Секретаріат Уповноваженого ВРУ з прав Людини как это трогательно! (Спасибо Serhiy Guryev) Мне даже кажется, что сей обмудсмен уже попадался, так что ничего нового (кроме мимишных картинок, я выбрал самые приличные, такой я зайчик), даже разбираться лень где там дыра, по сравнению с надписью "МГБ ЛНР" на одном из сайтов СБУ - привычный порядок вещей #FuckResponsibleDisclosure
Проснулся ни свет, ни заря, и решил почитать о Mobile ID. Попалась статья с формальной проверкой эстонского протокола и даже немного разобрался в логике разработчиков, которые сделали несколько довольно сильных утверждений. Вся затея расчитана на то, что клиентское приложение (C) живёт в компьютере, пусть даже и зараженном, а телефон (P) - отдельно, и что "троянские атаки на мобильные телефоны представляют собой пренебрежимую часть рынка вирусов" (это самое смешное предсказание из тех, с которыми я сталкивался). Дальше предполагается, что сервис-посредник (D) и оператор (O) всегда работают честно и каналы связи между ними полностью надежны, почему? Потому что это большие организации под пристальным взором общественности. Операторы-то ещё ладно, но на суды, нотариусов, реестры и правоохранителей мы тоже смотрим долго и пристально, и верим в них всех с детства. Сервисы (S) и пользователи (U) могут находится под частичным контролем противника. Слово частичный - важное, напомню, что телефон в модели живет отдельно от приложений и он - хранилище ключей и второй фактор. А, да, канал между пользователем (U) и приложением (C) тоже должен быть надежен, посмотрел в телефон, посмотрел в компьютер. Так же подразумевается, что запчастям не входящим непосредственно в модель, таким как PKI тоже можно доверять (под общественным контролем, ага) Если все условия соблюдены, то протокол формально надежен. Если ослабить часть условий, то ад пустеет и все черти немедля срываются с цепи, что отмечают и авторы исследования. Доброе утро!
Совок у смартфоні
(Чим небезпечне електронне урядування й електронне голосування в українських умовах)
Одна з «фішечок», яку активно просуває команда президента Зеленського, — цифровізація, електронний уряд і «держава в смартфоні». Багато й часто про це говорить Михайло Федоров, відповідальний за диджитал-напрям у Зеленського. У суспільстві, просякнутому недовірою до влади й хтонічним жахом від необхідності взаємодіяти з пострадянською бюрократичною системою, такі ідеї знаходять живий відгук. Цей підхід дуже перегукується з наївною вірою тихоокеанських дикунів у те, що якщо побудувати літак із соломи, то рано чи пізно з нього посиплеться тушонка. Як deus ex machina грецького театру, із комп’ютера вийде дух прогресу й вирішить усі проблеми (навіть ті, яких у нас насправді немає).
Технології пришвидшують і спрощують уже наявні процеси. Кредитні картки й онлайн-банкінг покращують життя і продавцям, і покупцям, але вони ж допомагають злодіям і шахраям діяти зі ще більшою швидкістю та безкарністю. Це не означає, що потрібно повернутися до платіжних доручень і піших походів у банк, але й на ризики нових технологій потрібно зважати. PIN та CVV-коди, паролі і двофакторна ідентифікація ускладнюють крадіжку, але й не виключають таку можливість, у крайньому разі ви втратите заздалегідь відому суму грошей, яку банк може вам компенсувати, щоб підвищити довіру до банківської системи. Усі можливі витрати, пов’язані з шахрайством, давно підраховані й закладені у вартість послуг. У випадку з юридично значущими е-послугами» та «е-виборами все набагато складніше. ... https://tyzhden.ua/Politics/233970
(Чим небезпечне електронне урядування й електронне голосування в українських умовах)
Одна з «фішечок», яку активно просуває команда президента Зеленського, — цифровізація, електронний уряд і «держава в смартфоні». Багато й часто про це говорить Михайло Федоров, відповідальний за диджитал-напрям у Зеленського. У суспільстві, просякнутому недовірою до влади й хтонічним жахом від необхідності взаємодіяти з пострадянською бюрократичною системою, такі ідеї знаходять живий відгук. Цей підхід дуже перегукується з наївною вірою тихоокеанських дикунів у те, що якщо побудувати літак із соломи, то рано чи пізно з нього посиплеться тушонка. Як deus ex machina грецького театру, із комп’ютера вийде дух прогресу й вирішить усі проблеми (навіть ті, яких у нас насправді немає).
