а сканируют и отправляют емейлом. У нас так тоже делают сплошь и рядом.
Запускаем самый обычный nikto и находим форму входа, с невероятным названием login.php, и ещё пару полезностей, к которым вернёмся позже. И если снаружи сервис (у него есть публичная часть) выглядит вполне прилично, то внутри у него #SQLi - утечка из базы данных. Зачем проверять ввод, если чужие здесь не ходят? Никто и не проверяет. Неопасно и вобще это "теоретическая уязвимость".
Натравим sqlmap с открытой сессией. Скачиваем базу и первым делом достаём из неё пароли администраторов. Чтобы не страдать перебором сравниваем с тем, что лежит в mysql.user, списке пользователей БД. Есть пароль администратора базы. Добрый nikto нам до этого показал PHPMyAdmin, который был надёжен пока не потекли пароли. Заходим и помимо чтения из базы, у нас появляется доступ к файловой системе SELECT LOAD_FILE / INTO OUTFILE, но пока не понятно куда писать. Возвращаемся к нашему перловому кудеснику. Он напоминает о том, что щедрый админ оставил phpinfo(), сам по себе инфо безвреден, но мы теперь знаем путь к сайту.
И тут первая загвоздка, все каталоги только для чтения. Тупик. Что у нас есть ещё? SSH закрыт, но есть FTP. SELECT LOAD_FILE('/etc/passwd'), и пробуем с паролями. Подходит. Теперь есть уже и чтение и запись файлов, заливаем веб-шелл и открываем нормальную консоль. Смотрим ядро. 2012 год, как хорошо что нам попался админ, который считает, что раз работает, то и не трогай. Запускаем CVE-2013-2094 (очень поучительный эксплоит, который рассказывает нам о том, как одно неверное приведение типа, приводит к пробою ядра). Всё.
У нас доступ с правами администратора. Можно закрепляться и поудобнее устраиваться в засаде. Два часа на всё, только стандартные инструменты и ноль хакерских фокусов. Жаль, что там Трембиты какой-нибудь нет, чтобы автоматизировать запросы по смежникам, не дошла туда ещё божественная автоматизация, ну, ничего, справимся и так... И блэкота отличается от APT тем, что сразу влупит какой-нибудь майнер, собранный на коленке, а мы люди тихие, посмотрим что ещё там получится отжать.
P.S. Это ещё напоминание всем нашим э-нтузиастам, как оно бывает на самом деле, и что самый злобный #FRD с освещением в прессе - нежный поцелуй и дружеское напоминание о том как нужно себя вести. А в реальности бывает вот так http://ren.tv/…/ukrainskie-hakery-unichtozhili-sayt-annanew… и гораздо жестче. Многим очень дорого пришлось заплатить за "какую-то неопасную уязвимость".
Запускаем самый обычный nikto и находим форму входа, с невероятным названием login.php, и ещё пару полезностей, к которым вернёмся позже. И если снаружи сервис (у него есть публичная часть) выглядит вполне прилично, то внутри у него #SQLi - утечка из базы данных. Зачем проверять ввод, если чужие здесь не ходят? Никто и не проверяет. Неопасно и вобще это "теоретическая уязвимость".
Натравим sqlmap с открытой сессией. Скачиваем базу и первым делом достаём из неё пароли администраторов. Чтобы не страдать перебором сравниваем с тем, что лежит в mysql.user, списке пользователей БД. Есть пароль администратора базы. Добрый nikto нам до этого показал PHPMyAdmin, который был надёжен пока не потекли пароли. Заходим и помимо чтения из базы, у нас появляется доступ к файловой системе SELECT LOAD_FILE / INTO OUTFILE, но пока не понятно куда писать. Возвращаемся к нашему перловому кудеснику. Он напоминает о том, что щедрый админ оставил phpinfo(), сам по себе инфо безвреден, но мы теперь знаем путь к сайту.
И тут первая загвоздка, все каталоги только для чтения. Тупик. Что у нас есть ещё? SSH закрыт, но есть FTP. SELECT LOAD_FILE('/etc/passwd'), и пробуем с паролями. Подходит. Теперь есть уже и чтение и запись файлов, заливаем веб-шелл и открываем нормальную консоль. Смотрим ядро. 2012 год, как хорошо что нам попался админ, который считает, что раз работает, то и не трогай. Запускаем CVE-2013-2094 (очень поучительный эксплоит, который рассказывает нам о том, как одно неверное приведение типа, приводит к пробою ядра). Всё.
У нас доступ с правами администратора. Можно закрепляться и поудобнее устраиваться в засаде. Два часа на всё, только стандартные инструменты и ноль хакерских фокусов. Жаль, что там Трембиты какой-нибудь нет, чтобы автоматизировать запросы по смежникам, не дошла туда ещё божественная автоматизация, ну, ничего, справимся и так... И блэкота отличается от APT тем, что сразу влупит какой-нибудь майнер, собранный на коленке, а мы люди тихие, посмотрим что ещё там получится отжать.
P.S. Это ещё напоминание всем нашим э-нтузиастам, как оно бывает на самом деле, и что самый злобный #FRD с освещением в прессе - нежный поцелуй и дружеское напоминание о том как нужно себя вести. А в реальности бывает вот так http://ren.tv/…/ukrainskie-hakery-unichtozhili-sayt-annanew… и гораздо жестче. Многим очень дорого пришлось заплатить за "какую-то неопасную уязвимость".