Смотрю на пресс-релиз Державна служба спеціального зв'язку https://archive.is/lOPG2, по поводу вчерашнего падения гос. сайтов и ничего не могу понять. В начале они пишут о том, что произошел сбой у провайдеров (на самом деле он один), к которым они подключены, а в конце, о том что произошла атака, точнее сразу две атаки. Хорошо, что не миллион атак. При этом шизофреническая картинка не только не добавляет ясности, но запутывает еще сильнее.

Полтора миллиона eDNS0-запросов в течении часа - это, если мне не врет калькулятор, приблизительно шесть гигабайт траффика (три-четыре фильма) или 10 мегабит/сек, что вполне по силам даже пользователю воли-в-рот-бенг. Если авария/атака (в этом вопросе по-прежнему нет ясности) происходила в шесть часов вечера, то чудо враждебной техники, которое рисовало эту картинку стоит где-то в Бразилии.

В порядке компьютерного ликбеза (чтобы отмазки в будущем выглядели более убедительно) расскажу, что такое DNS-amplification. Предположим, что мы хотим зайти на китайскую камеру Hikvision с адресом do.forest[.]gov.ua, компьютер обращается к DNS-серверу с вопросом: какой у этого сервера IP-адрес? И тот отвечает: камера, выписанная в Украину из концлагеря для уйгуров, стоит в защищенном узле правительственной связи на Паторжинского, IP 193.109.8[.]226...

Запрос может быть маленьким, а ответ большим. Возникает "плечо". Атакующий тратит куда меньше трафика, чем жертва. И если заменить адрес отправителя в запросе, на адрес жертвы, то DNS-сервер ответит не ему, а жертве. Называется спуфинг, и обычно, не благославляется маршрутизаторами. Если бы госспецсвязь была жертвой, то в колонке "Initiator IP" были бы не их собственные сервера и какие-то индийские вротбенги, а большой список DNS-серверов. А отражать траффик от госспецсвязи в госспецсвязь, было бы странно.

Так что никакая это не атака, а обычный глюк. Резерва у них нет, маршрут до госспецсвязи один единственный. И когда что-то у них сломалось, куры в погонах заметались по своему горящему сараю и просто не знали, что делать. А потом начали врать. Как до этого они врали про Джо Байдена и "дорогостоящие хакерские атаки" на Приватбанк. А ведь можно было поступить гораздо проще. Взять и написать в фейсбуке: у нас произоошла авария, но мы сейчас все починим.

Многие программисты считают, что "математика не нужна", инстинктивно избегая любых ситуаций, хоть немного выходящих за рамки арифметики и здравого смысла. По мере роста зарплаты, ощущение опасности притупляется, и они забредают в волшебный лес криптографии и статистики, обильно унавоженный останками тех, кто имел неосторожность разделять подобные заблуждения.

В этот раз прилетело Лаборатории Касперского. Жан-Батист Бедрун порылся в Kaspersky Password Manager (очень смешной тред у Метью Грина, там же ссылка на оригинальную статью https://twitter.com/matthew_d_green/status/1412453398184595458)

ЛК взяли в качестве генератора случайных чисел "вихрь Мерсенна", во-первых, круто звучит, во-вторых, фантастический период 2^19937 - 1, что не может не внушать оптимизм, не смотря на то, что всех крипто-майнеров нашей планеты не хватит на то, чтобы даже близко подобраться хотя бы к 128 битам безопасности.

Сама генерация паролей без надобности усложнена, вероятности отдельных символов перекошены в порядке обратном отнюдь не случайному их распределению в языке. Что, естественно, портит генератор еще сильнее. Но пока еще терпимо. В конце концов, "Мерсенн" не так уж и плох (если не пытаться моделировать им некоторые задачи из линейной алгебры https://arxiv.org/pdf/1910.06437.pdf). И?..

И начальное значение они взяли откуда? time(). time, мать его, NULL! Если пароль сгенерировали в течении года, то есть всего тридцать миллионов вариантов, и они будут подобраны за считанные минуты. Или секунды.

