Прекрасные новости для всех любителей выборов на блокчейне. Есть такая американская фирма Voatz, с мобильным приложением "внедряющим биометрическое сканирование и блокчейн для аутентификации избирателей, надежного сохранения голосов и генерации бумажных бюлетеней, проверяемых избирателем с аппаратным сквозным шифрованием". Приложением пользовались на выборах в Юте, Колорадо и Западной Вирджинии.

В сети компании неделю рылись безопасники из Департамента Национальной Безопасности (DHS) и написали в целом одобрительный отчет. https://static.coindesk.com/wp-content/uploads/2020/02/DECLASSIFIED-DHS-HIRT-Security-Assessment-Summary.pdf И тут пришли ученые дядьки из MIT и разнесли всю идиллию к хуям просто https://internetpolicy.mit.edu/wp-content/uploads/2020/02/SecurityAnalysisOfVoatz_Public.pdf За взлом приложения была обещана награда, но это ничем не помогло, потому что самые серьёзные проблемы out-of-scope. Со слов Voatz приложение проходило аудит и ред тиминг, что тоже не помогло. Результаты в таблице.

Перевожу на понятный язык - даже пассивная прослушка (тупо tcpdump) раскрывает содержимое бюллетеня не смотря на двойное шифрование (TLS + ECDH/AES внутри), а точнее именно благодаря ему, если атакующий сидит посередине (MITM), то он соответственно может просто не пропускать голоса за определенного кандидата.

Атакующий с рутом в телефоне может делать всё что пожелает, включая подделку голоса, а все анти-рут и антивирусные проверки отключаются тремя строчками кода. Суперсекретные PIN-коды, можно сбрутить за пару дней на ноутбуке, то есть самая обычная мальварь с доступом к диску попиздит всю истоию голосований и авторизацию. Шифрование жестко закосячено, закосячен даже способ использования Android Key Store, проверяемость закосячена, три коммерческих сервиса на которые завязано приложение могут вертеть результатами выборов как им захочется.

Вы должны просто им поверить.

Причем тут блокчейн? А он там до пизды. Не влияет от слова совсем.

Очень поучительная история. Очень.

Пока бесконечно важные комитеты засаживают засады, по-цифровому трансформируют, центры киберцентралят, и стопятьсот тысяч единых реестров противоестественно совокупляются, что твой пролетарий, я вам переможеньки принёс. Не всё ж злобствовать.

Есть такое министерство здравоохранения и у него в сайте три года назад была дыра, зверская и лоснящаяся скуля https://www.facebook.com/ruheight/posts/372837546497943 , которой запросто можно было отжать весь министерский сервант. Уговоры подействовали и всего лишь через годочек дыру бережно переименовали в OLD[.]moz[.]gov[.]ua, как будто бы не всё равно какой именно сайт ломать старый или новый https://www.facebook.com/ruheight/posts/692030391245322

Прошел ещё годик и чудо произошло! Два года на пофикс скули - рекорд! Я кое с кем поговорил и сайт погасили нахрен. Знаете почему? А потому что в министерстве нет ни одного программиста или безопасника, который мог бы дыру закрыть как-нибудь иначе чем отключением от базы данных (вариант о том, что база просто рухнула сама от старости и скриншот не имеет отношения к дыре я рассматриваю как клеветнический и не позволю вам очернять достижения украинской е-медицины!).

Что, кстати, наводит на мысли о то, что если информацию с сайта не перенесли и просто отключили, то стоило ли его вобще делать? И понимаете, сколько законов и очень важных совещаний не проводи - всё будет без толку. Нельзя провести аудит пустоты. Даже на уровне министерства нет ни одного человека, который бы отвечал за поддержание IT-инфраструктуры. А им еще e-Health запускать. Вот то будет страшно. И оно не одно такое.

Очень краткое наставление для самых маленьких жижитализторов. Есть два очень полезных изобретения, существовавших еще до компьютеров, и очень хорошо с ними сочетающихся. Называются они "signing authority" и "audit trail", или "право подписи" и "контрольный след". Неспроста они появились, ой неспроста.

