Мы долго спорили Jeoffrey Dahmer о том, бывает ли чеканная крипта, а так же о допустимом уровне пафоса в постах, но факт остаётся фактом - чтобы продолжать теребить забордюрье, Ukrainian Cyber Alliance нужна ваша помощь. И она измеряется в деньгах, которые мы потратим на то, чтобы за поребриком полыхало как можно ярче. А чтобы было совсем не скучно, то краудфандим криптой, вот номера кошельков:
🔹Bitcoin (BTC) 19fMSv8ULjoBR7UNgNGuTrqoQmwiZEa63v
🔹Ethereum (ETH) 0x34B5593122bae35c54a066e93317Cef214f4F224
🔹Litecoin (LTC) LXbrmweackHwtBaZrk1n3REsifa8mRhDCs
А тут несколько ссылок о том как этим всем пользоваться:
👉 https://www.facebook.com/UkrainianCyberAlliance/posts/2395850244060024
Заранее спасибо, так же буду признателен за репост.
🔹Bitcoin (BTC) 19fMSv8ULjoBR7UNgNGuTrqoQmwiZEa63v
🔹Ethereum (ETH) 0x34B5593122bae35c54a066e93317Cef214f4F224
🔹Litecoin (LTC) LXbrmweackHwtBaZrk1n3REsifa8mRhDCs
А тут несколько ссылок о том как этим всем пользоваться:
👉 https://www.facebook.com/UkrainianCyberAlliance/posts/2395850244060024
Заранее спасибо, так же буду признателен за репост.
От таких блистательных "побед" даже я охуел, а удивить меня враньем и некомпетентностью крайне сложно. Для тех у кого с памятью плохо, хочу напомнить: до августа 2014 года в Донецк ходили поезда, не смотря на постановление НБУ и бои, продолжал работать Ощадбанк, и в нем были открыты счета Донецкого горсовета, и хотя уже начали останавливаться заводы, украинские предприятия Донецкой и Луганской области еще платили налоги в новую фискальную службу. В июне, начале июля до того как "подул северный ветер" - так террористы называли поставки оружия и вторжение армии РФ, они готовились умирать, с мая Ринат "Рыжий Пидор" Ахметов гудел в гудки, а то самое "министерство угля и энергетики" существовало исключительно в воспаленных мозгах бомжей из ОДА вплоть до середины 2015 года. Систему управления "территориями 1 и 2" строило правительство РФ с осени 2014, а не сепаратисты. Кому интересно можете почитать про уголек здесь https://informnapalm.org/29618-energetika/ Из взломанной почты оккупационного "министерства" можно узнать куда больше, чем из громких заявлений СБ Украины. В том числе о том как наше правительство торговало с российскими оккупантами. Второй вопрос, который меня заинтересовал, Ивакин не скрывался, давно уехал из Донецка и пользовался поездами (билеты у нас именные, у СБУ есть доступ к базе), более того, он значится в санкционном списке СНБО, введенном в действие указом Президента 126/2018, что как бы намекает, что даже такая простая вещь как экономические санкции сломана полностью и безнадежно, и при этом шесть лет к "министру на три дня" не возникало вопросов, а теперь, опа! спец. операцию они провели и террориста "вывели". Что это, простите, за ссанина? На кого расчитано заявление, на рыбок-гуппи?
InformNapalm
Оценка состояния угольной промышленности оккупированных территорий Донбасса
“Оценка состояния угольной промышленности ДНР” – так озаглавлен документ, найденный во взломанной почте “Министерства” угля и энергетики...
Коллеги любезно предоставили мне копию следящего скрипта fixed_mobile.js, копия страницы со скриптом в веб-архиве ( https://web.archive.org/web/20200119150812/cyberpolice.gov.ua/ ), который был выложен на сайте киберполиции cyberpolice[.]gov[.]ua. Полиция предлагала устанавливать его на сайты СМИ, чтобы шпионить за украинцами. Сейчас скрипт уже удален с сайта, полиция проводит служебную проверку. В своем предположении о WebRTC я ошибся, затея полицейских устроена иначе: скрипт собирает информацию о клиентском устройстве: разрешение экрана, название броузера, часовой пояс и так далее, генерирует "отпечаток", и отправляет его в базу. Потом можно сопоставить отпечатки, и если вы заходили куда-то через VPN, а потом на новостной сайт как обычно без анонимизации, то можно сопоставить отпечатки и узнать ваш IP-адрес. Без сомнения - это образец массовой, несанкционированной слежки, и то что совершать преступления (тут на пять разных статей наберётся) и устанавливать средства для негласного съема информации призывает полиция, особенно печально. "Держава в смартфоне". А теперь вишенка на торте, в той копии скрипта что есть у меня (на сайте их было несколько), домен, на который собирается статистика зарегистрирован в Российской Федерации. Если это не злоупотребление властью и угроза национальной безопасности, то я не знаю что тогда угроза.
