Украинцы любят прибедняться во всех областях, но на самом деле уже в самом начале российско-украинской войны, Служба Безопасности озадачилась средствами технической разведки и довольно быстро перешла от попыток использовать "Стахановец" в качестве мальвари (Михаил, думаю оценит иронию ситуации) к простым и надежным методам ловли террористов. Никаких секретов тут нет, потому что они спалились уже в 2014 году - об этом писали Мильчаков и Кассад, а Sporaw сохранил всё для истории http://archive.is/wip/wf8Az
Фокус простой, но эффективный - достаточно просто закинуть ссылку с идентификатором (потому fbclid Фейсбука - беспримесное зло, которое желательно отрезать специальными плагинами), пользователь попадает на сайт прокладку, где небольшой скриптик определяет IP-адреса и добавляет их в базу. Дело в том, что в большинстве случаев, хакерам не нужна геолокация и IP-адреса, с ними просто ничего нельзя сделать, а вот спецслужба может послать запрос на провайдерский узел и получить паспортные данные. В полном соответствии с законом.
А теперь вернёмся в наши дни, к приложению Дія. Я недавно прочитал интервью с разработчиками EPAM, и они вполне честно и открыто отвечали на вопросы о безопасности приложения. Не учтена одна важная угроза и она заключается в том, что приложение вообще существует. Не нужны дополнительные разрешения на камеру или микрофон, не нужны троянские компоненты. Того, что вы обращаетесь к документам, которые вас идентифицируют и серверная часть "Дии" ведёт логи полностью достаточно. Для массовой бесконтрольной слежки.
Когда Арсен Борисович и Иван Генадьевич придут к Михаилу Альбертовичу и скажут "Надо, Вася, родина опасносте" - исключительно вопрос времени.
Думай-те.
Фокус простой, но эффективный - достаточно просто закинуть ссылку с идентификатором (потому fbclid Фейсбука - беспримесное зло, которое желательно отрезать специальными плагинами), пользователь попадает на сайт прокладку, где небольшой скриптик определяет IP-адреса и добавляет их в базу. Дело в том, что в большинстве случаев, хакерам не нужна геолокация и IP-адреса, с ними просто ничего нельзя сделать, а вот спецслужба может послать запрос на провайдерский узел и получить паспортные данные. В полном соответствии с законом.
А теперь вернёмся в наши дни, к приложению Дія. Я недавно прочитал интервью с разработчиками EPAM, и они вполне честно и открыто отвечали на вопросы о безопасности приложения. Не учтена одна важная угроза и она заключается в том, что приложение вообще существует. Не нужны дополнительные разрешения на камеру или микрофон, не нужны троянские компоненты. Того, что вы обращаетесь к документам, которые вас идентифицируют и серверная часть "Дии" ведёт логи полностью достаточно. Для массовой бесконтрольной слежки.
Когда Арсен Борисович и Иван Генадьевич придут к Михаилу Альбертовичу и скажут "Надо, Вася, родина опасносте" - исключительно вопрос времени.
Думай-те.
Мусора же суть животные нечистые и непригодные в пищу, рассадник всевозможной скверны, есть в них что-то от злобной беспородной суки, подстерегающей неосторожных прохожих в складках урбанистических пейзажей, и грязной свиньи, жиреющей на человеческом мясе. Со временем, сии несчастные дуреют от безнаказанности и полностью теряют человеческий облик, если и было в них хоть какое-то его подобие. Только самые необразованные и подлые классы населения, могут дойти до тех пределов безумия, чтобы присоединиться к мусорскому райотделу, где в самые укромные часы ночи, те выжирают друг из друга телесные испражнения, исполняют садистические ритуалы и устраивают непристойные игрища, дабы поддерживать в себе неугасимую тягу к насилию. В связи с непростой эпидемической обстановкой, твари становятся особенно опасны для людей. Мрачные их логовища надобно разрушить, землю же вспахать и засыпать солью. Потом в каждом городе надлежит найти небольшую площадь, переименовать её в Стефановскую в честь мученика Саввы, установить на ней печи как в крематории и сжигать в них лютую погань без пощады и жалости. Ежедневно. А лучше - дважды в сутки. Народ чтобы сжигал.
Два дня понадобилось ментовским холуям, чтобы добровольное сделать принудительным. Вы же именно этого хотели, не так ли? Вам мало бы мусорской державы на улице, теперь товарищ майор будет у вас в смартфоне. Это всё незаконно, конечно, но кого сейчас интересует законность? И на эпидемию им тоже насрать, не для того диечку растили. https://interfax.com.ua/news/general/652875.html
P.S. После того, как в минцифре подгорело, Интерфакс изменил новость по ссылке, но в комментариях вы найдёте видео-запись стрима, которая подтверждает, что Интерфакс процитировал г-на Федорова слово в слово. По-моему, это называется "давление на СМИ".
P.S. После того, как в минцифре подгорело, Интерфакс изменил новость по ссылке, но в комментариях вы найдёте видео-запись стрима, которая подтверждает, что Интерфакс процитировал г-на Федорова слово в слово. По-моему, это называется "давление на СМИ".
Давайте, котики, я вам расскажу что сейчас происходит. Пока в Украине люди боролись за свободу нашей страны с оккупантами, строили бизнес, растили детей, и просто занимались своими делами, "на Украине" произошел реванш и анти-конституционный переворот, с целью установления диктатуры. И эпидемия не только ничего не изменила, но и ускорила события многократно.
