Коллеги любезно предоставили мне копию следящего скрипта fixed_mobile.js, копия страницы со скриптом в веб-архиве ( https://web.archive.org/web/20200119150812/cyberpolice.gov.ua/ ), который был выложен на сайте киберполиции cyberpolice[.]gov[.]ua. Полиция предлагала устанавливать его на сайты СМИ, чтобы шпионить за украинцами. Сейчас скрипт уже удален с сайта, полиция проводит служебную проверку. В своем предположении о WebRTC я ошибся, затея полицейских устроена иначе: скрипт собирает информацию о клиентском устройстве: разрешение экрана, название броузера, часовой пояс и так далее, генерирует "отпечаток", и отправляет его в базу. Потом можно сопоставить отпечатки, и если вы заходили куда-то через VPN, а потом на новостной сайт как обычно без анонимизации, то можно сопоставить отпечатки и узнать ваш IP-адрес. Без сомнения - это образец массовой, несанкционированной слежки, и то что совершать преступления (тут на пять разных статей наберётся) и устанавливать средства для негласного съема информации призывает полиция, особенно печально. "Держава в смартфоне". А теперь вишенка на торте, в той копии скрипта что есть у меня (на сайте их было несколько), домен, на который собирается статистика зарегистрирован в Российской Федерации. Если это не злоупотребление властью и угроза национальной безопасности, то я не знаю что тогда угроза.
web.archive.org
Новини — Департамент Кіберполіції
Департамент Кіберполіції Національної поліції України
Пока в предыдущем посте догорают элитные скрипты Киберполиции, подвезли новостей от "анонимных представителей госпецсвязи", решившихся подать голос на срачегонную тему блокчейнов: «Главным преимуществом разработанного прототипа является имплементация отечественных криптографических стандартов ДСТУ 4145:2002, ДСТУ 7564:2014, ДСТУ 7624:2014 и ДСТУ 8845:2019, устойчивых и в условиях постквантового периода», — рассказали Forklog представители. Или на человеческом языке: эллиптические кривые, хеши, Калина, потоковый симметричный шифр. На постквантовые алгоритмы в Украине стандарта пока нет. Международного стандарта тоже пока нет, к новым алгоритмам только присматриваются.
С сожалением вынужден констатировать, что о "квантумных" (как говорит Дубилет) компьютерах и их возможностях у людей самые смутные представления, эдакая "серебряная пуля", которая пребывая в суперпозиции решает все задачи одновременно, что мягко говоря совсем не так. Начнем с того, что квантовый компьютер способный решить хоть какую-то осмысленную задачу ещё только предстоит сделать. "Квантовое превосходство" Гугла, чип из 54 кубитов, из которых один битый, и чип ничего не вычисляет, а только показывает что в нем действительно внутри кубиты, а не макароны. (без сомнения - достижение, но чтобы сделать именно компьютер потребуются годы, если не десятилетия)
Во-вторых, эллиптические кривые уязвимы с точки зрения квантовых компьютеров и даже более уязвимы чем RSA (как любезно подсказывает Википедия для взлома 256-битных ключей ECC и 2048-битных RSA алгоритмом Шора потребуется 2330 и 4098 кубитов, а так же 126*10^9 и 5*10^12 вентилей Тоффоли, соответственно. Сравните с современными процессорами и подумайте что это значит), а вот симметричные шифры для квантового компьютера неуязвимы даже в теории, только вот блокчейн-то как раз строится на асимметричном шифровании.
Небольшое отступление. Симметричный шифр можно представить как "черный ящик" с входом и выходом, натравить на него квантовый алгоритм Гровера, и найти соответствие входов и выходов за корень квадратный от количества вариантов (для шифров: 2 с показателем степени равным длине ключа), то есть уровень безопасности снижается вдвое. Для 256-битного ключа, уровень безопасности упадёт до 128 бит, что находится далеко за пределами вычислений. Это много, очень много. Более того, существует доказательство, что алгоритм оптимален и ничего лучше, если в шифре нет уязвимостей, придумать невозможно. Законы математики нельзя оспорить в суде. AES и его брат близнец Калина, и так неуязвимы для квантовых компьютеров, но только на блокчейнизацию это не влияет.
Вернёмся к спец. связи, пытающейся встать на путь исправления весьма своеобразным способом. То есть мало того, что они попросту спиздели и перечисленные алгоритмы не являются постквантовыми, так они еще имеют наглость утверждать, что "технология может быть использована для проведения различных голосований", что есть тяжелая ересь. https://tyzhden.ua/Politics/233970 Выборы таким способом провести нельзя (онлайн-платформы не обеспечивают необходимых свойств, особенно в стране с непроходящим переходным периодом), а открытые голосования гораздо проще проводить без блокчейна. Как удачно подметил Dmitrij Kovalevskij, попытки прикрутить к чему-нибудь блокчейн, напоминают варку супа из топора. С лунатиками из минцифры всё давно понятно, но связистам-то всё это зачем?
С сожалением вынужден констатировать, что о "квантумных" (как говорит Дубилет) компьютерах и их возможностях у людей самые смутные представления, эдакая "серебряная пуля", которая пребывая в суперпозиции решает все задачи одновременно, что мягко говоря совсем не так. Начнем с того, что квантовый компьютер способный решить хоть какую-то осмысленную задачу ещё только предстоит сделать. "Квантовое превосходство" Гугла, чип из 54 кубитов, из которых один битый, и чип ничего не вычисляет, а только показывает что в нем действительно внутри кубиты, а не макароны. (без сомнения - достижение, но чтобы сделать именно компьютер потребуются годы, если не десятилетия)
Во-вторых, эллиптические кривые уязвимы с точки зрения квантовых компьютеров и даже более уязвимы чем RSA (как любезно подсказывает Википедия для взлома 256-битных ключей ECC и 2048-битных RSA алгоритмом Шора потребуется 2330 и 4098 кубитов, а так же 126*10^9 и 5*10^12 вентилей Тоффоли, соответственно. Сравните с современными процессорами и подумайте что это значит), а вот симметричные шифры для квантового компьютера неуязвимы даже в теории, только вот блокчейн-то как раз строится на асимметричном шифровании.