web.archive.org
Новини — Департамент Кіберполіції
Департамент Кіберполіції Національної поліції України
Пока в предыдущем посте догорают элитные скрипты Киберполиции, подвезли новостей от "анонимных представителей госпецсвязи", решившихся подать голос на срачегонную тему блокчейнов: «Главным преимуществом разработанного прототипа является имплементация отечественных криптографических стандартов ДСТУ 4145:2002, ДСТУ 7564:2014, ДСТУ 7624:2014 и ДСТУ 8845:2019, устойчивых и в условиях постквантового периода», — рассказали Forklog представители. Или на человеческом языке: эллиптические кривые, хеши, Калина, потоковый симметричный шифр. На постквантовые алгоритмы в Украине стандарта пока нет. Международного стандарта тоже пока нет, к новым алгоритмам только присматриваются.
С сожалением вынужден констатировать, что о "квантумных" (как говорит Дубилет) компьютерах и их возможностях у людей самые смутные представления, эдакая "серебряная пуля", которая пребывая в суперпозиции решает все задачи одновременно, что мягко говоря совсем не так. Начнем с того, что квантовый компьютер способный решить хоть какую-то осмысленную задачу ещё только предстоит сделать. "Квантовое превосходство" Гугла, чип из 54 кубитов, из которых один битый, и чип ничего не вычисляет, а только показывает что в нем действительно внутри кубиты, а не макароны. (без сомнения - достижение, но чтобы сделать именно компьютер потребуются годы, если не десятилетия)
Во-вторых, эллиптические кривые уязвимы с точки зрения квантовых компьютеров и даже более уязвимы чем RSA (как любезно подсказывает Википедия для взлома 256-битных ключей ECC и 2048-битных RSA алгоритмом Шора потребуется 2330 и 4098 кубитов, а так же 126*10^9 и 5*10^12 вентилей Тоффоли, соответственно. Сравните с современными процессорами и подумайте что это значит), а вот симметричные шифры для квантового компьютера неуязвимы даже в теории, только вот блокчейн-то как раз строится на асимметричном шифровании.
Небольшое отступление. Симметричный шифр можно представить как "черный ящик" с входом и выходом, натравить на него квантовый алгоритм Гровера, и найти соответствие входов и выходов за корень квадратный от количества вариантов (для шифров: 2 с показателем степени равным длине ключа), то есть уровень безопасности снижается вдвое. Для 256-битного ключа, уровень безопасности упадёт до 128 бит, что находится далеко за пределами вычислений. Это много, очень много. Более того, существует доказательство, что алгоритм оптимален и ничего лучше, если в шифре нет уязвимостей, придумать невозможно. Законы математики нельзя оспорить в суде. AES и его брат близнец Калина, и так неуязвимы для квантовых компьютеров, но только на блокчейнизацию это не влияет.
Вернёмся к спец. связи, пытающейся встать на путь исправления весьма своеобразным способом. То есть мало того, что они попросту спиздели и перечисленные алгоритмы не являются постквантовыми, так они еще имеют наглость утверждать, что "технология может быть использована для проведения различных голосований", что есть тяжелая ересь. https://tyzhden.ua/Politics/233970 Выборы таким способом провести нельзя (онлайн-платформы не обеспечивают необходимых свойств, особенно в стране с непроходящим переходным периодом), а открытые голосования гораздо проще проводить без блокчейна. Как удачно подметил Dmitrij Kovalevskij, попытки прикрутить к чему-нибудь блокчейн, напоминают варку супа из топора. С лунатиками из минцифры всё давно понятно, но связистам-то всё это зачем?
С сожалением вынужден констатировать, что о "квантумных" (как говорит Дубилет) компьютерах и их возможностях у людей самые смутные представления, эдакая "серебряная пуля", которая пребывая в суперпозиции решает все задачи одновременно, что мягко говоря совсем не так. Начнем с того, что квантовый компьютер способный решить хоть какую-то осмысленную задачу ещё только предстоит сделать. "Квантовое превосходство" Гугла, чип из 54 кубитов, из которых один битый, и чип ничего не вычисляет, а только показывает что в нем действительно внутри кубиты, а не макароны. (без сомнения - достижение, но чтобы сделать именно компьютер потребуются годы, если не десятилетия)
Во-вторых, эллиптические кривые уязвимы с точки зрения квантовых компьютеров и даже более уязвимы чем RSA (как любезно подсказывает Википедия для взлома 256-битных ключей ECC и 2048-битных RSA алгоритмом Шора потребуется 2330 и 4098 кубитов, а так же 126*10^9 и 5*10^12 вентилей Тоффоли, соответственно. Сравните с современными процессорами и подумайте что это значит), а вот симметричные шифры для квантового компьютера неуязвимы даже в теории, только вот блокчейн-то как раз строится на асимметричном шифровании.