Технології пришвидшують і спрощують уже наявні процеси. Кредитні картки й онлайн-банкінг покращують життя і продавцям, і покупцям, але вони ж допомагають злодіям і шахраям діяти зі ще більшою швидкістю та безкарністю. Це не означає, що потрібно повернутися до платіжних доручень і піших походів у банк, але й на ризики нових технологій потрібно зважати. PIN та CVV-коди, паролі і двофакторна ідентифікація ускладнюють крадіжку, але й не виключають таку можливість, у крайньому разі ви втратите заздалегідь відому суму грошей, яку банк може вам компенсувати, щоб підвищити довіру до банківської системи. Усі можливі витрати, пов’язані з шахрайством, давно підраховані й закладені у вартість послуг. У випадку з юридично значущими е-послугами» та «е-виборами все набагато складніше. ... https://tyzhden.ua/Politics/233970
ОПАСНЫЙ ГОРОД
Любая система всегда сложнее, чем простая сумма своих частей, как-нибудь расскажу о том, как малейшая утечка приводит к полному взлому, а пока посмотрим какую прелесть нашел Kir Vaznitcky.
Если вы обращали внимание, у нас уже давно висят камеры наблюдения, уже лет семь как. Для вашей же безопасности между прочим. Любая сомнительная хрень делается для вашей безопасности, а если не доходит с первого раза, то для безопасности ваших детей. Вы что хотите, чтобы ваша дочь стала педофилом?
В странах где знают, что такое тайна частной жизни, подобные поползновения полиции вызывают жесточайшее бурление прав человека, а менты отмахиваются лопатой священного долга и говорят, что у них раскрываемость повысилась на 2 процента в год. В связи с чем возникает вопрос, что может полиция должна лучше работать, а не лезть вам в начале в карман, а потом в трусы?
Наши же правоохренители, не сдерживаемые ни законом, ни общественностью, на вашу частную жизнь просто ложили железнодорожный болт. У них слова такого нет в лексиконе. Сначала подчиняйся, потом обжалуй. И вовсю строят цифровой концлагерь, по лучшим китайским образцам, только на коленке из Лего и Ардуино. Безопасным оно не может быть просто по определению.
Кир нашел чудесную базу - логины, пароли, доступ к внутренним сервисам Національна поліція України, розыскная база (локальная), камера наблюдения. Пароли от сервера с базами данных. Всё полностью в открытом доступе. Никаких взломов. Потом они ещё какую-нибудь трембиту сверху натрембитят, чтобы сделать себе кнопку "Заебись".
Хорошо бы взять парочку авто-номеров генеральских и объявить на них план "Перехват". Для вразумления. #FuckResponsibleDisclosure
Любая система всегда сложнее, чем простая сумма своих частей, как-нибудь расскажу о том, как малейшая утечка приводит к полному взлому, а пока посмотрим какую прелесть нашел Kir Vaznitcky.
Если вы обращали внимание, у нас уже давно висят камеры наблюдения, уже лет семь как. Для вашей же безопасности между прочим. Любая сомнительная хрень делается для вашей безопасности, а если не доходит с первого раза, то для безопасности ваших детей. Вы что хотите, чтобы ваша дочь стала педофилом?
В странах где знают, что такое тайна частной жизни, подобные поползновения полиции вызывают жесточайшее бурление прав человека, а менты отмахиваются лопатой священного долга и говорят, что у них раскрываемость повысилась на 2 процента в год. В связи с чем возникает вопрос, что может полиция должна лучше работать, а не лезть вам в начале в карман, а потом в трусы?
Наши же правоохренители, не сдерживаемые ни законом, ни общественностью, на вашу частную жизнь просто ложили железнодорожный болт. У них слова такого нет в лексиконе. Сначала подчиняйся, потом обжалуй. И вовсю строят цифровой концлагерь, по лучшим китайским образцам, только на коленке из Лего и Ардуино. Безопасным оно не может быть просто по определению.
Кир нашел чудесную базу - логины, пароли, доступ к внутренним сервисам Національна поліція України, розыскная база (локальная), камера наблюдения. Пароли от сервера с базами данных. Всё полностью в открытом доступе. Никаких взломов. Потом они ещё какую-нибудь трембиту сверху натрембитят, чтобы сделать себе кнопку "Заебись".
