Когда решил сделать карьеру в госухе, но родина тебя догнала и злобно обманула, или наебала и выебла. Просто поменяйте циферку в URL: держава в сматрфоне - она такая. Нужен скан паспорта? Берите. CAREER[.]GOV[.]UA
Персональные данные, GDPR, евроинтеграция, гармонизация законодательства... Если депутангу или чиновнику отрубить голову, то он ещё несколько часов будет вешать лапшу на уши. Не ведитесь. Просто можно зайти на сайт государственных вакансий и скачать все паспорта и анкеты. Без СМС и регистрации #forcedbrowsing
Я хочу, чтобы ту лживую суку, которая пообещала всё исправить днём, сейчас, в два часа ночи разбудили и отправили на работу - вырубать чертов сервер. #FRD
Персональные данные, GDPR, евроинтеграция, гармонизация законодательства... Если депутангу или чиновнику отрубить голову, то он ещё несколько часов будет вешать лапшу на уши. Не ведитесь. Просто можно зайти на сайт государственных вакансий и скачать все паспорта и анкеты. Без СМС и регистрации #forcedbrowsing
Я хочу, чтобы ту лживую суку, которая пообещала всё исправить днём, сейчас, в два часа ночи разбудили и отправили на работу - вырубать чертов сервер. #FRD
Нас бедных, беленьких и пушистых хакеров редко балуют державным вниманием, а сегодня по поводу многострадального сайта вакансий НАДС https://bit.ly/3akn6uG прошло совещание в Совете Национальной Безопасности и Обороны, с участием Службы Безопасности, Киберполиции, головы НАДС Olexandr Starodubtsev, ДССЗЗІ и Национального Координационного Центра Кибербезопасности. До этого дырявый сайт был осмотрен госспецсвязью, омбудсменом по правам человека (с не менее дырявым сайтом https://bit.ly/2NCIUYH ), министром Дмитро Дубілет и если Униан ничего не путает, то и Службой Безопасности. И обычно молчаливый CERT-UA проснулся и сделал заявление (первый такой случай со времён одной из первых публикаций в рамках #FRD, посвященной утечке из... CERT-UA https://bit.ly/2Ru4pvQ Вся королевская рать.
Давайте-ка ещё раз разберёмся, что же произошло? Сегодня на ТВ ведущая спросила у Kostiantyn Korsun, хорошо интонированным капсом, мол, как же так? Это же не простой сайт, а ГОСУДАРСТВЕННЫЙ... От подобной наивности Костя рассмеялся, прежде чем отвечать. Я давно повторяю, и хочу повторить ещё раз - никакой информационной и кибер- безопасности в Украине не было и нет (https://bit.ly/376gmyp https://bit.ly/2NBLM8m https://focus.ua/politics/387863 ) за последние два года совместными усилиями волонтеров были найдены сотни уязвимостей в гос. сайтах и критической инфраструктуре, включая армию, атомные станции, энергообъекты, водоканалы, системы здравоохранения, одним словом - всё что может или наоборот не даёт вас убить. В большинстве случаев (но не во всех) в ответ поступали угрозы, ослиное отрицание и визионерские фантазии о новых доктринах, волшебных киберцентрах по стандартам НАТО и прочих бесполезных балалайках.
Вернёмся к НАДС. В среду, 15 января Андрей Перевезий нашел очередную, абсолютно заурядную по стандартам #FRD уязвимость в портале для отбора работников на гос. службу, о чем из человеколюбия уведомил всех до кого смог достучаться, включая депутата Олександр Федієнко, правоохранителей и самих разгильдяев из НАДС. Данные кандидатов лежали просто в открытом доступе, потому что никто никогда не думал о том, что их нужно защищать (по-хорошему, они вобще не должны храниться на веб-сервере - сам кандидат и так всё о себе знает, а администратор должен работать внутри периметра, а не сидя на заборе) Никакой хакерской магии, кибероружия и цифровых единорогов. В подобных условиях вражеские спец. службы чувствуют себя в Украине, как у себя дома.
