"НЕ ПОСРАМИЛИ УКРАИНУ"
Не знаю как я мог пропустить такую феерическую новость, но "дело Avalanche" закончилось ещё в сентябре, и закончилось оно полным факапом. Длинная и интересная история. #Avalanche - fast-flux сеть, грубо говоря и сильно упрощая: вирусы, чья задача - защищать другие вирусы. Организаторов долго искали, FBI и DHS накопили 130 гигабайт данных о работе сети, и осенью 2016 года началась крупнейшая международная облава на черных шляп. Украинская полиция тоже участвовала.
Из десяти подозреваемых "установили" двоих: Антона Тимохина и Геннадия Капканова. Почему в кавычках? Потому что Тимохина приняли из-за того, что он лет десять назад использовал довольно распространенный никнейм "Cадовод", упоминавшийся в деле. Никаких других доказательств кроме "поиска в сети Интернет" не было, и когда окончательно стало ясно, что дело против Тимохина шито белыми нитками, его отпустили. Никто не извинился. Ещё чего! Хотя на пресс-конференции прокурор Луценко и начальник полиции Троян разливались соловьями об успешной операции.
С Капкановым другая история, он от ментов просто сбежал из-за того что прокуратура не смогла ясно сформулировать обвинение и суд выпустил его на свободу. Прокурор Сторожук пытался "задержать Капканова с целью экстрадиции" (Украина не выдаёт своих граждан) Луценко в начале обещал уволить прокурора, но узнав в нём своего заместителя, начал вместо этого угрожать судье.
Задержали Капканова вновь в феврале 2018 года. В разные "периоды" Капканову предъявляли статьи: 196 (неосторожное повреждение имущества), 209 (легализация преступных доходов), 361 (компьютерный взлом), 342 (сопротивление полиции), 190 (мошенничество), 263 (незаконное оружие), 348 (посягательство на жизнь сотрудника органов), 358 (подделка документов). До суда дожили только последние три обвинения.
Самое примечательное - отсутствовала "хакерская" 361, с которой собственно всё и началось. А теперь финал. Доказать удалось только подделку документов. Капканову присудили два года по 358 и отпустили в зале суда, потому что срок он уже отбыл, пока шло дело. Я не знаю виновен ли Геннадий Капканов в том в чем его обвиняли, кто ж ментам поверит, особенно после #FreeRiff, но в том, что это - грандиозный провал правоохранительной системы, её полная деградация и отказ у меня сомнений нет.
Update. Как мне любезно подсказали в комментариях, дело по хакерству, мошенничеству и отмыванию денег против Капканова идёт отдельным производством. Оно то приостанавливается, то продляется. Обвинения строятся на американских обвинениях, правда, мне не очень понятно, как полиция собирается их доказывать здесь. И получается безвыходная ситуация, обвинить без достаточных доказательств - скандал, отпустить - скандал. И даже по-партизански молчать - всё равно скандал. Вот и тянут.
Не знаю как я мог пропустить такую феерическую новость, но "дело Avalanche" закончилось ещё в сентябре, и закончилось оно полным факапом. Длинная и интересная история. #Avalanche - fast-flux сеть, грубо говоря и сильно упрощая: вирусы, чья задача - защищать другие вирусы. Организаторов долго искали, FBI и DHS накопили 130 гигабайт данных о работе сети, и осенью 2016 года началась крупнейшая международная облава на черных шляп. Украинская полиция тоже участвовала.
Из десяти подозреваемых "установили" двоих: Антона Тимохина и Геннадия Капканова. Почему в кавычках? Потому что Тимохина приняли из-за того, что он лет десять назад использовал довольно распространенный никнейм "Cадовод", упоминавшийся в деле. Никаких других доказательств кроме "поиска в сети Интернет" не было, и когда окончательно стало ясно, что дело против Тимохина шито белыми нитками, его отпустили. Никто не извинился. Ещё чего! Хотя на пресс-конференции прокурор Луценко и начальник полиции Троян разливались соловьями об успешной операции.
С Капкановым другая история, он от ментов просто сбежал из-за того что прокуратура не смогла ясно сформулировать обвинение и суд выпустил его на свободу. Прокурор Сторожук пытался "задержать Капканова с целью экстрадиции" (Украина не выдаёт своих граждан) Луценко в начале обещал уволить прокурора, но узнав в нём своего заместителя, начал вместо этого угрожать судье.
Задержали Капканова вновь в феврале 2018 года. В разные "периоды" Капканову предъявляли статьи: 196 (неосторожное повреждение имущества), 209 (легализация преступных доходов), 361 (компьютерный взлом), 342 (сопротивление полиции), 190 (мошенничество), 263 (незаконное оружие), 348 (посягательство на жизнь сотрудника органов), 358 (подделка документов). До суда дожили только последние три обвинения.
Самое примечательное - отсутствовала "хакерская" 361, с которой собственно всё и началось. А теперь финал. Доказать удалось только подделку документов. Капканову присудили два года по 358 и отпустили в зале суда, потому что срок он уже отбыл, пока шло дело. Я не знаю виновен ли Геннадий Капканов в том в чем его обвиняли, кто ж ментам поверит, особенно после #FreeRiff, но в том, что это - грандиозный провал правоохранительной системы, её полная деградация и отказ у меня сомнений нет.
Update. Как мне любезно подсказали в комментариях, дело по хакерству, мошенничеству и отмыванию денег против Капканова идёт отдельным производством. Оно то приостанавливается, то продляется. Обвинения строятся на американских обвинениях, правда, мне не очень понятно, как полиция собирается их доказывать здесь. И получается безвыходная ситуация, обвинить без достаточных доказательств - скандал, отпустить - скандал. И даже по-партизански молчать - всё равно скандал. Вот и тянут.