Небольшое отступление. Симметричный шифр можно представить как "черный ящик" с входом и выходом, натравить на него квантовый алгоритм Гровера, и найти соответствие входов и выходов за корень квадратный от количества вариантов (для шифров: 2 с показателем степени равным длине ключа), то есть уровень безопасности снижается вдвое. Для 256-битного ключа, уровень безопасности упадёт до 128 бит, что находится далеко за пределами вычислений. Это много, очень много. Более того, существует доказательство, что алгоритм оптимален и ничего лучше, если в шифре нет уязвимостей, придумать невозможно. Законы математики нельзя оспорить в суде. AES и его брат близнец Калина, и так неуязвимы для квантовых компьютеров, но только на блокчейнизацию это не влияет.
Вернёмся к спец. связи, пытающейся встать на путь исправления весьма своеобразным способом. То есть мало того, что они попросту спиздели и перечисленные алгоритмы не являются постквантовыми, так они еще имеют наглость утверждать, что "технология может быть использована для проведения различных голосований", что есть тяжелая ересь. https://tyzhden.ua/Politics/233970 Выборы таким способом провести нельзя (онлайн-платформы не обеспечивают необходимых свойств, особенно в стране с непроходящим переходным периодом), а открытые голосования гораздо проще проводить без блокчейна. Как удачно подметил Dmitrij Kovalevskij, попытки прикрутить к чему-нибудь блокчейн, напоминают варку супа из топора. С лунатиками из минцифры всё давно понятно, но связистам-то всё это зачем?
"Насколько мне известно, Украина стала третьей страной Европы, у которой есть что-то похожее", - заявил Зеленский во время презентации приложения "Дия". Не могу не согласиться с президентом. И даже не третья, а первая! Я другой такой страны не знаю, чтобы из приложения с правами и паспортами кишки вываливались пока проходит презентация. Такого больше ни у кого нет.
Чтобы супер "застосунок" вместе со своим супер-сайтом не развалился, один из наших волонтеров (по традиции пожелал остаться неизвестным) заготовил архивные копии заранее. А вы тоже в государственных приложениях оставляете беспарольные формы загрузки, запускаете пых в веб-каталогах или анонизируете как-то по-другому? http://archive.is/dsH6L http://archive.is/34K0w
Е-страна, страна-фантазия, один госстат на 0.888 умножает, другой оставляет мета-информацию в компромате, про жижитализаторов ещё поговорим отдельно. "Дійові", блядь #FuckResponsibleDisclosure
Чтобы супер "застосунок" вместе со своим супер-сайтом не развалился, один из наших волонтеров (по традиции пожелал остаться неизвестным) заготовил архивные копии заранее. А вы тоже в государственных приложениях оставляете беспарольные формы загрузки, запускаете пых в веб-каталогах или анонизируете как-то по-другому? http://archive.is/dsH6L http://archive.is/34K0w
Е-страна, страна-фантазия, один госстат на 0.888 умножает, другой оставляет мета-информацию в компромате, про жижитализаторов ещё поговорим отдельно. "Дійові", блядь #FuckResponsibleDisclosure
"НЕ ПОСРАМИЛИ УКРАИНУ"
Не знаю как я мог пропустить такую феерическую новость, но "дело Avalanche" закончилось ещё в сентябре, и закончилось оно полным факапом. Длинная и интересная история. #Avalanche - fast-flux сеть, грубо говоря и сильно упрощая: вирусы, чья задача - защищать другие вирусы. Организаторов долго искали, FBI и DHS накопили 130 гигабайт данных о работе сети, и осенью 2016 года началась крупнейшая международная облава на черных шляп. Украинская полиция тоже участвовала.
Из десяти подозреваемых "установили" двоих: Антона Тимохина и Геннадия Капканова. Почему в кавычках? Потому что Тимохина приняли из-за того, что он лет десять назад использовал довольно распространенный никнейм "Cадовод", упоминавшийся в деле. Никаких других доказательств кроме "поиска в сети Интернет" не было, и когда окончательно стало ясно, что дело против Тимохина шито белыми нитками, его отпустили. Никто не извинился. Ещё чего! Хотя на пресс-конференции прокурор Луценко и начальник полиции Троян разливались соловьями об успешной операции.
С Капкановым другая история, он от ментов просто сбежал из-за того что прокуратура не смогла ясно сформулировать обвинение и суд выпустил его на свободу. Прокурор Сторожук пытался "задержать Капканова с целью экстрадиции" (Украина не выдаёт своих граждан) Луценко в начале обещал уволить прокурора, но узнав в нём своего заместителя, начал вместо этого угрожать судье.