Небольшое отступление. Симметричный шифр можно представить как "черный ящик" с входом и выходом, натравить на него квантовый алгоритм Гровера, и найти соответствие входов и выходов за корень квадратный от количества вариантов (для шифров: 2 с показателем степени равным длине ключа), то есть уровень безопасности снижается вдвое. Для 256-битного ключа, уровень безопасности упадёт до 128 бит, что находится далеко за пределами вычислений. Это много, очень много. Более того, существует доказательство, что алгоритм оптимален и ничего лучше, если в шифре нет уязвимостей, придумать невозможно. Законы математики нельзя оспорить в суде. AES и его брат близнец Калина, и так неуязвимы для квантовых компьютеров, но только на блокчейнизацию это не влияет.
Вернёмся к спец. связи, пытающейся встать на путь исправления весьма своеобразным способом. То есть мало того, что они попросту спиздели и перечисленные алгоритмы не являются постквантовыми, так они еще имеют наглость утверждать, что "технология может быть использована для проведения различных голосований", что есть тяжелая ересь. https://tyzhden.ua/Politics/233970 Выборы таким способом провести нельзя (онлайн-платформы не обеспечивают необходимых свойств, особенно в стране с непроходящим переходным периодом), а открытые голосования гораздо проще проводить без блокчейна. Как удачно подметил Dmitrij Kovalevskij, попытки прикрутить к чему-нибудь блокчейн, напоминают варку супа из топора. С лунатиками из минцифры всё давно понятно, но связистам-то всё это зачем?
"Насколько мне известно, Украина стала третьей страной Европы, у которой есть что-то похожее", - заявил Зеленский во время презентации приложения "Дия". Не могу не согласиться с президентом. И даже не третья, а первая! Я другой такой страны не знаю, чтобы из приложения с правами и паспортами кишки вываливались пока проходит презентация. Такого больше ни у кого нет.
Чтобы супер "застосунок" вместе со своим супер-сайтом не развалился, один из наших волонтеров (по традиции пожелал остаться неизвестным) заготовил архивные копии заранее. А вы тоже в государственных приложениях оставляете беспарольные формы загрузки, запускаете пых в веб-каталогах или анонизируете как-то по-другому? http://archive.is/dsH6L http://archive.is/34K0w
Е-страна, страна-фантазия, один госстат на 0.888 умножает, другой оставляет мета-информацию в компромате, про жижитализаторов ещё поговорим отдельно. "Дійові", блядь #FuckResponsibleDisclosure
Чтобы супер "застосунок" вместе со своим супер-сайтом не развалился, один из наших волонтеров (по традиции пожелал остаться неизвестным) заготовил архивные копии заранее. А вы тоже в государственных приложениях оставляете беспарольные формы загрузки, запускаете пых в веб-каталогах или анонизируете как-то по-другому? http://archive.is/dsH6L http://archive.is/34K0w
Е-страна, страна-фантазия, один госстат на 0.888 умножает, другой оставляет мета-информацию в компромате, про жижитализаторов ещё поговорим отдельно. "Дійові", блядь #FuckResponsibleDisclosure
"НЕ ПОСРАМИЛИ УКРАИНУ"
Не знаю как я мог пропустить такую феерическую новость, но "дело Avalanche" закончилось ещё в сентябре, и закончилось оно полным факапом. Длинная и интересная история. #Avalanche - fast-flux сеть, грубо говоря и сильно упрощая: вирусы, чья задача - защищать другие вирусы. Организаторов долго искали, FBI и DHS накопили 130 гигабайт данных о работе сети, и осенью 2016 года началась крупнейшая международная облава на черных шляп. Украинская полиция тоже участвовала.
Из десяти подозреваемых "установили" двоих: Антона Тимохина и Геннадия Капканова. Почему в кавычках? Потому что Тимохина приняли из-за того, что он лет десять назад использовал довольно распространенный никнейм "Cадовод", упоминавшийся в деле. Никаких других доказательств кроме "поиска в сети Интернет" не было, и когда окончательно стало ясно, что дело против Тимохина шито белыми нитками, его отпустили. Никто не извинился. Ещё чего! Хотя на пресс-конференции прокурор Луценко и начальник полиции Троян разливались соловьями об успешной операции.
С Капкановым другая история, он от ментов просто сбежал из-за того что прокуратура не смогла ясно сформулировать обвинение и суд выпустил его на свободу. Прокурор Сторожук пытался "задержать Капканова с целью экстрадиции" (Украина не выдаёт своих граждан) Луценко в начале обещал уволить прокурора, но узнав в нём своего заместителя, начал вместо этого угрожать судье.
Задержали Капканова вновь в феврале 2018 года. В разные "периоды" Капканову предъявляли статьи: 196 (неосторожное повреждение имущества), 209 (легализация преступных доходов), 361 (компьютерный взлом), 342 (сопротивление полиции), 190 (мошенничество), 263 (незаконное оружие), 348 (посягательство на жизнь сотрудника органов), 358 (подделка документов). До суда дожили только последние три обвинения.
