Прочитал отчет Atlantic Council "Countering Cyber Proliferation: Zeroing in on AaaS", любопытное чтение (в фактической части), но со странными выводами о том, что устаревшие концепции "сдерживания" и "нераспространения" времен холодной войны применимы к "кибер". "Пролиферация кибер возможностей", как правило происходит так: студенты и вайтхеты постарше разрабатывают технологии, которые распространяются черному рынку, рынку безопасности и спецслужбам (именно в таком направлении и порядке). И стоят те технологии настолько дешево, что никакими силами их распространение остановить нельзя. Как нельзя отменить учебник по химии. А кое-где можно было бы наоборот ослабить контроль (359-ю например отменить и 361-1), чтобы не тормозить прогресс и вывести его из тени.
Первого марта Клаус Шнорр (ему мы обязаны цифровыми подписями) наделал шороху, загрузив препринт "Быстрая факторизация чисел алгоритмами SVP". В первой версии статьи есть приписка "это уничтожае криптосистему RSA". Именно "уничтожае", и я полагаю, что фраза "this destroyes RSA" станет мемом. Мне всегда нравился фильм "Sneakers", но так как RSA (пока) ничего не угрожает, то поговорим о факторизации и линейной алгебре.
Уже триста лет назад Ферма обратил внимание на то, что если представить составное число в виде разности квадратов, то его можно разложить на множители. n = a^2 - b^2 = (a + b) * (a - b). Например, 8051 = 8100 - 49 = 90^2 - 7^2 = (90 + 7) * (90 - 7) = 97 * 83. Поэтому числа p и q в модуле RSA не должны быть близко друг к другу. Для произведения двух простых 1024-битных чисел, разность которых 2^514, алгоритм Ферма находит множители за три шага. И это далеко не единственный способ закосячить RSA.
Затем, всего-то через пару сотен лет, Крайчик предложил новое условие u^2 ≡ v^2 (mod n), и u ≢ ±v (mod n). Дальше примеры из отличной статьи Померанца "A tale of thow sieves" http://www.ams.org/notices/199612/pomerance.pdf Для числа 2041 начинаем с √n и считаем q(x) = x^2 - n, если x = 46, 47, 48, ..., то q(x) = 75, 168, 263, ... Пока никакими квадратами и не пахнет.
Но если перемножить 46 * 47 * 49 * 51 и 75 * 168 * 360 * 560, то их квадраты (по модулю 2041) равны. 311^2 (mod 2041) = 1416^2 (mod 2041) = 794, и 311 != 1416, условие Крайчика соблюдено. Находим множитель, GCD(1416 - 311, 2041) = 13, и 2041 = 13 * 157. Осталось понять что на что умножать.
У квадрата любого числа показатели степеней простых множителей четные. (a * b * c ...)^2 = a^2 * b ^2 * c^2 ... 10 = 2^1 * 5^1. 10^2 = 2^1 * 2^1 * 5^1 * 5^1 = 2^2 * 5^2. Это сложный способ сказать, что десять в квадрате, то же, что и дважды два, дважды умноженное на пять. Слово "дважды" появляется перед каждым умножением.
Некоторые из чисел (x^2 - n) состоят только из небольших множителей. 75 = 3 * 5^2, 360 = 2^3 * 3^2 * 5, если число не содержит множителей больших, чем B, то такие числа называют B-гладкими. В числах 75, 168, 360 и 560 нет множителей больше 7, они гладкие. Погладьте их.
Можно записать степени в виде вектора 75 = 2^0 * 3^1 * 5^2 * 7^0. v(75) = (0, 1, 2, 0), v(168) = (3, 1, 0, 1). Так как нас интересует только четность, то степени можно записать по модулю 2: v(75) = (0, 1, 0, 0) mod 2; v(168) = (1, 1, 0, 1) mod 2, так как числа у нас B-гладкие, и операции по модулю два, то получившаяся хрень - векторное пространство размерности B над полем F_2.
(Я отчетливо слвшу, как некоторые из вас горестно вздыхают на словах "векторное пространство", но в том, чтобы записать единички и нолики через запятую, ничего сложного нет)
Для того, чтобы найти нужные числа, нужно подобрать вектора, которые в сумме (по модулю два) дают (0, 0, 0, 0). Если записать вектора (0,1,0,0),(1,1,0,1),(1,0,1,0),(0,0,1,1) один под другим и сложить столбцы, то получится нулевой вектор. В QS и GNFS, есть еще много тонкостей и хитростей, но речь не о них.