Работает так: очень важная организация делегирует исполнителю право подписывать документы от её имени в графе "кем выдан" и после акта бумажной магии остаётся проверяемый след. С правами идут и обязанности.

Я просто прочитал вой на форумах о проверке диевых "документов" и остался в глубоком недоумении. То есть мусор сраный накосячил, напортил и нагадил в реестр с особым цинизмом, а нормальный человек должен потом само-озалупливаться тем, чтобы мусора НЕ наказали, и чтобы мусору было удобнее.

Люди, вы в своём уме?

Во-первых, у каждой записи в реестре должно быть имя исполнителя (можно с цифровой подписью), во-вторых, если у районного отделения набирается несколько ошибок, то снимайте с них все месячные надбавки и премии, пока они не поднимут бумажный архив и не исправят все самостоятельно.

Только так и никак иначе к этим электронным обосранцам может возникнуть хоть какое-то доверие.

Есть вещи которые не меняются. И предыдущая и действующая власть спать не может, пока не начнёт портить Интернет. Их тут таких важных обзывают тюдорами и причащают говном с ложечки. А преступники почему-то не хотят сами сдаваться в полицию, а дяде-мусору сло-о-ожно и он тоже хочет себе электронную кнопку заебись. Попыток осуверенить Сеть по-российскому образцу было уже не счесть сколько, но впервые удалось Петру Алексеевичу с цензурными указами 133-2017, 126-2018, и насрать на всё действующее законодательство и на здравый смысл.

Новый проект закона о телекоммуникациях довольно приличный (в отношении Интернет-цензуры), но зеленая плесень не унимается и блокировки прописаны в проектах "о регулировании азартных игр" (Марусяка), "о медиа" (Ткаченко) и "дезинформации". До смешного доходит. Альтернативно одаренный Ткаченко протестует против духовно-богатого экстрасенса Бородянского, с целью выяснить чья именно цензура лучше. А тем временем мусора поганые и суды продажные просто ложили болт и на действующие законы и даже на проекты, и считают что когда вы заходите на сайт, то у вас возникают на него права, на которые можно наложить арест, а исполнять его должна почему-то не исполнительная служба, а интернет-провайдеры. А регулятор им подмахивает.

Для чего и нужен говно-реестр. Я долго пытался выяснить у НКРЗІ зачем им нужен экселевский файл (теперь уже автоматическая рагуляторная платформа) с перечнем провайдеров и иногда даже получал ответы, что без борьбы за сракчество Интернета и джиттер, 15 форм отчетности и того самого файла, вся гармонизация и боянизация законодательства с ЕС (спасибо Дядюре за слово) остановится, и вобще "советы лучших европейских собаководов". Что конечно же ложь от начала до конца. Единственная цель тех реестров - загнать провайдеров под действия рагуляйтера, чтобы он дальше по своему усмотрению тешился, глумился и навязывал беззаконные решения судов. НКРЗІ тут просто с детства за того чорта, плевать им на те законы.

И знаете что? А не пошли бы они все нахуй с такими раскладами? Мне нужен свободный Интернет. Я его стейкхолдер. Весь этот шлак, а именно "об азартных играх", "о медиа", "о дезинформации", два указа Порошенко "о решениях СНБО" - в топку. Сжечь вместе с рагуляторной платформой НКРЗІ и отчетностью по джиттеру. Как противоречащие Конституции (статье 15) и действующему законодательству. Всех судей у которых "права інтелектуальної власності виникають у інтернет-користувачів при використанні сайтів" - под суд за принятие заведомо неправосудных решений. Будем реалистами, давайте требовать невозможного. #цензура

Посмотрел стрим из суда по "нашему делу". Видимо, прокуроры в Борисполе бывают редко и не знают как он выглядит. На самом деле фотография сделана в аэропорту Софии. И вы знаете, я не настолько безумен, чтобы в пять утра в чужой стране, пробовать на прочность системы аэропорта. Мне хотелось поскорее в самолет и заснуть. И меня насмешил зависший компьютер табло (так иногда бывает с компьютерами) и я решил сделать фото, чтобы при случае использовать его в качестве иллюстрации к посту или просто похихикать. Чего я не могу понять, как за четыре месяца следственных действий, можно не понять, что вы ошиблись аэропортом? Не говоря уже про даты и здравый смысл. О том какое отношение имеет "KBP" к ODS, я даже не спрашиваю. Следующее заседание в понедельник в девять утра.