Задержали Капканова вновь в феврале 2018 года. В разные "периоды" Капканову предъявляли статьи: 196 (неосторожное повреждение имущества), 209 (легализация преступных доходов), 361 (компьютерный взлом), 342 (сопротивление полиции), 190 (мошенничество), 263 (незаконное оружие), 348 (посягательство на жизнь сотрудника органов), 358 (подделка документов). До суда дожили только последние три обвинения.
Самое примечательное - отсутствовала "хакерская" 361, с которой собственно всё и началось. А теперь финал. Доказать удалось только подделку документов. Капканову присудили два года по 358 и отпустили в зале суда, потому что срок он уже отбыл, пока шло дело. Я не знаю виновен ли Геннадий Капканов в том в чем его обвиняли, кто ж ментам поверит, особенно после #FreeRiff, но в том, что это - грандиозный провал правоохранительной системы, её полная деградация и отказ у меня сомнений нет.
Update. Как мне любезно подсказали в комментариях, дело по хакерству, мошенничеству и отмыванию денег против Капканова идёт отдельным производством. Оно то приостанавливается, то продляется. Обвинения строятся на американских обвинениях, правда, мне не очень понятно, как полиция собирается их доказывать здесь. И получается безвыходная ситуация, обвинить без достаточных доказательств - скандал, отпустить - скандал. И даже по-партизански молчать - всё равно скандал. Вот и тянут.
Не знаю как я мог пропустить такую феерическую новость, но "дело Avalanche" закончилось ещё в сентябре, и закончилось оно полным факапом. Длинная и интересная история. #Avalanche - fast-flux сеть, грубо говоря и сильно упрощая: вирусы, чья задача - защищать другие вирусы. Организаторов долго искали, FBI и DHS накопили 130 гигабайт данных о работе сети, и осенью 2016 года началась крупнейшая международная облава на черных шляп. Украинская полиция тоже участвовала.
Из десяти подозреваемых "установили" двоих: Антона Тимохина и Геннадия Капканова. Почему в кавычках? Потому что Тимохина приняли из-за того, что он лет десять назад использовал довольно распространенный никнейм "Cадовод", упоминавшийся в деле. Никаких других доказательств кроме "поиска в сети Интернет" не было, и когда окончательно стало ясно, что дело против Тимохина шито белыми нитками, его отпустили. Никто не извинился. Ещё чего! Хотя на пресс-конференции прокурор Луценко и начальник полиции Троян разливались соловьями об успешной операции.
С Капкановым другая история, он от ментов просто сбежал из-за того что прокуратура не смогла ясно сформулировать обвинение и суд выпустил его на свободу. Прокурор Сторожук пытался "задержать Капканова с целью экстрадиции" (Украина не выдаёт своих граждан) Луценко в начале обещал уволить прокурора, но узнав в нём своего заместителя, начал вместо этого угрожать судье.
Задержали Капканова вновь в феврале 2018 года. В разные "периоды" Капканову предъявляли статьи: 196 (неосторожное повреждение имущества), 209 (легализация преступных доходов), 361 (компьютерный взлом), 342 (сопротивление полиции), 190 (мошенничество), 263 (незаконное оружие), 348 (посягательство на жизнь сотрудника органов), 358 (подделка документов). До суда дожили только последние три обвинения.
Самое примечательное - отсутствовала "хакерская" 361, с которой собственно всё и началось. А теперь финал. Доказать удалось только подделку документов. Капканову присудили два года по 358 и отпустили в зале суда, потому что срок он уже отбыл, пока шло дело. Я не знаю виновен ли Геннадий Капканов в том в чем его обвиняли, кто ж ментам поверит, особенно после #FreeRiff, но в том, что это - грандиозный провал правоохранительной системы, её полная деградация и отказ у меня сомнений нет.
Update. Как мне любезно подсказали в комментариях, дело по хакерству, мошенничеству и отмыванию денег против Капканова идёт отдельным производством. Оно то приостанавливается, то продляется. Обвинения строятся на американских обвинениях, правда, мне не очень понятно, как полиция собирается их доказывать здесь. И получается безвыходная ситуация, обвинить без достаточных доказательств - скандал, отпустить - скандал. И даже по-партизански молчать - всё равно скандал. Вот и тянут.
AIN.UA получили дивный ответ от киберполиции (по поводу слежки за пользователями). Кибера говорят, что таким способом измеряли уровень доверия общества к полиции. Выяснилось (внезапно), что оный уровень близок к нулю. Так бывает, когда полиция не принимает заявления, не ловит преступников и сажает невиновных в тюрьму. И нелепая отмазка снизила его ещё чуть-чуть.