В этом месте Шнорр пришел к логичному выводу, что если что-то выглядит как вектор, то можно попробовать применить алгоритмы относящиееся к векторам. А именно CVP и SVP (поиск ближайшего и кратчайшего вектора в решетке), чтобы ускорить процесс поиска. А точнее приблизительных решений, потому что обе сучки в NP-hard (факторизация NP-intermediate). Потому их, кстати, и используют в пост-квантовой криптографии.
Умные дядьки, которые занимаются решетками порылись в статье Шнорра, и из неё отнюдь не очевидно, что таким способом вобще можно что-то найти. Так же там есть ошибка в оценке сложности, то есть даже, если таким способом можно что-то найти, то совсем не факт, что быстрее, чем уже существующие методы. Речь идёт о решетках ебанистических размерностей. https://github.com/lducas/SchnorrGate
Так что ваши p и q спрятанные в "зеленных замочках" сайтов, роботах-пылесосах и мобильниках могут спать спокойно.
Уже триста лет назад Ферма обратил внимание на то, что если представить составное число в виде разности квадратов, то его можно разложить на множители. n = a^2 - b^2 = (a + b) * (a - b). Например, 8051 = 8100 - 49 = 90^2 - 7^2 = (90 + 7) * (90 - 7) = 97 * 83. Поэтому числа p и q в модуле RSA не должны быть близко друг к другу. Для произведения двух простых 1024-битных чисел, разность которых 2^514, алгоритм Ферма находит множители за три шага. И это далеко не единственный способ закосячить RSA.
Затем, всего-то через пару сотен лет, Крайчик предложил новое условие u^2 ≡ v^2 (mod n), и u ≢ ±v (mod n). Дальше примеры из отличной статьи Померанца "A tale of thow sieves" http://www.ams.org/notices/199612/pomerance.pdf Для числа 2041 начинаем с √n и считаем q(x) = x^2 - n, если x = 46, 47, 48, ..., то q(x) = 75, 168, 263, ... Пока никакими квадратами и не пахнет.
Но если перемножить 46 * 47 * 49 * 51 и 75 * 168 * 360 * 560, то их квадраты (по модулю 2041) равны. 311^2 (mod 2041) = 1416^2 (mod 2041) = 794, и 311 != 1416, условие Крайчика соблюдено. Находим множитель, GCD(1416 - 311, 2041) = 13, и 2041 = 13 * 157. Осталось понять что на что умножать.
У квадрата любого числа показатели степеней простых множителей четные. (a * b * c ...)^2 = a^2 * b ^2 * c^2 ... 10 = 2^1 * 5^1. 10^2 = 2^1 * 2^1 * 5^1 * 5^1 = 2^2 * 5^2. Это сложный способ сказать, что десять в квадрате, то же, что и дважды два, дважды умноженное на пять. Слово "дважды" появляется перед каждым умножением.
Некоторые из чисел (x^2 - n) состоят только из небольших множителей. 75 = 3 * 5^2, 360 = 2^3 * 3^2 * 5, если число не содержит множителей больших, чем B, то такие числа называют B-гладкими. В числах 75, 168, 360 и 560 нет множителей больше 7, они гладкие. Погладьте их.
Можно записать степени в виде вектора 75 = 2^0 * 3^1 * 5^2 * 7^0. v(75) = (0, 1, 2, 0), v(168) = (3, 1, 0, 1). Так как нас интересует только четность, то степени можно записать по модулю 2: v(75) = (0, 1, 0, 0) mod 2; v(168) = (1, 1, 0, 1) mod 2, так как числа у нас B-гладкие, и операции по модулю два, то получившаяся хрень - векторное пространство размерности B над полем F_2.
(Я отчетливо слвшу, как некоторые из вас горестно вздыхают на словах "векторное пространство", но в том, чтобы записать единички и нолики через запятую, ничего сложного нет)
Для того, чтобы найти нужные числа, нужно подобрать вектора, которые в сумме (по модулю два) дают (0, 0, 0, 0). Если записать вектора (0,1,0,0),(1,1,0,1),(1,0,1,0),(0,0,1,1) один под другим и сложить столбцы, то получится нулевой вектор. В QS и GNFS, есть еще много тонкостей и хитростей, но речь не о них.
В этом месте Шнорр пришел к логичному выводу, что если что-то выглядит как вектор, то можно попробовать применить алгоритмы относящиееся к векторам. А именно CVP и SVP (поиск ближайшего и кратчайшего вектора в решетке), чтобы ускорить процесс поиска. А точнее приблизительных решений, потому что обе сучки в NP-hard (факторизация NP-intermediate). Потому их, кстати, и используют в пост-квантовой криптографии.