И с НАДС - не первый случай. В июле месяце один из волонтеров нашел на старом сайте НАДС дырявый российский софт, и дыра в нём такого размера, что за пару деньков можно было бы сравнять всю службу с землей. Так что восстановление потребовало бы весьма значительных усилий. В комментарии пришел заместитель головы службы Володимир Купрій (не могу его тэгнуть, потому что он меня забанил), и началась старая сказка про белого бычка - всё ложь, заговор против самой лучшей гос. конторы, неважная уязвимость, сперва добейся, сделайте нам бесплатно, приходите пить кофе - полный набор сопливых отмазок обосравшегося чиновника. Потому когда после первого скандала нашлась вторая уязвимость, я посоветовал сливать всё сразу в паблик, потому что иначе - не доходит. От слова совсем. Если хотите я потом расскажу ещё несколько подобных историй. А теперь (внезапно!) проснулись, видимо, из-за того что (возможная) утечка затрагивает кандидатов на гос. службу, а не пересичных. Классовая солидарность.
Давайте-ка ещё раз разберёмся, что же произошло? Сегодня на ТВ ведущая спросила у Kostiantyn Korsun, хорошо интонированным капсом, мол, как же так? Это же не простой сайт, а ГОСУДАРСТВЕННЫЙ... От подобной наивности Костя рассмеялся, прежде чем отвечать. Я давно повторяю, и хочу повторить ещё раз - никакой информационной и кибер- безопасности в Украине не было и нет (https://bit.ly/376gmyp https://bit.ly/2NBLM8m https://focus.ua/politics/387863 ) за последние два года совместными усилиями волонтеров были найдены сотни уязвимостей в гос. сайтах и критической инфраструктуре, включая армию, атомные станции, энергообъекты, водоканалы, системы здравоохранения, одним словом - всё что может или наоборот не даёт вас убить. В большинстве случаев (но не во всех) в ответ поступали угрозы, ослиное отрицание и визионерские фантазии о новых доктринах, волшебных киберцентрах по стандартам НАТО и прочих бесполезных балалайках.
Вернёмся к НАДС. В среду, 15 января Андрей Перевезий нашел очередную, абсолютно заурядную по стандартам #FRD уязвимость в портале для отбора работников на гос. службу, о чем из человеколюбия уведомил всех до кого смог достучаться, включая депутата Олександр Федієнко, правоохранителей и самих разгильдяев из НАДС. Данные кандидатов лежали просто в открытом доступе, потому что никто никогда не думал о том, что их нужно защищать (по-хорошему, они вобще не должны храниться на веб-сервере - сам кандидат и так всё о себе знает, а администратор должен работать внутри периметра, а не сидя на заборе) Никакой хакерской магии, кибероружия и цифровых единорогов. В подобных условиях вражеские спец. службы чувствуют себя в Украине, как у себя дома.
И с НАДС - не первый случай. В июле месяце один из волонтеров нашел на старом сайте НАДС дырявый российский софт, и дыра в нём такого размера, что за пару деньков можно было бы сравнять всю службу с землей. Так что восстановление потребовало бы весьма значительных усилий. В комментарии пришел заместитель головы службы Володимир Купрій (не могу его тэгнуть, потому что он меня забанил), и началась старая сказка про белого бычка - всё ложь, заговор против самой лучшей гос. конторы, неважная уязвимость, сперва добейся, сделайте нам бесплатно, приходите пить кофе - полный набор сопливых отмазок обосравшегося чиновника. Потому когда после первого скандала нашлась вторая уязвимость, я посоветовал сливать всё сразу в паблик, потому что иначе - не доходит. От слова совсем. Если хотите я потом расскажу ещё несколько подобных историй. А теперь (внезапно!) проснулись, видимо, из-за того что (возможная) утечка затрагивает кандидатов на гос. службу, а не пересичных. Классовая солидарность.