И конечно же, вместо того, чтобы позвать кого-нибудь, кто хоть немного в теме, ИБ-компания с выручкой в семьсот миллионов долларов в год делает что? Наняли специалиста? Пошли почитать википедию? Нит. Собрали комментарии из Твиттера и отправили их команде разработчиков! Как руководство к действию. Любители стековерфлоу нервно курят в стороне. Потому что что? Потому что "математика не нужна".

Интернет - канарейка свободы, и в этом отношении Зеленский мало отличается от предыдущих двух президентов. Режим медленно, но верно скатывается к авторитаризму. Сегодня в СНБО приняли решение о создании "реестра запрещенных сайтов" https://bit.ly/3qVCHcM Как только возникнет хотя бы намек на то, что под зеленой плесенью шатается табурет, чекистская сволочь тут же начнет резать коммуникации. Какой России вам тут еще не хватает? Какое вам еще нужно "16 января"? #цензура

Я конечно видел очень много фантастических отмазок со стороны государства, если по какой-то причине не получается перейти к стратегии "Снежинка" - устаревшая информация, неважная информация, ничего не произошло, произошло, но не с нами, заглушите ядерный реактор - потом поговорим, но Министерство обороны умеет удивлять. Рекомендую прочитать их пресс-релиз о взломе сайта ВМСУ, поэтично озаглавленный "казус Дефендера" https://bit.ly/3ANtSGl

Любого человека, способного без душевной боли произнести фразу "мали місце випадки хакерських атак структур держави-агресора" нужно отправить на принудительный тест Тьюринга. Мне кажется, что у нас в министерстве прячутся человекоподобные роботы, которые не только не понимают зачем Дефендер проходил мимо Фиолента, но и как устроена международная политика и почему в Британии неожиданно находятся военные документы в сырой (sic!) куче мусора .

Путем нехитрого гуглежа можно найти патрульный катер P-25 "Диоскурия" и убедиться в том, что капитан судна действительно Бадри Шенгелия. Так что информация как минимум отчасти верна. И так как намеков наши балбесы не понимают, то российские "хакеры" уже прямо и открыто говорят: Эй, НАТО, зачем тебе Украина, она же обблеванная вся? Ей нельзя доверять секреты. Неувядающая классика времен холодной войны (а не "информационно-психологическая операция")

И россияне в чем-то правы, потому что деградация зашла уже настолько далеко, что бабуины уже просто не понимают, смысла сигналов и кому они адресованы. Я так полагаю, что потом еще попытаются похвастаться "опытом отражения кибератак". Чтобы уже до всех и каждого дошло, что в Украине невменяемое руководство

Я хотел бы обратиться к Совету Национальной Безопасности и Обороны. Возьмите, пожалуйста, те планы по цензуре и блокировкам, которые вам нарисовали тупые мрази из СБУ и Госспецсвязи и засуньте их себе в жопу. Спасибо.

Сразу скажу, что я не разбираюсь в здравоохранении, и никаких деклараций с врачами у меня нет. Сегодня получил первую порцию вакцины и меня резко заинтересовали вопросы чипизации. И я говорю не про теории заговора, а про те чипы, которые живут у каждого из нас в кармане. В телефоне.

От злоДія мне посчастливилось благополучно отпетлять. Потому что сразу нахуй, вот почему. Информированное согласие на бумаге порадовало меня безмерно: след, резерв и все такое. А дальше открылся портал в удивительный мир жижитализации в лице Helsi и EZdorovya.

И что-то эта нежная дружба частной лавки, состоящей из "команди програмістів, операторів контакт-центру, аналітиків, спеціалістів з впровадження та консультантів" с ограниченной ответственностью (от которой отказаться нельзя, и привиться без помощи державы тоже нельзя) и грантовой (sic!) ДП (sic!) начинает меня беспокоить.

Возникают теже вопросы, что и к Міністерство цирковой трансформации. После того, как батхертить стали даже ко всему привыкшие международные партнеры, пан Федоров выписал для eHealth своим ручным щиголем аттестат КСЗІ. Я хочу его увидеть и "экспертный вывод", который является его "неотъемлемой частью" тоже. И другую документацию хочу. Начиная с независимого аудита.