Умные дядьки, которые занимаются решетками порылись в статье Шнорра, и из неё отнюдь не очевидно, что таким способом вобще можно что-то найти. Так же там есть ошибка в оценке сложности, то есть даже, если таким способом можно что-то найти, то совсем не факт, что быстрее, чем уже существующие методы. Речь идёт о решетках ебанистических размерностей. https://github.com/lducas/SchnorrGate
Так что ваши p и q спрятанные в "зеленных замочках" сайтов, роботах-пылесосах и мобильниках могут спать спокойно.
Пока многие из вас ждут фильма Bellingcat об операции по вагнеровцам, я хочу рассказать о том, как данные об идентификации российских хакеров попадают из Служба безпеки прямиком к нашим врагам в Москву.
В конце января мне пришлов почту уведомление о том, что "В ваш аккаунт вошли с нового устройства". В начале я подумал, что это очередная попытка фишинга, но беглая проверка показала, что письмо подлинное. У почтового ящика, о котором идет речь, долгая и увлекательная история.
Четыре года назад, в декабре 2016 года, Ukrainian Cyber Alliance удалось найти двух российских хакеров, которые ни много, ни мало, взломали почтовый сервер Міністерство внутрішніх справ. Весь почтовый сервер министерства. Целиком и полностью. О чем мы предупредили Кіберполіція и СБ Украины. Атаку получилось остановить.
Ящик упоминали только в ходе координации с правоохранителями, в нем хранилась информация о тех самых российских хакерах. О его существовании больше не знал никто. И спустя четыре года, кто-то неожиданно пытается не только туда залезть, но и сменить пароль. Из Москвы!
Мы начали выяснять кому принадлежит IP-адрес? Может это VPN или прокси? Но, нет, там стоит офисный маршрутизатор. И тогда с помощью нехитрой социальной инженерии, мы убедили московскую полицию с "Петровки, 38", пробить нам адресочек.
"Петровка, 38" оказалась настолько любезна, что они съездили к провайдеру Релком, и выяснили, что адрес выдан "Федеральному Казенному Учреждению". Какому именно, пока не важно. Достаточно сказать, что подчиняется "учреждение" непосредственно Путину В. В. Подлинность всех писем проверяется подписями DKIM и Arc-Seal.
И остаётся только один вопрос: как данные о расследовании деятельности российских хакеров попадают в Москву?
В конце января мне пришлов почту уведомление о том, что "В ваш аккаунт вошли с нового устройства". В начале я подумал, что это очередная попытка фишинга, но беглая проверка показала, что письмо подлинное. У почтового ящика, о котором идет речь, долгая и увлекательная история.
Четыре года назад, в декабре 2016 года, Ukrainian Cyber Alliance удалось найти двух российских хакеров, которые ни много, ни мало, взломали почтовый сервер Міністерство внутрішніх справ. Весь почтовый сервер министерства. Целиком и полностью. О чем мы предупредили Кіберполіція и СБ Украины. Атаку получилось остановить.
Ящик упоминали только в ходе координации с правоохранителями, в нем хранилась информация о тех самых российских хакерах. О его существовании больше не знал никто. И спустя четыре года, кто-то неожиданно пытается не только туда залезть, но и сменить пароль. Из Москвы!
Мы начали выяснять кому принадлежит IP-адрес? Может это VPN или прокси? Но, нет, там стоит офисный маршрутизатор. И тогда с помощью нехитрой социальной инженерии, мы убедили московскую полицию с "Петровки, 38", пробить нам адресочек.
"Петровка, 38" оказалась настолько любезна, что они съездили к провайдеру Релком, и выяснили, что адрес выдан "Федеральному Казенному Учреждению". Какому именно, пока не важно. Достаточно сказать, что подчиняется "учреждение" непосредственно Путину В. В. Подлинность всех писем проверяется подписями DKIM и Arc-Seal.
И остаётся только один вопрос: как данные о расследовании деятельности российских хакеров попадают в Москву?