Самое примечательное - отсутствовала "хакерская" 361, с которой собственно всё и началось. А теперь финал. Доказать удалось только подделку документов. Капканову присудили два года по 358 и отпустили в зале суда, потому что срок он уже отбыл, пока шло дело. Я не знаю виновен ли Геннадий Капканов в том в чем его обвиняли, кто ж ментам поверит, особенно после #FreeRiff, но в том, что это - грандиозный провал правоохранительной системы, её полная деградация и отказ у меня сомнений нет.
Update. Как мне любезно подсказали в комментариях, дело по хакерству, мошенничеству и отмыванию денег против Капканова идёт отдельным производством. Оно то приостанавливается, то продляется. Обвинения строятся на американских обвинениях, правда, мне не очень понятно, как полиция собирается их доказывать здесь. И получается безвыходная ситуация, обвинить без достаточных доказательств - скандал, отпустить - скандал. И даже по-партизански молчать - всё равно скандал. Вот и тянут.
Не знаю как я мог пропустить такую феерическую новость, но "дело Avalanche" закончилось ещё в сентябре, и закончилось оно полным факапом. Длинная и интересная история. #Avalanche - fast-flux сеть, грубо говоря и сильно упрощая: вирусы, чья задача - защищать другие вирусы. Организаторов долго искали, FBI и DHS накопили 130 гигабайт данных о работе сети, и осенью 2016 года началась крупнейшая международная облава на черных шляп. Украинская полиция тоже участвовала.
Из десяти подозреваемых "установили" двоих: Антона Тимохина и Геннадия Капканова. Почему в кавычках? Потому что Тимохина приняли из-за того, что он лет десять назад использовал довольно распространенный никнейм "Cадовод", упоминавшийся в деле. Никаких других доказательств кроме "поиска в сети Интернет" не было, и когда окончательно стало ясно, что дело против Тимохина шито белыми нитками, его отпустили. Никто не извинился. Ещё чего! Хотя на пресс-конференции прокурор Луценко и начальник полиции Троян разливались соловьями об успешной операции.
С Капкановым другая история, он от ментов просто сбежал из-за того что прокуратура не смогла ясно сформулировать обвинение и суд выпустил его на свободу. Прокурор Сторожук пытался "задержать Капканова с целью экстрадиции" (Украина не выдаёт своих граждан) Луценко в начале обещал уволить прокурора, но узнав в нём своего заместителя, начал вместо этого угрожать судье.
Задержали Капканова вновь в феврале 2018 года. В разные "периоды" Капканову предъявляли статьи: 196 (неосторожное повреждение имущества), 209 (легализация преступных доходов), 361 (компьютерный взлом), 342 (сопротивление полиции), 190 (мошенничество), 263 (незаконное оружие), 348 (посягательство на жизнь сотрудника органов), 358 (подделка документов). До суда дожили только последние три обвинения.
Самое примечательное - отсутствовала "хакерская" 361, с которой собственно всё и началось. А теперь финал. Доказать удалось только подделку документов. Капканову присудили два года по 358 и отпустили в зале суда, потому что срок он уже отбыл, пока шло дело. Я не знаю виновен ли Геннадий Капканов в том в чем его обвиняли, кто ж ментам поверит, особенно после #FreeRiff, но в том, что это - грандиозный провал правоохранительной системы, её полная деградация и отказ у меня сомнений нет.
Update. Как мне любезно подсказали в комментариях, дело по хакерству, мошенничеству и отмыванию денег против Капканова идёт отдельным производством. Оно то приостанавливается, то продляется. Обвинения строятся на американских обвинениях, правда, мне не очень понятно, как полиция собирается их доказывать здесь. И получается безвыходная ситуация, обвинить без достаточных доказательств - скандал, отпустить - скандал. И даже по-партизански молчать - всё равно скандал. Вот и тянут.
AIN.UA получили дивный ответ от киберполиции (по поводу слежки за пользователями). Кибера говорят, что таким способом измеряли уровень доверия общества к полиции. Выяснилось (внезапно), что оный уровень близок к нулю. Так бывает, когда полиция не принимает заявления, не ловит преступников и сажает невиновных в тюрьму. И нелепая отмазка снизила его ещё чуть-чуть.
P.S. Для тех кто забыл, напомю, что речь шла не о самом сайте киберполиции, на своём сайте - ставьте что угодно, а в том что они просили поставить следящие скрипты на сайты региональных СМИ и тем самым открыть полиции доступ к логам. https://www.facebook.com/ruheight/posts/850746735373686
P.S. Для тех кто забыл, напомю, что речь шла не о самом сайте киберполиции, на своём сайте - ставьте что угодно, а в том что они просили поставить следящие скрипты на сайты региональных СМИ и тем самым открыть полиции доступ к логам. https://www.facebook.com/ruheight/posts/850746735373686
Давайте я сначала скажу про жижитализаторов что-нибудь хорошее, а потом посмотрим поближе, что у них "Дие". Абсолютно не секрет, что в государственных реестрах - бардак и проходной двор, и минцифры озадачились тем, чтобы провести сверку реестров. Кто те люди, которые получили доступ одновременно в несколько реестров и как они это делают никому неведомо, но затея в принципе хорошая.
Только выводы из результатов странные.
Вместо того, чтобы тут же начать служебную проверку МВД и строго наказать виновных в том, что треть записей оказалась коррупционно-раздолбайским мусором, данные зачем-то актуализируют сами пользователи. Чтобы МВД было удобнее там рыться.