Как бы всё происходило в идеальном мире? Очень важная организация не нанимала бы быдлокодеров за еду, а купила бы нормальный софт, в котором требования к информационной безопасности были бы учтены изначально. CERT-UA описал бы понятным языком, что такое "forced browsing" и как с ним бороться, "Red team" СБУ выявил бы уязвимости. Все организации реагировали бы адекватно и своевременно на сообщения об уязвимостях, если не круглосуточно, то хотя бы в течении нескольких часов, а не суток. Админы прошерстили бы логи, чтобы выяснить была ли утечка? И перенаправили бы домен на сайт-заглушку. Руководство публично бы извинилось перед пострадавшими, поблагодарила бы исследователей безопасников, и потихоньку восстанавливалось бы доверие к гос. сектору, который пока вызывает только хтонический ужас и омерзение. А там, глядишь, можно было бы и за доктрины приниматься, а не за поиск внутренних врагов.
Мечты, мечты...
P.S. Сегодня в том же самом сайте (уже после всех визитов и скандала) были найдены еще несколько уязвимостей
Н - Необучаемость.
Мечты, мечты...
P.S. Сегодня в том же самом сайте (уже после всех визитов и скандала) были найдены еще несколько уязвимостей
Н - Необучаемость.
В Раде появилось межфракционное объединение "За скрепы". Если что-то может объединить депутатов от шлакоблока и солидарности - ханжество и говноедство. Консервативная идеология направлена на сохранение исторически сформировавшихся институтов и традиций. И то что у нас сформировалось и законсервировалось, как провозгласил Никита Сергеевич Хрущев на двадцать втором съезде - советский народ, как новая историческая общность. Когда государство на законодательном уровне начинает интересоваться длиной юбок, и тем кто как и с кем спит - жди беды. Ни о каком человеческом достоинстве в таких условиях говорить не приходится. Будет вам - держава в хиджабе. https://www.facebook.com/sviatoslav.yurash/posts/3845813342125674
Facebook
Log in to Facebook
Log in to Facebook to start sharing and connecting with your friends, family and people you know.
Как вы помните, уже в ноябре, верные шлюхи Ишака Апокалипсиса перестали заигрывать с либертарианством, и двинулись туда же, где обитает весь наш всратый политикум - в социализм. Сразу в развитой. Но зеленые выблядыши решили на социализме не останавливаться, проскочили в турборежиме авторитарное забордюрье и теперь залупенмейстер по делам бескультурья и спорта Бородянский пропихивает проект "О дезинформации", которым предполагается положить конец СМИ как институту. То уже не мелкая цензурка, когда Вовчина печерский по мусорскому свистку мочит сайты, а полновесная взрослая цензура, с господином цензором и посадками. Freedom is our religion, ага? Какое-там 16 января, то был детский лепет по сравнению с тем что пытается отмочить зеленая сволочь.
На скриншоте не черно-белая фотография Матрицы, отнюдь, а интересная задачка для CSIRT Національний банк України. Проблема в том - где заканчивается частное и начинается национальная безопасность не решена ни в одной стране мира. С одной стороны - бизнесмены рискуют своей репутацией и деньгами самостоятельно, с другой - на картинке вы видите "треки", содержимое банковских карт, банка, который входит в Топ-10 банков Украины по капитализации. И это при том, что банки зарегулированы уже по самое не улыбайся. (От нашей регуляции у нормальных людей случаются судорги, регуляция сама по себе ничего не исправляет) На черном рынке подобная информация стоит два-три доллара за строку, и в файле со скриншота - сотни мегабайт. Ущерб который может быть нанесен как банку-проёбщику, так и экономике Украины превосходит эту оценку на порядки. Блокировка карт, санкции платежных систем, мертвые терминалы, паралич. У нас война идёт, как вы думаете, не захочет ли РФ пошатать? Уязвимость нашел Alexandr Galushchenko год назад. С тех пор не поменялось ничего, карточки по-прежнему доступны с гостевого Wi-Fi.
Давайте-ка быстренько разберёмся с папортами, и с тем какую именно ересь несёт Державна Міграційна Служба України. Начнём с простого, паспорт сам по себе ничего не удостоверяет, это - документ который связывает что-то-что-у-вас-есть (лицо, биометрия) с фактами о вас - имя, год рождения, гражданство. И у бумажных, и у электронных паспортов есть свои преимущества и недостатки.