👍1
Мой цитатник пополнился очередной жемчужиной цифровой мысли: "После того как мы создали Министерство цифровой трансформации, ни одной утечки из реестров не было" (при том, что совсем обнаглевших чиновников, которые лазят по реестрам, как крысы по амбару, ловят чуть ли не раз в неделю). Еще из любопытного - постановление 94 КМУ от 8 февраля, которое утверждает очередной центр (ясное дело - "единый", не смотря на то что их два, и - "национальный") для резервных копий государственных ресурсов (если бы ресурсы были "национальными", то центр стал бы "государственным" и "единым" конечно же. Есть своеобразная эстетика безобразного во всех этих поименованиях). Госпецсвязь будет принудительно бэкапить по списку, в том числе и те самые реестры. Отбиться удалось только министерству обороны. Мало того, что будет не слабый распил на железе, но и Михаил Альбертович с Арсеном Борисовичем наконец-то наложат лапу на сами данные. То есть вместо того, чтобы наконец-то начать записывать, кто и зачем (need-to-know) туда лазил, городушку растащат еще на несколько учреждений, размывая ответственность до нуля, так что даже НАЗК батхертнул. Очередная единая точка отката и отказа. В начале отката, потом отказа. Даже удивительно, что приходится снова об этом писать #необучаемость
А наша эпопея с "Гретой" продолжается. С октября 2019 года десятки лучших людей отечества - опера, следователи, судьи, их помощники и секретари, спецназ с автоматами, сбушники с прослушкой и мощной аналитикой, прокуроры с полицаями работали без устали. Уничтожали вещественные доказательства, лжесвидетельствовали, разглашали тайну следствия, давили на суд и докатились уже до откровенного предательства, когда часть материалов всплыла в Москве. Та несусветная чушь, которую они говорят ртом настолько тяжелое преступление против здравого смысла, что должно проходить по статье "геноцид". И все для чего? Чтобы "приструнить" парочку нахальных активистов, имеющих наглость на величайших лидеров поплевывать и над цифровизациями насмехаться. Только что-то пошло не так. Полтора года прошло, а дело - и ни туда, и ни сюда. Одним словом, завтра судья Крыжановский из малиновского суда Одессы будет рассматривать очередную жалобу на бездействие правопохоронной системы. По странному и довольно редкому стечению обстоятельств, дело снова попало к нему. Шансы один к шестиста примерно. Я бы доверился теории вероятностей - и самые редкие события имеют не нулевые шансы, но к судебной системе гораздо больше вопросов. В начале я хотел тут повдохновляться величью и нарисовать всяких неонацистских акабов поверх государственных символов на судебных решениях, но вместо этого я хотел бы обратиться к судье Крыжановскому. Ваша честь, вы не задумывались о том, что право выносить решения "именем Украины" (и связанные с этим правом привилегии) может оказаться не навсегда? Спасибо, и надеюсь, что этот абсурд наконец-то прекратится.
О судах. Сегодня должно было пройти судебное заседание "по Грете", все-таки полтора года прошло. И прокурор, курва, сбежал! Прямо из суда. Их там пять человек (Чебанов, Гисматулина, Дыннык, Сулима, Ковальский). Пришел прокурор за десять минут до начала, почитал документы, представил (я надеюсь, в красках) общение с Vadim Kolokolnikov и у него тут же нашлись другие, более срочные дела. Такое вот хромоногое правосудие. Перенесли на девятое апреля. Ребята, если вы думаете, что оно само как-нибудь рассосется, то так не будет. https://www.facebook.com/vadim.kolokolnikov/posts/10222273454080074
Facebook
Log in to Facebook
Log in to Facebook to start sharing and connecting with your friends, family and people you know.
Victor Fox показал прекрасное. Все вы наверное слышали, что для того, чтобы убедить всех вакцинироваться (хотя уже и без того огромная очередь) Міністерство охорони здоров'я України предложило лидерам общественного мнения вакцинироваться без очереди. Запилили анкеты на Гугле, начали искать человеков. Потом пришло Мінветеранів и тоже решило ссылки на анкеты выложить. Казалось бы, что может пойти не так? Видимо, они попросили области скинуть ссылки на опросники. Половина областей скинула ссылки на анкету, половина на результаты. Минвет кинул все в открытый доступ. ФИО, телефон, адрес, почта, краткая биография. Часть табличек доступна до сих пор, часть навсегда осела в интернет-архиве, часть закрыли сами пользователи, потому что доступ на редактирование был открыт всем. Этому государству нельзя доверять ни в чем.
Сегодня, 25 марта, Служба Бакланов Украины отмечает свой профессиональный праздник. И у меня возник вопрос о военных тайнах (и немного о государственных). Вот вы видели документы ФСБ, так чтобы всё по форме, "Лубянская площадь, 2", вот это вот всё? Или ФСО, например, ФСТЭК, не, не встречали? А я уже даже немного устал уворовывать обратно у российских хакеров документы, которые они тащат прямо со стола у Баканова. В СБУ есть специальный департамент "контррозвідувального захисту інтересів держави у сфері інформаційної безпеки", который должен по идее не бизнес кошмарить, и не за активистами гоняться (об этом мы еще поговорим), а следить за тем, чтобы хотя бы их родную контору не дрючили. ДКІБ, ау, может вам Кіберполіція вызвать, чтобы они у вас пошуршали и выяснили, как именно вас российское хакерье нагибает?