Чтобы не повышать доверие граждан к анонизирующему МВД, всё сделано с точностью до наоборот, снижается ответственность за нарушения в ведении реестров и повышается доверие ментов к данным за счет пользователей. Способы ведение реестров и контроля доступа к ним не изменились, просто появились дополнительные точки входа (Дия и Трембита).
Что из себя представляет приложение?
Нет никакого чудо-приложения. Есть сайт diia[.]app, а приложение от него не более чем ярлык от сайта на рабочем столе. Можно было бы обойтись и сайтом и убрать риск supply chain атаки, когда вам вместо обновления "Дии" приедет подарочек "из России с любовью". Как было с Медком и Непетей.
В данный момент на сайте, сильно упрощая, четыре страницы - аутентификация через BankID, паспорт и ЭЦП (как работают последние два способа, кто для них писал софт и что делать с миллионами подписей Приватбанка выданных удаленно без личного присутствия - никто не знает, не барское это дело техническую документацию публиковать). И собственно страницы документов.
BankID использует OAuth2. И вместо того, чтобы "Дия" передавала в банк данные и спрашивала, ы? А банк скромно кивал или мотал электронной головой, все сделано наоборот, банк передает в Дию данные, включая те, которых у минцифры не было - почта, телефон, актуальный почтовый адрес. Что неправильно, но просто меркнет на фоне полной отмены банковской тайны.
Сами банки при этом использовать удаленную аутентификацию для открытия счетов не торопятся, не смотря на разрешение НБУ. Риски велики. Для открытия пустого дебетого счета слишком опасно, а для документов, удостоверяющих личность - всё в порядке, заебок. (Сарказм) Потом система зациклиться - банки начнут принимать Дию и использовать её в качестве источника данных, Дия будет полагаться на данные банков. Чувствуете всю мощь порочного круга? Всё это приведёт к уничтожению понятия "юридически значимый документ" и полному размыванию ответственности.
Естественно, если украсть ЭЦП или доступ к банку (что отнюдь не редкость, деньги со счетов воруют регулярно), или сразу утащить OAuth-токен из приложения, то можно открыть кучу сессий на украденные паспорта и подбирать их себе по вкусу и сходству собственной морды с украденной. Контролировать активные сессии (как в Фейсбуке или Телеге), отменять их или даже просто запретить диевым рыться в ваших данных вы не можете. Не opt-in, не opt-out, а opt-нахуй пошел, вас тут не стояло.
Если вам нужно показать паспорт проводнику (зачем это делать я, хоть убей, не понимаю, давно пора отменить паспортный контроль на железной дороге), то приложение с токеном обращается к сайту и тот генерирует еще один токен, на этот раз временный (три минуты) и отдаёт QR-код со ссылкой вот такого вида:
https://diia.app/documents/vehicle-license/62000000/verify/dfac12ab-5678-abcd-ac93-1db0139f677c
(спасибо Юрию Рудому, он не поленился написать о "Дии" в своём блоге. Самой минцифре не нужно, чтобы вы копались в их любимой говнишечке и документацию они публиковать не хотят, а может, учитывая спешку, никакой документации не было и нет.
Только выводы из результатов странные.
Вместо того, чтобы тут же начать служебную проверку МВД и строго наказать виновных в том, что треть записей оказалась коррупционно-раздолбайским мусором, данные зачем-то актуализируют сами пользователи. Чтобы МВД было удобнее там рыться.
Чтобы не повышать доверие граждан к анонизирующему МВД, всё сделано с точностью до наоборот, снижается ответственность за нарушения в ведении реестров и повышается доверие ментов к данным за счет пользователей. Способы ведение реестров и контроля доступа к ним не изменились, просто появились дополнительные точки входа (Дия и Трембита).
Что из себя представляет приложение?
Нет никакого чудо-приложения. Есть сайт diia[.]app, а приложение от него не более чем ярлык от сайта на рабочем столе. Можно было бы обойтись и сайтом и убрать риск supply chain атаки, когда вам вместо обновления "Дии" приедет подарочек "из России с любовью". Как было с Медком и Непетей.
В данный момент на сайте, сильно упрощая, четыре страницы - аутентификация через BankID, паспорт и ЭЦП (как работают последние два способа, кто для них писал софт и что делать с миллионами подписей Приватбанка выданных удаленно без личного присутствия - никто не знает, не барское это дело техническую документацию публиковать). И собственно страницы документов.
BankID использует OAuth2. И вместо того, чтобы "Дия" передавала в банк данные и спрашивала, ы? А банк скромно кивал или мотал электронной головой, все сделано наоборот, банк передает в Дию данные, включая те, которых у минцифры не было - почта, телефон, актуальный почтовый адрес. Что неправильно, но просто меркнет на фоне полной отмены банковской тайны.
Сами банки при этом использовать удаленную аутентификацию для открытия счетов не торопятся, не смотря на разрешение НБУ. Риски велики. Для открытия пустого дебетого счета слишком опасно, а для документов, удостоверяющих личность - всё в порядке, заебок. (Сарказм) Потом система зациклиться - банки начнут принимать Дию и использовать её в качестве источника данных, Дия будет полагаться на данные банков. Чувствуете всю мощь порочного круга? Всё это приведёт к уничтожению понятия "юридически значимый документ" и полному размыванию ответственности.
Естественно, если украсть ЭЦП или доступ к банку (что отнюдь не редкость, деньги со счетов воруют регулярно), или сразу утащить OAuth-токен из приложения, то можно открыть кучу сессий на украденные паспорта и подбирать их себе по вкусу и сходству собственной морды с украденной. Контролировать активные сессии (как в Фейсбуке или Телеге), отменять их или даже просто запретить диевым рыться в ваших данных вы не можете. Не opt-in, не opt-out, а opt-нахуй пошел, вас тут не стояло.
