Один из друзей показал очень интересный подход к паролям в ПриватБанк. Казалось бы с паролями всё более менее понятно уже десятилетия. Хотя вещи вроде PAKE по-прежнему остаются экзотикой, а некоторые даже не смотрят в сторону PBKDF и расчитывают на несолёный MD5. Но я даже не думал, что парольную защиту можно испортить так, даже в голову не приходило.
Я не фанат Эда Сноудена, но нашел у него прекрасную формулировку: Сказать, что вам не нужно право на прайвеси, потому что вам нечего скрывать, всё равно что сказать, что вам не нужна свобода слова, потому что вам нечего сказать.
👍1
Я на эту историю натыкаюсь уже в третий или четвертый раз, над ней не посмеялся только совсем уж ленивый (я слоупок, да), но просто не могу не поделиться. Компания Crown Sterling в окружении ста ученых и доверчивых бизнес-профессионалов https://www.businesswire.com/news/home/20190920005182/en/Crown-Sterling-Decrypts-RSA-Asymmetric-Public-Keys Та-дам! Взломали 256-битный ключ RSA. Небывалое достижение, поставили рекорд езды на трех-колесном велосипеде."Новые геометрические методы для факторизации бипростых" Не поленился и воспроизвел небывалый результат, так как на компе ещё был фейсбук и msieve собран без оптимизации, то на мега-похек ушло две с половиной минуты. Аж жижитализацией повеяло. Странно, что без блокчейна, а только какой-то сраный "квантовый ИИ" Для тех кому интересно, тут объяснение почему всё это злостное наебалово https://medium.com/@hallam/getting-rsa-256-bits-wrong-4a9339f2f178 Ещё лулзов https://arstechnica.com/information-technology/2019/09/medicine-show-crown-sterling-demos-256-bit-rsa-key-cracking-at-private-event/ Истерически смешно, почти так же как и "держава в страпоне".
BusinessWire
Crown Sterling Decrypts RSA Asymmetric Public Keys in Live Demonstration
Crown Sterling Decrypts RSA Asymmetric Public Keys in Live Demonstration
Ржу. Доступ к пиву на BruCon защитили микрозадачкой. Я решил за секунды и с первого раза, а вы мои маленькие любители php?
Что-то меня полиция останавливает на улице второй раз за последний месяц. И это ровно на два случая больше, чем за предыдущие пять лет. Не знаю, что во мне триггерит эту враждебную людям форму жизни, то ли скорость с которой я перемещаюсь по городу, не теряя задумчивого выражения лица, то ли бейсболка с крестом и мечами, но тонкая блядская линия меня уже начинает заёбывать.
Про магическое мышление и кибер-нихуя. Вы наверное помните, что в августе наши можновладці внезапно вспомнили, что для обсуждения "кибер" неплохо бы позвать специалистов https://bit.ly/33w4vrd с тех пор прошло ещё несколько встреч, в том числе с участием МО (которое вопреки всем принципам тоже хочет порулить и тянет одеялко на себя), но общие выводы не поменялись. Собираются обычно сурьезные дяди и тёти, 9 из 10 в безопасности понимают чуть менее чем нихуя, и пытаются что-то обсуждать (на доступном им уровне). По-прежнему, сильны сторонники "державы в страпоне", с целью заменить процесс принятия решений жужжащими компьютерами, с тем же успехом можно было бы взять и карты Таро, конец немного предсказуем. Невероятно настойчивы идиоты, искренне считающие, что безопасность зависит от интернет-провайдеров, и еблозавры из ДССЗЗІ, отчаянно сопротивляющиеся вымиранию. Как правило, обсуждаются вопросы не имеющие с безопасностью ничего общего. Самое близкое - имплементация директивы NIS https://bit.ly/2ISz1nl о базовых требованиях к национальным кибербезам (у нас на этот счет уже более жесткое законодательство, чем в Европе, только на него всем давно похуй, как будет похуй и на NIS) и аудиты. Хотелось бы посмотреть на то, как аудиторы большой четверки будут комплаить сельсовет или коммунальную задрочь "Мискьрогкопытснаб" по ISO 27K - обхохочемся. (А таких хреней у нас, напоминаю, сто тысяч в тридцати тысячах локаций) Одним словом, всё это - тлен и заебь, а общественность нужна исключительно для того, чтобы ею прикрываться при попытке внедрить какой-нибудь очередной смертоносный пиздец. "Страпонизаторы", этот процесс развала значительно ускоряют, так что даже без учёта соседа-оккупанта оно всё может пиздануться само по себе в любой момент.