Бумажный паспорт (если подделка изготовлена качественно) сложно проверить, относительно легко подделать, переклеив например фотографии в украденном паспорте. ID-карты практически невозможно подделать (выпустить левый паспорт) из-за цифровой подписи, но как и всё компьютерное очень легко скопировать, и в отличии от ксерокопии, копия, содержимое зон DGx будет полностью, до битика идентично оригиналу.
Почему цифровые загран. и внутренние паспорта работают без существенных изъянов? Потому что информация находится в специализированном устройстве, полностью отключенном от внешнего мира. Можно украсть одну карту, десять и даже тысячу, на безопасность системы в целом это не повлияет.
Но как только где-то появится база цифровых паспортов (в банке, гостинице и прочих быстрогрошах), то тут же появится возможность подобрать паспорт с похожей фотографией и̶ ̶з̶а̶к̶а̶т̶а̶т̶ь̶ ̶е̶г̶о̶ ̶в̶ ̶п̶л̶а̶с̶т̶и̶к̶,̶ (уже нет) засунуть в телефон, то есть клонировать его. Сильно упрощая, миграционная служба пытается приравнять ксерокопию к документу.
Телефон (в отличии от карты) таким обособленным устройством не является, телефон - проходной двор. Поинтересуйтесь у банкиров сколько денег было украдено через mobile banking, цифры там очень впечатляющие. Но деньги можно застраховать, можно заложить потери от краж в стоимость услуги, а сколько стоит ваша личность?
ДМСУ говорит о том, что "паспорт в телефоне" можно использовать для покупки железнодорожных билетов. А зачем он там нужен? Преступник, если уж на то пошло просто сядет на автобус или блаблакар. Можно просто отменить паспортный контроль на железной дороге. А в банк и к нотариусу мы ходим не так часто, чтобы забывать паспорт дома.
Так что вся эта "телефонизация" паспортной системы приведёт к самой грандиозной утечке данных за всю историю. Не делайте так, пожалуйста. У нас в государственных институтах и так зияющие дыры, если начать дырявые институты запихивать в дырявые устройства, то будет просто катастрофа. О том, как в общих чертах устроены паспорта, как и от чего они защищены можно почитать здесь https://www.facebook.com/ruheight/posts/720155155099512
Бумажный паспорт (если подделка изготовлена качественно) сложно проверить, относительно легко подделать, переклеив например фотографии в украденном паспорте. ID-карты практически невозможно подделать (выпустить левый паспорт) из-за цифровой подписи, но как и всё компьютерное очень легко скопировать, и в отличии от ксерокопии, копия, содержимое зон DGx будет полностью, до битика идентично оригиналу.
Почему цифровые загран. и внутренние паспорта работают без существенных изъянов? Потому что информация находится в специализированном устройстве, полностью отключенном от внешнего мира. Можно украсть одну карту, десять и даже тысячу, на безопасность системы в целом это не повлияет.
Но как только где-то появится база цифровых паспортов (в банке, гостинице и прочих быстрогрошах), то тут же появится возможность подобрать паспорт с похожей фотографией и̶ ̶з̶а̶к̶а̶т̶а̶т̶ь̶ ̶е̶г̶о̶ ̶в̶ ̶п̶л̶а̶с̶т̶и̶к̶,̶ (уже нет) засунуть в телефон, то есть клонировать его. Сильно упрощая, миграционная служба пытается приравнять ксерокопию к документу.
Телефон (в отличии от карты) таким обособленным устройством не является, телефон - проходной двор. Поинтересуйтесь у банкиров сколько денег было украдено через mobile banking, цифры там очень впечатляющие. Но деньги можно застраховать, можно заложить потери от краж в стоимость услуги, а сколько стоит ваша личность?
ДМСУ говорит о том, что "паспорт в телефоне" можно использовать для покупки железнодорожных билетов. А зачем он там нужен? Преступник, если уж на то пошло просто сядет на автобус или блаблакар. Можно просто отменить паспортный контроль на железной дороге. А в банк и к нотариусу мы ходим не так часто, чтобы забывать паспорт дома.