Неделю назад президент, кабинет министров и администрации крупных городов начали принимать шизофренические решения "по борьбе с вирусом" (мысль о том, что не нужно бороться с вирусом, а нужно помогать людям в условиях эпидемии, государственным мужам в голову просто не приходит, не может придти, там некуда приходить, здравый смысл не пройдёт).
Вчера двенадцать здоровенных лбов в тяжелой амуниции гонялись за пловцом в парке. Якобы от того, что любитель здорового образа жизни предъявит паспорт - вирус тут же испугается и убежит. А сегодня министр Федоров из мин.цифры анонсировал в утреннем эфире канала "Украина 24" новые функции приложения "Дия" - для тех кто попадает под "самоизоляцию" и "обсервацию" оно становится строго обязательным. С геолокацией, камерой и отметками без перерывов на сон и еду. Под угрозой лютых штрафов.
Вы все очень мило шутили о том, как мусорье будет ставить "Дию" на кнопочные телефоны и о том, как держава будет смартфоны раздавать, но запретительная логика работает иначе. Вначале подчиняйся - потом обжалуй. Слышали такое? Вам для начала влепят штраф за "нарушение карантина", а какой у вас телефон кнопочный или дисковый "дядю Степу" не интересует. А для буйных они я думаю специальный холерный барак построят, километрах в ста от цивилизации.
Два дня назад использование приложений ещё было добровольным, сегодня оно станет обязательным для больных (или для тех кого назначат больным). Не нравится - штраф. Совсем не нравится - принудительная обсервация. Завтра цифровой намордник станет обязательным для всех, и вы не сможете без "Дии" в магазин сходить. Потому что "дома нужно сидеть и не выёбываться". "Для вашей же пользы".
Через неделю или месяц, вы проснётесь в совсем другой стране. В смартфоне - цифровой концлагерь, а в оффлайне - традиционный, теплый и ламповый, с комендантским часом, больше двух не собираться, облавами и беркутом.
Потом выбора у вас уже не будет. Нет никакого "потом".
Неделю назад президент, кабинет министров и администрации крупных городов начали принимать шизофренические решения "по борьбе с вирусом" (мысль о том, что не нужно бороться с вирусом, а нужно помогать людям в условиях эпидемии, государственным мужам в голову просто не приходит, не может придти, там некуда приходить, здравый смысл не пройдёт).
Вчера двенадцать здоровенных лбов в тяжелой амуниции гонялись за пловцом в парке. Якобы от того, что любитель здорового образа жизни предъявит паспорт - вирус тут же испугается и убежит. А сегодня министр Федоров из мин.цифры анонсировал в утреннем эфире канала "Украина 24" новые функции приложения "Дия" - для тех кто попадает под "самоизоляцию" и "обсервацию" оно становится строго обязательным. С геолокацией, камерой и отметками без перерывов на сон и еду. Под угрозой лютых штрафов.
Вы все очень мило шутили о том, как мусорье будет ставить "Дию" на кнопочные телефоны и о том, как держава будет смартфоны раздавать, но запретительная логика работает иначе. Вначале подчиняйся - потом обжалуй. Слышали такое? Вам для начала влепят штраф за "нарушение карантина", а какой у вас телефон кнопочный или дисковый "дядю Степу" не интересует. А для буйных они я думаю специальный холерный барак построят, километрах в ста от цивилизации.
Два дня назад использование приложений ещё было добровольным, сегодня оно станет обязательным для больных (или для тех кого назначат больным). Не нравится - штраф. Совсем не нравится - принудительная обсервация. Завтра цифровой намордник станет обязательным для всех, и вы не сможете без "Дии" в магазин сходить. Потому что "дома нужно сидеть и не выёбываться". "Для вашей же пользы".
Через неделю или месяц, вы проснётесь в совсем другой стране. В смартфоне - цифровой концлагерь, а в оффлайне - традиционный, теплый и ламповый, с комендантским часом, больше двух не собираться, облавами и беркутом.
Потом выбора у вас уже не будет. Нет никакого "потом".
Будет время, долгое и неторопливое, как ядерная зима... Стрелки часов пойдут со скрипом, замедляя ход, словно Ахилл в последней и отчаянной попытке догнать черепаху. Времени на споры будет сколько угодно - единственный ресурс, сохранившийся в изобилии.
Время, когда в окружении сердитых товарищей, в подвале что когда-то был кафешкой, вы воткнете силуминовую вилку в остаток вчерашней тушонки от "Красного креста", возьмете кружку с разбавленным антисептиком, и щурясь от холодных солнечных бликов, пробивающихся сквозь окно под самым потолком, с горьким смехом скажете что-то вроде:
- А помнишь, кстати, как перед дефолтом беркутня из министерства внутреннего здоровья всех за маски штрафовала, надо было уже тогда валить, разве, не?.. (местоимение "кого" или "куда" теряется в многочисленных многоточиях)
Вдох, выдох, от спирта спирает дыхание. Термоядерный шарик Солнца всё так же катится по своей неизменной орбите. По пустынным улицам ветер гоняет обрывки мусора, и в попытке понять, где она та точка бифуркации, начиная с которой линии возможностей стянулись в гордиев узел и всё пошло под откос, вам захочется вспомнить о пережитом совсем недавно...