Вы знаете, я должен вам признаться, что я перестал бояться и полюбил Грету Тунберг. У нас целый фан-клуб Греты из отборных безопасников и адвокатов. И мы будем бороться за локальное потепление в ДКИБ СБУ (если у чекистов сгорит пару стульев, то в остальном мире немного похолодает). На скриншоте прелюбопытный и довольно редкий документ. На жаргоне называется "тешка" (что-то вроде краткой аналитической записки). Из неё становится понятно, что срать хотел ДКИБ на то табло, а целились "рыцари" плаща и кинжала на то, чтобы "обилетить" одесский аэропорт. Стоит еще отметить, что взлом тысячелетия произошел с локального компьютера. И то, как чекисты крали данные с того самого компьютера. Позвольте, уж не они ли сами там Грету намалевали, чтобы был повод зайти на поговорить?..
Нашел замечательное. Как "доказать" гипотезу Коллатца с помощью компилятора 🙂
P.S. На самом деле нет.
Компилятор видит хвостовую рекурсию, то есть бесконечный цикл, который по стандарту дает неопределенное поведение (UB), и единственный выход из цикла - единичка. Для байтоебов, вроде меня, тут скрыты многие печали.
P.S. На самом деле нет.
Компилятор видит хвостовую рекурсию, то есть бесконечный цикл, который по стандарту дает неопределенное поведение (UB), и единственный выход из цикла - единичка. Для байтоебов, вроде меня, тут скрыты многие печали.
Я вижу в ленте нешуточную ажитацию по поводу того, что Украина стала "первой страной в мире с электронными паспортами". Я так полагаю, по устойчивости государственных институтов, доходам и хайтеку мы уже обогнали Европу, а Штаты просто молча плачут, кусают локти и завидуют невиданному прогрессу в наших Нью-Васюках.
Я напомню, что такое паспорт. Это, сюрприз, защищенный документ, сделанный так, чтобы его тяжело было скопировать или использовать кому-то еще (и эти свойства разительно отличаются от мобильных телефонов).
Существует от сам по себе без хитро приныканных на местах "форм 1" (те формы - децентрализованный реестр, сделанный так, чтобы максимально усложнить к нему доступ со стороны чиновников и других бандитов, в первую очередь. И это совсем не случайно). Усложнить, не упростить. Нужна "форма 1", не для того, чтобы на нее QR-коды кидать.
Модель с реестром - это китайский вариант. В ней достаточно просто записать номер паспорта на салфетке или улыбнуться в камеру большому брату. ID-карты, при всем несовершенстве технологии, усиливают и продолжают бумажный тренд. А вот токен, он вполне себе изымается из дырявого телефона.
Теперь, чтобы жизнь медом не казалась, минцифры вместо того, чтобы выдать е-документ: "Такой-то получил данные паспорта такого-то тогда-то. С уважением ваша Дия, подпись", собирается ввести пермалинки вместо эфемерных QR-кодов, что без сомнения очень ускорит и облегчит мошенничество.
И так уже тысячи людей твикают злодию, что рано или поздно закончится supply-chain атакой, а то что запланировано - полный пиздец. Идентификация не в карте, не в мобилке, не в книжечке и не в цифровой подписи. Идентификация происходит, когда у вас есть "артефакт", который тяжело скопировать и вы сами (скопировать еще сложнее).
Я не знаю, насколько нужно быть умственно отсталым хипстером-жижетализатором, чтобы не понимать элементарных вещей. Если вы хотите, чтобы Украина заняла первое место в мире по identity theft, тогда радуйтесь конечно, кто же вам запретит.
Я напомню, что такое паспорт. Это, сюрприз, защищенный документ, сделанный так, чтобы его тяжело было скопировать или использовать кому-то еще (и эти свойства разительно отличаются от мобильных телефонов).
Существует от сам по себе без хитро приныканных на местах "форм 1" (те формы - децентрализованный реестр, сделанный так, чтобы максимально усложнить к нему доступ со стороны чиновников и других бандитов, в первую очередь. И это совсем не случайно). Усложнить, не упростить. Нужна "форма 1", не для того, чтобы на нее QR-коды кидать.
Модель с реестром - это китайский вариант. В ней достаточно просто записать номер паспорта на салфетке или улыбнуться в камеру большому брату. ID-карты, при всем несовершенстве технологии, усиливают и продолжают бумажный тренд. А вот токен, он вполне себе изымается из дырявого телефона.
Теперь, чтобы жизнь медом не казалась, минцифры вместо того, чтобы выдать е-документ: "Такой-то получил данные паспорта такого-то тогда-то. С уважением ваша Дия, подпись", собирается ввести пермалинки вместо эфемерных QR-кодов, что без сомнения очень ускорит и облегчит мошенничество.
И так уже тысячи людей твикают злодию, что рано или поздно закончится supply-chain атакой, а то что запланировано - полный пиздец. Идентификация не в карте, не в мобилке, не в книжечке и не в цифровой подписи. Идентификация происходит, когда у вас есть "артефакт", который тяжело скопировать и вы сами (скопировать еще сложнее).