Так что вся эта "телефонизация" паспортной системы приведёт к самой грандиозной утечке данных за всю историю. Не делайте так, пожалуйста. У нас в государственных институтах и так зияющие дыры, если начать дырявые институты запихивать в дырявые устройства, то будет просто катастрофа. О том, как в общих чертах устроены паспорта, как и от чего они защищены можно почитать здесь https://www.facebook.com/ruheight/posts/720155155099512
Один из читателей (я его тегну в пост, если он сам того пожелает) обратил внимание на пост Taras Chornovil о том, что зеленая власть лжет по поводу тарифов. Но привлекли его внимание не тарифы, а светящийся адским красным светом QR-код из квитанции. Вырезаем код и распознаём. Получаем URL https://www.gioc.kiev.ua/cabinet/login/obj_id:1034915 Переходим по ссылке, и опа, мы теперь знаем, что Тарас Вячеславович проживает по адресу Київ, СРІБНОКІЛЬСЬКА ВУЛ., буд. 24, кв. 130; Как разумный человек Тарас замазал свой адрес, но КП ГіОЦ КМДА его слили. Когда имеешь дело с КМДА - проще оторвать чем замазать. Более того, берем obj_id из QR-кода и увеличиваем на единицу, и получаем следующий объект obj_id:1034916 по адресу Київ, ЖОЛУДЄВА ВУЛ., буд. 8, кв. 49. ГИВЦ слил все счета киевлян за комуналку в открытый доступ. Можно скачать базу платежек полностью просто перебирая obj_id #FuckResponsibleDisclosure #forcedbrowsing Недавно Yuriy Nazarov хотел с кем-то встречаться, чтобы "пройтись по инфраструктуре". Прошлись. Действуйте, Юрий Леонидович.
Я сейчас заново прокручиваю в голове огромный кусок кода, состоящий из всяких низкоуровневых и недокументированных фокусов чуть менее чем полностью, и чтобы отвлечься и отдохнуть, я пошел почитать про последнюю уязвимость в Windows в коде ECC. Очень впечатляющая и простая в реализации вещица, о существовании которой Майкрософту рассказало АНБ. Про эллиптические кривые можно прочитать здесь https://bit.ly/2RjylvM А теперь про CVE-2020-0601
"Зеленый замочек" TLS и обожаемые нашими жижитализаторами цифровые подписи работают благодаря инфраструктуре публичных ключей. Недостаточно сгенерировать общий ключ с помощью DH или подписать что попало чем попало (кто-то должен подтвердить, что "что попало" принадлежит именно вам), нужно же убедиться в том, что никто не стоит проксей посередине. Сайт подписывает сессионные ключи своим ключом, ключ сайта подписан центром сертификации, возникает цепочка доверия, примерно так всё это работает.
В стандарте NIST есть параметры нескольких эллиптических кривых. Кривая задается в поле Fp, точки на кривой удовлетворяют уравнению y^2 = x^3 + ax + b. p, a, b и генератор группы g - параметры кривой. Секретный ключ x известен только владельцу, а публичный ключ y = xg - часть сертификата. Фишка в том, что в сертификате можно указать параметры, а можно просто имя кривой, например NIST P-384. Ошибка в Windows заключалась в том, что библиотека проверяла публичные ключи рутовых сертификатов, но не параметры. Либо нужно было проверить, что p, a, b, g такие же как в стандарте, или брать их не из сертификата, а из таблицы (потому что кривая и так задана по имени).
И это позволяет сгенерировать левый корневой сертификат - универсальный ключ от всех дверей, которому будет доверять Windows.