... А я если буду сидеть напротив - я не буду спорить - тоже отхлебну спиртяги - поморщусь на секунду от вкуса воды, простоявшей в канистре уже неделю, и немедленно соглашусь:
- Идиоты! - скажу, - полные кретины! - всё постики писали и думали, что карантин на недельку и антиколомойский закон как-нибудь, да примут. "Ну не могут же они?.."
И мы понимающе переглянемся и замолчим, потому что обсуждать больше нечего. Запоздалым понимаем будет пропитано всё вокруг: неуверенно стоящая на своих ножках мебель, сочащиеся сыростью стены. В каждом взгляде будет оно - неотвратимое как закат и бесполезное как почерневшая трава, понимание.
Так будет! И будет скоро. Но не завтра.
Время, когда в окружении сердитых товарищей, в подвале что когда-то был кафешкой, вы воткнете силуминовую вилку в остаток вчерашней тушонки от "Красного креста", возьмете кружку с разбавленным антисептиком, и щурясь от холодных солнечных бликов, пробивающихся сквозь окно под самым потолком, с горьким смехом скажете что-то вроде:
- А помнишь, кстати, как перед дефолтом беркутня из министерства внутреннего здоровья всех за маски штрафовала, надо было уже тогда валить, разве, не?.. (местоимение "кого" или "куда" теряется в многочисленных многоточиях)
Вдох, выдох, от спирта спирает дыхание. Термоядерный шарик Солнца всё так же катится по своей неизменной орбите. По пустынным улицам ветер гоняет обрывки мусора, и в попытке понять, где она та точка бифуркации, начиная с которой линии возможностей стянулись в гордиев узел и всё пошло под откос, вам захочется вспомнить о пережитом совсем недавно...
... А я если буду сидеть напротив - я не буду спорить - тоже отхлебну спиртяги - поморщусь на секунду от вкуса воды, простоявшей в канистре уже неделю, и немедленно соглашусь:
- Идиоты! - скажу, - полные кретины! - всё постики писали и думали, что карантин на недельку и антиколомойский закон как-нибудь, да примут. "Ну не могут же они?.."
И мы понимающе переглянемся и замолчим, потому что обсуждать больше нечего. Запоздалым понимаем будет пропитано всё вокруг: неуверенно стоящая на своих ножках мебель, сочащиеся сыростью стены. В каждом взгляде будет оно - неотвратимое как закат и бесполезное как почерневшая трава, понимание.
Так будет! И будет скоро. Но не завтра.
Считается, что компьютерные вирусы "придумал" Фред Коэн в 1984 году, а сам термин для таких программ предложил Лен Адлмен (буква "А" в "RSA"), что конечно не верно. Вирусы вместе с названием появились в самом начале восьмидесятых, причем, как часто бывает с изобретениями - одновременно и независимо в нескольких странах.
В Союзе и еще более убогом (в научном плане) пост-совке с литературой была беда, но на удивление - по рукам ходил перевод книжки Ральфа Бургера "Computer Viruses: A High-tech Disease", почему-то в виде отдельных кусков и со странным названием "Большой справочник по компьютерным вирусам". В нем я заприметил ссылку на работу никому неизвестного Юргена Крауса из университета Дортмунда "Самовоспроизведение компьютерных программ" 1980 года.
Естественно, я заинтересовался и добавил в wish-list на сайте. Тогда Германия, по крайней мере ментально, находилась на том же расстоянии что Марс и Юпитер. Зато мой список разыскиваемых книжек заинтересовал Дениэла из Дартмута, он мне прислал пару любопытных статей, вытащенных из JSTOR, что напоминает о том что солидарность внутри академии всё-таки важнее, чем авторские права, а заодно поинтересовался откуда вобще взялась ссылка на Крауса?
Я написал Ральфу и задал тот же вопрос, двадцать пять лет прошло, чего я ждал? Ответ очевиден - в библиотеке Дортмунда, и начался длинный квест по восстановлению приоритета. Почти год Дениэл пытался добраться до манускрипта через межбиблиотечный обмен, и каким-то чудом убедил библиотекаря в Дортмунде перерыть хранилище и отправить копию в Штаты, а из Штатов увесистый пакет прилетел в Украину.
Сканировать и вычитывать текст на незнакомом языке, набитый программами и формулами - просто ад. Хорошо, что удалось подключить Dia и SPTH из Австрии, для них хоть слово uebliche не звучит как грязное ругательство. Потом на уже отверстанный текст наткнулся Эрик из INRIA, и они с Дениелом перевели дипломную работу Крауса на английский язык и опубликовали в JCompVir... https://www.researchgate.net/publication/220673364_Editorstranslators_Foreword
Спустя несколько лет я задумчиво ходил по перевернутой вверх дном квартире и листал письма от Дениэла и Эрика в мою защиту на имя начальника Буденновского РОВД Филипова. Дениэл к тому времени перешел в частный сектор и работал исследователем на контрактора для министерства обороны, Эрик прислал письмо на бланке armée de terre, а я с интересом размышлял о том, получится ли у австралийского отделения PC World взять комментарий у донецких ментов, разграбивших мою е-библиотеку? https://www.pcworld.com/article/253567/security_experts_push_ukraine_to_drop_vx_heavens_prosecution.html
Не смотря на то, что чекисты, с которыми я до этого познакомился, назову их - капитан Летун и майор Нейроволк всеми мышцами своей души (или того что им заменяло этот орган) пытались излучать дружелюбие и уверенность, верилось им с трудом. Унылое дружелюбие Летуна, и подозрительная уверенность майора ("за заслуги второй степени" не хухры, не понятно правда к чему относится степень к заслугам или к державе), убедили меня в том, что всю подляну руками ментов затеяла именно Контора.