AIN.UA получили дивный ответ от киберполиции (по поводу слежки за пользователями). Кибера говорят, что таким способом измеряли уровень доверия общества к полиции. Выяснилось (внезапно), что оный уровень близок к нулю. Так бывает, когда полиция не принимает заявления, не ловит преступников и сажает невиновных в тюрьму. И нелепая отмазка снизила его ещё чуть-чуть.
P.S. Для тех кто забыл, напомю, что речь шла не о самом сайте киберполиции, на своём сайте - ставьте что угодно, а в том что они просили поставить следящие скрипты на сайты региональных СМИ и тем самым открыть полиции доступ к логам. https://www.facebook.com/ruheight/posts/850746735373686
P.S. Для тех кто забыл, напомю, что речь шла не о самом сайте киберполиции, на своём сайте - ставьте что угодно, а в том что они просили поставить следящие скрипты на сайты региональных СМИ и тем самым открыть полиции доступ к логам. https://www.facebook.com/ruheight/posts/850746735373686
Давайте я сначала скажу про жижитализаторов что-нибудь хорошее, а потом посмотрим поближе, что у них "Дие". Абсолютно не секрет, что в государственных реестрах - бардак и проходной двор, и минцифры озадачились тем, чтобы провести сверку реестров. Кто те люди, которые получили доступ одновременно в несколько реестров и как они это делают никому неведомо, но затея в принципе хорошая.
Только выводы из результатов странные.
Вместо того, чтобы тут же начать служебную проверку МВД и строго наказать виновных в том, что треть записей оказалась коррупционно-раздолбайским мусором, данные зачем-то актуализируют сами пользователи. Чтобы МВД было удобнее там рыться.
Чтобы не повышать доверие граждан к анонизирующему МВД, всё сделано с точностью до наоборот, снижается ответственность за нарушения в ведении реестров и повышается доверие ментов к данным за счет пользователей. Способы ведение реестров и контроля доступа к ним не изменились, просто появились дополнительные точки входа (Дия и Трембита).
Что из себя представляет приложение?
Нет никакого чудо-приложения. Есть сайт diia[.]app, а приложение от него не более чем ярлык от сайта на рабочем столе. Можно было бы обойтись и сайтом и убрать риск supply chain атаки, когда вам вместо обновления "Дии" приедет подарочек "из России с любовью". Как было с Медком и Непетей.
В данный момент на сайте, сильно упрощая, четыре страницы - аутентификация через BankID, паспорт и ЭЦП (как работают последние два способа, кто для них писал софт и что делать с миллионами подписей Приватбанка выданных удаленно без личного присутствия - никто не знает, не барское это дело техническую документацию публиковать). И собственно страницы документов.
BankID использует OAuth2. И вместо того, чтобы "Дия" передавала в банк данные и спрашивала, ы? А банк скромно кивал или мотал электронной головой, все сделано наоборот, банк передает в Дию данные, включая те, которых у минцифры не было - почта, телефон, актуальный почтовый адрес. Что неправильно, но просто меркнет на фоне полной отмены банковской тайны.
Сами банки при этом использовать удаленную аутентификацию для открытия счетов не торопятся, не смотря на разрешение НБУ. Риски велики. Для открытия пустого дебетого счета слишком опасно, а для документов, удостоверяющих личность - всё в порядке, заебок. (Сарказм) Потом система зациклиться - банки начнут принимать Дию и использовать её в качестве источника данных, Дия будет полагаться на данные банков. Чувствуете всю мощь порочного круга? Всё это приведёт к уничтожению понятия "юридически значимый документ" и полному размыванию ответственности.
Естественно, если украсть ЭЦП или доступ к банку (что отнюдь не редкость, деньги со счетов воруют регулярно), или сразу утащить OAuth-токен из приложения, то можно открыть кучу сессий на украденные паспорта и подбирать их себе по вкусу и сходству собственной морды с украденной. Контролировать активные сессии (как в Фейсбуке или Телеге), отменять их или даже просто запретить диевым рыться в ваших данных вы не можете. Не opt-in, не opt-out, а opt-нахуй пошел, вас тут не стояло.
Если вам нужно показать паспорт проводнику (зачем это делать я, хоть убей, не понимаю, давно пора отменить паспортный контроль на железной дороге), то приложение с токеном обращается к сайту и тот генерирует еще один токен, на этот раз временный (три минуты) и отдаёт QR-код со ссылкой вот такого вида:
https://diia.app/documents/vehicle-license/62000000/verify/dfac12ab-5678-abcd-ac93-1db0139f677c
(спасибо Юрию Рудому, он не поленился написать о "Дии" в своём блоге. Самой минцифре не нужно, чтобы вы копались в их любимой говнишечке и документацию они публиковать не хотят, а может, учитывая спешку, никакой документации не было и нет.
Только выводы из результатов странные.
Вместо того, чтобы тут же начать служебную проверку МВД и строго наказать виновных в том, что треть записей оказалась коррупционно-раздолбайским мусором, данные зачем-то актуализируют сами пользователи. Чтобы МВД было удобнее там рыться.
Чтобы не повышать доверие граждан к анонизирующему МВД, всё сделано с точностью до наоборот, снижается ответственность за нарушения в ведении реестров и повышается доверие ментов к данным за счет пользователей. Способы ведение реестров и контроля доступа к ним не изменились, просто появились дополнительные точки входа (Дия и Трембита).
Что из себя представляет приложение?
Нет никакого чудо-приложения. Есть сайт diia[.]app, а приложение от него не более чем ярлык от сайта на рабочем столе. Можно было бы обойтись и сайтом и убрать риск supply chain атаки, когда вам вместо обновления "Дии" приедет подарочек "из России с любовью". Как было с Медком и Непетей.