Я не знаю, насколько нужно быть умственно отсталым хипстером-жижетализатором, чтобы не понимать элементарных вещей. Если вы хотите, чтобы Украина заняла первое место в мире по identity theft, тогда радуйтесь конечно, кто же вам запретит.
С удовольствием перечитываю зубастое интервью Sonya Koshkina с Юрій Щиголь (ДССЗЗІ) https://bit.ly/39uEVbo , там много смешного и поучительного. На удивление, местами появляются даже вполне здравые мысли, хотя говорить что-то и делать что-то - совсем не одно и тоже. Очень насмешила "оценка рисков". Зловредная Федерация стыдливо прикрыта эвфемизмом "некоторые страны", а угрозы существуют "репутационные" и связанные с персональными данными.
Так как война с Россией не прекращается, то основная угроза - она и есть, и самая желанная добыча - спец. службы (не исключая и госспецсвязь), армия, центральные органы власти. И если наш недо-DHS их не видит, то это скорее говорит о состоянии безопасности в нашей стране, а не о том, что уязвим бизнес или энергосектор. Вторая угроза - внутренняя, это вороватые чиновники, которые тащат данные из реестров и мошенничают с их наполнением.
И тут у Щиголя интересный поворот мысли. Чтобы данные не воровали, нужно мол, построить еще один (единный, национальный, государственный) резервный шмибер-центр и свалить все реестры туда. Прекрасная точка отката (а затем отказа). Собственно, если кто-то не в курсе, то Минцифра - государство в государстве, и так как новое министерство институционально несостоятельно, то Федорову понадобилась более основательная площадка для тотальной цифровизации. Для того там Щиголь и поставлен. За лояльность.
По поводу наевыборов - просто бред. Общемировой консенсус на этот счет, цитирую: "ха-ха-ха, сожгите нахер" (lol, burn it with fire). И это связано не с кибербезопасностью, а с конфликтом между оффлайновыми и онлайновыми принципами. Но как считает Щиголь, вроде бы и нельзя (бля, он что-то начал подозревать!), но нужно стараться и идти в соответствующем направлении. Нельзя, но надо. А то Михаил Альбертович наругает. А на помощь придет самая передовая украинская наука!
Вся эта гордость жалкими остатками советских еще ништяков, оно вобщем-то и не плохо. Я на самом деле рад, что в Украине есть люди, которые не только понимают как устроены внутри AES, Grøstl, Snow 2 и NTRU, но и могут их немного поправить, чтобы получились Калина, Купина и Струмок (для NTRU еще патриотический лейбл не придуман). Есть одно но. Если (вдруг) найдется уязвимость в оригинальных шифрах, то и "отечественные" будут уязвимы тоже.
Они не дают дополнительной безопасности, но загоняют нас в заповедник национальных стандартов (как это было с Южной Кореей, Японией, Канадой и Германией. Корея и Германия облажались сильнее всех). И в этом "заповеднике" самый хищный зверь, не профессора математики, а державные спиздприемства и дружественные лавки гос. спец. связи. Такой вот коррупционный "щит родины".
В один пост все не вместится, так что напоследок небольшой каминг-аут. Мы (UCA) конечно не Huawei и не Cisco, но у Ukrainian Cyber Alliance есть меморандум о научно-техническом сотрудничестве с гос. спец. связью, о чем господин Щиголь, по идее, должен был бы знать. Учитывая, что очень важное ведомство забывает о мимораундах сразу после их подписания, то скорее всего продлевать его мы не будем... (возможно у этого поста будет продолжение, уж очень там нажористо, например Щиголь не знает, что USAID не "международная компания", а государственное агентство)
P.S. Kostiantyn Korsun тоже не выдержал https://bit.ly/3fuqyrG , полагаю, что это интервью Щиголя войдет в золотой фонд цитат, на равне с "мы всех выгнали и все работает" и мы к нему не раз еще вернемся, спасибо Лівий Берег - LB.UA).
Так как война с Россией не прекращается, то основная угроза - она и есть, и самая желанная добыча - спец. службы (не исключая и госспецсвязь), армия, центральные органы власти. И если наш недо-DHS их не видит, то это скорее говорит о состоянии безопасности в нашей стране, а не о том, что уязвим бизнес или энергосектор. Вторая угроза - внутренняя, это вороватые чиновники, которые тащат данные из реестров и мошенничают с их наполнением.