От сдержанного веселья меня отвлек звонок со скрытого номера. Звонка я ждал. Я расчитывал на одного из старейших донецких кооператоров, к которому мне удалось попасть на приём. Уверенный и ироничный голос в трубке поинтересовался как у меня дела и тут же предложил встретиться. После нескольких попыток выбрать место для встречи где-нибудь в центре, мы неожиданно выяснили, что я-то в центре Донецка, а вот мой собеседник - в Киеве. Тогда, через пару дней...
Мы договорились о встрече в одной из кафешек. Меня сложно удивить, но в этот раз удалось на все сто. Захожу я в пицерию, а там меня ждет очень бойкая леди, назовем её скажем Лара, в блузке подчеркивающей всё что нужно подчеркивать и модным iPad в руках, куда она со скоростью пулемёта вносит заметки, попутно выясняя детали. Чем я занимаюсь, например? Я скромненько ответил про мед. оборудование, я тогда фрилансил для автора рассказа про "один байт", которого не хватало в памяти однокристаллки.
В Союзе и еще более убогом (в научном плане) пост-совке с литературой была беда, но на удивление - по рукам ходил перевод книжки Ральфа Бургера "Computer Viruses: A High-tech Disease", почему-то в виде отдельных кусков и со странным названием "Большой справочник по компьютерным вирусам". В нем я заприметил ссылку на работу никому неизвестного Юргена Крауса из университета Дортмунда "Самовоспроизведение компьютерных программ" 1980 года.
Естественно, я заинтересовался и добавил в wish-list на сайте. Тогда Германия, по крайней мере ментально, находилась на том же расстоянии что Марс и Юпитер. Зато мой список разыскиваемых книжек заинтересовал Дениэла из Дартмута, он мне прислал пару любопытных статей, вытащенных из JSTOR, что напоминает о том что солидарность внутри академии всё-таки важнее, чем авторские права, а заодно поинтересовался откуда вобще взялась ссылка на Крауса?
Я написал Ральфу и задал тот же вопрос, двадцать пять лет прошло, чего я ждал? Ответ очевиден - в библиотеке Дортмунда, и начался длинный квест по восстановлению приоритета. Почти год Дениэл пытался добраться до манускрипта через межбиблиотечный обмен, и каким-то чудом убедил библиотекаря в Дортмунде перерыть хранилище и отправить копию в Штаты, а из Штатов увесистый пакет прилетел в Украину.
Сканировать и вычитывать текст на незнакомом языке, набитый программами и формулами - просто ад. Хорошо, что удалось подключить Dia и SPTH из Австрии, для них хоть слово uebliche не звучит как грязное ругательство. Потом на уже отверстанный текст наткнулся Эрик из INRIA, и они с Дениелом перевели дипломную работу Крауса на английский язык и опубликовали в JCompVir... https://www.researchgate.net/publication/220673364_Editorstranslators_Foreword
Спустя несколько лет я задумчиво ходил по перевернутой вверх дном квартире и листал письма от Дениэла и Эрика в мою защиту на имя начальника Буденновского РОВД Филипова. Дениэл к тому времени перешел в частный сектор и работал исследователем на контрактора для министерства обороны, Эрик прислал письмо на бланке armée de terre, а я с интересом размышлял о том, получится ли у австралийского отделения PC World взять комментарий у донецких ментов, разграбивших мою е-библиотеку? https://www.pcworld.com/article/253567/security_experts_push_ukraine_to_drop_vx_heavens_prosecution.html
Не смотря на то, что чекисты, с которыми я до этого познакомился, назову их - капитан Летун и майор Нейроволк всеми мышцами своей души (или того что им заменяло этот орган) пытались излучать дружелюбие и уверенность, верилось им с трудом. Унылое дружелюбие Летуна, и подозрительная уверенность майора ("за заслуги второй степени" не хухры, не понятно правда к чему относится степень к заслугам или к державе), убедили меня в том, что всю подляну руками ментов затеяла именно Контора.
От сдержанного веселья меня отвлек звонок со скрытого номера. Звонка я ждал. Я расчитывал на одного из старейших донецких кооператоров, к которому мне удалось попасть на приём. Уверенный и ироничный голос в трубке поинтересовался как у меня дела и тут же предложил встретиться. После нескольких попыток выбрать место для встречи где-нибудь в центре, мы неожиданно выяснили, что я-то в центре Донецка, а вот мой собеседник - в Киеве. Тогда, через пару дней...
Мы договорились о встрече в одной из кафешек. Меня сложно удивить, но в этот раз удалось на все сто. Захожу я в пицерию, а там меня ждет очень бойкая леди, назовем её скажем Лара, в блузке подчеркивающей всё что нужно подчеркивать и модным iPad в руках, куда она со скоростью пулемёта вносит заметки, попутно выясняя детали. Чем я занимаюсь, например? Я скромненько ответил про мед. оборудование, я тогда фрилансил для автора рассказа про "один байт", которого не хватало в памяти однокристаллки.
- Промышленный шпионаж!, - мечтательно сказала Лара, бойко отстукивая по экранной клавиатуре.
Тут я охуел не на шутку, но разубеждать не стал.