Есть еще вопросы. А не может ли "Biden Joe" просто взять и скачать все EMR? И слышали ли разработчики про PHR? И что по этому поводу думает АМКУ? Много вопросов. Это все конечно чуть получше, чем безумные пляски цифровых ебанариев из МЦТ, но только потому, что данные гуляют в НСЗУ и (пока?) не выходят за её пределы.

Потом еще хочу попробовать пройти квест "отзови разрешение на обработку ПД у eHealth". Что-то мне подсказывает, что нас еще ждет немало сюрпризов...

"Там [в ФБ] є певна кількість людей, які займаються певною політичною справою, політичним брудом відносно до нашої країни, до людей, які сьогодні керують країною. Їх там, на превеликий жаль, я можу сказати багато. Але в порівнянні з тою кількістю наших громадян, які користуються, не така велика кількість Як з ними боротися… Ми зараз розглядаємо певні процеси, як боротися саме з цими людьми"

Не раскачивайте лодку, а то зеленую крысу тошнит. Бороться с критиками власти они собрались. С "не такой уж большой частью" населения страны. Прав Стесин, прав, бритва Хенлона у нас уже не работает, нужна бензопила Хенлона. Бульдозер Хенлона даже, чтобы прокладывать свежий асфальт над головами охранителей #ебанариум #хроникидна

Немного о врагах снаружи и идиотах внутри https://www.thetimes.co.uk/article/kremlin-is-using-war-in-ukraine-to-hone-cyberattacks-j5dspbxwh

Pegasus/NSO targets

Читаю сейчас отчеты и статьи о том, как израильская частная компания NSO Group продавала шпионский софт по всему миру, заряженный zero day эксплоитами. Не без злорадства читаю, так как целью частенько становились журналисты, то сейчас пресса объединилась, чтобы съесть NSO заживо.

Пришло в голову несколько мыслей на этот счет. Не смотря на обилие целей, ни разу контрразведка не защитила своих граждан и политиков от иностранных разведок. Amnesty International и пресса защищают гораздо лучше, чем спуки со своими многомиллиардными бюджетами https://www.amnesty.org/en/latest/news/2021/07/the-pegasus-project/

Любые попытки отрегулировать рынок эксплоитов, приведут к тому, что рынок полностью уйдет в тень, и чтобы сохранить opsec, и чтобы гебня с тремя класами шпионского ПТУ не заливала зерошечки на VirusTotal и KSN, мы в ближайшем времени увидим полный спектр false flag кампаний и частных же операторов, чтобы авторитарное мудачье смогло по-прежнему все отрицать. Как и в случае с рансомварью любые "скоординированные усилия" влияют исключительно на цены.

Отдельный лулз - описания всего этого добра, меня и раньше передергивало от слов "кибероружие" и шпионское ПО "военного образца" (military grade). Опять! Что значит "военного образца"? Работает от -50° до +70° и его не может сломать призывник со средним образованием? Весит 50 кило и устаналивается на БТР? Две ручки для переноски? Покрашено в зеленый цвет? Больше вариантов здесь https://twitter.com/KimZetter/status/1416834860233023494

А вобще, если нужно поговорить, достаньте мобильное дилдо из кармана и сходите погуляйте. Способ проверенный тысячелетиями

(количество идентифицированных целей Pegasus, The Guardian)

Я давеча имел неосторожность послушать зама из госспецсвязи Потия. Про "подпись Байдена". До этого ДССЗЗІ рассказывали сказки про "дорогостоящие хакерские атаки", теперь Потий говорит о том, что некий пользователь "плохо хранил свои ключевые данные" и, что была "уязвимость", которая уже закрыта. Выскуб из МЦТ, как сельский дурачок бегает по комментариям и рассказывает, что на сайте петиций е-подписью ничего не подписывается (что даже отчасти верно). Давайте немного демистифицируем технологию.