В суде по аресту имущества Ukrainian Cyber Alliance перерыв до пяти часов вечера, и надеюсь что после того как суд продолжится, будет стрим. А пока немного хотелось бы поговорить о прокурорской логике. Они увидели у меня на странице фотографию из аэропорта Софии с зависшим (не взломанным, а именно зависшим) компьютером, думают что фотография сделана в аэропорту Борисполя, что было бы несложно проверить, если бы это хоть кого-то интересовало (хотя Міжнародний аеропорт "Бориспіль" в этот день не сообщал ни о каких сбоях) и это якобы свидетельствует о том, что я мог быть причастен к сбою в Odesa Airport / Международный аэропорт Одесса (сами они 16 октября писали о сбое, а не взломе). Меня без сомнения беспокоят климатические изменения, но то что мой родной город Донецк оккупирован Россией меня беспокоит куда больше. При этом The Security Service of Ukraine провела осмотр страницы, и пришли к выводу, что ряд постов содержит неуважительные отзывы, а местами и "угрозы", "величайшему лидеру современности", а так же призывы выходить на митинги "направленные против президента". Чтобы вы понимали, речь идёт о митингах в "День захисника України", в которых принимала участие Демократична Сокира. То есть, Служба безопасности у нас занимается не национальной безопасностью, а как сегодня сказал Vadim Kolokolnikov - защищает деловую репутацию Зеленского. Если для СБ Украины - День защитника Украины, угроза, то я просто не знаю что тут еще можно добавить. Ах, да, причём тут аэропорт?

В первую очередь хочу поблагодарить всех кто помогает нам отбиваться от беспощадного в своей бессмысленности наезда со стороны полиции и СБУ. Спасибо партии Демократична Сокира, родная партия организовала юридическую защиту и оказывает всю мыслимую поддержку, спасибо моему адвокату Вадиму Колокольникову из АО Barristers за отличную работу, спасибо дипломатам, журналистам, бизнесменам, блогерам; спасибо фракции ЄС за поддержку в парламенте, и конечно, спасибо всем вам, друзья, и за теплые слова и за пожертвования, которые позволили купить новую технику взамен изъятой. Сдаваться мы не собираемся и будем добиваться справедливости. Впереди ещё много интересного.

А пока расскажу несколько баек из прошлого. Блогер я в конце-то концов или пачка печенья?

... собственный модем у меня появился в 1996 году. Работало чудо заморской техники на скорости 14400 бит в секунду, если конечно другая сторона могла ответить с той же головокружительной скоростью сквозь драную медь Укртелекома. Для тех кто помладше или позабыл, тогда еще не было не только Google, а проще было купить квартиру чем мобильный телефон. Windows 95 - монструозная новомодная штучка, и запускалась чуть менее чем нигде. Мастдаище. Любая самая мелкая современная мобилка мощнее, чем компьютеры древности. Доступ к Интернету тарифицировался поминутно и "накапать" могло долларов на двести в месяц. Потому все гики сидели на Bulletin Board Systems и в FidoNet.

У меня тоже была своя борда, называлась она SoftWAR (именно так, не ware а war - прямо как в воду глядел!) Вопросы выбора тематики для борды меня не терзали - H/P/V/A/C. Hacking, phreaking (взлом телефонных сетей), вирусы, анархия и крекинг (милосердное избавление софта от занудных требований авторов заплатить им денег), с поправками на местные украинские реалии. Хакинг и фрикинг - занятие, отнюдь, не для всех, когда в областном центре сложно найти работающий телефон-автомат. Анархия сама собой процветала на улицах. Петру Алексеевичу (князю смоленскому, если кто не понял) вряд ли бы понравились тогдашние "активисты", которые запросто могли шмальнуть из гранатомёта прямо в кафе с конкурентами по доминирующему дискурсу.