Но день дивных открытий только начался. Меня набирает Летун, и как всегда говорит, что он (в очередной раз) абсолютно случайно проезжает мимо, и хочет поговорить. В центре Донецка есть такие закоулки, где среди многоэтажек ютятся остатки частного сектора. Майский цвет кругом. А Летун, видимо решил доломать мой охуеватор окончательно. А, давай говорит, мы к ментам зайдём и предложим им десяточку, понимаешь же, всё из Киева идёт, нельзя просто так взять и потерять? Ушам своим не мог поверить. Смотрю на него, как на симпатичного, но слабоумного ребёнка.
- От чего же нет, говорю, сходите, - я-то не совсем идиот, и привык, что мне платят за то, что я прав, а не я плачу за то что я прав, но стало до боли любопытно, что они мне ещё расскажут. Попрощался и отправился назад на работу к своим гудящим серверам и мигающим лампочкам.
Вечером, сгибаясь от смеха приходит Серега, на тот момент один из лучших моих друзей, во время войны мы станем врагами. Осторожно выглядывает с балкона, машина отъехала? И давясь, рассказывает, что рыцари плаща и кинжала действительно поехали к ментам о чем-то тереть, и в разгар межведомственного диалога, словно ангел с небес на райотдел снисходит генерал, берёт дело под мышку и уходит... Мир удивителен и полон неожиданными сюрпризами.
Мне наша держава постоянно напоминает анекдот про жадную слепую девочку и пельмени. "Если вы мне целый таз наварили, то сколько ж вы себе, падлы, заначили?" Чому бідні - бо дурні. Чому дурні бо бідні.
Тут я охуел не на шутку, но разубеждать не стал.
Но день дивных открытий только начался. Меня набирает Летун, и как всегда говорит, что он (в очередной раз) абсолютно случайно проезжает мимо, и хочет поговорить. В центре Донецка есть такие закоулки, где среди многоэтажек ютятся остатки частного сектора. Майский цвет кругом. А Летун, видимо решил доломать мой охуеватор окончательно. А, давай говорит, мы к ментам зайдём и предложим им десяточку, понимаешь же, всё из Киева идёт, нельзя просто так взять и потерять? Ушам своим не мог поверить. Смотрю на него, как на симпатичного, но слабоумного ребёнка.
- От чего же нет, говорю, сходите, - я-то не совсем идиот, и привык, что мне платят за то, что я прав, а не я плачу за то что я прав, но стало до боли любопытно, что они мне ещё расскажут. Попрощался и отправился назад на работу к своим гудящим серверам и мигающим лампочкам.
Вечером, сгибаясь от смеха приходит Серега, на тот момент один из лучших моих друзей, во время войны мы станем врагами. Осторожно выглядывает с балкона, машина отъехала? И давясь, рассказывает, что рыцари плаща и кинжала действительно поехали к ментам о чем-то тереть, и в разгар межведомственного диалога, словно ангел с небес на райотдел снисходит генерал, берёт дело под мышку и уходит... Мир удивителен и полон неожиданными сюрпризами.
Мне наша держава постоянно напоминает анекдот про жадную слепую девочку и пельмени. "Если вы мне целый таз наварили, то сколько ж вы себе, падлы, заначили?" Чому бідні - бо дурні. Чому дурні бо бідні.
С детекторами встреч (proximity trackers) все словно с ума посходили. Некоторые, к сожалению, буквально. Французские разработчики предложили сделать централизованную базу с пользовательскими ключами (sic!), доверить её национальным организациям по защите данных и нац. беопасности (в случае Украины - это ДССЗЗІ и СБУ), а если пользователь узнаёт о заражении, то загружает все свои контакты на центральный сервер. А в качестве алгоритма шифрования предлагают 3DES. Я даже не знаю, чтобы тут еще закосячить, дальше уже кажется просто невозможно. Всё шиворот навыворот. Полное описание идиотизма по ссылке https://github.com/ROBERT-proximity-tracing/documents/blob/master/ROBERT-specification-EN-v1_0.pdf
Не люблю видео, люблю писать черные закорючки на белом фоне, но этот момент из "Новых наёмников России" мне нравится. Про фильм я как-нибудь еще отдельно напишу, там много занятного, Slug News славно поработали и The Security Service of Ukraine отжигала на пятерочку:
"Мы используем "Киберальянс", для проверки веб-сайтов
только на территории Украины. То есть, подвержены ли они атаке, или нет. То есть, свои собственные ресурсы. А не для атаки"
Пол Экман такое выражение лица называет "duping delight" (восторг надувательства). Мамку свою будете "использовать". Мне вспомнилось, как Служба мастерски умеет пользоваться полученной информацией.
Показали мне как-то беспарольный шелл (программа для удаленного управления сервером) на сайте Донецкой ОВГА - туда залезли какие-то недоумки из Самары, если мне память не изменяет https://bit.ly/34MTAeC
Пишу знакомому: слушай, говорю, всё-таки военно-гражданская администрация, а там россияне лазят - не хорошо, сделай что-нибудь, а? Ответ меня убил просто. А мы, он отвечает, сейчас согласуем и во второй половине дня им письмо напишем, и по закону они обязаны будут ответить в течении десяти дней...
Был бы я Женей Докукиным, обязательно бы добавил что-нибудь про "багаторічну бездіяльність СБУ", но увы, это не так, например гоняться за украинскими хакерами вместо русских - на это у них и время есть и люди, и технические возможности.
