Я конечно видел очень много фантастических отмазок со стороны государства, если по какой-то причине не получается перейти к стратегии "Снежинка" - устаревшая информация, неважная информация, ничего не произошло, произошло, но не с нами, заглушите ядерный реактор - потом поговорим, но Министерство обороны умеет удивлять. Рекомендую прочитать их пресс-релиз о взломе сайта ВМСУ, поэтично озаглавленный "казус Дефендера" https://bit.ly/3ANtSGl
Любого человека, способного без душевной боли произнести фразу "мали місце випадки хакерських атак структур держави-агресора" нужно отправить на принудительный тест Тьюринга. Мне кажется, что у нас в министерстве прячутся человекоподобные роботы, которые не только не понимают зачем Дефендер проходил мимо Фиолента, но и как устроена международная политика и почему в Британии неожиданно находятся военные документы в сырой (sic!) куче мусора .
Путем нехитрого гуглежа можно найти патрульный катер P-25 "Диоскурия" и убедиться в том, что капитан судна действительно Бадри Шенгелия. Так что информация как минимум отчасти верна. И так как намеков наши балбесы не понимают, то российские "хакеры" уже прямо и открыто говорят: Эй, НАТО, зачем тебе Украина, она же обблеванная вся? Ей нельзя доверять секреты. Неувядающая классика времен холодной войны (а не "информационно-психологическая операция")
И россияне в чем-то правы, потому что деградация зашла уже настолько далеко, что бабуины уже просто не понимают, смысла сигналов и кому они адресованы. Я так полагаю, что потом еще попытаются похвастаться "опытом отражения кибератак". Чтобы уже до всех и каждого дошло, что в Украине невменяемое руководство
Любого человека, способного без душевной боли произнести фразу "мали місце випадки хакерських атак структур держави-агресора" нужно отправить на принудительный тест Тьюринга. Мне кажется, что у нас в министерстве прячутся человекоподобные роботы, которые не только не понимают зачем Дефендер проходил мимо Фиолента, но и как устроена международная политика и почему в Британии неожиданно находятся военные документы в сырой (sic!) куче мусора .
Путем нехитрого гуглежа можно найти патрульный катер P-25 "Диоскурия" и убедиться в том, что капитан судна действительно Бадри Шенгелия. Так что информация как минимум отчасти верна. И так как намеков наши балбесы не понимают, то российские "хакеры" уже прямо и открыто говорят: Эй, НАТО, зачем тебе Украина, она же обблеванная вся? Ей нельзя доверять секреты. Неувядающая классика времен холодной войны (а не "информационно-психологическая операция")
И россияне в чем-то правы, потому что деградация зашла уже настолько далеко, что бабуины уже просто не понимают, смысла сигналов и кому они адресованы. Я так полагаю, что потом еще попытаются похвастаться "опытом отражения кибератак". Чтобы уже до всех и каждого дошло, что в Украине невменяемое руководство
Сразу скажу, что я не разбираюсь в здравоохранении, и никаких деклараций с врачами у меня нет. Сегодня получил первую порцию вакцины и меня резко заинтересовали вопросы чипизации. И я говорю не про теории заговора, а про те чипы, которые живут у каждого из нас в кармане. В телефоне.
От злоДія мне посчастливилось благополучно отпетлять. Потому что сразу нахуй, вот почему. Информированное согласие на бумаге порадовало меня безмерно: след, резерв и все такое. А дальше открылся портал в удивительный мир жижитализации в лице Helsi и EZdorovya.
И что-то эта нежная дружба частной лавки, состоящей из "команди програмістів, операторів контакт-центру, аналітиків, спеціалістів з впровадження та консультантів" с ограниченной ответственностью (от которой отказаться нельзя, и привиться без помощи державы тоже нельзя) и грантовой (sic!) ДП (sic!) начинает меня беспокоить.
Возникают теже вопросы, что и к Міністерство цирковой трансформации. После того, как батхертить стали даже ко всему привыкшие международные партнеры, пан Федоров выписал для eHealth своим ручным щиголем аттестат КСЗІ. Я хочу его увидеть и "экспертный вывод", который является его "неотъемлемой частью" тоже. И другую документацию хочу. Начиная с независимого аудита.
Есть еще вопросы. А не может ли "Biden Joe" просто взять и скачать все EMR? И слышали ли разработчики про PHR? И что по этому поводу думает АМКУ? Много вопросов. Это все конечно чуть получше, чем безумные пляски цифровых ебанариев из МЦТ, но только потому, что данные гуляют в НСЗУ и (пока?) не выходят за её пределы.
Потом еще хочу попробовать пройти квест "отзови разрешение на обработку ПД у eHealth". Что-то мне подсказывает, что нас еще ждет немало сюрпризов...
От злоДія мне посчастливилось благополучно отпетлять. Потому что сразу нахуй, вот почему. Информированное согласие на бумаге порадовало меня безмерно: след, резерв и все такое. А дальше открылся портал в удивительный мир жижитализации в лице Helsi и EZdorovya.
