Я что-то нажал и все зависло...

У меня есть друг, который совсем не программист, не безопасник и уж тем более не хакер, а фотограф, но даже он знает в отличии от кривоногих рукожопов из Київська міська державна адміністрація - КМДА, что так код писать нельзя. #FRD #ContentSpoofing

P.S. В ходе увлекательной дискуссии выяснилось, что #XSS месячной давности (второй скрин) тоже никто не исправил

P.P.S. В комментариях ещё много вкусного и поучительного, включая ещё одну незакрытую дыру и взаимные обещания "позвонить по поводу того чорта"

Красивейший иск Департамента Юстиции против Сноудена https://www.justice.gov/usao-edva/press-release/file/1203231/download Эд недавно опубликовал автобиографическую книжку "Permanent record" и правительство США обвиняет его в нарушении NDA и правил ЦРУ и АНБ (книжку должны были просмотреть компетентные товарищи), но они не собираются останавливать публикацию, о чем говорит Эд в тви https://bit.ly/3598xaJ , ведь первую поправку никто не отменял ("В ходе процесса, Соединенные Штаты не собираются запрещать или ограничивать публикацию или распространение книги Сноудена"), а просто хотят отобрать у Эда все доходы, роялти и права на выступления и публикации. Очень изящно. Книжку можно скачать здесь https://bit.ly/35b0t9e Я считаю, что человек связавший свою судьбу с утечками, не имеет морального права на защиту своих авторских, а особенно смежных прав.

Просматривая избранные блоги за последние несколько недель, наткнулся на чудесный лонгрид Гринберга (почему-то пропустил его, когда он вышел) о Непете, и о том чего атака стоила гиганту грузоперевозок Maersk https://bit.ly/2w6FJjg И статья мне тут же напомнила об очередном столкновении с M.E.Doc Для тех кто пропустил, всё началось со споров по поводу программных РРО у Игоря Дядюры, и представитель Медка Олеся Линник прямо лучилась фантастическими комментариями, о том что виноваты все - Майкрософт, АНБ, ГРУ, сами пользователи, а Линкос невинная жертва https://bit.ly/2OiiX1M под моим довольно хамским постом, фестиваль искрометного юмора продолжился, с обычными в таких случаях подколками и взаимными оскорблениями и приглашениями на экскурсию. Вплоть до угроз судебными исками о защите репутации! (Медок, репутация, sic!) Я долго думал, что ответить Олесе, так чтобы без мата и решил действительно сходить и посмотреть, что там у Медка, через две минуты я нашел уязвимый сервер, и решил для разнообразия попробовать responsible disclosure, и предупредил компанию о наличии уязвимости. Часа три они её искали и после подсказки с моей стороны нашли. А дальше началось интересное. Святослав Крижевич пришел ко мне в личку и спросил сколько они мне должны за работу. Я ему ответил, что они мне ничего не должны и посоветовал вместо этого написать пост о том, где была уязвимость и что они делают для того, чтобы предотвратить атаки подобные Непете (что действительно могло бы немного поправить репутацию). Святослав сказал, что пост они напишут. И предложил пятьсот баксов за найденную уязвимость, а на самом деле, как я вижу, для того, чтобы спустить всё в очередной раз на тормозах. Деньги я не взял, но честно подождал недельку, однако, кроме победных реляций на странице Медка ничего не увидел. И написал пост сам https://bit.ly/332A4J1 Пятьсот лайков конечно не пятьсот баксов, но тоже неплохо. Честно говоря, я редко встречаюсь с настолько упорным сопротивлением реальности. Компания, преступное разгильдяйство которой, позволило россиянам провести одну из самых разрушительных кибер-атак современности, по-прежнему, не сделала для себя никаких выводов и продолжает работать в том же самом неподражаемом стиле. Если даже после Непети их сервер получилось взломать за две трахнутых минуты, то Медок в кассовом аппарате - прямая угроза национальной безопасности. https://internetua.com/m-e-doc-uporno-zamalcsivaet-problemy-uyazvimosti-svoego-servera

Опять никто не пришел...