Не будем отвлекаться на то, как должен работать PKI здорового человека, а сразу углубимся в отечественные цифровые джунгли. Я взял файл pb_РНОКПП.jks, это что-то вроде архива с паролем. В нем лежит закрытая часть ключа, сертификаты открытых ключей Приватбанка и сертификат моего открытого ключа (скриншот). Независимо от того плохо или хорошо я его храню, изменить CN (а там ФИО) нельзя. Все поля подписаны, это и делает подпись "моей". То есть Приватбанк свидетельствует о том, что открытый ключ принадлежит "мне" (на самом деле моему аккаунту в П24).

Когда вы "идентифицируетесь" с помощью подписи клиент посылает OCSP-запрос (в данном случае к Приватбанку) через сайт Минцифры и "Biden Joe" такую проверку прошел. Нельзя взять чей-то сертификат и поменять там имя, а вот взять "мастер-ключ" Приватбанка и выпустить левую подпись можно. Потом с помощью неё можно получить паспорт в Дие. Выписать мед. справку (сами знаете от чего). Взять кредит. Оформить сделку от имени нотариуса. Перевести деньги со счета. Подать левую отчетность, за которой придет проверка.

И цирковые трансформаторы, по-прежнему, не знают, как все это произошло. Когда Джо Байден переехал в Украину? Где была уязвимость и почему молчит разработчик софта ІІТ? Она же критическая, нужно обновляться. Скомпрометирован АЦСК Приватбанка, в котором выдано десять миллионов ключей. Их сейчас нужно отзывать и выдавать заново. Есть только непрерывные потоки лжи. "Хакеры", "уязвимости", "сами виноваты" - это все ложь. Я практически уверен в том, что кто-то (кто может прогнуть Приват) хотел выслужиться перед Ермаком, "помогая" отмазывать его зама Татарова.

А Госспецсвязь и Минцирк покрывают мошенников, которые по доброте душевной похоронили любую жижитализацию, вместе ДСТУ и прочими чудесами отечественной науки в принципе. Единственный способ защиты - юридически значимый запрет всем АЦСК и прочим злодиям выдавать любые е-документы на ваше имя. Бесполезно бороться со свиньей в грязи. Свиньям это нравится. Opt out. Отказ. Это - единственная и конечно же бумажная справка, которая мне по-настоящему нужна.

"Безпека — супер. Це той документ, який точно відповідає сучасності. Людині треба лише бути уважною", рассказывает Мстислав Баник из МЦТ про ID-карты. Прелюбопытная скажу я вам технология. На самом деле legacy у этих чипов длиной в десятилетия. В той же Эстонии сменилось четыре поколения ID-карт Micardo, Multos, SLE76 и SLE78 (вот этот как раз стоит в украинских ID-картах).

Про то как GCHQ и NSA потрошили Gemalto (Multos), то отдельная захваатывающая история, про ROCA (уязвимость при генерации ключей тоже уже говорили), но вернемся к "организационно-технической" части, на которою переключилась госспецсвязь после "дорогостоящих байденских атак".

О том, что в Украине используется Инфинеон я узнал из статьи на AIN, в домене "gov.ua" нет ни малейших зацепок. Ни стандартов, ни регламентов. Как всегда, "нужно просто верить". Когда в тот же чип начали пихать цифровую подпись я безуспешно пытался добиться от ДМС, хоть одного внятного слова о технической части процесса, и конечно же, получил порцию бессвязной копипасты с их сайта в ответ.

Между тем есть прехорошенькая статья на Usenix https://bit.ly/3i1eJdb, описывающая проблемы с чипами. Баник от ДМС недалеко ушел и даже не знает, что чип можно разблокировать сканированием MRZ (без ПИН-кода), называется BAC - базовая аутентификация. И я совершенно не удивлен тому, что ID никто не сканирует, хотя NFC-ридер есть в каждом втором телефоне.

Как зафиксировать факт проверки? Что будет, если документ откроется, но валидацию не пройдет? Что делать проверяемому и проверяющему? Не говоря уже о том, что без правильно реализованного AA (самих по себе механизмов активной аутентификации чипа недостаточно, нужна организационная составляющая, чтобы предотвратить replay-атаку) массовое считывание чипов приведет к торговле украденными дампами (полностью идентичных натуральным).