В данный момент на сайте, сильно упрощая, четыре страницы - аутентификация через BankID, паспорт и ЭЦП (как работают последние два способа, кто для них писал софт и что делать с миллионами подписей Приватбанка выданных удаленно без личного присутствия - никто не знает, не барское это дело техническую документацию публиковать). И собственно страницы документов.
BankID использует OAuth2. И вместо того, чтобы "Дия" передавала в банк данные и спрашивала, ы? А банк скромно кивал или мотал электронной головой, все сделано наоборот, банк передает в Дию данные, включая те, которых у минцифры не было - почта, телефон, актуальный почтовый адрес. Что неправильно, но просто меркнет на фоне полной отмены банковской тайны.
Сами банки при этом использовать удаленную аутентификацию для открытия счетов не торопятся, не смотря на разрешение НБУ. Риски велики. Для открытия пустого дебетого счета слишком опасно, а для документов, удостоверяющих личность - всё в порядке, заебок. (Сарказм) Потом система зациклиться - банки начнут принимать Дию и использовать её в качестве источника данных, Дия будет полагаться на данные банков. Чувствуете всю мощь порочного круга? Всё это приведёт к уничтожению понятия "юридически значимый документ" и полному размыванию ответственности.
Естественно, если украсть ЭЦП или доступ к банку (что отнюдь не редкость, деньги со счетов воруют регулярно), или сразу утащить OAuth-токен из приложения, то можно открыть кучу сессий на украденные паспорта и подбирать их себе по вкусу и сходству собственной морды с украденной. Контролировать активные сессии (как в Фейсбуке или Телеге), отменять их или даже просто запретить диевым рыться в ваших данных вы не можете. Не opt-in, не opt-out, а opt-нахуй пошел, вас тут не стояло.
Если вам нужно показать паспорт проводнику (зачем это делать я, хоть убей, не понимаю, давно пора отменить паспортный контроль на железной дороге), то приложение с токеном обращается к сайту и тот генерирует еще один токен, на этот раз временный (три минуты) и отдаёт QR-код со ссылкой вот такого вида:
https://diia.app/documents/vehicle-license/62000000/verify/dfac12ab-5678-abcd-ac93-1db0139f677c
(спасибо Юрию Рудому, он не поленился написать о "Дии" в своём блоге. Самой минцифре не нужно, чтобы вы копались в их любимой говнишечке и документацию они публиковать не хотят, а может, учитывая спешку, никакой документации не было и нет.
У вас нет никакого документа в телефоне, гарант в лице сайта просто подтверждает, да, такой документ где-то существует. Делать скриншоты запрещено, никакой юридической силы картинка не имеет. И если вы захотите, как-то зафиксировать факт предъявления ксерокопии документа, то вам нужно послать код со своего телефона, на телефон проверяющего, а потом сфотографировать процесс третьим телефонам или переписать данные с экрана в журнал. Что тоже не имеет никаких юридических последствий, и не гарантирует что у вас действительно есть физический, некопируемый, уникальный документ, а не украденный у соседа токен. А как ехидно заметил Олексий Панич, изъятие ксерокопии прав - цирк, на который интересно было бы посмотреть.
Лиха беда начало. Безумцы не останавливаются и собираются диджитализироваться дальше. Даже, если представить, что сайт полностью надежен и безопасен (я знаю, сложно такое представить, но всё же попытайтесь, а те кто крикнул zero day и "Ликуд", заткнитесь). Вся затея открывает доступ (непонятно кому) к колоссальному объему верифицированных и связанных между собой данных.
Огромный простор для злоупотреблений и манипуляций. Подход к архитектуре смешанный и бумажный (ксерокопия, как и всякий something-you-have уходит вместе с владельцем телефона, и факт предъявления документа трудно зафиксировать) и электронный, и реестровый и документальный.
Всё это никак не вписано в существующие процессы документооборота и по мере добавления очередных "е-хуяток", 341 реестра и прочих ценных государственных "услуг", породит никем доселе невиданный бардак, кражу личных данных и автоматизированное мошенничество.
Никто толком не знает и не может объяснить как и главное зачем всё это работает, никто не несёт ответственности. Осталось еще провести наевыборы на блокчейне и цифровой хаос тут же перейдёт в уличные бои. Как очень точно заметил Стыран, угроза "Дии" в том, что она вобще существует, увеличивая поверхность атаки и пряча за смартфонным гламуром полную институциональную несостоятельность.
Лиха беда начало. Безумцы не останавливаются и собираются диджитализироваться дальше. Даже, если представить, что сайт полностью надежен и безопасен (я знаю, сложно такое представить, но всё же попытайтесь, а те кто крикнул zero day и "Ликуд", заткнитесь). Вся затея открывает доступ (непонятно кому) к колоссальному объему верифицированных и связанных между собой данных.
Огромный простор для злоупотреблений и манипуляций. Подход к архитектуре смешанный и бумажный (ксерокопия, как и всякий something-you-have уходит вместе с владельцем телефона, и факт предъявления документа трудно зафиксировать) и электронный, и реестровый и документальный.
Всё это никак не вписано в существующие процессы документооборота и по мере добавления очередных "е-хуяток", 341 реестра и прочих ценных государственных "услуг", породит никем доселе невиданный бардак, кражу личных данных и автоматизированное мошенничество.
Никто толком не знает и не может объяснить как и главное зачем всё это работает, никто не несёт ответственности. Осталось еще провести наевыборы на блокчейне и цифровой хаос тут же перейдёт в уличные бои. Как очень точно заметил Стыран, угроза "Дии" в том, что она вобще существует, увеличивая поверхность атаки и пряча за смартфонным гламуром полную институциональную несостоятельность.
Сим официально всех уведомляю, что группа #CyberHunta завершила свою деятельность. Любые новые заявления от их имени - ложь и подделка. Хоть их сайт и выключен, тем не менее многие их разработки продолжают работать прямо сейчас. Хороший взлом никогда не заканчивается. Мы в Ukrainian Cyber Alliance благодарны нашим коллегам за все замечательные акции, и уверяем, что мы останавливаться не собираемся.