P.S. Между тем над гос. спец. связью начинают сгущаться тучи https://bit.ly/2OMH6xG , и это очень хорошая новость, и я хотел бы пожелать удачи Михаилу Федорову в этом начинании.
P.S. Между тем над гос. спец. связью начинают сгущаться тучи https://bit.ly/2OMH6xG , и это очень хорошая новость, и я хотел бы пожелать удачи Михаилу Федорову в этом начинании.
Попался интересный слайд с CyberNext Summit 2019 (если у кого-то есть презентация полностью или видео, то скиньте, пожалуйста, мне интересно как докладчик пришел к подобным выводам). Я бы не переоценивал РФ и поставил бы её чуть левее и гораздо ниже, а Румынию бы заменил на Турцию, и вобще немного бы точки подвигал, единственная страна, чьё положение на графике не вызывает вопросов - Франция и Индия (Пакистан где? Южная Корея?).
Но всё равно очень любопытно. Вы видите на графике Германию? Нидерланды? (а сколько шороху в своё время навела AIVD!) А Украина есть и на очень достойном месте, хотя по части completeness в нашей стране всё совсем не в порядке. У нас разведка вобще очень редко влияет на принятие решений, а уж о стратегии и говорить не хочется. А к той чудесной "анал-итике", из которой я взял слайд и к дымящимся школьным задам я ещё непременно вернусь. То нужно будет отдельно прояснить. С вертушки.
Но всё равно очень любопытно. Вы видите на графике Германию? Нидерланды? (а сколько шороху в своё время навела AIVD!) А Украина есть и на очень достойном месте, хотя по части completeness в нашей стране всё совсем не в порядке. У нас разведка вобще очень редко влияет на принятие решений, а уж о стратегии и говорить не хочется. А к той чудесной "анал-итике", из которой я взял слайд и к дымящимся школьным задам я ещё непременно вернусь. То нужно будет отдельно прояснить. С вертушки.
Max нашел чудесное у НКРЗІ. Чуваки собрались измерять "форматы IP-адресов", при этом даже не подозревая, что сокращение "IP" следует писать латиницей. Сразу вспомнилось, как я когда-то был маленьким сетевым администратором и позвал телефониста, чтобы вместе починить выделенку. Давно это было. Заходим на точку, там стоят новенькие коммутаторы: черные, стильные и полыхают логотипами и разноцветными светодиодами как инопланетная ёлка. На ободранные плинты, прикрученные к неструганным доскам (так это было исполнено у оператора) не похожи совсем. Пять минут я с нескрываемым интересом смотрел, как телефонное чмо пытается пристроить цешку в порт коммутатора. Патч-панель гений проводной мысли опознать не смог. Отобрал конечно у него прибор и сделал всё сам. Но традиции-то живы, никуда они не делись оказывается...
Читаю "Проект Закону про електронні комунікації" 2264 https://bit.ly/35IrscM Документ массивный, так что пока пробежался только по верхам.
Начнем с самых скандальных положений предыдущего проекта 1083. Симок по паспорту не будет, но анонимную симку вам без паспорта не восстановят (35.2) Возможность для СОРМ тоже остаётся на своём месте (42.4) Так как оборудование принадлежит и управляется "органами", то они туда будут лазить бесконтрольно. Так же предусмотрено хранение мета-информации в течении года (это норм)
Реестр, "качество", "соответствие оборудования", "отчетность" и прочий анал из рынков тоже на своих местах. АМКУ-на-коленке тоже. И "центр управления сетями" (сетями собираются управлять люди, которые стеклянный хуй, то разобьют, то проебут). Одним словом, формулировки местами сглажены, местами хитро переделаны, но это те же яйца только в профиль. А, и да, просто рагуляций им мало, будет "рагуляторная платформа".
