Как вы помните, уже в ноябре, верные шлюхи Ишака Апокалипсиса перестали заигрывать с либертарианством, и двинулись туда же, где обитает весь наш всратый политикум - в социализм. Сразу в развитой. Но зеленые выблядыши решили на социализме не останавливаться, проскочили в турборежиме авторитарное забордюрье и теперь залупенмейстер по делам бескультурья и спорта Бородянский пропихивает проект "О дезинформации", которым предполагается положить конец СМИ как институту. То уже не мелкая цензурка, когда Вовчина печерский по мусорскому свистку мочит сайты, а полновесная взрослая цензура, с господином цензором и посадками. Freedom is our religion, ага? Какое-там 16 января, то был детский лепет по сравнению с тем что пытается отмочить зеленая сволочь.

На скриншоте не черно-белая фотография Матрицы, отнюдь, а интересная задачка для CSIRT Національний банк України. Проблема в том - где заканчивается частное и начинается национальная безопасность не решена ни в одной стране мира. С одной стороны - бизнесмены рискуют своей репутацией и деньгами самостоятельно, с другой - на картинке вы видите "треки", содержимое банковских карт, банка, который входит в Топ-10 банков Украины по капитализации. И это при том, что банки зарегулированы уже по самое не улыбайся. (От нашей регуляции у нормальных людей случаются судорги, регуляция сама по себе ничего не исправляет) На черном рынке подобная информация стоит два-три доллара за строку, и в файле со скриншота - сотни мегабайт. Ущерб который может быть нанесен как банку-проёбщику, так и экономике Украины превосходит эту оценку на порядки. Блокировка карт, санкции платежных систем, мертвые терминалы, паралич. У нас война идёт, как вы думаете, не захочет ли РФ пошатать? Уязвимость нашел Alexandr Galushchenko год назад. С тех пор не поменялось ничего, карточки по-прежнему доступны с гостевого Wi-Fi.

Только собрался запостить в фейсбук фото министра Бородянского, но потом сообразил, что забанят же. Уж, очень министр непристойный.

Давайте-ка быстренько разберёмся с папортами, и с тем какую именно ересь несёт Державна Міграційна Служба України. Начнём с простого, паспорт сам по себе ничего не удостоверяет, это - документ который связывает что-то-что-у-вас-есть (лицо, биометрия) с фактами о вас - имя, год рождения, гражданство. И у бумажных, и у электронных паспортов есть свои преимущества и недостатки.

Бумажный паспорт (если подделка изготовлена качественно) сложно проверить, относительно легко подделать, переклеив например фотографии в украденном паспорте. ID-карты практически невозможно подделать (выпустить левый паспорт) из-за цифровой подписи, но как и всё компьютерное очень легко скопировать, и в отличии от ксерокопии, копия, содержимое зон DGx будет полностью, до битика идентично оригиналу.

Почему цифровые загран. и внутренние паспорта работают без существенных изъянов? Потому что информация находится в специализированном устройстве, полностью отключенном от внешнего мира. Можно украсть одну карту, десять и даже тысячу, на безопасность системы в целом это не повлияет.

Но как только где-то появится база цифровых паспортов (в банке, гостинице и прочих быстрогрошах), то тут же появится возможность подобрать паспорт с похожей фотографией и̶ ̶з̶а̶к̶а̶т̶а̶т̶ь̶ ̶е̶г̶о̶ ̶в̶ ̶п̶л̶а̶с̶т̶и̶к̶,̶ (уже нет) засунуть в телефон, то есть клонировать его. Сильно упрощая, миграционная служба пытается приравнять ксерокопию к документу.

Телефон (в отличии от карты) таким обособленным устройством не является, телефон - проходной двор. Поинтересуйтесь у банкиров сколько денег было украдено через mobile banking, цифры там очень впечатляющие. Но деньги можно застраховать, можно заложить потери от краж в стоимость услуги, а сколько стоит ваша личность?

ДМСУ говорит о том, что "паспорт в телефоне" можно использовать для покупки железнодорожных билетов. А зачем он там нужен? Преступник, если уж на то пошло просто сядет на автобус или блаблакар. Можно просто отменить паспортный контроль на железной дороге. А в банк и к нотариусу мы ходим не так часто, чтобы забывать паспорт дома.