И тут у Щиголя интересный поворот мысли. Чтобы данные не воровали, нужно мол, построить еще один (единный, национальный, государственный) резервный шмибер-центр и свалить все реестры туда. Прекрасная точка отката (а затем отказа). Собственно, если кто-то не в курсе, то Минцифра - государство в государстве, и так как новое министерство институционально несостоятельно, то Федорову понадобилась более основательная площадка для тотальной цифровизации. Для того там Щиголь и поставлен. За лояльность.
По поводу наевыборов - просто бред. Общемировой консенсус на этот счет, цитирую: "ха-ха-ха, сожгите нахер" (lol, burn it with fire). И это связано не с кибербезопасностью, а с конфликтом между оффлайновыми и онлайновыми принципами. Но как считает Щиголь, вроде бы и нельзя (бля, он что-то начал подозревать!), но нужно стараться и идти в соответствующем направлении. Нельзя, но надо. А то Михаил Альбертович наругает. А на помощь придет самая передовая украинская наука!
Вся эта гордость жалкими остатками советских еще ништяков, оно вобщем-то и не плохо. Я на самом деле рад, что в Украине есть люди, которые не только понимают как устроены внутри AES, Grøstl, Snow 2 и NTRU, но и могут их немного поправить, чтобы получились Калина, Купина и Струмок (для NTRU еще патриотический лейбл не придуман). Есть одно но. Если (вдруг) найдется уязвимость в оригинальных шифрах, то и "отечественные" будут уязвимы тоже.
Они не дают дополнительной безопасности, но загоняют нас в заповедник национальных стандартов (как это было с Южной Кореей, Японией, Канадой и Германией. Корея и Германия облажались сильнее всех). И в этом "заповеднике" самый хищный зверь, не профессора математики, а державные спиздприемства и дружественные лавки гос. спец. связи. Такой вот коррупционный "щит родины".
В один пост все не вместится, так что напоследок небольшой каминг-аут. Мы (UCA) конечно не Huawei и не Cisco, но у Ukrainian Cyber Alliance есть меморандум о научно-техническом сотрудничестве с гос. спец. связью, о чем господин Щиголь, по идее, должен был бы знать. Учитывая, что очень важное ведомство забывает о мимораундах сразу после их подписания, то скорее всего продлевать его мы не будем... (возможно у этого поста будет продолжение, уж очень там нажористо, например Щиголь не знает, что USAID не "международная компания", а государственное агентство)
P.S. Kostiantyn Korsun тоже не выдержал https://bit.ly/3fuqyrG , полагаю, что это интервью Щиголя войдет в золотой фонд цитат, на равне с "мы всех выгнали и все работает" и мы к нему не раз еще вернемся, спасибо Лівий Берег - LB.UA).
Дія послана нам за грехи. Особенно я смеялся над тем, что после того, как добрые люди с Ebanoe.it уведомили Міністерство цифрової трансформації України о том, что у них критическая дыра, спустя двое суток, с адреса security@ им ответили, что нужно по этим вопросам обращаться к чат-боту. Беспощадная цифровизация. Немилосердная.
Больше тут https://ebanoe.it/2021/04/04/diia-city-fail/
Больше тут https://ebanoe.it/2021/04/04/diia-city-fail/
Если вас пытаются взломать... (краткий курс выживания для политических активистов в условиях авторитаризма на минималках).
Просмотрите все приложения, у которых есть доступ к SMS, удалите ненужные. Поставьте пароль на телефон. Обновите систему. Если она не обновляются автоматически, то сделайте это прямо сейчас. Потом, проверьте, какие устройства залогинены в данный момент:
📱Facebook
Settings & Privacy ➡️ Settings ➡️ Security & Login ➡️ Where You're Logged In
📱Google
Manage your Google Account ➡️ Security ➡️ Your Devices
📱Telegram
Settings ➡️ Devices
📱Twitter
More ➡️ Settings & Privacy ➡️ Security and account access ➡️ Apps and sessions ➡️ Sessions
Удалите все неизвестные вам устройства (Фейсбук иногда путается в геолокации и может указать не тот город, но береженого - бог бережет)
После чистки левых устройств, заходим сюда https://haveibeenpwned.com/ и проверяем не текли ли пароли, связанные с вашими аккаунтами (кто-то мог выудить ваш пароль в интернет-магазине, где вы делали покупки, говномагазин проще взломать, чем Google).
Выбираем надежный пароль (12+ символов, цифры, буквы, знаки), пароли для разных сервисов должны быть разными, если у вас нет своей системы для запоминания паролей и вы их не можете запомнить, то сохраните их в менеджере паролей.
Сохраните холдеры от сим-карт с IMSI, стикеры с IMEI от телефона и коды восстановления от сервисов в мусоронедоступном месте. Не дома и не в акккаунте с двойной аутентификацией (от которого вы можете потерять доступ).