Если вам нужно показать паспорт проводнику (зачем это делать я, хоть убей, не понимаю, давно пора отменить паспортный контроль на железной дороге), то приложение с токеном обращается к сайту и тот генерирует еще один токен, на этот раз временный (три минуты) и отдаёт QR-код со ссылкой вот такого вида:
https://diia.app/documents/vehicle-license/62000000/verify/dfac12ab-5678-abcd-ac93-1db0139f677c
(спасибо Юрию Рудому, он не поленился написать о "Дии" в своём блоге. Самой минцифре не нужно, чтобы вы копались в их любимой говнишечке и документацию они публиковать не хотят, а может, учитывая спешку, никакой документации не было и нет.
У вас нет никакого документа в телефоне, гарант в лице сайта просто подтверждает, да, такой документ где-то существует. Делать скриншоты запрещено, никакой юридической силы картинка не имеет. И если вы захотите, как-то зафиксировать факт предъявления ксерокопии документа, то вам нужно послать код со своего телефона, на телефон проверяющего, а потом сфотографировать процесс третьим телефонам или переписать данные с экрана в журнал. Что тоже не имеет никаких юридических последствий, и не гарантирует что у вас действительно есть физический, некопируемый, уникальный документ, а не украденный у соседа токен. А как ехидно заметил Олексий Панич, изъятие ксерокопии прав - цирк, на который интересно было бы посмотреть.
Лиха беда начало. Безумцы не останавливаются и собираются диджитализироваться дальше. Даже, если представить, что сайт полностью надежен и безопасен (я знаю, сложно такое представить, но всё же попытайтесь, а те кто крикнул zero day и "Ликуд", заткнитесь). Вся затея открывает доступ (непонятно кому) к колоссальному объему верифицированных и связанных между собой данных.
Огромный простор для злоупотреблений и манипуляций. Подход к архитектуре смешанный и бумажный (ксерокопия, как и всякий something-you-have уходит вместе с владельцем телефона, и факт предъявления документа трудно зафиксировать) и электронный, и реестровый и документальный.
Всё это никак не вписано в существующие процессы документооборота и по мере добавления очередных "е-хуяток", 341 реестра и прочих ценных государственных "услуг", породит никем доселе невиданный бардак, кражу личных данных и автоматизированное мошенничество.
Никто толком не знает и не может объяснить как и главное зачем всё это работает, никто не несёт ответственности. Осталось еще провести наевыборы на блокчейне и цифровой хаос тут же перейдёт в уличные бои. Как очень точно заметил Стыран, угроза "Дии" в том, что она вобще существует, увеличивая поверхность атаки и пряча за смартфонным гламуром полную институциональную несостоятельность.
Лиха беда начало. Безумцы не останавливаются и собираются диджитализироваться дальше. Даже, если представить, что сайт полностью надежен и безопасен (я знаю, сложно такое представить, но всё же попытайтесь, а те кто крикнул zero day и "Ликуд", заткнитесь). Вся затея открывает доступ (непонятно кому) к колоссальному объему верифицированных и связанных между собой данных.
Огромный простор для злоупотреблений и манипуляций. Подход к архитектуре смешанный и бумажный (ксерокопия, как и всякий something-you-have уходит вместе с владельцем телефона, и факт предъявления документа трудно зафиксировать) и электронный, и реестровый и документальный.
Всё это никак не вписано в существующие процессы документооборота и по мере добавления очередных "е-хуяток", 341 реестра и прочих ценных государственных "услуг", породит никем доселе невиданный бардак, кражу личных данных и автоматизированное мошенничество.
Никто толком не знает и не может объяснить как и главное зачем всё это работает, никто не несёт ответственности. Осталось еще провести наевыборы на блокчейне и цифровой хаос тут же перейдёт в уличные бои. Как очень точно заметил Стыран, угроза "Дии" в том, что она вобще существует, увеличивая поверхность атаки и пряча за смартфонным гламуром полную институциональную несостоятельность.
Сим официально всех уведомляю, что группа #CyberHunta завершила свою деятельность. Любые новые заявления от их имени - ложь и подделка. Хоть их сайт и выключен, тем не менее многие их разработки продолжают работать прямо сейчас. Хороший взлом никогда не заканчивается. Мы в Ukrainian Cyber Alliance благодарны нашим коллегам за все замечательные акции, и уверяем, что мы останавливаться не собираемся.
Подумайте сами, может ли здравомыслящий человек расчитывать на то, что с бандитской федерацией можно договориться? Забордюрные раки никогда не были договороспособными. Их устраивает только "мир" на их условиях https://bit.ly/39LZqOM , "русский мир" в котором нет места свободе и достоинству, и сегодня они подтвердили сию нехитрую мысль в очередной раз.
Должны ли мы бояться россиян, испытывать так называемую "русофобию"? Ни в коем случае. Не нужно бояться врага, как бы отвратителен он ни был в своих противоестественных устремлениях. И уж тем более стремиться к миру на их условиях? Никогда. У нас есть что противопоставить одичалым. Просто так случается, что секретная информация появляется в прессе, агентов с фальшивыми документами задерживают пограничники. Ломаются компьютеры и пропадает связь.
На России две беды, третьей будешь?