Так что вся эта "телефонизация" паспортной системы приведёт к самой грандиозной утечке данных за всю историю. Не делайте так, пожалуйста. У нас в государственных институтах и так зияющие дыры, если начать дырявые институты запихивать в дырявые устройства, то будет просто катастрофа. О том, как в общих чертах устроены паспорта, как и от чего они защищены можно почитать здесь https://www.facebook.com/ruheight/posts/720155155099512

Один из читателей (я его тегну в пост, если он сам того пожелает) обратил внимание на пост Taras Chornovil о том, что зеленая власть лжет по поводу тарифов. Но привлекли его внимание не тарифы, а светящийся адским красным светом QR-код из квитанции. Вырезаем код и распознаём. Получаем URL https://www.gioc.kiev.ua/cabinet/login/obj_id:1034915 Переходим по ссылке, и опа, мы теперь знаем, что Тарас Вячеславович проживает по адресу Київ, СРІБНОКІЛЬСЬКА ВУЛ., буд. 24, кв. 130; Как разумный человек Тарас замазал свой адрес, но КП ГіОЦ КМДА его слили. Когда имеешь дело с КМДА - проще оторвать чем замазать. Более того, берем obj_id из QR-кода и увеличиваем на единицу, и получаем следующий объект obj_id:1034916 по адресу Київ, ЖОЛУДЄВА ВУЛ., буд. 8, кв. 49. ГИВЦ слил все счета киевлян за комуналку в открытый доступ. Можно скачать базу платежек полностью просто перебирая obj_id #FuckResponsibleDisclosure #forcedbrowsing Недавно Yuriy Nazarov хотел с кем-то встречаться, чтобы "пройтись по инфраструктуре". Прошлись. Действуйте, Юрий Леонидович.

Я сейчас заново прокручиваю в голове огромный кусок кода, состоящий из всяких низкоуровневых и недокументированных фокусов чуть менее чем полностью, и чтобы отвлечься и отдохнуть, я пошел почитать про последнюю уязвимость в Windows в коде ECC. Очень впечатляющая и простая в реализации вещица, о существовании которой Майкрософту рассказало АНБ. Про эллиптические кривые можно прочитать здесь https://bit.ly/2RjylvM А теперь про CVE-2020-0601

"Зеленый замочек" TLS и обожаемые нашими жижитализаторами цифровые подписи работают благодаря инфраструктуре публичных ключей. Недостаточно сгенерировать общий ключ с помощью DH или подписать что попало чем попало (кто-то должен подтвердить, что "что попало" принадлежит именно вам), нужно же убедиться в том, что никто не стоит проксей посередине. Сайт подписывает сессионные ключи своим ключом, ключ сайта подписан центром сертификации, возникает цепочка доверия, примерно так всё это работает.

В стандарте NIST есть параметры нескольких эллиптических кривых. Кривая задается в поле Fp, точки на кривой удовлетворяют уравнению y^2 = x^3 + ax + b. p, a, b и генератор группы g - параметры кривой. Секретный ключ x известен только владельцу, а публичный ключ y = xg - часть сертификата. Фишка в том, что в сертификате можно указать параметры, а можно просто имя кривой, например NIST P-384. Ошибка в Windows заключалась в том, что библиотека проверяла публичные ключи рутовых сертификатов, но не параметры. Либо нужно было проверить, что p, a, b, g такие же как в стандарте, или брать их не из сертификата, а из таблицы (потому что кривая и так задана по имени).

И это позволяет сгенерировать левый корневой сертификат - универсальный ключ от всех дверей, которому будет доверять Windows.

Самый простой вариант, взять доверенный ECC сертификат с публичным ключом y, использовать секретный ключ k' = 1, а генератор g' = y, тогда публичный ключ y' = k' * g' = y, секретный ключ уже другой, а публичные ключи совпадают, или чтобы было не так заметно, выбираем случайный секретный ключ x', и генератор g' = (1 / x') * y, тогда снова y' = g' * x' = (1 / x') * y * x' = y. То что 1 / 2 * 2 = 1 - это ведь не слишком много алгебры за один раз? Потом можно создать новый сертификат например для facebook[.]com, подписать его левым корневым сертификатом, в котором в явном виде указаны параметры p, a, b, g' (вместо g), y; и непатченная Винда его скушает, потому что проверяет только "y", а у вас будет секретный ключ x' для расшифровки, или еще одна цифровая подпись Рябошапки.