Обязательно включите двойную аутентификацию 🔑🗝 и проверьте, что все работает правильно (из приватной вкладки). Включается в тех же настройках безопасности, где вы проверяли список устройств.
Если вас пытались взломать и вы знаете IP-адрес и точное время, то напишите жалобу провайдеру. Заходим сюда https://apps.db.ripe.net/db-web-ui/query вводим IP, открываем admin-c, abuse-c и жалуемся.
И не жмите на что попало https://github.com/sapran/dontclickshit (почитайте на досуге, там много всего полезного для бытовой безопасности); еще есть курс лекций "Кіберзахист від держави" https://www.youtube.com/channel/UCSdJpku-cKaj3jO_mVR7_zA/videos
Мы лёд под ногами майора!
Просмотрите все приложения, у которых есть доступ к SMS, удалите ненужные. Поставьте пароль на телефон. Обновите систему. Если она не обновляются автоматически, то сделайте это прямо сейчас. Потом, проверьте, какие устройства залогинены в данный момент:
Settings & Privacy ➡️ Settings ➡️ Security & Login ➡️ Where You're Logged In
Manage your Google Account ➡️ Security ➡️ Your Devices
📱Telegram
Settings ➡️ Devices
More ➡️ Settings & Privacy ➡️ Security and account access ➡️ Apps and sessions ➡️ Sessions
Удалите все неизвестные вам устройства (Фейсбук иногда путается в геолокации и может указать не тот город, но береженого - бог бережет)
После чистки левых устройств, заходим сюда https://haveibeenpwned.com/ и проверяем не текли ли пароли, связанные с вашими аккаунтами (кто-то мог выудить ваш пароль в интернет-магазине, где вы делали покупки, говномагазин проще взломать, чем Google).
Выбираем надежный пароль (12+ символов, цифры, буквы, знаки), пароли для разных сервисов должны быть разными, если у вас нет своей системы для запоминания паролей и вы их не можете запомнить, то сохраните их в менеджере паролей.
Сохраните холдеры от сим-карт с IMSI, стикеры с IMEI от телефона и коды восстановления от сервисов в мусоронедоступном месте. Не дома и не в акккаунте с двойной аутентификацией (от которого вы можете потерять доступ).
Обязательно включите двойную аутентификацию 🔑🗝 и проверьте, что все работает правильно (из приватной вкладки). Включается в тех же настройках безопасности, где вы проверяли список устройств.
Если вас пытались взломать и вы знаете IP-адрес и точное время, то напишите жалобу провайдеру. Заходим сюда https://apps.db.ripe.net/db-web-ui/query вводим IP, открываем admin-c, abuse-c и жалуемся.
И не жмите на что попало https://github.com/sapran/dontclickshit (почитайте на досуге, там много всего полезного для бытовой безопасности); еще есть курс лекций "Кіберзахист від держави" https://www.youtube.com/channel/UCSdJpku-cKaj3jO_mVR7_zA/videos
Мы лёд под ногами майора!
Есть у нашей правопохоронной системы одна замечательная особенность. Если им что-то нужно, то они по тревоге поднимут спецназ с пулеметами, проедут тысячу километров, чтобы насрать вам на коврик под дверью, и еще Авакова будут перед собой на броневичке катить при огневой поддержке с воздуха. А когда адвокат в очередной раз показывает, что следователи ссут в глаза (под процессуальным руководством прокуратуры) https://www.facebook.com/vadim.kolokolnikov/posts/10222374726491821 , то морозиться для них - норма, порядочек. Одним словом, судья обязал прокурора привести следователя на следующие заседание. Так себе и представляю картину маслом: прокурор - следователю, собирайся, давай, в суд пора. А следователь плачет, кутается в одеяло и канючит, ну, можно, я не пойду, там адвокаты злые, дело резонансное, еще пять минуточек, позязя и начинает хлюпать мохнорогим своим еблищем. Кіберполіція, Національна поліція України, Служба безпеки України, ау, дармоеды! За полгода пора бы уже показывать результаты расследования.
Нашел у Юричева занятную подколку от дядюшки Кнута https://yurichev.com/news/20200731_visual_RE_challenge/ пока получилось укоротить с 39 до 29 байт, но число некрасивое. Мне кажется, что хотя бы байтик можно срезать. Есть идеи?
b0 13 cd 10 68 00 a0 07 b9 40 01 c1 e8 0c d4 02 (вот тут кто-то в доку полезет) 99 aa 89 f8 f7 f1 0f af c0 (и тут тоже) f7 e2 eb ee
b0 13 cd 10 68 00 a0 07 b9 40 01 c1 e8 0c d4 02 (вот тут кто-то в доку полезет) 99 aa 89 f8 f7 f1 0f af c0 (и тут тоже) f7 e2 eb ee