С вирями (в андеграунде или как говорили на "сцене", прижилась несуществующая "латинская" форма virii) и с ломаным софтом проблем не было. Сама идея криминализации вызывала нешуточный накал эмоций в группах PVT.VIRII и SU.VIRUS. Данилов из Dr. Web тогда еще участвовал в конкурсах на самый короткий компьютерный вирус и написал несколько штук. Информацию приходилось выцарапывать буквально по крупицам и распространялась она в виде e-zine (сокращение от "электронный журнал"). Зайн, как правило, исполняемый файл, вы его запускаете и можете читать статьи. Сейчас эти красоты самоходной DIY-журналистики не всегда удаётся запустить даже в эмуляторе.

"Хакер" не был мусорским глянцем и тоже выходил как зайн. Моё знакомство с редакцией началось с того, что я отослал им наиполнейший, ныне утраченный текст главы "Серп и Молот - Карачарово" Венички Ерофеева. Ответ не заставил себя ждать: Мальчик, что ты сделал для сцены? Почухав свою волосатую голову, я отправился перечитывать журнал "Infected Voice" (Зараженный голос), теперь уже внимательно, набрасывая по ходу разнообразные фишки, начиная с COM, резидент (в MS-DOS нельзя запустить дву программы одновременно, но можно сделать что-то вроде фонового процесса), EXE, "шифрование" (защита от обратного проектирования) и прочее, что сейчас даже друзья-программисты едва ли вспомнят.

Я серьёзно подумывал присоединиться к Stealth Group и написал черновик письма LovinGod'у. Не отправил. Я его раз в несколько лет достаю и перечитываю, испытывая жгучее чувство стыда, потому что, как напоминает нам классик: "Все на свете должно происходить медленно и неправильно, чтобы не сумел загордиться человек, чтобы человек был грустен и растерян"; так что идею осчастливить собой компьютерный андеграунд я отложил на пару лет. Я к тому времени обустроился на провайдерском узле Нетлюкс, чуткое ухо дончан, думаю, уже уловило тихий шепот деревьев Ботанического Сада. Других желающих профинансировать интернетизацию (минуя телефонизацию) родного края не нашлось.

У нас была четырехметровая "тарелка" на крыше, двухмегабитный канал через шведский спутник на Киев, модемы всех цветов, ящик водки и три мощнейших сервера 200 мегагерц со 128 мегабайтами памяти каждый. Единственное что меня по-настоящему беспокоило - куда бы пристроить коллекцию из десяти тысяч вирусов и инструкции по ведению кибервойны в домашних условиях. Мне не хватало хакерского сайта, и я точно знал, что он у меня будет, так и повился VX Heaven(s), я уже предупреждал про серьезный конфликт с множественным числом, - крупнейшая библиотека компьютерных вирусов, движков, конструкторов, журналов и всего такого.

Место где профессор из Америки, французский полковник криптограф, архитект антивирусной компании и сборище кибер-панков всех мастей разговаривают на равных.

Двадцать лет назад я работал в ночную смену. После нескольких часов сидения в серверной перестаешь слышать монотонный шум и начинает казаться, что ты в полной тишине. И как всякий скучающий программист, вместо того чтобы чинить биллинговую систему, которая недавно выставила двойные счета всем клиентам, возился с собственным проектом, добавлял очередную статью: "Inside the mind of Dark Avenger" (Что на душе у Темного Мстителя). Уже тогда, то была история.

Dark Avenger - автор вирусов из Болгарии, гремел в конце 80-х и начале 90-х, в том числе написал движок MtE, на хайпе вокруг которого антивирусные компании заработали миллионы. Якобы с появлением подобного кода, любой школьник за пять минут заразит всю планету чудовищными вирусами-мутантами. Сильно спустя, я решил проверить и оказалось, что единственный экземпляр, из тех что ходили по рукам, поврежден и никого никогда не интересовало можно ли его запустить в принципе. Я спрашивал у знакомых из Майкрософт и Симантек есть ли другая версия? Её нет.

Темный Мститель стал самым узнаваемым автором вирусов не случайно. В 1991 году его "раскручивал" Весселин Бонтчев из FRISK Software. Мститель писал очередной вирус, Весселин - очередную статью в Virus Bulletin, ходили все по одним и тем же BBS и обкладывали друг друга ругательствами как только могли. Одна из тех досок Virus eXchange BBS (да, именно поэтому VX Heaven, а не в честь нервно-паралитического газа) и управлял ей Тодор Тодоров.