И правила рагулятор будет сам сочинять по ходу. Обязательные к исполнению - для того и нужен "бесплатный и добровольный" реестр. Как только зарегистрировался - всё, попал под "платформу". Как всегда ТВ, голос и интернет смешали в одну кучу, чтобы не было понятно кто на ком стоял. Я бы советовал господам депутатам разделить этот блоб законодательной мысли на несколько частей, свернуть свои рагуляционные хотелки в трубочку и засунуть куда-нибудь подальше.
И у меня (для начала разговора) один вопрос к Олександр Федієнко:
Зачем нужен реестр ISP?
Почему вам недостаточно КВЕД, если уж "хочу всё знать" такое неуёмное.
Начнем с самых скандальных положений предыдущего проекта 1083. Симок по паспорту не будет, но анонимную симку вам без паспорта не восстановят (35.2) Возможность для СОРМ тоже остаётся на своём месте (42.4) Так как оборудование принадлежит и управляется "органами", то они туда будут лазить бесконтрольно. Так же предусмотрено хранение мета-информации в течении года (это норм)
Реестр, "качество", "соответствие оборудования", "отчетность" и прочий анал из рынков тоже на своих местах. АМКУ-на-коленке тоже. И "центр управления сетями" (сетями собираются управлять люди, которые стеклянный хуй, то разобьют, то проебут). Одним словом, формулировки местами сглажены, местами хитро переделаны, но это те же яйца только в профиль. А, и да, просто рагуляций им мало, будет "рагуляторная платформа".
И правила рагулятор будет сам сочинять по ходу. Обязательные к исполнению - для того и нужен "бесплатный и добровольный" реестр. Как только зарегистрировался - всё, попал под "платформу". Как всегда ТВ, голос и интернет смешали в одну кучу, чтобы не было понятно кто на ком стоял. Я бы советовал господам депутатам разделить этот блоб законодательной мысли на несколько частей, свернуть свои рагуляционные хотелки в трубочку и засунуть куда-нибудь подальше.
И у меня (для начала разговора) один вопрос к Олександр Федієнко:
Зачем нужен реестр ISP?
Почему вам недостаточно КВЕД, если уж "хочу всё знать" такое неуёмное.
Аха, а на Cybersecurity Ukraine было хорошее - Чаузов из гос. спец. связи рассказывал о том, как они сейчас всех осчастливят НСКЗ/НТМ (такой говнет, который они уже лет десять строят, строят и всё никак не построят). То есть в начале пытаются построить, потом всю госуху в него загнать, и собирать баблишко на сертификациях и подключении, а потом уже начинать думать, а нахрена он собственно нужен. Но в последние минуты презентации ворвался Олександр Федієнко и обозвал "город-сад" «утопічною схемою з корупційними складовими». Что верно. Там уже охулиард бабла закопан. Но в отличии от Александра Павловича, я считаю что говнеты всё-таки нужны (не один даже, а много), конечно строить их нужно совершенно иначе https://bit.ly/2NbBCu7 и можно при этом никуда особенно не торопиться. А фантазии ДССЗЗІ о "центре управления сетями", "защищенных узлах" и "НТМ" - рак и заебь. Хорошо, что пан депутат говорит об этом вслух.
Я повторю еще раз, списком и без украшений:
* Регулятор должен заниматься распределением частотного и номерного ресурса, всё остальное - не его собачье дело.
* Монополистами должен заниматься АМКУ.
* Реестр провайдеров - уничтожить. Реестра парикмахеров у нас нет, и мы выжили. Есть КВЕД 61 - с ним и ебитесь.
* Качество и прочий джиттер не имеют (почти) никакого смысла в мире Интернета
* Анал-из рынков - в топку
* А значит отчетность и "реестр форм отчетности" туда же
* Заботу об инвалидах с мутными схемами компенсации отменить. Социализм не работает.
* Фильтрация трафика на уровне оператора должны быть законодательно, в подтверждении Конституции, запрещена.
* Национальный центр управления сетями - российский маразм, как и НСКЗ-НТМ (в теперешнем виде)
* СОРМ - бесконтрольная прослушка
* Регулятор не может расширять свои полномочия нормативными актами. Все они должны быть перечислены в законе и только там, иначе ползучая регуляция всех сожрёт
А дальше, наш с Max Gadyukin TL;DR о рагоуляйтерах в сфере телекоммуникаций https://www.petrimazepa.com/zakonoproekt_2264_pyatdesyat_ottenkov_regulyacii
* Регулятор должен заниматься распределением частотного и номерного ресурса, всё остальное - не его собачье дело.