Внешняя генерация ключей за пределами чипа, просто прямое нарушение всех стандартов. Потому-то биометрические документы полноценно используются только в контролируемой среде - на пограничном контроле, с жестким физическим присутствием, доступом к базам и тренированным персоналом.

И вот эти люди, которые даже с технологиями двадцатилетней давности разобраться не могут, продолжают нас всех радовать своими цифровыми экскрементами

Ничего не понимаю… И это офицеры? Говно какое-то, пидоры, блядь. Родина им дала звёздочки — носи! Носи звёздочки, блядь! Не хочу, хочу жрать говно! Что такое? Это армия?! Это армия?! Суки… Мудачьё — офицеры. Погоны нацепили, говно жрут — пидоры, блядь, ёбаные…

Старое, но хорошее

Чтобы ни у кого даже сомнения не возникало, что из себя представляет российская церковь. Даже не знаю, как их лучше называть, ГУ РПЦ или ФСБ МП?

Кіберполіція скрывает от нас свои успехи. Кто-то спер у державы десять тысяч. Год спустя пилиция пришла к хостеру, где стоял сервер, адрес которого засветился в краже, и изъяли два сервера, принадлежащих канадскому VPN-провайдеру Windscribe. Наверное и спецназ присутствовал, вдруг дежурный администратор начнет отстреливаться из флешек? Естественно, компанию никто ни о чем не просил и ни о чем не предупреждал. Due diligence по-украински.

Что я могу сказать, такой способ действий очень положительно влияет на образ и инвестиционную привлекательность нашей страны, не говоря уже о международном сотрудничестве в правоохранительной деятельности. Вместо того, чтобы обратиться к самой компании или написать один запрос хостеру и поднять данные netflow - грабь, ломай, круши. Всё как они любят. Не удивлюсь, если вора тоже не поймали (Windscribe говорит, что логов на шлюзах не ведет) #ACAB

А теперь, дети, повторим слова, которые нельзя говорить вслух. Кто-то забыл, что кремлинов нельзя кормить после полуночи. Инфовоены... 🤦‍♂️

Яника Мерило меня забанила, и я чуть не пропустил пир духа, если бы на него не обратил внимание Кир Важницкий. У госпожи Мерило в комментариях собрались титаны цирковой трансформации - шпрехшталмейстер Выскуб и шапитмейстер Илья Родин (архитект Дии), который ничтоже сумняшеся заявил, что они руководствуются принципом "security through obscurity". Звучит солидно.

Смотрите, и программы и результат их работы - просто числа. Строку "Hell" можно представить, как последовательность байт в кодировке ASCII: 48 65 6c 6c, как целое число 1819043144, или число с плавающей точкой 1.1431391224375825e+27, изменить кодировку на base64: SGVsbA== его можно разложить на множители 2 * 2 * 2 * 227380393, или слагаемые. Суть от этого не меняется. Существует бесконечное множество эквивалентных программ, которые выводят строку "Hell".

Единственное место, где обфускация по-прежнему широко используется - мальварь. Авторы вредоносного ПО пытаются обойти автоматику и выиграть несколько часов (не лет), пока аналитик слой за слоем снимает с кода шелуху, чтобы понять как он работает. Никогда отсутствие чертежей замка не останавливало взломщиков.

В 1883 году Кергоффс сформулировал несколько принципов, в том числе один из основных - безопасность системы не должна опираться на секретность. Исходить нужно из того, что противник получил копию системы, разобрал её по винтику и точно знает, как она работает.

Для важных государственных систем такой подход не годится. И своим "security by obscurity" диевые прямо нам заявляют, что они на деньги налогоплательщика пытаются вводить нас в заблуждение, запутывать и врать в глаза.

Между тем киберпартизаны в Беларуси отжали автоматизированную систему "Паспорт". << Если атака подтверждается, то это крупнейший и наиболее успешный взлом государственных систем с 2015 года, когда китайские хакеры взломали сервера Управления кадровой службы в США https://www.currenttime.tv/a/hakery-vzlomali-pasporta/31385554.html