Так оно и шло своим чередом, пока не появилась сообразительная тётя из Исследовательского центра IBM имени Уотсона, её звали Сара Гордон, и она догадалась, что с хакерами можно общаться при помощи электронной почты. За это гениальное кросс-дисциплинарное психологическое открытие её будут сравнивать с Клариссой Старлинг из "Молчания Ягнят" (с Dark Avenger'ом в роли чудовища). Люди любят пугаться непонятного.

Я довольно долго уже возился с разными компьютерными сетями, но воспринимал их потребительски, как источник знаний и развлечений, быструю связь и интересную игрушку, с которой можно играть бесконечно. Кораблики в бутылке, которые никого не интересуют кроме нескольких поехавших компьютерщиков. Даже то, что я уже не просто бесцельно блуждал по сети, а трудовой пчелой строил очередную её ячейку под названием AS12959 - ничего не меняло.

Я закончил верстку, загрузил всё на сайт и тут у меня пищит почта. Я зеваю, переключаюсь на соседний терминал и вижу письмо от sgordon@watson.ibm.com. Речь там шла о Девиде Смите и черве Мелисса, но то совершенно не важно, потому что впервые у меня в голове с хрустом защелкнулись детальки, и я понял что такое Интернет, что ничего не заканчивается. И что за корабликами в бутылках стоит определенная, хотя и не до конца сформулированная идеология, она-то и объединяет людей в сообщество, и теперь моя очередь его представлять, и влиять на происходящие события.

Когда я недавно услышал, что "хакеры - вне политики", давайте дружить и заниматься полировкой своих цифровых корабликов, я смеялся так что слёзы текли из глаз.

Вскоре, после того разговора, я убрал с главной страницы сайта плакат с угрожающей хуеобразной пушкой (иначе просто невозможно её описать, всегда проверяйте, действительно ли вы хотите, чтобы постер выглядел как фаллический хуй?) и подписью "Let me do the talking!" на статью 19 из декларации прав человека.

А споров на тему цензуры в Интернете, о ложном противопоставлении свободы и защищенности, существует ли кибер-оружие и, если да, то можно ли его правильно применять? а что будет, если хакеры доберутся до атомных электростанций (какая ирония) было просто не счесть, все аргументы давно пронумерованы и в три слоя обмотаны тредами по сотне писем в каждом.

И потом приходит очередной какой-нибудь доморощенный рагуляйтер и с детской непосредственностью начинает всё по-новой: "развели мол тут демократию и Сралина на вас нету с хунтой, ото, порядку, порядку не хватает!11". Душераздирающее зрелище.

P.S. Ходили слухи, что Тодоров и есть Темный Мститель, но сам он об этом говорить не хочет, хотя мило отзывается о Гордон и очень не любит Бонтчева. Так ли это? Да, не всё ли равно?

Eddie lives... somewhere in time.

Почитал на BBC про "супер-оружие ФСБ", "отключить Интернет в небольшой стране" и тому подобное. Моё внимание привлекло несколько нестыковочек. Во-первых, "хакеры" Digital Revolution в душе не ебут что они публикуют. Заявляют о прослушке, а на самом деле речь идёт о ботнете с двумя функциями - анонимизации и DDoS. Впрочем, предполагаемый разработчик "Фронтонов" тоже не очень понимает как должны работать анонимизаторы и DDoS-атаки, где-то на уровне Википедии, хотя стоимость "НИОКР" (опытная конструкция из говна и палок) несколько десятков тысяч долларов. (Цена завышена в разы) Всё вместе, включая взломанный в декабре канал DR, а особенно то, что после обещания, что авторы канала "присядут на бутылку" они продолжают работать, говорит о том, что это разборки между подрядчиками ФСБ, и кто-то жирный и наглый пытается оттеснить от кормушки любителей 0ДТ, Сайтек и прочих строителей глиняных пулемётов. С инженерной точки зрения "Фронтоны" не выдерживают никакой критики.