Подумайте сами, может ли здравомыслящий человек расчитывать на то, что с бандитской федерацией можно договориться? Забордюрные раки никогда не были договороспособными. Их устраивает только "мир" на их условиях https://bit.ly/39LZqOM , "русский мир" в котором нет места свободе и достоинству, и сегодня они подтвердили сию нехитрую мысль в очередной раз.
Должны ли мы бояться россиян, испытывать так называемую "русофобию"? Ни в коем случае. Не нужно бояться врага, как бы отвратителен он ни был в своих противоестественных устремлениях. И уж тем более стремиться к миру на их условиях? Никогда. У нас есть что противопоставить одичалым. Просто так случается, что секретная информация появляется в прессе, агентов с фальшивыми документами задерживают пограничники. Ломаются компьютеры и пропадает связь.
На России две беды, третьей будешь?
Если вы можете помочь в в развале, разломе, гниении и разложении Российской Федерации и готовы к взаимодействию, пишите. У нас есть цель - победа в войне. Нам нужна победа, а не позорный мир. Сразу предупреждаю, что мы не говорим что кому делать и не занимаемся обучением. Готов?
ping@cyber.org.ua
Для тех кто хочет помочь другим способом, например деньгами, есть такой вариант:
BTC 19fMSv8ULjoBR7UNgNGuTrqoQmwiZEa63v
Подумайте сами, может ли здравомыслящий человек расчитывать на то, что с бандитской федерацией можно договориться? Забордюрные раки никогда не были договороспособными. Их устраивает только "мир" на их условиях https://bit.ly/39LZqOM , "русский мир" в котором нет места свободе и достоинству, и сегодня они подтвердили сию нехитрую мысль в очередной раз.
Должны ли мы бояться россиян, испытывать так называемую "русофобию"? Ни в коем случае. Не нужно бояться врага, как бы отвратителен он ни был в своих противоестественных устремлениях. И уж тем более стремиться к миру на их условиях? Никогда. У нас есть что противопоставить одичалым. Просто так случается, что секретная информация появляется в прессе, агентов с фальшивыми документами задерживают пограничники. Ломаются компьютеры и пропадает связь.
На России две беды, третьей будешь?
Если вы можете помочь в в развале, разломе, гниении и разложении Российской Федерации и готовы к взаимодействию, пишите. У нас есть цель - победа в войне. Нам нужна победа, а не позорный мир. Сразу предупреждаю, что мы не говорим что кому делать и не занимаемся обучением. Готов?
ping@cyber.org.ua
Для тех кто хочет помочь другим способом, например деньгами, есть такой вариант:
BTC 19fMSv8ULjoBR7UNgNGuTrqoQmwiZEa63v
Якщо пропозиції «припинити пострілювати» й «почати домовлятися посередині» з Росією призвели до багатотисячних мітингів «Ні, капітуляції!», то спроби уряду виправити радянську систему управління з її довгими чергами по талони на отримання довідок багато хто сприймає з ентузіазмом. Нікому, навіть і чиновникам, не хочеться користуватися друкарськими машинками, стаціонарними телефонами, запорошеними паперами та іншими невідбутними атрибутами попереднього технологічного устрою. Але сучасні технології приносять як зручність, так і нові ризики. Зручно не тільки вести бізнес, а й красти гроші. Просто не лише подавати звітність, а й шпигувати, зокрема за власними громадянами. Успішність модернізації визначається не «цифровими підписами» та модними слоганами, як-от «держава в смартфоні», а довірою громадян до державних інститутів. https://tyzhden.ua/Politics/240258
Український тиждень
Цифрова недовіра - Український тиждень
Які загрози спричиняє оголошена діджиталізація країни
Прекрасные новости для всех любителей выборов на блокчейне. Есть такая американская фирма Voatz, с мобильным приложением "внедряющим биометрическое сканирование и блокчейн для аутентификации избирателей, надежного сохранения голосов и генерации бумажных бюлетеней, проверяемых избирателем с аппаратным сквозным шифрованием". Приложением пользовались на выборах в Юте, Колорадо и Западной Вирджинии.
В сети компании неделю рылись безопасники из Департамента Национальной Безопасности (DHS) и написали в целом одобрительный отчет. https://static.coindesk.com/wp-content/uploads/2020/02/DECLASSIFIED-DHS-HIRT-Security-Assessment-Summary.pdf И тут пришли ученые дядьки из MIT и разнесли всю идиллию к хуям просто https://internetpolicy.mit.edu/wp-content/uploads/2020/02/SecurityAnalysisOfVoatz_Public.pdf За взлом приложения была обещана награда, но это ничем не помогло, потому что самые серьёзные проблемы out-of-scope. Со слов Voatz приложение проходило аудит и ред тиминг, что тоже не помогло. Результаты в таблице.
Перевожу на понятный язык - даже пассивная прослушка (тупо tcpdump) раскрывает содержимое бюллетеня не смотря на двойное шифрование (TLS + ECDH/AES внутри), а точнее именно благодаря ему, если атакующий сидит посередине (MITM), то он соответственно может просто не пропускать голоса за определенного кандидата.
Атакующий с рутом в телефоне может делать всё что пожелает, включая подделку голоса, а все анти-рут и антивирусные проверки отключаются тремя строчками кода. Суперсекретные PIN-коды, можно сбрутить за пару дней на ноутбуке, то есть самая обычная мальварь с доступом к диску попиздит всю истоию голосований и авторизацию. Шифрование жестко закосячено, закосячен даже способ использования Android Key Store, проверяемость закосячена, три коммерческих сервиса на которые завязано приложение могут вертеть результатами выборов как им захочется.
Вы должны просто им поверить.
Причем тут блокчейн? А он там до пизды. Не влияет от слова совсем.