P.S. Для тех кто забыл, напомю, что речь шла не о самом сайте киберполиции, на своём сайте - ставьте что угодно, а в том что они просили поставить следящие скрипты на сайты региональных СМИ и тем самым открыть полиции доступ к логам. https://www.facebook.com/ruheight/posts/850746735373686
P.S. Для тех кто забыл, напомю, что речь шла не о самом сайте киберполиции, на своём сайте - ставьте что угодно, а в том что они просили поставить следящие скрипты на сайты региональных СМИ и тем самым открыть полиции доступ к логам. https://www.facebook.com/ruheight/posts/850746735373686
Давайте я сначала скажу про жижитализаторов что-нибудь хорошее, а потом посмотрим поближе, что у них "Дие". Абсолютно не секрет, что в государственных реестрах - бардак и проходной двор, и минцифры озадачились тем, чтобы провести сверку реестров. Кто те люди, которые получили доступ одновременно в несколько реестров и как они это делают никому неведомо, но затея в принципе хорошая.
Только выводы из результатов странные.
Вместо того, чтобы тут же начать служебную проверку МВД и строго наказать виновных в том, что треть записей оказалась коррупционно-раздолбайским мусором, данные зачем-то актуализируют сами пользователи. Чтобы МВД было удобнее там рыться.
Чтобы не повышать доверие граждан к анонизирующему МВД, всё сделано с точностью до наоборот, снижается ответственность за нарушения в ведении реестров и повышается доверие ментов к данным за счет пользователей. Способы ведение реестров и контроля доступа к ним не изменились, просто появились дополнительные точки входа (Дия и Трембита).
Что из себя представляет приложение?
Нет никакого чудо-приложения. Есть сайт diia[.]app, а приложение от него не более чем ярлык от сайта на рабочем столе. Можно было бы обойтись и сайтом и убрать риск supply chain атаки, когда вам вместо обновления "Дии" приедет подарочек "из России с любовью". Как было с Медком и Непетей.
В данный момент на сайте, сильно упрощая, четыре страницы - аутентификация через BankID, паспорт и ЭЦП (как работают последние два способа, кто для них писал софт и что делать с миллионами подписей Приватбанка выданных удаленно без личного присутствия - никто не знает, не барское это дело техническую документацию публиковать). И собственно страницы документов.
BankID использует OAuth2. И вместо того, чтобы "Дия" передавала в банк данные и спрашивала, ы? А банк скромно кивал или мотал электронной головой, все сделано наоборот, банк передает в Дию данные, включая те, которых у минцифры не было - почта, телефон, актуальный почтовый адрес. Что неправильно, но просто меркнет на фоне полной отмены банковской тайны.
Сами банки при этом использовать удаленную аутентификацию для открытия счетов не торопятся, не смотря на разрешение НБУ. Риски велики. Для открытия пустого дебетого счета слишком опасно, а для документов, удостоверяющих личность - всё в порядке, заебок. (Сарказм) Потом система зациклиться - банки начнут принимать Дию и использовать её в качестве источника данных, Дия будет полагаться на данные банков. Чувствуете всю мощь порочного круга? Всё это приведёт к уничтожению понятия "юридически значимый документ" и полному размыванию ответственности.
Естественно, если украсть ЭЦП или доступ к банку (что отнюдь не редкость, деньги со счетов воруют регулярно), или сразу утащить OAuth-токен из приложения, то можно открыть кучу сессий на украденные паспорта и подбирать их себе по вкусу и сходству собственной морды с украденной. Контролировать активные сессии (как в Фейсбуке или Телеге), отменять их или даже просто запретить диевым рыться в ваших данных вы не можете. Не opt-in, не opt-out, а opt-нахуй пошел, вас тут не стояло.
Если вам нужно показать паспорт проводнику (зачем это делать я, хоть убей, не понимаю, давно пора отменить паспортный контроль на железной дороге), то приложение с токеном обращается к сайту и тот генерирует еще один токен, на этот раз временный (три минуты) и отдаёт QR-код со ссылкой вот такого вида:
https://diia.app/documents/vehicle-license/62000000/verify/dfac12ab-5678-abcd-ac93-1db0139f677c
(спасибо Юрию Рудому, он не поленился написать о "Дии" в своём блоге. Самой минцифре не нужно, чтобы вы копались в их любимой говнишечке и документацию они публиковать не хотят, а может, учитывая спешку, никакой документации не было и нет.
Только выводы из результатов странные.
Вместо того, чтобы тут же начать служебную проверку МВД и строго наказать виновных в том, что треть записей оказалась коррупционно-раздолбайским мусором, данные зачем-то актуализируют сами пользователи. Чтобы МВД было удобнее там рыться.