Что меня удивляет так это то, что АНБ отдало Майкрософт такую вкуснейшую уязвимость. Если для хакеров она почти бесполезна: хакеры целятся или на клиентские машины или на сервера, где траффик можно слушать невозбранно, то сидеть на каналах связи очень любит товарищ майор. У меня есть теория, что где-то наши западные партнёры спалились и предупредили вендора, до того как уязвимостью не начали пользоваться Китай, Корея, Россия, Иран и прочие о̶т̶м̶о̶р̶о̶з̶к̶и̶ любители "суверенной демократии". Прекрасный пример того, как небольшая ошибка в крипто-библиотеке сводит безопасность в ноль.

Кто не обновился, обновляйтесь. Иначе будет больно.

(2/2) Я ременно, да простит меня Джефф, закрыл рабочий ноутбук и немного потреплюсь посреди ночи. В предыдущих постах об основах криптографии я немного рассказывал о примитивах RSA, DSA, DH, ECC, и о бесчисленных способах закосячить шифрование даже в тех местах, о котороых в Википедии написаны целые разделы, а в RFC - выделения капсом "you MUST NOT". Что абсолютно не мешает разработчикам наступать на одни и теже грабли из года в год. Но даже, если примитивы написаны правильно, это не значит ровным счетом ничего, потому что дальше начинаются протоколы, которые пытаются обеспечить одновременно анонимность и идентификацию, отрицание участия, прямую секретность, целостность и "деформируемость" (тут мы начинаем подбираться к свойствам, для которых уже отсутствуют аналоги в русском языке) - полный набор взаимоисключающих параграфов. Потому-то вопрос "какой мессенджер самый лучший?" на практике не имеет смысла. Лучше для чего?

Давайте по порядку. Предположим, что какой-то из предыдущих постов вы прочитали, сверились с Википедией, научились возводить числа в степень и проверять их на простоту. Дальше что? Как обмениваться ключами? Как разбивать сообщения на кусочки? Почему всё работает так медленно, может заменить RSA на блочный шифр, а ключ зашифровать асимметричным алгоритмом? Так и возникают протоколы. Я открыл презентацию одного из новых мессенджеров и читаю: "Взлом сервера бесполезен, потому что мы используем алгоритм Диффи-Хеллмана", это всё равно что написать, что наш автомобиль самый лучший, потому что мы используем двигатель внутреннего сгорания. Мне вспомнилось другое приложение Confide, у них лексика была забористей: "проверенное в бою шифрование военного уровня" (по стандартам НАТО, ага), внутри один мой знакомый нашел устаревшую версию OpenSSL, смену ключей без предупреждения, а написано приложение было самой лучшей командой разработчиков и всех их звали Джефф (прости Джефф, то был твой тезка) http://archive.is/tm1Ee Тем не менее, на всё это маркетинговое дерьмо повелись республиканцы и стафферы из Белого Дома. Недолго. IOActive разнесли боевой курятник в хлам https://bit.ly/2RoIRBU Не считая глупейших ошибок разработчиков, давайте разберёмся того ли мы вобще хотим от чатиков?

Начнём с Диффи-Хеллмана. Алиса и Боб выбирают группу Zp, секретные ключи a и b, и обмениваются публичными ключами g^a и g^b, в результате получают общий ключ (g^b)^a = (g^a)^b = g^(ab). Естественно, если Мэлори аки АНБ во тьме сидит между Алисой и Бобом, то и Боб никак не сможет узнать действительно ли публичный ключ g^a принадлежит Алисе, потому что секретного ключа a он не знает и не должен знать. MITM. Человек посередине. Тогда давайте подключим к DH старый, добрый RSA. Пусть у Алисы и Боба будут индивидуальные долгоживущие ключи, и они ими подпишут эфемерные ключи DH? Обмениваться ими конечно будем через сервер, как у Confide, потому что конечно же мы верим с детства, что сраный стартап их не заменит на свои и не сдаст в АНБ, боевая криптография, хули. Тут для Боба открывается интересная возможность. Боб получает от Алисы срочное сообщение: "Дорогой, я убила мента! Что делать?" Боб, натурально, от таких раскладов охуевает, распечатывает сообщение ключ, от которого подписан Алисой, звонит тому чорту и Алису сажают нахуй, и ещё кроме мента вешают ей Шеремета, незаконный ствол, мешок травы и покушение на территориальную целостность путем увлечения националистическими идеями. Что делать-то? Б̶ы̶с̶т̶р̶о̶ з̶а̶к̶а̶п̶ы̶в̶а̶т̶ь̶