Хорошо бы взять парочку авто-номеров генеральских и объявить на них план "Перехват". Для вразумления. #FuckResponsibleDisclosure
👍1
Просматривая ленту за чашкой чая, наткнулся на дежурную картинку, для насаждения принудительной культуры быта и подъёма самооценки. Запорожская газета год назад запостила билборд "Пять признаков быдла". Бросил бутылку или ещё как-то намусорил - быдло. 53 тысячи человек поделились и делают это до сих пор. Комментарии сотнями - "надо как в Сингапуре". Такие все культурные, что плюнуть некуда. Что вобщем-то неплохо, но есть ещё один важнейший признак.
Признак "коммунального активиста", призрак которого, по-прежнему, бродит в нашей части Европы.
Что делает "активист"? Вместо того, чтобы поставить урну - начинает выкладывать цветами плакат "насмітив - хрюкни". И я вас уверяю, что на Левобережной в Киеве, где расположена настолько же вдохновляющая композиция, до ближайшей урны не меньше километра в обе стороны. А то и двух. И если вы купите бутылку минералки в гидропарке и решите пройтись пешком до следующей станции, то как раз окажетесь с пустой бутылкой в руках напротив агитационного шедевра.
Сразу вспоминается персонаж Булгакова: "3начит, когда эти баритоны кричат "Бей разруху!" - я смеюсь. (Лицо Филипп Филипповича перекосило так, что тяпнутый открыл рот.) Клянусь вам, мне смешно! Это означает, что каждый из них должен лупить себя по затылку! И вот, когда он вылупит из себя всякие галлюцинации и займется чисткой сараев - прямым своим делом, разруха исчезнет сама собой." Сто лет прошло, а грабли всё те же.
Не только мусора касается, отнюдь.
Признак "коммунального активиста", призрак которого, по-прежнему, бродит в нашей части Европы.
Что делает "активист"? Вместо того, чтобы поставить урну - начинает выкладывать цветами плакат "насмітив - хрюкни". И я вас уверяю, что на Левобережной в Киеве, где расположена настолько же вдохновляющая композиция, до ближайшей урны не меньше километра в обе стороны. А то и двух. И если вы купите бутылку минералки в гидропарке и решите пройтись пешком до следующей станции, то как раз окажетесь с пустой бутылкой в руках напротив агитационного шедевра.
Сразу вспоминается персонаж Булгакова: "3начит, когда эти баритоны кричат "Бей разруху!" - я смеюсь. (Лицо Филипп Филипповича перекосило так, что тяпнутый открыл рот.) Клянусь вам, мне смешно! Это означает, что каждый из них должен лупить себя по затылку! И вот, когда он вылупит из себя всякие галлюцинации и займется чисткой сараев - прямым своим делом, разруха исчезнет сама собой." Сто лет прошло, а грабли всё те же.
Не только мусора касается, отнюдь.
26-08-2019 О, говорящая лошадь Лавров опять говорит о "формуле Штайнмайера", та же самая "федерализация" только в профиль. Давайте вы отдадите ставленникам Кремля политический контроль над всей страной (желательно с правом вето, особый статус - вот это вот всё), а потом прекратим стрелять, но это не точно. Думал, что они что-то новенькое придумают. Эту "формулу" Старая Площадь давно уже и активно пыталась продвигать через западные СМИ, а особенно переводы, уже здесь. Денег потратили без счета, Ардзинба особенно старался, чтобы подать эту зраду как компромисс и "мнение западных экспертов". Даже сметы есть, если поискать. Подонки.
Я собирался рассказать, как сочетание уязвимостей приводит ко взлому (примерно так оно часто и происходит). Попалась как-то пользовательская учетка к российскому гос. сервису, напечатанная прямо в письме, чтобы пользователи не ставили пароль "1234". Оно бы может быть и ничего, но письма теперь не отправляют с почтальоном, а сканируют и отправляют емейлом. У нас так тоже делают сплошь и рядом.
Запускаем самый обычный nikto и находим форму входа, с невероятным названием login.php, и ещё пару полезностей, к которым вернёмся позже. И если снаружи сервис (у него есть публичная часть) выглядит вполне прилично, то внутри у него #SQLi - утечка из базы данных. Зачем проверять ввод, если чужие здесь не ходят? Никто и не проверяет. Неопасно и вобще это "теоретическая уязвимость".