Поки коронавірус вирує у стрічці, мне вспомнилась прошлогодняя история про эпическое противостояние двух спец. служб. Проэпический - специальный термин, такой же как "гамбит" в шахматах, объединяющий сразу две мощные стратегии - stupid attack (когда внутрений голос умоляет: "не еби козу", и тут же раздаётся жалобное меканье) и deterrence by denial (мороз нас не раз спасал - просто отказываться признавать, что стоишь со спущенными штанами, а коза не твоя, и вобще ты величайший лидер современности). Или совсем уж по-простому - слабоумие и отвага.

22 марта прошлого года, незадолго до первого тура выборов, раки начинают разбрасывать по форумам обращение омномнимных "хакеров-кардеров" о том, что в их бот-сети притащило говнеца. Забордюрные так торопились, что спалили другой свой сливной бачок "Anonymous Poland", который набрасывал файлики через тот же самый сайт odesa[.]md. Чтобы интеллектуальное большинство не перегрелось головой, всё самое "вкусное" положили сверху. Там тебе и "секретные тюрьмы СБУ", наёмники на Абрамсах сбивающие Боинг из звезды смерти - всё как они любят.

С неимоверно доставляющей орфографией, из того что понравилось: "місто КиЕв" и жемчужина братской словесности: "національна поліція УкраїнЫ", прямо в шапке бланка. Как там было у классиков: "Дошел до буквы "и" в слове "передовую". За пять лет войны, на всю педеральную службу не нашлось ни одного человека способного написать слово "Україна" без буквы "Ы". Хакеры-кардеры с их долей воли, то ещё смешнее, гораздо смешнее чем попытки замаскировать русского шпиона под польский Anonymous, но то уже шутка понятная увы не всем.

СБ Украины привычно отмахнулось квадратно-гнездовым пресс-релизом: «Підтвердженням фейковості документів є їх невідповідність формам, затвердженим у СБУ, інструкції з порядку організації секретного діловодства, внутрішньовідомчим наказам та загальноприйнятним нормам офіційного листування» Боги коммуникаций. Подтверждение ложности есть несоответствие порядку. Фразу можно повторять во время медитации и вы услышите топот тараканов, убегающих от колеса бюрократических страданий в чьей-то полупустой голове. Искать IP пользователя "Аня7" и источники утечки, то пусть лохи ищут. Несоответствие форме. Выкуси, Россия!

А источник у россиян был, им оказались конечно же не хакеры, а обычная крыса, предатель - подполковник Василий Николаевич Прозоров, Б-000540, из второго отдела первой службы АТЦ СБУ. После того как фуфел про хакеров с треском провалился, не помогла подсветка на Пикабу, русские его выгнали на пресс-конференцию в день службы безопасности, 25 марта. Чего там только не было, начиная с того как Порошенко лично Боинг сбивал и до "Не совсем мой профиль, но если сходу, то ИнформНапалм четко контролируется ГУР МО". Ответ не заставил себя долго ждать.

Не знаю как в АТЦ, а в пресс-службе СБ точно кто-то наотмечался: "Василь Прозоров був звільнений з посади старшого консультанта-експерта одного з відділів штабу АТЦ Служби безпеки України через систематичне вживання алкоголю на робочому місці". Тут бы связать откровения Прозорова с "хакерами-кардерами", но нет. Контргамбит.

Между тем, всю ту прозоровскую маячню тут же начинают разносить в телеге каналы, такие как "Разведчик" и прочее инопланетное РенТВ. Под запаленый источник россияне попытаются замутить проект "UkrLeaks", но он почему-то не взлетает. Кто бы мог подумать.

Так вот, к чему я это всё рассказываю. Коронавирус, не коронавирус, нефть, не нефть, а россияне просто так не отстанут. И таких "позоровых" у них много и инфраструктуру, как для кибер, так и для информационных атак никто и не думал останавливать. Договариваться с ними бесполезно, с русским танком не договариваются. Выпусти хоть десять сивых обоссанцев и пять засланных ермачков.

В Украине сейчас одновременно политический и экономический кризис, и в мире - политический и экономический кризис, и постапокалиптический вирус на закуску. Как только зловредная федерация почувствует нашу слабость - тут же полезет дальше.

Без вариантов.