И что-то эта нежная дружба частной лавки, состоящей из "команди програмістів, операторів контакт-центру, аналітиків, спеціалістів з впровадження та консультантів" с ограниченной ответственностью (от которой отказаться нельзя, и привиться без помощи державы тоже нельзя) и грантовой (sic!) ДП (sic!) начинает меня беспокоить.
Возникают теже вопросы, что и к Міністерство цирковой трансформации. После того, как батхертить стали даже ко всему привыкшие международные партнеры, пан Федоров выписал для eHealth своим ручным щиголем аттестат КСЗІ. Я хочу его увидеть и "экспертный вывод", который является его "неотъемлемой частью" тоже. И другую документацию хочу. Начиная с независимого аудита.
Есть еще вопросы. А не может ли "Biden Joe" просто взять и скачать все EMR? И слышали ли разработчики про PHR? И что по этому поводу думает АМКУ? Много вопросов. Это все конечно чуть получше, чем безумные пляски цифровых ебанариев из МЦТ, но только потому, что данные гуляют в НСЗУ и (пока?) не выходят за её пределы.
Потом еще хочу попробовать пройти квест "отзови разрешение на обработку ПД у eHealth". Что-то мне подсказывает, что нас еще ждет немало сюрпризов...
"Там [в ФБ] є певна кількість людей, які займаються певною політичною справою, політичним брудом відносно до нашої країни, до людей, які сьогодні керують країною. Їх там, на превеликий жаль, я можу сказати багато. Але в порівнянні з тою кількістю наших громадян, які користуються, не така велика кількість Як з ними боротися… Ми зараз розглядаємо певні процеси, як боротися саме з цими людьми"
Не раскачивайте лодку, а то зеленую крысу тошнит. Бороться с критиками власти они собрались. С "не такой уж большой частью" населения страны. Прав Стесин, прав, бритва Хенлона у нас уже не работает, нужна бензопила Хенлона. Бульдозер Хенлона даже, чтобы прокладывать свежий асфальт над головами охранителей #ебанариум #хроникидна
Не раскачивайте лодку, а то зеленую крысу тошнит. Бороться с критиками власти они собрались. С "не такой уж большой частью" населения страны. Прав Стесин, прав, бритва Хенлона у нас уже не работает, нужна бензопила Хенлона. Бульдозер Хенлона даже, чтобы прокладывать свежий асфальт над головами охранителей #ебанариум #хроникидна
Немного о врагах снаружи и идиотах внутри https://www.thetimes.co.uk/article/kremlin-is-using-war-in-ukraine-to-hone-cyberattacks-j5dspbxwh
Thetimes
Kremlin is using war in Ukraine to hone cyberattacks
Ukraine’s cyber security defences are riven with flaws and vulnerable to repeated Kremlin attack, a leading hacker has told the Times.Andrei Baranovich, an IT e
Читаю сейчас отчеты и статьи о том, как израильская частная компания NSO Group продавала шпионский софт по всему миру, заряженный zero day эксплоитами. Не без злорадства читаю, так как целью частенько становились журналисты, то сейчас пресса объединилась, чтобы съесть NSO заживо.
Пришло в голову несколько мыслей на этот счет. Не смотря на обилие целей, ни разу контрразведка не защитила своих граждан и политиков от иностранных разведок. Amnesty International и пресса защищают гораздо лучше, чем спуки со своими многомиллиардными бюджетами https://www.amnesty.org/en/latest/news/2021/07/the-pegasus-project/
Любые попытки отрегулировать рынок эксплоитов, приведут к тому, что рынок полностью уйдет в тень, и чтобы сохранить opsec, и чтобы гебня с тремя класами шпионского ПТУ не заливала зерошечки на VirusTotal и KSN, мы в ближайшем времени увидим полный спектр false flag кампаний и частных же операторов, чтобы авторитарное мудачье смогло по-прежнему все отрицать. Как и в случае с рансомварью любые "скоординированные усилия" влияют исключительно на цены.
Отдельный лулз - описания всего этого добра, меня и раньше передергивало от слов "кибероружие" и шпионское ПО "военного образца" (military grade). Опять! Что значит "военного образца"? Работает от -50° до +70° и его не может сломать призывник со средним образованием? Весит 50 кило и устаналивается на БТР? Две ручки для переноски? Покрашено в зеленый цвет? Больше вариантов здесь https://twitter.com/KimZetter/status/1416834860233023494
А вобще, если нужно поговорить, достаньте мобильное дилдо из кармана и сходите погуляйте. Способ проверенный тысячелетиями
(количество идентифицированных целей Pegasus, The Guardian)
Пришло в голову несколько мыслей на этот счет. Не смотря на обилие целей, ни разу контрразведка не защитила своих граждан и политиков от иностранных разведок. Amnesty International и пресса защищают гораздо лучше, чем спуки со своими многомиллиардными бюджетами https://www.amnesty.org/en/latest/news/2021/07/the-pegasus-project/
Любые попытки отрегулировать рынок эксплоитов, приведут к тому, что рынок полностью уйдет в тень, и чтобы сохранить opsec, и чтобы гебня с тремя класами шпионского ПТУ не заливала зерошечки на VirusTotal и KSN, мы в ближайшем времени увидим полный спектр false flag кампаний и частных же операторов, чтобы авторитарное мудачье смогло по-прежнему все отрицать. Как и в случае с рансомварью любые "скоординированные усилия" влияют исключительно на цены.