"Мы используем "Киберальянс", для проверки веб-сайтов
только на территории Украины. То есть, подвержены ли они атаке, или нет. То есть, свои собственные ресурсы. А не для атаки"
Пол Экман такое выражение лица называет "duping delight" (восторг надувательства). Мамку свою будете "использовать". Мне вспомнилось, как Служба мастерски умеет пользоваться полученной информацией.
Показали мне как-то беспарольный шелл (программа для удаленного управления сервером) на сайте Донецкой ОВГА - туда залезли какие-то недоумки из Самары, если мне память не изменяет https://bit.ly/34MTAeC
Пишу знакомому: слушай, говорю, всё-таки военно-гражданская администрация, а там россияне лазят - не хорошо, сделай что-нибудь, а? Ответ меня убил просто. А мы, он отвечает, сейчас согласуем и во второй половине дня им письмо напишем, и по закону они обязаны будут ответить в течении десяти дней...
Был бы я Женей Докукиным, обязательно бы добавил что-нибудь про "багаторічну бездіяльність СБУ", но увы, это не так, например гоняться за украинскими хакерами вместо русских - на это у них и время есть и люди, и технические возможности.
Русская конспирологическая помойка Джордж Элайсон напомнил мне о небывалых успехах российской разведки по части легендирования и plausible deniability (правдоподобное отрицание). С Гуччифером 2.0 они обосрались уже в выборе персонажа.
У настоящего Гуччифера из Румынии наибольшее техническое достижение - подобрать на помойке российскую проксю, Марсель хакал весьма немудренным способом месяцами следил за выбранной целью и угадывал ответы на вопросы для восстановления доступа. Без сомнения - талант (в области OSINT и аналитики, но не хакинга), к тому же очень далёкий от политики. Бредни про иллюминатов и почту Хилари не более, чем типичная линия защиты, такие же заявления делал потом Константин Козловский.
Кому-то в ГРУ колоритный румын показался отличным прикрытием и конечно они тут же спалились на незнании румынского языка и нелепых объяснениях про уязвимость нулевого дня в NGP VAN (софт, которым пользуется демократическая партия для сбора средств), такие же забавные заявления делал "Киберберкут" после взлома ЦВК.
Про безуспешные попытки реализовать информацию и Ассанжа можно целую книгу написать, но интересный момент, в том как Россия пыталась отвести от себя подозрения. Тут же появился блог никому не известного эксперта по криминалистике https://theforensicator.wordpress.com/ , который на основе временных отметок в файлах, сделал вывод о том, что файлы копировались со скоростью 22 мегабайта в секунду, что якобы находится за пределами "возможностей Интернета". Так как фуфел сам по себе не зашел, то подписалось под ним общество "Бывших Профессиональных Ветереанов Разведки за Здравый смысл" (VIPS) с рассказками про то, что судя по скорости файлы были скопированы на флешку https://consortiumnews.com/2017/07/24/intel-vets-challenge-russia-hack-evidence/
Теория про "фантастическую скорость в 180 мегабит" потом ещё долго гуляла. Просто чтобы показать наглядно, зашел на один из серверов и потянул гигабайтный файлик. Скорость 62 мегабайта в секунду. Для серверов - самое обычное дело.
У настоящего Гуччифера из Румынии наибольшее техническое достижение - подобрать на помойке российскую проксю, Марсель хакал весьма немудренным способом месяцами следил за выбранной целью и угадывал ответы на вопросы для восстановления доступа. Без сомнения - талант (в области OSINT и аналитики, но не хакинга), к тому же очень далёкий от политики. Бредни про иллюминатов и почту Хилари не более, чем типичная линия защиты, такие же заявления делал потом Константин Козловский.
Кому-то в ГРУ колоритный румын показался отличным прикрытием и конечно они тут же спалились на незнании румынского языка и нелепых объяснениях про уязвимость нулевого дня в NGP VAN (софт, которым пользуется демократическая партия для сбора средств), такие же забавные заявления делал "Киберберкут" после взлома ЦВК.
Про безуспешные попытки реализовать информацию и Ассанжа можно целую книгу написать, но интересный момент, в том как Россия пыталась отвести от себя подозрения. Тут же появился блог никому не известного эксперта по криминалистике https://theforensicator.wordpress.com/ , который на основе временных отметок в файлах, сделал вывод о том, что файлы копировались со скоростью 22 мегабайта в секунду, что якобы находится за пределами "возможностей Интернета". Так как фуфел сам по себе не зашел, то подписалось под ним общество "Бывших Профессиональных Ветереанов Разведки за Здравый смысл" (VIPS) с рассказками про то, что судя по скорости файлы были скопированы на флешку https://consortiumnews.com/2017/07/24/intel-vets-challenge-russia-hack-evidence/
Теория про "фантастическую скорость в 180 мегабит" потом ещё долго гуляла. Просто чтобы показать наглядно, зашел на один из серверов и потянул гигабайтный файлик. Скорость 62 мегабайта в секунду. Для серверов - самое обычное дело.
Сегодня мне снова захотелось перечитать Unix Haters Handbook https://web.mit.edu/~simsong/www/ugh.pdf Я открыл книжку где-то в середине и снова похихикал, создавая файлики "-f" и другим немудренным шуткам. При этом меня нельзя назвать хипстером, больше двадцати лет я занимаюсь администрированием и разработкой для Юникс, если сильно прижмет, то могу отредактировать sendmail.cf в ed или написать драйвер. Я знаю почему всё настолько кривое и уродливое, я читал документацию семидесятых. Но, блядь!