Если вы можете помочь в в развале, разломе, гниении и разложении Российской Федерации и готовы к взаимодействию, пишите. У нас есть цель - победа в войне. Нам нужна победа, а не позорный мир. Сразу предупреждаю, что мы не говорим что кому делать и не занимаемся обучением. Готов?
ping@cyber.org.ua
Для тех кто хочет помочь другим способом, например деньгами, есть такой вариант:
BTC 19fMSv8ULjoBR7UNgNGuTrqoQmwiZEa63v
Подумайте сами, может ли здравомыслящий человек расчитывать на то, что с бандитской федерацией можно договориться? Забордюрные раки никогда не были договороспособными. Их устраивает только "мир" на их условиях https://bit.ly/39LZqOM , "русский мир" в котором нет места свободе и достоинству, и сегодня они подтвердили сию нехитрую мысль в очередной раз.
Должны ли мы бояться россиян, испытывать так называемую "русофобию"? Ни в коем случае. Не нужно бояться врага, как бы отвратителен он ни был в своих противоестественных устремлениях. И уж тем более стремиться к миру на их условиях? Никогда. У нас есть что противопоставить одичалым. Просто так случается, что секретная информация появляется в прессе, агентов с фальшивыми документами задерживают пограничники. Ломаются компьютеры и пропадает связь.
На России две беды, третьей будешь?
Если вы можете помочь в в развале, разломе, гниении и разложении Российской Федерации и готовы к взаимодействию, пишите. У нас есть цель - победа в войне. Нам нужна победа, а не позорный мир. Сразу предупреждаю, что мы не говорим что кому делать и не занимаемся обучением. Готов?
ping@cyber.org.ua
Для тех кто хочет помочь другим способом, например деньгами, есть такой вариант:
BTC 19fMSv8ULjoBR7UNgNGuTrqoQmwiZEa63v
Якщо пропозиції «припинити пострілювати» й «почати домовлятися посередині» з Росією призвели до багатотисячних мітингів «Ні, капітуляції!», то спроби уряду виправити радянську систему управління з її довгими чергами по талони на отримання довідок багато хто сприймає з ентузіазмом. Нікому, навіть і чиновникам, не хочеться користуватися друкарськими машинками, стаціонарними телефонами, запорошеними паперами та іншими невідбутними атрибутами попереднього технологічного устрою. Але сучасні технології приносять як зручність, так і нові ризики. Зручно не тільки вести бізнес, а й красти гроші. Просто не лише подавати звітність, а й шпигувати, зокрема за власними громадянами. Успішність модернізації визначається не «цифровими підписами» та модними слоганами, як-от «держава в смартфоні», а довірою громадян до державних інститутів. https://tyzhden.ua/Politics/240258
Український тиждень
Цифрова недовіра - Український тиждень
Які загрози спричиняє оголошена діджиталізація країни
Прекрасные новости для всех любителей выборов на блокчейне. Есть такая американская фирма Voatz, с мобильным приложением "внедряющим биометрическое сканирование и блокчейн для аутентификации избирателей, надежного сохранения голосов и генерации бумажных бюлетеней, проверяемых избирателем с аппаратным сквозным шифрованием". Приложением пользовались на выборах в Юте, Колорадо и Западной Вирджинии.
В сети компании неделю рылись безопасники из Департамента Национальной Безопасности (DHS) и написали в целом одобрительный отчет. https://static.coindesk.com/wp-content/uploads/2020/02/DECLASSIFIED-DHS-HIRT-Security-Assessment-Summary.pdf И тут пришли ученые дядьки из MIT и разнесли всю идиллию к хуям просто https://internetpolicy.mit.edu/wp-content/uploads/2020/02/SecurityAnalysisOfVoatz_Public.pdf За взлом приложения была обещана награда, но это ничем не помогло, потому что самые серьёзные проблемы out-of-scope. Со слов Voatz приложение проходило аудит и ред тиминг, что тоже не помогло. Результаты в таблице.
Перевожу на понятный язык - даже пассивная прослушка (тупо tcpdump) раскрывает содержимое бюллетеня не смотря на двойное шифрование (TLS + ECDH/AES внутри), а точнее именно благодаря ему, если атакующий сидит посередине (MITM), то он соответственно может просто не пропускать голоса за определенного кандидата.
Атакующий с рутом в телефоне может делать всё что пожелает, включая подделку голоса, а все анти-рут и антивирусные проверки отключаются тремя строчками кода. Суперсекретные PIN-коды, можно сбрутить за пару дней на ноутбуке, то есть самая обычная мальварь с доступом к диску попиздит всю истоию голосований и авторизацию. Шифрование жестко закосячено, закосячен даже способ использования Android Key Store, проверяемость закосячена, три коммерческих сервиса на которые завязано приложение могут вертеть результатами выборов как им захочется.
Вы должны просто им поверить.
Причем тут блокчейн? А он там до пизды. Не влияет от слова совсем.
Очень поучительная история. Очень.
В сети компании неделю рылись безопасники из Департамента Национальной Безопасности (DHS) и написали в целом одобрительный отчет. https://static.coindesk.com/wp-content/uploads/2020/02/DECLASSIFIED-DHS-HIRT-Security-Assessment-Summary.pdf И тут пришли ученые дядьки из MIT и разнесли всю идиллию к хуям просто https://internetpolicy.mit.edu/wp-content/uploads/2020/02/SecurityAnalysisOfVoatz_Public.pdf За взлом приложения была обещана награда, но это ничем не помогло, потому что самые серьёзные проблемы out-of-scope. Со слов Voatz приложение проходило аудит и ред тиминг, что тоже не помогло. Результаты в таблице.