Пока наши "субъекты" кибер-безопасности вертят в руках стеклянный шар и пытаются договориться куда бы его засунуть, Франция обновила военную доктрину и дополнила её наступательной частью. И всех предупреждает, что будут рассматривать атаки (в качестве примеров перечислены Эстония, MacronLeaks, TV5, атаки на энергосистемы Украины и Непетю, привет Медку ещё раз), как агрессию, что проводить атрибуцию (то есть назначать виновных) будут самостоятельно и отвечать как обычным оружием так и кибер. Крайне любопытные документы. Почитать о чем там идёт речь (на английском) можно здесь https://blog.lukaszolejnik.com/tag/strategy/ Там же есть ссылки на документы.

Checkpoint и Intezer проанализировали несколько тысяч образцов мальвари российских спец. служб и построили карту заимствованного кода. Основной вывод ГРУ и ФСБ не обмениваются разработками. Исследователи связывают свой вывод с тем, что россияне якобы осознают угрозы централизации и таким образом усиливают безопасность операций, но я скорее поверю в глупость, жадность и клановость российских спец. служб, конкурирующих между собой за власть и сокращающиеся ресурсы. https://research.checkpoint.com/russianaptecosystem/ Почему наше политическое руководство полностью игнорирует (как в политическом, так и в техническом плане) беспредельщиков из РФ для меня просто загадка.

Вышел технический отчет о #Simjacker Надо будет как-нибудь прочитать на досуге, хотя и так всё понятно https://simjacker.com/downloads/technicalpapers/AdaptiveMobile_Security_Simjacker_Technical_Paper.pdf

Дивная история Vice о том как Касперский поймал узбекскую гебню на взломах https://www.vice.com/en_us/article/3kx5y3/uzbekistan-hacking-operations-uncovered-due-to-spectacularly-bad-opsec , черти настолько безбашенные, что грузили свою мальварь на VirusTotal, жгли зеродеи пачками и делали всё это с собственных IP-адресов, зарегистрированных прямо на военную часть. Проверяли мальварь Касперским с включенным KSN. Герои опсека. Но ещё более смешно то, что несмотря на то, что в сентябре в Штатах вступил в силу полный и окончательный запрет на использование продуктов Касперского в гос. секторе (обратите внимание на то, что запрет распространяется только на гос. сектор), подручные дяди Жени ничтоже сумняшеся в очередной раз подтвердили, что используют KSN для того, чтобы рыться в подозрительных компах. За это их в США и запретили, вот ровно за то же самое. Необучаемые.

Один из друзей показал очень интересный подход к паролям в ПриватБанк. Казалось бы с паролями всё более менее понятно уже десятилетия. Хотя вещи вроде PAKE по-прежнему остаются экзотикой, а некоторые даже не смотрят в сторону PBKDF и расчитывают на несолёный MD5. Но я даже не думал, что парольную защиту можно испортить так, даже в голову не приходило.

Я не фанат Эда Сноудена, но нашел у него прекрасную формулировку: Сказать, что вам не нужно право на прайвеси, потому что вам нечего скрывать, всё равно что сказать, что вам не нужна свобода слова, потому что вам нечего сказать.

Я на эту историю натыкаюсь уже в третий или четвертый раз, над ней не посмеялся только совсем уж ленивый (я слоупок, да), но просто не могу не поделиться. Компания Crown Sterling в окружении ста ученых и доверчивых бизнес-профессионалов https://www.businesswire.com/news/home/20190920005182/en/Crown-Sterling-Decrypts-RSA-Asymmetric-Public-Keys Та-дам! Взломали 256-битный ключ RSA. Небывалое достижение, поставили рекорд езды на трех-колесном велосипеде."Новые геометрические методы для факторизации бипростых" Не поленился и воспроизвел небывалый результат, так как на компе ещё был фейсбук и msieve собран без оптимизации, то на мега-похек ушло две с половиной минуты. Аж жижитализацией повеяло. Странно, что без блокчейна, а только какой-то сраный "квантовый ИИ" Для тех кому интересно, тут объяснение почему всё это злостное наебалово https://medium.com/@hallam/getting-rsa-256-bits-wrong-4a9339f2f178 Ещё лулзов https://arstechnica.com/information-technology/2019/09/medicine-show-crown-sterling-demos-256-bit-rsa-key-cracking-at-private-event/ Истерически смешно, почти так же как и "держава в страпоне".