Всё началось с того, что я снес OEM Ubuntu и поставил последний RedHat. Помятуя о том, что ноутбук свежачок, набитый интеловским топчиком, я сразу поставил dev-версию ядра. Оно, падло, падало так часто и задорно, что я на него стал смотреть как на потенциальный склад зеродеев, и бессрочный отпуск на тропических островах. Я давно уже смирился с тем, что ps axuf напоминает великий курултай индейских вождей, поедающих экзотических животных, я даже с systemd смирился, с кротостью жертвы многолетнего домашнего насилия.
Меня не удивить тем, что тачпад и wifi отлетают поочередно, можно подключить мышь и телефон в качестве модема, чтобы расчистить себе пространство для маневра. Почти без боя удалось вернуть себе трей. Инсталятор забыл создать каталог для расширений. Обновить архив фирмвари - легче легкого! Сегодня у меня наконец-то дошли руки посмотреть, что за инопланетные твари собрались в памяти.
Про man и rpm -qi можно забыть сразу: "чудесный демон, который авторизует устройства, ведёт базу данных устройств и мигает всеми устройствами, которые у вас есть". Синтезатор речи на языке урду? Изыди! yum remove. Поиск в гугле приносит всё те же бесполезные man-страницы и вопли таких же несчастных и озадаченных людей. Я помолодел на четверть века и снова почувствовал себя маленьким и глупым.
Добил меня rngd. Священный культ энтропии. Внутри компьютера мало случайностей, а они нужны. И вместо того, чтобы собрать сраный килобайт случайных чисел и запустить неблокирующий CSRNG, неведомые уёбки гоняют RDRAND в юзерспейсе, чтобы кормить им затем ядро через /dev/random, и они дико гордятся тем, что он теперь не блокируется. Если за это не убивать, то тогда за что?
Всё началось с того, что я снес OEM Ubuntu и поставил последний RedHat. Помятуя о том, что ноутбук свежачок, набитый интеловским топчиком, я сразу поставил dev-версию ядра. Оно, падло, падало так часто и задорно, что я на него стал смотреть как на потенциальный склад зеродеев, и бессрочный отпуск на тропических островах. Я давно уже смирился с тем, что ps axuf напоминает великий курултай индейских вождей, поедающих экзотических животных, я даже с systemd смирился, с кротостью жертвы многолетнего домашнего насилия.
Меня не удивить тем, что тачпад и wifi отлетают поочередно, можно подключить мышь и телефон в качестве модема, чтобы расчистить себе пространство для маневра. Почти без боя удалось вернуть себе трей. Инсталятор забыл создать каталог для расширений. Обновить архив фирмвари - легче легкого! Сегодня у меня наконец-то дошли руки посмотреть, что за инопланетные твари собрались в памяти.
Про man и rpm -qi можно забыть сразу: "чудесный демон, который авторизует устройства, ведёт базу данных устройств и мигает всеми устройствами, которые у вас есть". Синтезатор речи на языке урду? Изыди! yum remove. Поиск в гугле приносит всё те же бесполезные man-страницы и вопли таких же несчастных и озадаченных людей. Я помолодел на четверть века и снова почувствовал себя маленьким и глупым.
Добил меня rngd. Священный культ энтропии. Внутри компьютера мало случайностей, а они нужны. И вместо того, чтобы собрать сраный килобайт случайных чисел и запустить неблокирующий CSRNG, неведомые уёбки гоняют RDRAND в юзерспейсе, чтобы кормить им затем ядро через /dev/random, и они дико гордятся тем, что он теперь не блокируется. Если за это не убивать, то тогда за что?
Я недавно написал пост о том как я настраивал систему, избавляя её от лишних с моей точки зрения программ, и о том что меня возмутил сервис, генерирующий случайные числа. Пост был эмоциональный, но не очень понятный. Многие жаловались и требовали объяснений. Так что небольшая воскресная проповедь о природе случайного. Компьютер чем-то напоминает демона Лапласа: если начать с определенных условий - результат всегда получается одинаковый, и это проблема.
В Интернете древности (и сейчас иногда тоже) можно просто заменить IP адрес отправителя, прикинувшись кем-то другим. И послать, например, вам пакет RST, разрывающий соединение, пока вы тянете здоровенный файл. Чтобы этого не происходило, счетчики в TCP-соединении начинаются со случайного числа, чтобы атакующий не смог его угадать. Любое шифрование, в том числе TLS, защищающий вас прямо сейчас от майора-в-середине, просто не будет работать без случайных чисел, и это касается не только ключей, но и всеми любимых цифровых подписей. Sony гарантирует это.
Где взять случайность и как померять насколько она случайная? Уже в 1870 году Больцманн и Гиббс сформулировали понятие энтропии, такая смесь статистики и термодинамики S = -k * \sum p_i \ln p_i, где p_i вероятность того, что система окажется в i-ом состоянии из всех возможных, а k - постоянная Больцманна. Вас наверняка мучали такими формулами в школе, но не всем объяснили зачем они нужны. Энтропия количество "беспорядка". И эта стервь не убывает, пока не достигнет максимального значения и система не придёт в равновесие. Гроб, гроб, кладбище, тепловая смерть вселенной.