* Монополистами должен заниматься АМКУ.
* Реестр провайдеров - уничтожить. Реестра парикмахеров у нас нет, и мы выжили. Есть КВЕД 61 - с ним и ебитесь.
* Качество и прочий джиттер не имеют (почти) никакого смысла в мире Интернета
* Анал-из рынков - в топку
* А значит отчетность и "реестр форм отчетности" туда же
* Заботу об инвалидах с мутными схемами компенсации отменить. Социализм не работает.
* Фильтрация трафика на уровне оператора должны быть законодательно, в подтверждении Конституции, запрещена.
* Национальный центр управления сетями - российский маразм, как и НСКЗ-НТМ (в теперешнем виде)
* СОРМ - бесконтрольная прослушка
* Регулятор не может расширять свои полномочия нормативными актами. Все они должны быть перечислены в законе и только там, иначе ползучая регуляция всех сожрёт
А дальше, наш с Max Gadyukin TL;DR о рагоуляйтерах в сфере телекоммуникаций https://www.petrimazepa.com/zakonoproekt_2264_pyatdesyat_ottenkov_regulyacii
Петр и Мазепа
Законопроект 2264: пятьдесят оттенков регуляции
Депутаты плачут, колются, но продолжают есть кактус
Всё что происходит вокруг электронных подписей напоминает мне междуплеменной съезд заслуженных шаманов с дальних островов. При взгляде на красивый компьютер, умные буквы типа ECDSA мозг выключается, а длинные ряды цифр внушают уверенность в завтрашнем дне. И оно близко. Завтрашнее дно. Проблема тут, отнюдь, не в подписях, а в их носителях. Уже сейчас никто не лезет в бумажный "голос украины", а все дружно идут на сайт рады. Но.
У меня один простой вопрос. Если вы не доверяете кабмину и министерствам, если вы не доверяете депутатам, которые норовят пропихнуть в закон пару двадцатиевровых бэкдоров, не доверяете аппарату верховной рады, который не может по три дня выложить на сайт проект. То схуяль доверять их электронным подписям? Люди станут лучше и чище, когда под документом появится ряд непонятных цифр?
Главная проблема в том, что теперь нужно будет доверять не только зашкваренным чиновникам, но ещё и двадцати мутным коммерческим лавкам, которые якобы что-то там удостоверяют, дырявым HSM и компьютерам всей той пиздобратиии, где не полазил только ленивый. И нужно ещё поверить в то, что люди которые не могут вздрочить говно-сайт, так чтобы он не развалился сразу после запуска всё сделали правильно.
Мне сразу вспомнилась история про Sony. Если совсем коротко, то подпись *DSA состоит из пары чисел, которые зависят от хеша сообщения (h), секретного и сессионного ключей. И если сессионный ключ (k) не случаен, то в двух разных подписях, будет одинаковый компонент (r), при разных (s), потом секретный ключ (x) получается в два действия k = (s2 - s1) / (h2 - h1), x = (s * k - h) * r^-1, так и был взломан секретный ключ для PS3.
Но это всё техническая лирика. Что вы выберете: просто верить тупорылым долбоёбам или верить тупорылым долбоёбам и завшивленным компьютерам? Электронные вундервафли требуют больше доверия, а не меньше. Это ключевая ошибка наших жижитализаторов.
У меня один простой вопрос. Если вы не доверяете кабмину и министерствам, если вы не доверяете депутатам, которые норовят пропихнуть в закон пару двадцатиевровых бэкдоров, не доверяете аппарату верховной рады, который не может по три дня выложить на сайт проект. То схуяль доверять их электронным подписям? Люди станут лучше и чище, когда под документом появится ряд непонятных цифр?
Главная проблема в том, что теперь нужно будет доверять не только зашкваренным чиновникам, но ещё и двадцати мутным коммерческим лавкам, которые якобы что-то там удостоверяют, дырявым HSM и компьютерам всей той пиздобратиии, где не полазил только ленивый. И нужно ещё поверить в то, что люди которые не могут вздрочить говно-сайт, так чтобы он не развалился сразу после запуска всё сделали правильно.