Самый простой вариант, взять доверенный ECC сертификат с публичным ключом y, использовать секретный ключ k' = 1, а генератор g' = y, тогда публичный ключ y' = k' * g' = y, секретный ключ уже другой, а публичные ключи совпадают, или чтобы было не так заметно, выбираем случайный секретный ключ x', и генератор g' = (1 / x') * y, тогда снова y' = g' * x' = (1 / x') * y * x' = y. То что 1 / 2 * 2 = 1 - это ведь не слишком много алгебры за один раз? Потом можно создать новый сертификат например для facebook[.]com, подписать его левым корневым сертификатом, в котором в явном виде указаны параметры p, a, b, g' (вместо g), y; и непатченная Винда его скушает, потому что проверяет только "y", а у вас будет секретный ключ x' для расшифровки, или еще одна цифровая подпись Рябошапки.
Что меня удивляет так это то, что АНБ отдало Майкрософт такую вкуснейшую уязвимость. Если для хакеров она почти бесполезна: хакеры целятся или на клиентские машины или на сервера, где траффик можно слушать невозбранно, то сидеть на каналах связи очень любит товарищ майор. У меня есть теория, что где-то наши западные партнёры спалились и предупредили вендора, до того как уязвимостью не начали пользоваться Китай, Корея, Россия, Иран и прочие о̶т̶м̶о̶р̶о̶з̶к̶и̶ любители "суверенной демократии". Прекрасный пример того, как небольшая ошибка в крипто-библиотеке сводит безопасность в ноль.
Кто не обновился, обновляйтесь. Иначе будет больно.
"Зеленый замочек" TLS и обожаемые нашими жижитализаторами цифровые подписи работают благодаря инфраструктуре публичных ключей. Недостаточно сгенерировать общий ключ с помощью DH или подписать что попало чем попало (кто-то должен подтвердить, что "что попало" принадлежит именно вам), нужно же убедиться в том, что никто не стоит проксей посередине. Сайт подписывает сессионные ключи своим ключом, ключ сайта подписан центром сертификации, возникает цепочка доверия, примерно так всё это работает.
В стандарте NIST есть параметры нескольких эллиптических кривых. Кривая задается в поле Fp, точки на кривой удовлетворяют уравнению y^2 = x^3 + ax + b. p, a, b и генератор группы g - параметры кривой. Секретный ключ x известен только владельцу, а публичный ключ y = xg - часть сертификата. Фишка в том, что в сертификате можно указать параметры, а можно просто имя кривой, например NIST P-384. Ошибка в Windows заключалась в том, что библиотека проверяла публичные ключи рутовых сертификатов, но не параметры. Либо нужно было проверить, что p, a, b, g такие же как в стандарте, или брать их не из сертификата, а из таблицы (потому что кривая и так задана по имени).
И это позволяет сгенерировать левый корневой сертификат - универсальный ключ от всех дверей, которому будет доверять Windows.
Самый простой вариант, взять доверенный ECC сертификат с публичным ключом y, использовать секретный ключ k' = 1, а генератор g' = y, тогда публичный ключ y' = k' * g' = y, секретный ключ уже другой, а публичные ключи совпадают, или чтобы было не так заметно, выбираем случайный секретный ключ x', и генератор g' = (1 / x') * y, тогда снова y' = g' * x' = (1 / x') * y * x' = y. То что 1 / 2 * 2 = 1 - это ведь не слишком много алгебры за один раз? Потом можно создать новый сертификат например для facebook[.]com, подписать его левым корневым сертификатом, в котором в явном виде указаны параметры p, a, b, g' (вместо g), y; и непатченная Винда его скушает, потому что проверяет только "y", а у вас будет секретный ключ x' для расшифровки, или еще одна цифровая подпись Рябошапки.
Что меня удивляет так это то, что АНБ отдало Майкрософт такую вкуснейшую уязвимость. Если для хакеров она почти бесполезна: хакеры целятся или на клиентские машины или на сервера, где траффик можно слушать невозбранно, то сидеть на каналах связи очень любит товарищ майор. У меня есть теория, что где-то наши западные партнёры спалились и предупредили вендора, до того как уязвимостью не начали пользоваться Китай, Корея, Россия, Иран и прочие о̶т̶м̶о̶р̶о̶з̶к̶и̶ любители "суверенной демократии". Прекрасный пример того, как небольшая ошибка в крипто-библиотеке сводит безопасность в ноль.
Кто не обновился, обновляйтесь. Иначе будет больно.