Очень поучительная история. Очень.
В сети компании неделю рылись безопасники из Департамента Национальной Безопасности (DHS) и написали в целом одобрительный отчет. https://static.coindesk.com/wp-content/uploads/2020/02/DECLASSIFIED-DHS-HIRT-Security-Assessment-Summary.pdf И тут пришли ученые дядьки из MIT и разнесли всю идиллию к хуям просто https://internetpolicy.mit.edu/wp-content/uploads/2020/02/SecurityAnalysisOfVoatz_Public.pdf За взлом приложения была обещана награда, но это ничем не помогло, потому что самые серьёзные проблемы out-of-scope. Со слов Voatz приложение проходило аудит и ред тиминг, что тоже не помогло. Результаты в таблице.
Перевожу на понятный язык - даже пассивная прослушка (тупо tcpdump) раскрывает содержимое бюллетеня не смотря на двойное шифрование (TLS + ECDH/AES внутри), а точнее именно благодаря ему, если атакующий сидит посередине (MITM), то он соответственно может просто не пропускать голоса за определенного кандидата.
Атакующий с рутом в телефоне может делать всё что пожелает, включая подделку голоса, а все анти-рут и антивирусные проверки отключаются тремя строчками кода. Суперсекретные PIN-коды, можно сбрутить за пару дней на ноутбуке, то есть самая обычная мальварь с доступом к диску попиздит всю истоию голосований и авторизацию. Шифрование жестко закосячено, закосячен даже способ использования Android Key Store, проверяемость закосячена, три коммерческих сервиса на которые завязано приложение могут вертеть результатами выборов как им захочется.
Вы должны просто им поверить.
Причем тут блокчейн? А он там до пизды. Не влияет от слова совсем.
Очень поучительная история. Очень.
Пока бесконечно важные комитеты засаживают засады, по-цифровому трансформируют, центры киберцентралят, и стопятьсот тысяч единых реестров противоестественно совокупляются, что твой пролетарий, я вам переможеньки принёс. Не всё ж злобствовать.
Есть такое министерство здравоохранения и у него в сайте три года назад была дыра, зверская и лоснящаяся скуля https://www.facebook.com/ruheight/posts/372837546497943 , которой запросто можно было отжать весь министерский сервант. Уговоры подействовали и всего лишь через годочек дыру бережно переименовали в OLD[.]moz[.]gov[.]ua, как будто бы не всё равно какой именно сайт ломать старый или новый https://www.facebook.com/ruheight/posts/692030391245322
Прошел ещё годик и чудо произошло! Два года на пофикс скули - рекорд! Я кое с кем поговорил и сайт погасили нахрен. Знаете почему? А потому что в министерстве нет ни одного программиста или безопасника, который мог бы дыру закрыть как-нибудь иначе чем отключением от базы данных (вариант о том, что база просто рухнула сама от старости и скриншот не имеет отношения к дыре я рассматриваю как клеветнический и не позволю вам очернять достижения украинской е-медицины!).
Что, кстати, наводит на мысли о то, что если информацию с сайта не перенесли и просто отключили, то стоило ли его вобще делать? И понимаете, сколько законов и очень важных совещаний не проводи - всё будет без толку. Нельзя провести аудит пустоты. Даже на уровне министерства нет ни одного человека, который бы отвечал за поддержание IT-инфраструктуры. А им еще e-Health запускать. Вот то будет страшно. И оно не одно такое.
Есть такое министерство здравоохранения и у него в сайте три года назад была дыра, зверская и лоснящаяся скуля https://www.facebook.com/ruheight/posts/372837546497943 , которой запросто можно было отжать весь министерский сервант. Уговоры подействовали и всего лишь через годочек дыру бережно переименовали в OLD[.]moz[.]gov[.]ua, как будто бы не всё равно какой именно сайт ломать старый или новый https://www.facebook.com/ruheight/posts/692030391245322
Прошел ещё годик и чудо произошло! Два года на пофикс скули - рекорд! Я кое с кем поговорил и сайт погасили нахрен. Знаете почему? А потому что в министерстве нет ни одного программиста или безопасника, который мог бы дыру закрыть как-нибудь иначе чем отключением от базы данных (вариант о том, что база просто рухнула сама от старости и скриншот не имеет отношения к дыре я рассматриваю как клеветнический и не позволю вам очернять достижения украинской е-медицины!).
Что, кстати, наводит на мысли о то, что если информацию с сайта не перенесли и просто отключили, то стоило ли его вобще делать? И понимаете, сколько законов и очень важных совещаний не проводи - всё будет без толку. Нельзя провести аудит пустоты. Даже на уровне министерства нет ни одного человека, который бы отвечал за поддержание IT-инфраструктуры. А им еще e-Health запускать. Вот то будет страшно. И оно не одно такое.
Facebook
Sean Brian Townsend
Міністерство охорони здоров'я України ( МОЗ ) #FuckResposnibleDisclosure #SQLInjection Я даже объяснять ничего не буду. Просто уберите это с глаз моих, чтобы они не кровоточили.
Очень краткое наставление для самых маленьких жижитализторов. Есть два очень полезных изобретения, существовавших еще до компьютеров, и очень хорошо с ними сочетающихся. Называются они "signing authority" и "audit trail", или "право подписи" и "контрольный след". Неспроста они появились, ой неспроста.
Работает так: очень важная организация делегирует исполнителю право подписывать документы от её имени в графе "кем выдан" и после акта бумажной магии остаётся проверяемый след. С правами идут и обязанности.
Я просто прочитал вой на форумах о проверке диевых "документов" и остался в глубоком недоумении. То есть мусор сраный накосячил, напортил и нагадил в реестр с особым цинизмом, а нормальный человек должен потом само-озалупливаться тем, чтобы мусора НЕ наказали, и чтобы мусору было удобнее.