Перевожу на понятный язык - даже пассивная прослушка (тупо tcpdump) раскрывает содержимое бюллетеня не смотря на двойное шифрование (TLS + ECDH/AES внутри), а точнее именно благодаря ему, если атакующий сидит посередине (MITM), то он соответственно может просто не пропускать голоса за определенного кандидата.
Атакующий с рутом в телефоне может делать всё что пожелает, включая подделку голоса, а все анти-рут и антивирусные проверки отключаются тремя строчками кода. Суперсекретные PIN-коды, можно сбрутить за пару дней на ноутбуке, то есть самая обычная мальварь с доступом к диску попиздит всю истоию голосований и авторизацию. Шифрование жестко закосячено, закосячен даже способ использования Android Key Store, проверяемость закосячена, три коммерческих сервиса на которые завязано приложение могут вертеть результатами выборов как им захочется.
Вы должны просто им поверить.
Причем тут блокчейн? А он там до пизды. Не влияет от слова совсем.
Очень поучительная история. Очень.
Пока бесконечно важные комитеты засаживают засады, по-цифровому трансформируют, центры киберцентралят, и стопятьсот тысяч единых реестров противоестественно совокупляются, что твой пролетарий, я вам переможеньки принёс. Не всё ж злобствовать.
Есть такое министерство здравоохранения и у него в сайте три года назад была дыра, зверская и лоснящаяся скуля https://www.facebook.com/ruheight/posts/372837546497943 , которой запросто можно было отжать весь министерский сервант. Уговоры подействовали и всего лишь через годочек дыру бережно переименовали в OLD[.]moz[.]gov[.]ua, как будто бы не всё равно какой именно сайт ломать старый или новый https://www.facebook.com/ruheight/posts/692030391245322
Прошел ещё годик и чудо произошло! Два года на пофикс скули - рекорд! Я кое с кем поговорил и сайт погасили нахрен. Знаете почему? А потому что в министерстве нет ни одного программиста или безопасника, который мог бы дыру закрыть как-нибудь иначе чем отключением от базы данных (вариант о том, что база просто рухнула сама от старости и скриншот не имеет отношения к дыре я рассматриваю как клеветнический и не позволю вам очернять достижения украинской е-медицины!).
Что, кстати, наводит на мысли о то, что если информацию с сайта не перенесли и просто отключили, то стоило ли его вобще делать? И понимаете, сколько законов и очень важных совещаний не проводи - всё будет без толку. Нельзя провести аудит пустоты. Даже на уровне министерства нет ни одного человека, который бы отвечал за поддержание IT-инфраструктуры. А им еще e-Health запускать. Вот то будет страшно. И оно не одно такое.
Есть такое министерство здравоохранения и у него в сайте три года назад была дыра, зверская и лоснящаяся скуля https://www.facebook.com/ruheight/posts/372837546497943 , которой запросто можно было отжать весь министерский сервант. Уговоры подействовали и всего лишь через годочек дыру бережно переименовали в OLD[.]moz[.]gov[.]ua, как будто бы не всё равно какой именно сайт ломать старый или новый https://www.facebook.com/ruheight/posts/692030391245322
Прошел ещё годик и чудо произошло! Два года на пофикс скули - рекорд! Я кое с кем поговорил и сайт погасили нахрен. Знаете почему? А потому что в министерстве нет ни одного программиста или безопасника, который мог бы дыру закрыть как-нибудь иначе чем отключением от базы данных (вариант о том, что база просто рухнула сама от старости и скриншот не имеет отношения к дыре я рассматриваю как клеветнический и не позволю вам очернять достижения украинской е-медицины!).
Что, кстати, наводит на мысли о то, что если информацию с сайта не перенесли и просто отключили, то стоило ли его вобще делать? И понимаете, сколько законов и очень важных совещаний не проводи - всё будет без толку. Нельзя провести аудит пустоты. Даже на уровне министерства нет ни одного человека, который бы отвечал за поддержание IT-инфраструктуры. А им еще e-Health запускать. Вот то будет страшно. И оно не одно такое.
Facebook
Sean Brian Townsend
Міністерство охорони здоров'я України ( МОЗ ) #FuckResposnibleDisclosure #SQLInjection Я даже объяснять ничего не буду. Просто уберите это с глаз моих, чтобы они не кровоточили.
Очень краткое наставление для самых маленьких жижитализторов. Есть два очень полезных изобретения, существовавших еще до компьютеров, и очень хорошо с ними сочетающихся. Называются они "signing authority" и "audit trail", или "право подписи" и "контрольный след". Неспроста они появились, ой неспроста.
Работает так: очень важная организация делегирует исполнителю право подписывать документы от её имени в графе "кем выдан" и после акта бумажной магии остаётся проверяемый след. С правами идут и обязанности.
Я просто прочитал вой на форумах о проверке диевых "документов" и остался в глубоком недоумении. То есть мусор сраный накосячил, напортил и нагадил в реестр с особым цинизмом, а нормальный человек должен потом само-озалупливаться тем, чтобы мусора НЕ наказали, и чтобы мусору было удобнее.
Люди, вы в своём уме?
Во-первых, у каждой записи в реестре должно быть имя исполнителя (можно с цифровой подписью), во-вторых, если у районного отделения набирается несколько ошибок, то снимайте с них все месячные надбавки и премии, пока они не поднимут бумажный архив и не исправят все самостоятельно.
Только так и никак иначе к этим электронным обосранцам может возникнуть хоть какое-то доверие.
Работает так: очень важная организация делегирует исполнителю право подписывать документы от её имени в графе "кем выдан" и после акта бумажной магии остаётся проверяемый след. С правами идут и обязанности.