Натравим sqlmap с открытой сессией. Скачиваем базу и первым делом достаём из неё пароли администраторов. Чтобы не страдать перебором сравниваем с тем, что лежит в mysql.user, списке пользователей БД. Есть пароль администратора базы. Добрый nikto нам до этого показал PHPMyAdmin, который был надёжен пока не потекли пароли. Заходим и помимо чтения из базы, у нас появляется доступ к файловой системе SELECT LOAD_FILE / INTO OUTFILE, но пока не понятно куда писать. Возвращаемся к нашему перловому кудеснику. Он напоминает о том, что щедрый админ оставил phpinfo(), сам по себе инфо безвреден, но мы теперь знаем путь к сайту.
И тут первая загвоздка, все каталоги только для чтения. Тупик. Что у нас есть ещё? SSH закрыт, но есть FTP. SELECT LOAD_FILE('/etc/passwd'), и пробуем с паролями. Подходит. Теперь есть уже и чтение и запись файлов, заливаем веб-шелл и открываем нормальную консоль. Смотрим ядро. 2012 год, как хорошо что нам попался админ, который считает, что раз работает, то и не трогай. Запускаем CVE-2013-2094 (очень поучительный эксплоит, который рассказывает нам о том, как одно неверное приведение типа, приводит к пробою ядра). Всё.
У нас доступ с правами администратора. Можно закрепляться и поудобнее устраиваться в засаде. Два часа на всё, только стандартные инструменты и ноль хакерских фокусов. Жаль, что там Трембиты какой-нибудь нет, чтобы автоматизировать запросы по смежникам, не дошла туда ещё божественная автоматизация, ну, ничего, справимся и так... И блэкота отличается от APT тем, что сразу влупит какой-нибудь майнер, собранный на коленке, а мы люди тихие, посмотрим что ещё там получится отжать.
P.S. Это ещё напоминание всем нашим э-нтузиастам, как оно бывает на самом деле, и что самый злобный #FRD с освещением в прессе - нежный поцелуй и дружеское напоминание о том как нужно себя вести. А в реальности бывает вот так http://ren.tv/…/ukrainskie-hakery-unichtozhili-sayt-annanew… и гораздо жестче. Многим очень дорого пришлось заплатить за "какую-то неопасную уязвимость".
Запускаем самый обычный nikto и находим форму входа, с невероятным названием login.php, и ещё пару полезностей, к которым вернёмся позже. И если снаружи сервис (у него есть публичная часть) выглядит вполне прилично, то внутри у него #SQLi - утечка из базы данных. Зачем проверять ввод, если чужие здесь не ходят? Никто и не проверяет. Неопасно и вобще это "теоретическая уязвимость".
Натравим sqlmap с открытой сессией. Скачиваем базу и первым делом достаём из неё пароли администраторов. Чтобы не страдать перебором сравниваем с тем, что лежит в mysql.user, списке пользователей БД. Есть пароль администратора базы. Добрый nikto нам до этого показал PHPMyAdmin, который был надёжен пока не потекли пароли. Заходим и помимо чтения из базы, у нас появляется доступ к файловой системе SELECT LOAD_FILE / INTO OUTFILE, но пока не понятно куда писать. Возвращаемся к нашему перловому кудеснику. Он напоминает о том, что щедрый админ оставил phpinfo(), сам по себе инфо безвреден, но мы теперь знаем путь к сайту.
И тут первая загвоздка, все каталоги только для чтения. Тупик. Что у нас есть ещё? SSH закрыт, но есть FTP. SELECT LOAD_FILE('/etc/passwd'), и пробуем с паролями. Подходит. Теперь есть уже и чтение и запись файлов, заливаем веб-шелл и открываем нормальную консоль. Смотрим ядро. 2012 год, как хорошо что нам попался админ, который считает, что раз работает, то и не трогай. Запускаем CVE-2013-2094 (очень поучительный эксплоит, который рассказывает нам о том, как одно неверное приведение типа, приводит к пробою ядра). Всё.