Люди, вы в своём уме?
Во-первых, у каждой записи в реестре должно быть имя исполнителя (можно с цифровой подписью), во-вторых, если у районного отделения набирается несколько ошибок, то снимайте с них все месячные надбавки и премии, пока они не поднимут бумажный архив и не исправят все самостоятельно.
Только так и никак иначе к этим электронным обосранцам может возникнуть хоть какое-то доверие.
Работает так: очень важная организация делегирует исполнителю право подписывать документы от её имени в графе "кем выдан" и после акта бумажной магии остаётся проверяемый след. С правами идут и обязанности.
Я просто прочитал вой на форумах о проверке диевых "документов" и остался в глубоком недоумении. То есть мусор сраный накосячил, напортил и нагадил в реестр с особым цинизмом, а нормальный человек должен потом само-озалупливаться тем, чтобы мусора НЕ наказали, и чтобы мусору было удобнее.
Люди, вы в своём уме?
Во-первых, у каждой записи в реестре должно быть имя исполнителя (можно с цифровой подписью), во-вторых, если у районного отделения набирается несколько ошибок, то снимайте с них все месячные надбавки и премии, пока они не поднимут бумажный архив и не исправят все самостоятельно.
Только так и никак иначе к этим электронным обосранцам может возникнуть хоть какое-то доверие.
Есть вещи которые не меняются. И предыдущая и действующая власть спать не может, пока не начнёт портить Интернет. Их тут таких важных обзывают тюдорами и причащают говном с ложечки. А преступники почему-то не хотят сами сдаваться в полицию, а дяде-мусору сло-о-ожно и он тоже хочет себе электронную кнопку заебись. Попыток осуверенить Сеть по-российскому образцу было уже не счесть сколько, но впервые удалось Петру Алексеевичу с цензурными указами 133-2017, 126-2018, и насрать на всё действующее законодательство и на здравый смысл.
Новый проект закона о телекоммуникациях довольно приличный (в отношении Интернет-цензуры), но зеленая плесень не унимается и блокировки прописаны в проектах "о регулировании азартных игр" (Марусяка), "о медиа" (Ткаченко) и "дезинформации". До смешного доходит. Альтернативно одаренный Ткаченко протестует против духовно-богатого экстрасенса Бородянского, с целью выяснить чья именно цензура лучше. А тем временем мусора поганые и суды продажные просто ложили болт и на действующие законы и даже на проекты, и считают что когда вы заходите на сайт, то у вас возникают на него права, на которые можно наложить арест, а исполнять его должна почему-то не исполнительная служба, а интернет-провайдеры. А регулятор им подмахивает.
Для чего и нужен говно-реестр. Я долго пытался выяснить у НКРЗІ зачем им нужен экселевский файл (теперь уже автоматическая рагуляторная платформа) с перечнем провайдеров и иногда даже получал ответы, что без борьбы за сракчество Интернета и джиттер, 15 форм отчетности и того самого файла, вся гармонизация и боянизация законодательства с ЕС (спасибо Дядюре за слово) остановится, и вобще "советы лучших европейских собаководов". Что конечно же ложь от начала до конца. Единственная цель тех реестров - загнать провайдеров под действия рагуляйтера, чтобы он дальше по своему усмотрению тешился, глумился и навязывал беззаконные решения судов. НКРЗІ тут просто с детства за того чорта, плевать им на те законы.
И знаете что? А не пошли бы они все нахуй с такими раскладами? Мне нужен свободный Интернет. Я его стейкхолдер. Весь этот шлак, а именно "об азартных играх", "о медиа", "о дезинформации", два указа Порошенко "о решениях СНБО" - в топку. Сжечь вместе с рагуляторной платформой НКРЗІ и отчетностью по джиттеру. Как противоречащие Конституции (статье 15) и действующему законодательству. Всех судей у которых "права інтелектуальної власності виникають у інтернет-користувачів при використанні сайтів" - под суд за принятие заведомо неправосудных решений. Будем реалистами, давайте требовать невозможного. #цензура
Новый проект закона о телекоммуникациях довольно приличный (в отношении Интернет-цензуры), но зеленая плесень не унимается и блокировки прописаны в проектах "о регулировании азартных игр" (Марусяка), "о медиа" (Ткаченко) и "дезинформации". До смешного доходит. Альтернативно одаренный Ткаченко протестует против духовно-богатого экстрасенса Бородянского, с целью выяснить чья именно цензура лучше. А тем временем мусора поганые и суды продажные просто ложили болт и на действующие законы и даже на проекты, и считают что когда вы заходите на сайт, то у вас возникают на него права, на которые можно наложить арест, а исполнять его должна почему-то не исполнительная служба, а интернет-провайдеры. А регулятор им подмахивает.
Для чего и нужен говно-реестр. Я долго пытался выяснить у НКРЗІ зачем им нужен экселевский файл (теперь уже автоматическая рагуляторная платформа) с перечнем провайдеров и иногда даже получал ответы, что без борьбы за сракчество Интернета и джиттер, 15 форм отчетности и того самого файла, вся гармонизация и боянизация законодательства с ЕС (спасибо Дядюре за слово) остановится, и вобще "советы лучших европейских собаководов". Что конечно же ложь от начала до конца. Единственная цель тех реестров - загнать провайдеров под действия рагуляйтера, чтобы он дальше по своему усмотрению тешился, глумился и навязывал беззаконные решения судов. НКРЗІ тут просто с детства за того чорта, плевать им на те законы.