Как выкинуть Авакова-по-середине хотя бы, не говоря уж о том, чтобы убедиться кто есть кто? Один из вариантов, использовать протокол идентификации Шнорра (не путайте с алгоритмом Шора для квантовых компьютеров). Алиса загадывает случайное число k, и посылает Бобу свой публичный ключ p = g^a и число g^k, Боб посылает Алисе случайное число c, а она ему возвращает ac + k, Боб проверяет, что g^(ac + k) = p^c * g^k, схема работает: p^c * g^k = (g^a)^c * g^k = g^(ac) * g^k = g^(ac + k), что и требовалось проверить. Таким образом Алиса доказала Бобу, что у неё есть ключ a, не раскрывая его, доказательство с нулевым разглашением. Если к протоколу применить преобразование Фиата-Шамира, то получится что-то подозрительно похожее на цифровую подпись DSA, что, отнюдь, не случайность, потому к числам k и c предъявляются повышенные требования к случайности, иначе будет как с приставкой Sony. Нечто похожее как раз используется в Off-the-Record и двусторонний протокол называется протоколом социалистов-миллионеров (два миллионера хотят узнать равное ли у них количество денег, не называя сумму). OTR в этом отношении идёт гораздо дальше, и в том числе раскрывает в ходе общения MAC-ключи (подтверждающие целостность сообщения), чтобы дамп нельзя было использовать в суде. Практика показывает, что суды подобные тонкости не интересуют и достаточно просто снимка с экрана при понятых или экспертизы логов, но затея неплохая.

Та-а-ак, а что будет если Боба долго слушали, писали шифрованный траффик про запас, подозревают его с Алисой в культивировании националистических идей и превосходстве белой расы, и вытаскивают у него из телефона ключик? И раскурочивают весь сохраненный траффик, тогда как? Чтобы такого не происходило есть такая штука как прямая секретность (forward secrecy), нам нужно защитить сегодня, то что будет взломано завтра. OTR для этого часто меняет ключи, а вот Signal использует двойные храповики (ratchet): из текущего ключа можно получить следующий, но не наоборот. Первый храповик, уже привычный нам DH, а второй KDF (функция формирования ключа, обычно используется для того, чтобы получить из говна нечто, что можно использовать как ключ для симметричного шифрования). Про симметричные шифры - сети Фейстеля, SPN, ARX стоило бы поговорить отдельно, но пост и так уже слишком длинный. Я вот о чем хотел сказать, что казалось бы, что может быть проще чатика? Однако, из примитивов как из отдельных узлов вырастает довольно сложный механизм, для решения вполне конкретных задач, в джаббере PGP-плагин пытается доказать аутентичность сообщения, а OTR помогает уйти в отказ. Доказать, что всё действительно работает как задумано ещё сложнее, в ход идут случайные оракулы, сведения к известным задачам и много чего ещё.

Написать что-то работающее и доказать, что оно работает именно так как надо, и защищает от вполне конкретных, перечисленных угроз совсем не одно и тоже. Без опубликованного протокола разговаривать просто не о чем. На скриншоте маленький кусочек из статьи с формальным доказательством корректности протокола Signal. Подобные же статьи есть и для OTR. А от Confide остались только сообщения об ошибках и цитаты про "боевую криптографию". Вот именно поэтому я обычно советую пользоваться Signal и Jabber+OTR, хотя бы потому что я представляю как они работают и от чего защищают. У вас могут быть совсем другие требования к чатикам (например скрывать мета-информацию - кто-когда-кому писал), нельзя зашититься от всего на свете, безопасность состоит из взаимоисключающих требований и приходится выбирать.