Чтобы не повышать доверие граждан к анонизирующему МВД, всё сделано с точностью до наоборот, снижается ответственность за нарушения в ведении реестров и повышается доверие ментов к данным за счет пользователей. Способы ведение реестров и контроля доступа к ним не изменились, просто появились дополнительные точки входа (Дия и Трембита).
Что из себя представляет приложение?
Нет никакого чудо-приложения. Есть сайт diia[.]app, а приложение от него не более чем ярлык от сайта на рабочем столе. Можно было бы обойтись и сайтом и убрать риск supply chain атаки, когда вам вместо обновления "Дии" приедет подарочек "из России с любовью". Как было с Медком и Непетей.
В данный момент на сайте, сильно упрощая, четыре страницы - аутентификация через BankID, паспорт и ЭЦП (как работают последние два способа, кто для них писал софт и что делать с миллионами подписей Приватбанка выданных удаленно без личного присутствия - никто не знает, не барское это дело техническую документацию публиковать). И собственно страницы документов.
BankID использует OAuth2. И вместо того, чтобы "Дия" передавала в банк данные и спрашивала, ы? А банк скромно кивал или мотал электронной головой, все сделано наоборот, банк передает в Дию данные, включая те, которых у минцифры не было - почта, телефон, актуальный почтовый адрес. Что неправильно, но просто меркнет на фоне полной отмены банковской тайны.
Сами банки при этом использовать удаленную аутентификацию для открытия счетов не торопятся, не смотря на разрешение НБУ. Риски велики. Для открытия пустого дебетого счета слишком опасно, а для документов, удостоверяющих личность - всё в порядке, заебок. (Сарказм) Потом система зациклиться - банки начнут принимать Дию и использовать её в качестве источника данных, Дия будет полагаться на данные банков. Чувствуете всю мощь порочного круга? Всё это приведёт к уничтожению понятия "юридически значимый документ" и полному размыванию ответственности.
Естественно, если украсть ЭЦП или доступ к банку (что отнюдь не редкость, деньги со счетов воруют регулярно), или сразу утащить OAuth-токен из приложения, то можно открыть кучу сессий на украденные паспорта и подбирать их себе по вкусу и сходству собственной морды с украденной. Контролировать активные сессии (как в Фейсбуке или Телеге), отменять их или даже просто запретить диевым рыться в ваших данных вы не можете. Не opt-in, не opt-out, а opt-нахуй пошел, вас тут не стояло.
Если вам нужно показать паспорт проводнику (зачем это делать я, хоть убей, не понимаю, давно пора отменить паспортный контроль на железной дороге), то приложение с токеном обращается к сайту и тот генерирует еще один токен, на этот раз временный (три минуты) и отдаёт QR-код со ссылкой вот такого вида:
https://diia.app/documents/vehicle-license/62000000/verify/dfac12ab-5678-abcd-ac93-1db0139f677c
(спасибо Юрию Рудому, он не поленился написать о "Дии" в своём блоге. Самой минцифре не нужно, чтобы вы копались в их любимой говнишечке и документацию они публиковать не хотят, а может, учитывая спешку, никакой документации не было и нет.
У вас нет никакого документа в телефоне, гарант в лице сайта просто подтверждает, да, такой документ где-то существует. Делать скриншоты запрещено, никакой юридической силы картинка не имеет. И если вы захотите, как-то зафиксировать факт предъявления ксерокопии документа, то вам нужно послать код со своего телефона, на телефон проверяющего, а потом сфотографировать процесс третьим телефонам или переписать данные с экрана в журнал. Что тоже не имеет никаких юридических последствий, и не гарантирует что у вас действительно есть физический, некопируемый, уникальный документ, а не украденный у соседа токен. А как ехидно заметил Олексий Панич, изъятие ксерокопии прав - цирк, на который интересно было бы посмотреть.
Лиха беда начало. Безумцы не останавливаются и собираются диджитализироваться дальше. Даже, если представить, что сайт полностью надежен и безопасен (я знаю, сложно такое представить, но всё же попытайтесь, а те кто крикнул zero day и "Ликуд", заткнитесь). Вся затея открывает доступ (непонятно кому) к колоссальному объему верифицированных и связанных между собой данных.
Огромный простор для злоупотреблений и манипуляций. Подход к архитектуре смешанный и бумажный (ксерокопия, как и всякий something-you-have уходит вместе с владельцем телефона, и факт предъявления документа трудно зафиксировать) и электронный, и реестровый и документальный.
Всё это никак не вписано в существующие процессы документооборота и по мере добавления очередных "е-хуяток", 341 реестра и прочих ценных государственных "услуг", породит никем доселе невиданный бардак, кражу личных данных и автоматизированное мошенничество.