И знаете что? А не пошли бы они все нахуй с такими раскладами? Мне нужен свободный Интернет. Я его стейкхолдер. Весь этот шлак, а именно "об азартных играх", "о медиа", "о дезинформации", два указа Порошенко "о решениях СНБО" - в топку. Сжечь вместе с рагуляторной платформой НКРЗІ и отчетностью по джиттеру. Как противоречащие Конституции (статье 15) и действующему законодательству. Всех судей у которых "права інтелектуальної власності виникають у інтернет-користувачів при використанні сайтів" - под суд за принятие заведомо неправосудных решений. Будем реалистами, давайте требовать невозможного. #цензура
Посмотрел стрим из суда по "нашему делу". Видимо, прокуроры в Борисполе бывают редко и не знают как он выглядит. На самом деле фотография сделана в аэропорту Софии. И вы знаете, я не настолько безумен, чтобы в пять утра в чужой стране, пробовать на прочность системы аэропорта. Мне хотелось поскорее в самолет и заснуть. И меня насмешил зависший компьютер табло (так иногда бывает с компьютерами) и я решил сделать фото, чтобы при случае использовать его в качестве иллюстрации к посту или просто похихикать. Чего я не могу понять, как за четыре месяца следственных действий, можно не понять, что вы ошиблись аэропортом? Не говоря уже про даты и здравый смысл. О том какое отношение имеет "KBP" к ODS, я даже не спрашиваю. Следующее заседание в понедельник в девять утра.
В суде по аресту имущества Ukrainian Cyber Alliance перерыв до пяти часов вечера, и надеюсь что после того как суд продолжится, будет стрим. А пока немного хотелось бы поговорить о прокурорской логике. Они увидели у меня на странице фотографию из аэропорта Софии с зависшим (не взломанным, а именно зависшим) компьютером, думают что фотография сделана в аэропорту Борисполя, что было бы несложно проверить, если бы это хоть кого-то интересовало (хотя Міжнародний аеропорт "Бориспіль" в этот день не сообщал ни о каких сбоях) и это якобы свидетельствует о том, что я мог быть причастен к сбою в Odesa Airport / Международный аэропорт Одесса (сами они 16 октября писали о сбое, а не взломе). Меня без сомнения беспокоят климатические изменения, но то что мой родной город Донецк оккупирован Россией меня беспокоит куда больше. При этом The Security Service of Ukraine провела осмотр страницы, и пришли к выводу, что ряд постов содержит неуважительные отзывы, а местами и "угрозы", "величайшему лидеру современности", а так же призывы выходить на митинги "направленные против президента". Чтобы вы понимали, речь идёт о митингах в "День захисника України", в которых принимала участие Демократична Сокира. То есть, Служба безопасности у нас занимается не национальной безопасностью, а как сегодня сказал Vadim Kolokolnikov - защищает деловую репутацию Зеленского. Если для СБ Украины - День защитника Украины, угроза, то я просто не знаю что тут еще можно добавить. Ах, да, причём тут аэропорт?
В первую очередь хочу поблагодарить всех кто помогает нам отбиваться от беспощадного в своей бессмысленности наезда со стороны полиции и СБУ. Спасибо партии Демократична Сокира, родная партия организовала юридическую защиту и оказывает всю мыслимую поддержку, спасибо моему адвокату Вадиму Колокольникову из АО Barristers за отличную работу, спасибо дипломатам, журналистам, бизнесменам, блогерам; спасибо фракции ЄС за поддержку в парламенте, и конечно, спасибо всем вам, друзья, и за теплые слова и за пожертвования, которые позволили купить новую технику взамен изъятой. Сдаваться мы не собираемся и будем добиваться справедливости. Впереди ещё много интересного.
А пока расскажу несколько баек из прошлого. Блогер я в конце-то концов или пачка печенья?
... собственный модем у меня появился в 1996 году. Работало чудо заморской техники на скорости 14400 бит в секунду, если конечно другая сторона могла ответить с той же головокружительной скоростью сквозь драную медь Укртелекома. Для тех кто помладше или позабыл, тогда еще не было не только Google, а проще было купить квартиру чем мобильный телефон. Windows 95 - монструозная новомодная штучка, и запускалась чуть менее чем нигде. Мастдаище. Любая самая мелкая современная мобилка мощнее, чем компьютеры древности. Доступ к Интернету тарифицировался поминутно и "накапать" могло долларов на двести в месяц. Потому все гики сидели на Bulletin Board Systems и в FidoNet.
У меня тоже была своя борда, называлась она SoftWAR (именно так, не ware а war - прямо как в воду глядел!) Вопросы выбора тематики для борды меня не терзали - H/P/V/A/C. Hacking, phreaking (взлом телефонных сетей), вирусы, анархия и крекинг (милосердное избавление софта от занудных требований авторов заплатить им денег), с поправками на местные украинские реалии. Хакинг и фрикинг - занятие, отнюдь, не для всех, когда в областном центре сложно найти работающий телефон-автомат. Анархия сама собой процветала на улицах. Петру Алексеевичу (князю смоленскому, если кто не понял) вряд ли бы понравились тогдашние "активисты", которые запросто могли шмальнуть из гранатомёта прямо в кафе с конкурентами по доминирующему дискурсу.
С вирями (в андеграунде или как говорили на "сцене", прижилась несуществующая "латинская" форма virii) и с ломаным софтом проблем не было. Сама идея криминализации вызывала нешуточный накал эмоций в группах PVT.VIRII и SU.VIRUS. Данилов из Dr. Web тогда еще участвовал в конкурсах на самый короткий компьютерный вирус и написал несколько штук. Информацию приходилось выцарапывать буквально по крупицам и распространялась она в виде e-zine (сокращение от "электронный журнал"). Зайн, как правило, исполняемый файл, вы его запускаете и можете читать статьи. Сейчас эти красоты самоходной DIY-журналистики не всегда удаётся запустить даже в эмуляторе.