Я просто прочитал вой на форумах о проверке диевых "документов" и остался в глубоком недоумении. То есть мусор сраный накосячил, напортил и нагадил в реестр с особым цинизмом, а нормальный человек должен потом само-озалупливаться тем, чтобы мусора НЕ наказали, и чтобы мусору было удобнее.
Люди, вы в своём уме?
Во-первых, у каждой записи в реестре должно быть имя исполнителя (можно с цифровой подписью), во-вторых, если у районного отделения набирается несколько ошибок, то снимайте с них все месячные надбавки и премии, пока они не поднимут бумажный архив и не исправят все самостоятельно.
Только так и никак иначе к этим электронным обосранцам может возникнуть хоть какое-то доверие.
Есть вещи которые не меняются. И предыдущая и действующая власть спать не может, пока не начнёт портить Интернет. Их тут таких важных обзывают тюдорами и причащают говном с ложечки. А преступники почему-то не хотят сами сдаваться в полицию, а дяде-мусору сло-о-ожно и он тоже хочет себе электронную кнопку заебись. Попыток осуверенить Сеть по-российскому образцу было уже не счесть сколько, но впервые удалось Петру Алексеевичу с цензурными указами 133-2017, 126-2018, и насрать на всё действующее законодательство и на здравый смысл.
Новый проект закона о телекоммуникациях довольно приличный (в отношении Интернет-цензуры), но зеленая плесень не унимается и блокировки прописаны в проектах "о регулировании азартных игр" (Марусяка), "о медиа" (Ткаченко) и "дезинформации". До смешного доходит. Альтернативно одаренный Ткаченко протестует против духовно-богатого экстрасенса Бородянского, с целью выяснить чья именно цензура лучше. А тем временем мусора поганые и суды продажные просто ложили болт и на действующие законы и даже на проекты, и считают что когда вы заходите на сайт, то у вас возникают на него права, на которые можно наложить арест, а исполнять его должна почему-то не исполнительная служба, а интернет-провайдеры. А регулятор им подмахивает.
Для чего и нужен говно-реестр. Я долго пытался выяснить у НКРЗІ зачем им нужен экселевский файл (теперь уже автоматическая рагуляторная платформа) с перечнем провайдеров и иногда даже получал ответы, что без борьбы за сракчество Интернета и джиттер, 15 форм отчетности и того самого файла, вся гармонизация и боянизация законодательства с ЕС (спасибо Дядюре за слово) остановится, и вобще "советы лучших европейских собаководов". Что конечно же ложь от начала до конца. Единственная цель тех реестров - загнать провайдеров под действия рагуляйтера, чтобы он дальше по своему усмотрению тешился, глумился и навязывал беззаконные решения судов. НКРЗІ тут просто с детства за того чорта, плевать им на те законы.
И знаете что? А не пошли бы они все нахуй с такими раскладами? Мне нужен свободный Интернет. Я его стейкхолдер. Весь этот шлак, а именно "об азартных играх", "о медиа", "о дезинформации", два указа Порошенко "о решениях СНБО" - в топку. Сжечь вместе с рагуляторной платформой НКРЗІ и отчетностью по джиттеру. Как противоречащие Конституции (статье 15) и действующему законодательству. Всех судей у которых "права інтелектуальної власності виникають у інтернет-користувачів при використанні сайтів" - под суд за принятие заведомо неправосудных решений. Будем реалистами, давайте требовать невозможного. #цензура
Новый проект закона о телекоммуникациях довольно приличный (в отношении Интернет-цензуры), но зеленая плесень не унимается и блокировки прописаны в проектах "о регулировании азартных игр" (Марусяка), "о медиа" (Ткаченко) и "дезинформации". До смешного доходит. Альтернативно одаренный Ткаченко протестует против духовно-богатого экстрасенса Бородянского, с целью выяснить чья именно цензура лучше. А тем временем мусора поганые и суды продажные просто ложили болт и на действующие законы и даже на проекты, и считают что когда вы заходите на сайт, то у вас возникают на него права, на которые можно наложить арест, а исполнять его должна почему-то не исполнительная служба, а интернет-провайдеры. А регулятор им подмахивает.
Для чего и нужен говно-реестр. Я долго пытался выяснить у НКРЗІ зачем им нужен экселевский файл (теперь уже автоматическая рагуляторная платформа) с перечнем провайдеров и иногда даже получал ответы, что без борьбы за сракчество Интернета и джиттер, 15 форм отчетности и того самого файла, вся гармонизация и боянизация законодательства с ЕС (спасибо Дядюре за слово) остановится, и вобще "советы лучших европейских собаководов". Что конечно же ложь от начала до конца. Единственная цель тех реестров - загнать провайдеров под действия рагуляйтера, чтобы он дальше по своему усмотрению тешился, глумился и навязывал беззаконные решения судов. НКРЗІ тут просто с детства за того чорта, плевать им на те законы.
И знаете что? А не пошли бы они все нахуй с такими раскладами? Мне нужен свободный Интернет. Я его стейкхолдер. Весь этот шлак, а именно "об азартных играх", "о медиа", "о дезинформации", два указа Порошенко "о решениях СНБО" - в топку. Сжечь вместе с рагуляторной платформой НКРЗІ и отчетностью по джиттеру. Как противоречащие Конституции (статье 15) и действующему законодательству. Всех судей у которых "права інтелектуальної власності виникають у інтернет-користувачів при використанні сайтів" - под суд за принятие заведомо неправосудных решений. Будем реалистами, давайте требовать невозможного. #цензура