Никто толком не знает и не может объяснить как и главное зачем всё это работает, никто не несёт ответственности. Осталось еще провести наевыборы на блокчейне и цифровой хаос тут же перейдёт в уличные бои. Как очень точно заметил Стыран, угроза "Дии" в том, что она вобще существует, увеличивая поверхность атаки и пряча за смартфонным гламуром полную институциональную несостоятельность.
Лиха беда начало. Безумцы не останавливаются и собираются диджитализироваться дальше. Даже, если представить, что сайт полностью надежен и безопасен (я знаю, сложно такое представить, но всё же попытайтесь, а те кто крикнул zero day и "Ликуд", заткнитесь). Вся затея открывает доступ (непонятно кому) к колоссальному объему верифицированных и связанных между собой данных.
Огромный простор для злоупотреблений и манипуляций. Подход к архитектуре смешанный и бумажный (ксерокопия, как и всякий something-you-have уходит вместе с владельцем телефона, и факт предъявления документа трудно зафиксировать) и электронный, и реестровый и документальный.
Всё это никак не вписано в существующие процессы документооборота и по мере добавления очередных "е-хуяток", 341 реестра и прочих ценных государственных "услуг", породит никем доселе невиданный бардак, кражу личных данных и автоматизированное мошенничество.
Никто толком не знает и не может объяснить как и главное зачем всё это работает, никто не несёт ответственности. Осталось еще провести наевыборы на блокчейне и цифровой хаос тут же перейдёт в уличные бои. Как очень точно заметил Стыран, угроза "Дии" в том, что она вобще существует, увеличивая поверхность атаки и пряча за смартфонным гламуром полную институциональную несостоятельность.
Сим официально всех уведомляю, что группа #CyberHunta завершила свою деятельность. Любые новые заявления от их имени - ложь и подделка. Хоть их сайт и выключен, тем не менее многие их разработки продолжают работать прямо сейчас. Хороший взлом никогда не заканчивается. Мы в Ukrainian Cyber Alliance благодарны нашим коллегам за все замечательные акции, и уверяем, что мы останавливаться не собираемся.
Подумайте сами, может ли здравомыслящий человек расчитывать на то, что с бандитской федерацией можно договориться? Забордюрные раки никогда не были договороспособными. Их устраивает только "мир" на их условиях https://bit.ly/39LZqOM , "русский мир" в котором нет места свободе и достоинству, и сегодня они подтвердили сию нехитрую мысль в очередной раз.
Должны ли мы бояться россиян, испытывать так называемую "русофобию"? Ни в коем случае. Не нужно бояться врага, как бы отвратителен он ни был в своих противоестественных устремлениях. И уж тем более стремиться к миру на их условиях? Никогда. У нас есть что противопоставить одичалым. Просто так случается, что секретная информация появляется в прессе, агентов с фальшивыми документами задерживают пограничники. Ломаются компьютеры и пропадает связь.
На России две беды, третьей будешь?
Если вы можете помочь в в развале, разломе, гниении и разложении Российской Федерации и готовы к взаимодействию, пишите. У нас есть цель - победа в войне. Нам нужна победа, а не позорный мир. Сразу предупреждаю, что мы не говорим что кому делать и не занимаемся обучением. Готов?
ping@cyber.org.ua
Для тех кто хочет помочь другим способом, например деньгами, есть такой вариант:
BTC 19fMSv8ULjoBR7UNgNGuTrqoQmwiZEa63v
Подумайте сами, может ли здравомыслящий человек расчитывать на то, что с бандитской федерацией можно договориться? Забордюрные раки никогда не были договороспособными. Их устраивает только "мир" на их условиях https://bit.ly/39LZqOM , "русский мир" в котором нет места свободе и достоинству, и сегодня они подтвердили сию нехитрую мысль в очередной раз.
Должны ли мы бояться россиян, испытывать так называемую "русофобию"? Ни в коем случае. Не нужно бояться врага, как бы отвратителен он ни был в своих противоестественных устремлениях. И уж тем более стремиться к миру на их условиях? Никогда. У нас есть что противопоставить одичалым. Просто так случается, что секретная информация появляется в прессе, агентов с фальшивыми документами задерживают пограничники. Ломаются компьютеры и пропадает связь.
На России две беды, третьей будешь?