Одной строкой

Только что просмотрел весь законопроект "о дезинформации" полностью. Никогда я ещё не видел такого наглого, грубого и беззастенчивого нарушения международного законодательства и Конституции Украины. Подобный тоталитарный беспредел позволяют себе только страны-изгои вроде Северной Кореи, даже российское и китайское законодальство и их авторитарные незаконные практики не заходят настолько далеко. По сравнению с этим адским выкидышем министерства по делам молодежи и спорта "законы 16 января" - образец свободолюбия и либерализма. Тут не может быть двух мнений, нечего обсуждать, не о чем догововариваться, в предложенном законопроекте нельзя ничего изменить, там нет ни одной страницы, которая не противоречила бы здравому смыслу и не нарушала бы самые базовые права граждан. Кровь из глаз. Так нельзя. https://www.facebook.com/sokyra.party/posts/867249480406999

Мы долго спорили Jeoffrey Dahmer о том, бывает ли чеканная крипта, а так же о допустимом уровне пафоса в постах, но факт остаётся фактом - чтобы продолжать теребить забордюрье, Ukrainian Cyber Alliance нужна ваша помощь. И она измеряется в деньгах, которые мы потратим на то, чтобы за поребриком полыхало как можно ярче. А чтобы было совсем не скучно, то краудфандим криптой, вот номера кошельков:

🔹Bitcoin (BTC) 19fMSv8ULjoBR7UNgNGuTrqoQmwiZEa63v
🔹Ethereum (ETH) 0x34B5593122bae35c54a066e93317Cef214f4F224
🔹Litecoin (LTC) LXbrmweackHwtBaZrk1n3REsifa8mRhDCs
А тут несколько ссылок о том как этим всем пользоваться:

👉 https://www.facebook.com/UkrainianCyberAlliance/posts/2395850244060024

Заранее спасибо, так же буду признателен за репост.

От таких блистательных "побед" даже я охуел, а удивить меня враньем и некомпетентностью крайне сложно. Для тех у кого с памятью плохо, хочу напомнить: до августа 2014 года в Донецк ходили поезда, не смотря на постановление НБУ и бои, продолжал работать Ощадбанк, и в нем были открыты счета Донецкого горсовета, и хотя уже начали останавливаться заводы, украинские предприятия Донецкой и Луганской области еще платили налоги в новую фискальную службу. В июне, начале июля до того как "подул северный ветер" - так террористы называли поставки оружия и вторжение армии РФ, они готовились умирать, с мая Ринат "Рыжий Пидор" Ахметов гудел в гудки, а то самое "министерство угля и энергетики" существовало исключительно в воспаленных мозгах бомжей из ОДА вплоть до середины 2015 года. Систему управления "территориями 1 и 2" строило правительство РФ с осени 2014, а не сепаратисты. Кому интересно можете почитать про уголек здесь https://informnapalm.org/29618-energetika/ Из взломанной почты оккупационного "министерства" можно узнать куда больше, чем из громких заявлений СБ Украины. В том числе о том как наше правительство торговало с российскими оккупантами. Второй вопрос, который меня заинтересовал, Ивакин не скрывался, давно уехал из Донецка и пользовался поездами (билеты у нас именные, у СБУ есть доступ к базе), более того, он значится в санкционном списке СНБО, введенном в действие указом Президента 126/2018, что как бы намекает, что даже такая простая вещь как экономические санкции сломана полностью и безнадежно, и при этом шесть лет к "министру на три дня" не возникало вопросов, а теперь, опа! спец. операцию они провели и террориста "вывели". Что это, простите, за ссанина? На кого расчитано заявление, на рыбок-гуппи?