А в сороковых годах прошлого века, замечательный Клод Шеннон решил применить тот же подход к информации, так появилась теория информации (и на ней основана и криптография, сжатие данных, коммуникации и даже лингвистика). Энтропия по Шеннону H = \sum p_i log p_i, где p_i вероятность для i-го сообщения из всех возможных. Если все вероятности равны, то H = \log |M| (M - множество всех сообщений) Попробуем погонять одно и тоже сообщение через зашумленный канал по кругу, и энтропия будет расти, пока сообщение не превратится в случайный мусор. Физику не наебёшь
Только у компьютера нет таких "шумящих" штук, и в обиход вошли псевдо-случайные генераторы. Один из самых распространенных линейный конгруэнтный генератор LCG: s_i = a * s_(i-1) + b mod m, достаточно выбрать относительно "случайное" начальное значение s_0 (как правило, текущую дату) и при правильно подобранных значениях a, b, m, формула выдаст долго не повторяющийся ряд чисел похожих на случайные. Если вы знакомы с основами теории групп, то должно быть понятно почему. https://bit.ly/2VBDx0k Многие языки программирования и библиотеки используют LCG по умолчанию.
Достаточно ли этого? Возьмем генератор из Borland C (2^32, 22695477, 1) сгенерируем 1000 чисел и измерим энтропию. Entropy = 7.966828 bits per byte. Вроде бы неплохо, пока мы не сменили уютный пледик программиста на логово злодеев, заваленное костьми людей с благими намерениями. Вся последовательность полностью предсказуема, если мы знаем начальное значение (seed). Мы его можем просто подобрать перебором, для современных компьютеров не проблема. Какой-то крипто-локер генерировал так ключи. Его тут же взломали.
Более того, если у нас есть возможность сгенерировать несколько чисел, то мы можем восстановить значения a, b, m с вероятностью 1 / \zeta(2), где \zeta - функция Римана, 6 / \pi ^ 2, по мере наблюдений за генератором, вероятность взлома будет расти. И расти быстро. Так мы получим все следующие значения после того, как узнаем текущий seed. Зная параметры, мы можем обратить формулу, и получить и внутреннее состояние генератора, и все предыдущие значения тоже. Что делать?
В Интернете древности (и сейчас иногда тоже) можно просто заменить IP адрес отправителя, прикинувшись кем-то другим. И послать, например, вам пакет RST, разрывающий соединение, пока вы тянете здоровенный файл. Чтобы этого не происходило, счетчики в TCP-соединении начинаются со случайного числа, чтобы атакующий не смог его угадать. Любое шифрование, в том числе TLS, защищающий вас прямо сейчас от майора-в-середине, просто не будет работать без случайных чисел, и это касается не только ключей, но и всеми любимых цифровых подписей. Sony гарантирует это.
Где взять случайность и как померять насколько она случайная? Уже в 1870 году Больцманн и Гиббс сформулировали понятие энтропии, такая смесь статистики и термодинамики S = -k * \sum p_i \ln p_i, где p_i вероятность того, что система окажется в i-ом состоянии из всех возможных, а k - постоянная Больцманна. Вас наверняка мучали такими формулами в школе, но не всем объяснили зачем они нужны. Энтропия количество "беспорядка". И эта стервь не убывает, пока не достигнет максимального значения и система не придёт в равновесие. Гроб, гроб, кладбище, тепловая смерть вселенной.
А в сороковых годах прошлого века, замечательный Клод Шеннон решил применить тот же подход к информации, так появилась теория информации (и на ней основана и криптография, сжатие данных, коммуникации и даже лингвистика). Энтропия по Шеннону H = \sum p_i log p_i, где p_i вероятность для i-го сообщения из всех возможных. Если все вероятности равны, то H = \log |M| (M - множество всех сообщений) Попробуем погонять одно и тоже сообщение через зашумленный канал по кругу, и энтропия будет расти, пока сообщение не превратится в случайный мусор. Физику не наебёшь
Только у компьютера нет таких "шумящих" штук, и в обиход вошли псевдо-случайные генераторы. Один из самых распространенных линейный конгруэнтный генератор LCG: s_i = a * s_(i-1) + b mod m, достаточно выбрать относительно "случайное" начальное значение s_0 (как правило, текущую дату) и при правильно подобранных значениях a, b, m, формула выдаст долго не повторяющийся ряд чисел похожих на случайные. Если вы знакомы с основами теории групп, то должно быть понятно почему. https://bit.ly/2VBDx0k Многие языки программирования и библиотеки используют LCG по умолчанию.
Достаточно ли этого? Возьмем генератор из Borland C (2^32, 22695477, 1) сгенерируем 1000 чисел и измерим энтропию. Entropy = 7.966828 bits per byte. Вроде бы неплохо, пока мы не сменили уютный пледик программиста на логово злодеев, заваленное костьми людей с благими намерениями. Вся последовательность полностью предсказуема, если мы знаем начальное значение (seed). Мы его можем просто подобрать перебором, для современных компьютеров не проблема. Какой-то крипто-локер генерировал так ключи. Его тут же взломали.
Более того, если у нас есть возможность сгенерировать несколько чисел, то мы можем восстановить значения a, b, m с вероятностью 1 / \zeta(2), где \zeta - функция Римана, 6 / \pi ^ 2, по мере наблюдений за генератором, вероятность взлома будет расти. И расти быстро. Так мы получим все следующие значения после того, как узнаем текущий seed. Зная параметры, мы можем обратить формулу, и получить и внутреннее состояние генератора, и все предыдущие значения тоже. Что делать?
👍3