Если вы можете помочь в в развале, разломе, гниении и разложении Российской Федерации и готовы к взаимодействию, пишите. У нас есть цель - победа в войне. Нам нужна победа, а не позорный мир. Сразу предупреждаю, что мы не говорим что кому делать и не занимаемся обучением. Готов?
ping@cyber.org.ua
Для тех кто хочет помочь другим способом, например деньгами, есть такой вариант:
BTC 19fMSv8ULjoBR7UNgNGuTrqoQmwiZEa63v
Якщо пропозиції «припинити пострілювати» й «почати домовлятися посередині» з Росією призвели до багатотисячних мітингів «Ні, капітуляції!», то спроби уряду виправити радянську систему управління з її довгими чергами по талони на отримання довідок багато хто сприймає з ентузіазмом. Нікому, навіть і чиновникам, не хочеться користуватися друкарськими машинками, стаціонарними телефонами, запорошеними паперами та іншими невідбутними атрибутами попереднього технологічного устрою. Але сучасні технології приносять як зручність, так і нові ризики. Зручно не тільки вести бізнес, а й красти гроші. Просто не лише подавати звітність, а й шпигувати, зокрема за власними громадянами. Успішність модернізації визначається не «цифровими підписами» та модними слоганами, як-от «держава в смартфоні», а довірою громадян до державних інститутів. https://tyzhden.ua/Politics/240258
Український тиждень
Цифрова недовіра - Український тиждень
Які загрози спричиняє оголошена діджиталізація країни
Прекрасные новости для всех любителей выборов на блокчейне. Есть такая американская фирма Voatz, с мобильным приложением "внедряющим биометрическое сканирование и блокчейн для аутентификации избирателей, надежного сохранения голосов и генерации бумажных бюлетеней, проверяемых избирателем с аппаратным сквозным шифрованием". Приложением пользовались на выборах в Юте, Колорадо и Западной Вирджинии.
В сети компании неделю рылись безопасники из Департамента Национальной Безопасности (DHS) и написали в целом одобрительный отчет. https://static.coindesk.com/wp-content/uploads/2020/02/DECLASSIFIED-DHS-HIRT-Security-Assessment-Summary.pdf И тут пришли ученые дядьки из MIT и разнесли всю идиллию к хуям просто https://internetpolicy.mit.edu/wp-content/uploads/2020/02/SecurityAnalysisOfVoatz_Public.pdf За взлом приложения была обещана награда, но это ничем не помогло, потому что самые серьёзные проблемы out-of-scope. Со слов Voatz приложение проходило аудит и ред тиминг, что тоже не помогло. Результаты в таблице.
Перевожу на понятный язык - даже пассивная прослушка (тупо tcpdump) раскрывает содержимое бюллетеня не смотря на двойное шифрование (TLS + ECDH/AES внутри), а точнее именно благодаря ему, если атакующий сидит посередине (MITM), то он соответственно может просто не пропускать голоса за определенного кандидата.
Атакующий с рутом в телефоне может делать всё что пожелает, включая подделку голоса, а все анти-рут и антивирусные проверки отключаются тремя строчками кода. Суперсекретные PIN-коды, можно сбрутить за пару дней на ноутбуке, то есть самая обычная мальварь с доступом к диску попиздит всю истоию голосований и авторизацию. Шифрование жестко закосячено, закосячен даже способ использования Android Key Store, проверяемость закосячена, три коммерческих сервиса на которые завязано приложение могут вертеть результатами выборов как им захочется.
Вы должны просто им поверить.
Причем тут блокчейн? А он там до пизды. Не влияет от слова совсем.
Очень поучительная история. Очень.
В сети компании неделю рылись безопасники из Департамента Национальной Безопасности (DHS) и написали в целом одобрительный отчет. https://static.coindesk.com/wp-content/uploads/2020/02/DECLASSIFIED-DHS-HIRT-Security-Assessment-Summary.pdf И тут пришли ученые дядьки из MIT и разнесли всю идиллию к хуям просто https://internetpolicy.mit.edu/wp-content/uploads/2020/02/SecurityAnalysisOfVoatz_Public.pdf За взлом приложения была обещана награда, но это ничем не помогло, потому что самые серьёзные проблемы out-of-scope. Со слов Voatz приложение проходило аудит и ред тиминг, что тоже не помогло. Результаты в таблице.
Перевожу на понятный язык - даже пассивная прослушка (тупо tcpdump) раскрывает содержимое бюллетеня не смотря на двойное шифрование (TLS + ECDH/AES внутри), а точнее именно благодаря ему, если атакующий сидит посередине (MITM), то он соответственно может просто не пропускать голоса за определенного кандидата.
Атакующий с рутом в телефоне может делать всё что пожелает, включая подделку голоса, а все анти-рут и антивирусные проверки отключаются тремя строчками кода. Суперсекретные PIN-коды, можно сбрутить за пару дней на ноутбуке, то есть самая обычная мальварь с доступом к диску попиздит всю истоию голосований и авторизацию. Шифрование жестко закосячено, закосячен даже способ использования Android Key Store, проверяемость закосячена, три коммерческих сервиса на которые завязано приложение могут вертеть результатами выборов как им захочется.
Вы должны просто им поверить.
Причем тут блокчейн? А он там до пизды. Не влияет от слова совсем.
Очень поучительная история. Очень.