Коллеги любезно предоставили мне копию следящего скрипта fixed_mobile.js, копия страницы со скриптом в веб-архиве ( https://web.archive.org/web/20200119150812/cyberpolice.gov.ua/ ), который был выложен на сайте киберполиции cyberpolice[.]gov[.]ua. Полиция предлагала устанавливать его на сайты СМИ, чтобы шпионить за украинцами. Сейчас скрипт уже удален с сайта, полиция проводит служебную проверку. В своем предположении о WebRTC я ошибся, затея полицейских устроена иначе: скрипт собирает информацию о клиентском устройстве: разрешение экрана, название броузера, часовой пояс и так далее, генерирует "отпечаток", и отправляет его в базу. Потом можно сопоставить отпечатки, и если вы заходили куда-то через VPN, а потом на новостной сайт как обычно без анонимизации, то можно сопоставить отпечатки и узнать ваш IP-адрес. Без сомнения - это образец массовой, несанкционированной слежки, и то что совершать преступления (тут на пять разных статей наберётся) и устанавливать средства для негласного съема информации призывает полиция, особенно печально. "Держава в смартфоне". А теперь вишенка на торте, в той копии скрипта что есть у меня (на сайте их было несколько), домен, на который собирается статистика зарегистрирован в Российской Федерации. Если это не злоупотребление властью и угроза национальной безопасности, то я не знаю что тогда угроза.

Пока в предыдущем посте догорают элитные скрипты Киберполиции, подвезли новостей от "анонимных представителей госпецсвязи", решившихся подать голос на срачегонную тему блокчейнов: «Главным преимуществом разработанного прототипа является имплементация отечественных криптографических стандартов ДСТУ 4145:2002, ДСТУ 7564:2014, ДСТУ 7624:2014 и ДСТУ 8845:2019, устойчивых и в условиях постквантового периода», — рассказали Forklog представители. Или на человеческом языке: эллиптические кривые, хеши, Калина, потоковый симметричный шифр. На постквантовые алгоритмы в Украине стандарта пока нет. Международного стандарта тоже пока нет, к новым алгоритмам только присматриваются.

С сожалением вынужден констатировать, что о "квантумных" (как говорит Дубилет) компьютерах и их возможностях у людей самые смутные представления, эдакая "серебряная пуля", которая пребывая в суперпозиции решает все задачи одновременно, что мягко говоря совсем не так. Начнем с того, что квантовый компьютер способный решить хоть какую-то осмысленную задачу ещё только предстоит сделать. "Квантовое превосходство" Гугла, чип из 54 кубитов, из которых один битый, и чип ничего не вычисляет, а только показывает что в нем действительно внутри кубиты, а не макароны. (без сомнения - достижение, но чтобы сделать именно компьютер потребуются годы, если не десятилетия)

Во-вторых, эллиптические кривые уязвимы с точки зрения квантовых компьютеров и даже более уязвимы чем RSA (как любезно подсказывает Википедия для взлома 256-битных ключей ECC и 2048-битных RSA алгоритмом Шора потребуется 2330 и 4098 кубитов, а так же 126*10^9 и 5*10^12 вентилей Тоффоли, соответственно. Сравните с современными процессорами и подумайте что это значит), а вот симметричные шифры для квантового компьютера неуязвимы даже в теории, только вот блокчейн-то как раз строится на асимметричном шифровании.

Небольшое отступление. Симметричный шифр можно представить как "черный ящик" с входом и выходом, натравить на него квантовый алгоритм Гровера, и найти соответствие входов и выходов за корень квадратный от количества вариантов (для шифров: 2 с показателем степени равным длине ключа), то есть уровень безопасности снижается вдвое. Для 256-битного ключа, уровень безопасности упадёт до 128 бит, что находится далеко за пределами вычислений. Это много, очень много. Более того, существует доказательство, что алгоритм оптимален и ничего лучше, если в шифре нет уязвимостей, придумать невозможно. Законы математики нельзя оспорить в суде. AES и его брат близнец Калина, и так неуязвимы для квантовых компьютеров, но только на блокчейнизацию это не влияет.

Вернёмся к спец. связи, пытающейся встать на путь исправления весьма своеобразным способом. То есть мало того, что они попросту спиздели и перечисленные алгоритмы не являются постквантовыми, так они еще имеют наглость утверждать, что "технология может быть использована для проведения различных голосований", что есть тяжелая ересь. https://tyzhden.ua/Politics/233970 Выборы таким способом провести нельзя (онлайн-платформы не обеспечивают необходимых свойств, особенно в стране с непроходящим переходным периодом), а открытые голосования гораздо проще проводить без блокчейна. Как удачно подметил Dmitrij Kovalevskij, попытки прикрутить к чему-нибудь блокчейн, напоминают варку супа из топора. С лунатиками из минцифры всё давно понятно, но связистам-то всё это зачем?