"Хакер" не был мусорским глянцем и тоже выходил как зайн. Моё знакомство с редакцией началось с того, что я отослал им наиполнейший, ныне утраченный текст главы "Серп и Молот - Карачарово" Венички Ерофеева. Ответ не заставил себя ждать: Мальчик, что ты сделал для сцены? Почухав свою волосатую голову, я отправился перечитывать журнал "Infected Voice" (Зараженный голос), теперь уже внимательно, набрасывая по ходу разнообразные фишки, начиная с COM, резидент (в MS-DOS нельзя запустить дву программы одновременно, но можно сделать что-то вроде фонового процесса), EXE, "шифрование" (защита от обратного проектирования) и прочее, что сейчас даже друзья-программисты едва ли вспомнят.
А пока расскажу несколько баек из прошлого. Блогер я в конце-то концов или пачка печенья?
... собственный модем у меня появился в 1996 году. Работало чудо заморской техники на скорости 14400 бит в секунду, если конечно другая сторона могла ответить с той же головокружительной скоростью сквозь драную медь Укртелекома. Для тех кто помладше или позабыл, тогда еще не было не только Google, а проще было купить квартиру чем мобильный телефон. Windows 95 - монструозная новомодная штучка, и запускалась чуть менее чем нигде. Мастдаище. Любая самая мелкая современная мобилка мощнее, чем компьютеры древности. Доступ к Интернету тарифицировался поминутно и "накапать" могло долларов на двести в месяц. Потому все гики сидели на Bulletin Board Systems и в FidoNet.
У меня тоже была своя борда, называлась она SoftWAR (именно так, не ware а war - прямо как в воду глядел!) Вопросы выбора тематики для борды меня не терзали - H/P/V/A/C. Hacking, phreaking (взлом телефонных сетей), вирусы, анархия и крекинг (милосердное избавление софта от занудных требований авторов заплатить им денег), с поправками на местные украинские реалии. Хакинг и фрикинг - занятие, отнюдь, не для всех, когда в областном центре сложно найти работающий телефон-автомат. Анархия сама собой процветала на улицах. Петру Алексеевичу (князю смоленскому, если кто не понял) вряд ли бы понравились тогдашние "активисты", которые запросто могли шмальнуть из гранатомёта прямо в кафе с конкурентами по доминирующему дискурсу.
С вирями (в андеграунде или как говорили на "сцене", прижилась несуществующая "латинская" форма virii) и с ломаным софтом проблем не было. Сама идея криминализации вызывала нешуточный накал эмоций в группах PVT.VIRII и SU.VIRUS. Данилов из Dr. Web тогда еще участвовал в конкурсах на самый короткий компьютерный вирус и написал несколько штук. Информацию приходилось выцарапывать буквально по крупицам и распространялась она в виде e-zine (сокращение от "электронный журнал"). Зайн, как правило, исполняемый файл, вы его запускаете и можете читать статьи. Сейчас эти красоты самоходной DIY-журналистики не всегда удаётся запустить даже в эмуляторе.
"Хакер" не был мусорским глянцем и тоже выходил как зайн. Моё знакомство с редакцией началось с того, что я отослал им наиполнейший, ныне утраченный текст главы "Серп и Молот - Карачарово" Венички Ерофеева. Ответ не заставил себя ждать: Мальчик, что ты сделал для сцены? Почухав свою волосатую голову, я отправился перечитывать журнал "Infected Voice" (Зараженный голос), теперь уже внимательно, набрасывая по ходу разнообразные фишки, начиная с COM, резидент (в MS-DOS нельзя запустить дву программы одновременно, но можно сделать что-то вроде фонового процесса), EXE, "шифрование" (защита от обратного проектирования) и прочее, что сейчас даже друзья-программисты едва ли вспомнят.
Я серьёзно подумывал присоединиться к Stealth Group и написал черновик письма LovinGod'у. Не отправил. Я его раз в несколько лет достаю и перечитываю, испытывая жгучее чувство стыда, потому что, как напоминает нам классик: "Все на свете должно происходить медленно и неправильно, чтобы не сумел загордиться человек, чтобы человек был грустен и растерян"; так что идею осчастливить собой компьютерный андеграунд я отложил на пару лет. Я к тому времени обустроился на провайдерском узле Нетлюкс, чуткое ухо дончан, думаю, уже уловило тихий шепот деревьев Ботанического Сада. Других желающих профинансировать интернетизацию (минуя телефонизацию) родного края не нашлось.
У нас была четырехметровая "тарелка" на крыше, двухмегабитный канал через шведский спутник на Киев, модемы всех цветов, ящик водки и три мощнейших сервера 200 мегагерц со 128 мегабайтами памяти каждый. Единственное что меня по-настоящему беспокоило - куда бы пристроить коллекцию из десяти тысяч вирусов и инструкции по ведению кибервойны в домашних условиях. Мне не хватало хакерского сайта, и я точно знал, что он у меня будет, так и повился VX Heaven(s), я уже предупреждал про серьезный конфликт с множественным числом, - крупнейшая библиотека компьютерных вирусов, движков, конструкторов, журналов и всего такого.
Место где профессор из Америки, французский полковник криптограф, архитект антивирусной компании и сборище кибер-панков всех мастей разговаривают на равных.
У нас была четырехметровая "тарелка" на крыше, двухмегабитный канал через шведский спутник на Киев, модемы всех цветов, ящик водки и три мощнейших сервера 200 мегагерц со 128 мегабайтами памяти каждый. Единственное что меня по-настоящему беспокоило - куда бы пристроить коллекцию из десяти тысяч вирусов и инструкции по ведению кибервойны в домашних условиях. Мне не хватало хакерского сайта, и я точно знал, что он у меня будет, так и повился VX Heaven(s), я уже предупреждал про серьезный конфликт с множественным числом, - крупнейшая библиотека компьютерных вирусов, движков, конструкторов, журналов и всего такого.
Место где профессор из Америки, французский полковник криптограф, архитект антивирусной компании и сборище кибер-панков всех мастей разговаривают на равных.