У нас доступ с правами администратора. Можно закрепляться и поудобнее устраиваться в засаде. Два часа на всё, только стандартные инструменты и ноль хакерских фокусов. Жаль, что там Трембиты какой-нибудь нет, чтобы автоматизировать запросы по смежникам, не дошла туда ещё божественная автоматизация, ну, ничего, справимся и так... И блэкота отличается от APT тем, что сразу влупит какой-нибудь майнер, собранный на коленке, а мы люди тихие, посмотрим что ещё там получится отжать.
P.S. Это ещё напоминание всем нашим э-нтузиастам, как оно бывает на самом деле, и что самый злобный #FRD с освещением в прессе - нежный поцелуй и дружеское напоминание о том как нужно себя вести. А в реальности бывает вот так http://ren.tv/…/ukrainskie-hakery-unichtozhili-sayt-annanew… и гораздо жестче. Многим очень дорого пришлось заплатить за "какую-то неопасную уязвимость".
Увидел прекрасную новость в ленте. Я ждал и верил. На России потёк СОРМ (Система Оперативно Розыскных Мероприятий, "черный ящик" ФСБ, установленный на каждом мало-мальски крупном провайдере) https://habr.com/ru/news/t/465053/ Что в очередной раз не доказывает, а кричит уже просто - безопасность одна для всех. И для товарища майора в первую очередь. Потому что товарищ майор а) недостаточно технически грамотен б) является первейшей целью. И когда спец. службы думают, что они сделают себе удобненько, то они ставят под удар и себя и обычных граждан. Отдельного Интернета для депутатов, судей и чекистов у нас нет. На том же самом уже сыпались АНБ и ЦРУ, сыпется ФСБ, и мой большой совет СБУ - даже не начинайте, а точнее: Немедленно прекратить хуйню! У нас уже убили полковника ГУР и на майора покушались "безопасным городом", у них сыпались агенты ГРУ (на базах и реестрах). Идиотская затея изначально. Надеюсь хотят так дойдёт, что "черный ящик" на провайдере крайне дурная затея. (Российская техническая интеллигенция, которая помогает товарищу в погонах за собой следить, то конечно очень смешно)
Хабр
Как СОРМ сливает наши с вами данные всем желающим
На конференции Chaos Constructions 2019 Леонид Евдокимов ( darkk ) рассказал об утечке данных, произошедшей благодаря СОРМ (система технических средств для обеспечения функций оперативно-розыскных...
Не смотря на волну искрометного юмора про "НВ" и "Депо" и их злоключения с "подполковником Трейси", я им, пожалуй, верю - действительно похоже на взлом. Беглый поиск в гугле подсказывает, что на "НВ" действительно была статья про ДТП на том месте, где потом появились откровения "подполковника". Смысл редактировать существующую статью, когда можно добавить новую? И блог готовили. До появления высера в стиле "лет ми спик фром май харт" его набивали настоящими тематическими статьями с DVIDS (хаб DMA DoD) и Army dot mil, в случае с обычным набросом никто бы не заморачивался. Его набивали, чтобы другие издания могли подцепить и разогнать "источник". "Страна хуей" с радостью сглотнула наживку. Но какое-то оно недоделанное и ущербное. Какие-то любители делали. И сказать определенно был ли это взлом нельзя. Может и врут. С другой стороны "Депо" пишет, что пришли с голландской тор-ноды, что странно, любой хакер взял бы киевский IP, чтобы не привлекать внимания. Только вот украинский IP можно пробить...
Алло, Г̶а̶л̶о̶ч̶к̶а̶ Леночка, ты сейчас умрёшь!
#OPSEC, левые телефоны, противодействие слежке, вот это вот всё. Мандатра в качестве депутата - это конечно нечто! Ошибка резидента, блядь... Научите её ладошкой фейсбучек прикрывать. И ротик. Отправьте в Трускавецкое ЛТП ещё на недельку.
Как Лиза-бобёр скрывается от прослушки: https://www.facebook.com/liza.bogutskaya/posts/2569219079794820?hc_location=ufi
#OPSEC, левые телефоны, противодействие слежке, вот это вот всё. Мандатра в качестве депутата - это конечно нечто! Ошибка резидента, блядь... Научите её ладошкой фейсбучек прикрывать. И ротик. Отправьте в Трускавецкое ЛТП ещё на недельку.
Как Лиза-бобёр скрывается от прослушки: https://www.facebook.com/liza.bogutskaya/posts/2569219079794820?hc_location=ufi