Мне сразу вспомнилась история про Sony. Если совсем коротко, то подпись *DSA состоит из пары чисел, которые зависят от хеша сообщения (h), секретного и сессионного ключей. И если сессионный ключ (k) не случаен, то в двух разных подписях, будет одинаковый компонент (r), при разных (s), потом секретный ключ (x) получается в два действия k = (s2 - s1) / (h2 - h1), x = (s * k - h) * r^-1, так и был взломан секретный ключ для PS3.
Но это всё техническая лирика. Что вы выберете: просто верить тупорылым долбоёбам или верить тупорылым долбоёбам и завшивленным компьютерам? Электронные вундервафли требуют больше доверия, а не меньше. Это ключевая ошибка наших жижитализаторов.
Что мне непрерывно доставляет в российских кибер-операциях, я это уже не раз говорил, так это их детская непосредственность, переходящая в запредельную наглость. На днях NCSC и NSA опубликовали отчет https://bit.ly/31Eqr28 о том, как Turla (РФ) втупую отжали инфраструктуру у APT34 (Иран, от Ирана я кстати ожидал куда большего, чем свалка говна на JS https://github.com/laucyun/APT34 ), и спалились конечно в очередной раз.
Смешная реакция российского посольства в Лондоне: всё это отвратительные инсинуации вокруг отчета, и что сами спец. службы не выдвигали обвинений против РФ и российских граждан, и это, мол, попытка вбить клин между РФ и Ираном, и вместе с тем, РФ всегда готова сотрудничать в области кибербезопасности (читай очебурашивать Интернет таким же способом, как они поучаствовали в анти-асадовской коалиции) Неумирающая классика - разбросать везде свою мальварь, которая не меняется годами, оставить следы тушонки и надписи "кей-джи-би скул финишд" и потом удивляться, хлопая дурными глазёнками: "А нас за что?" и "Это не мы"
Кстати, не все понимают, но эффективность APT-групп определяется не количеством технических отчетов, а их отсутствием, с удовольствием перечитал threat intelligence на нашу собственную деятельность, и "low confidence in technical capabilities" (переводится: мы ничего не нашли, а там где нашли не смогли провести атрибуцию, и это не смотря на кошмарные проёбы по опсеку у всех участников) и "high organizational sophistication" (высокий уровень организации) - именно то, к чему нужно стремиться.
Смешная реакция российского посольства в Лондоне: всё это отвратительные инсинуации вокруг отчета, и что сами спец. службы не выдвигали обвинений против РФ и российских граждан, и это, мол, попытка вбить клин между РФ и Ираном, и вместе с тем, РФ всегда готова сотрудничать в области кибербезопасности (читай очебурашивать Интернет таким же способом, как они поучаствовали в анти-асадовской коалиции) Неумирающая классика - разбросать везде свою мальварь, которая не меняется годами, оставить следы тушонки и надписи "кей-джи-би скул финишд" и потом удивляться, хлопая дурными глазёнками: "А нас за что?" и "Это не мы"
Кстати, не все понимают, но эффективность APT-групп определяется не количеством технических отчетов, а их отсутствием, с удовольствием перечитал threat intelligence на нашу собственную деятельность, и "low confidence in technical capabilities" (переводится: мы ничего не нашли, а там где нашли не смогли провести атрибуцию, и это не смотря на кошмарные проёбы по опсеку у всех участников) и "high organizational sophistication" (высокий уровень организации) - именно то, к чему нужно стремиться.
GitHub
laucyun/APT34
APT34/OILRIG leak. Contribute to laucyun/APT34 development by creating an account on GitHub.
Вдогонку. И что меня бесит, так это замороченность политиков н нагнетании страха, IC на атрибуции угроз, IS на статьях "Еще раз об использовании Visual Basic и Mimikatz в скоординированной враждебной активности". Куда интересно подевался здравый смысл и цельная картина. Какую информацию удалось получить? Как она повлияла на события и принимаемые политические решения? Какие ставились задачи, насколько они выполнены? Просто беда со здравым смыслом в современном мире. Вот, кто-нибудь помнит, что было в почте Подесты и какие это имело последствия? Зато наверняка помните какого-нибудь ГРУшника по фамилии. Вот не похуй ли был ли это старший лейтенант Хуилов, или майор Пиздюков? Тоже конечно важное и нужное дело, но всё рассыпается в драное лоскутное одеяло. I wish common sense be more common.