Отдельный лулз - описания всего этого добра, меня и раньше передергивало от слов "кибероружие" и шпионское ПО "военного образца" (military grade). Опять! Что значит "военного образца"? Работает от -50° до +70° и его не может сломать призывник со средним образованием? Весит 50 кило и устаналивается на БТР? Две ручки для переноски? Покрашено в зеленый цвет? Больше вариантов здесь https://twitter.com/KimZetter/status/1416834860233023494
А вобще, если нужно поговорить, достаньте мобильное дилдо из кармана и сходите погуляйте. Способ проверенный тысячелетиями
(количество идентифицированных целей Pegasus, The Guardian)
Я давеча имел неосторожность послушать зама из госспецсвязи Потия. Про "подпись Байдена". До этого ДССЗЗІ рассказывали сказки про "дорогостоящие хакерские атаки", теперь Потий говорит о том, что некий пользователь "плохо хранил свои ключевые данные" и, что была "уязвимость", которая уже закрыта. Выскуб из МЦТ, как сельский дурачок бегает по комментариям и рассказывает, что на сайте петиций е-подписью ничего не подписывается (что даже отчасти верно). Давайте немного демистифицируем технологию.
Не будем отвлекаться на то, как должен работать PKI здорового человека, а сразу углубимся в отечественные цифровые джунгли. Я взял файл pb_РНОКПП.jks, это что-то вроде архива с паролем. В нем лежит закрытая часть ключа, сертификаты открытых ключей Приватбанка и сертификат моего открытого ключа (скриншот). Независимо от того плохо или хорошо я его храню, изменить CN (а там ФИО) нельзя. Все поля подписаны, это и делает подпись "моей". То есть Приватбанк свидетельствует о том, что открытый ключ принадлежит "мне" (на самом деле моему аккаунту в П24).
Когда вы "идентифицируетесь" с помощью подписи клиент посылает OCSP-запрос (в данном случае к Приватбанку) через сайт Минцифры и "Biden Joe" такую проверку прошел. Нельзя взять чей-то сертификат и поменять там имя, а вот взять "мастер-ключ" Приватбанка и выпустить левую подпись можно. Потом с помощью неё можно получить паспорт в Дие. Выписать мед. справку (сами знаете от чего). Взять кредит. Оформить сделку от имени нотариуса. Перевести деньги со счета. Подать левую отчетность, за которой придет проверка.
И цирковые трансформаторы, по-прежнему, не знают, как все это произошло. Когда Джо Байден переехал в Украину? Где была уязвимость и почему молчит разработчик софта ІІТ? Она же критическая, нужно обновляться. Скомпрометирован АЦСК Приватбанка, в котором выдано десять миллионов ключей. Их сейчас нужно отзывать и выдавать заново. Есть только непрерывные потоки лжи. "Хакеры", "уязвимости", "сами виноваты" - это все ложь. Я практически уверен в том, что кто-то (кто может прогнуть Приват) хотел выслужиться перед Ермаком, "помогая" отмазывать его зама Татарова.
А Госспецсвязь и Минцирк покрывают мошенников, которые по доброте душевной похоронили любую жижитализацию, вместе ДСТУ и прочими чудесами отечественной науки в принципе. Единственный способ защиты - юридически значимый запрет всем АЦСК и прочим злодиям выдавать любые е-документы на ваше имя. Бесполезно бороться со свиньей в грязи. Свиньям это нравится. Opt out. Отказ. Это - единственная и конечно же бумажная справка, которая мне по-настоящему нужна.
Не будем отвлекаться на то, как должен работать PKI здорового человека, а сразу углубимся в отечественные цифровые джунгли. Я взял файл pb_РНОКПП.jks, это что-то вроде архива с паролем. В нем лежит закрытая часть ключа, сертификаты открытых ключей Приватбанка и сертификат моего открытого ключа (скриншот). Независимо от того плохо или хорошо я его храню, изменить CN (а там ФИО) нельзя. Все поля подписаны, это и делает подпись "моей". То есть Приватбанк свидетельствует о том, что открытый ключ принадлежит "мне" (на самом деле моему аккаунту в П24).
Когда вы "идентифицируетесь" с помощью подписи клиент посылает OCSP-запрос (в данном случае к Приватбанку) через сайт Минцифры и "Biden Joe" такую проверку прошел. Нельзя взять чей-то сертификат и поменять там имя, а вот взять "мастер-ключ" Приватбанка и выпустить левую подпись можно. Потом с помощью неё можно получить паспорт в Дие. Выписать мед. справку (сами знаете от чего). Взять кредит. Оформить сделку от имени нотариуса. Перевести деньги со счета. Подать левую отчетность, за которой придет проверка.
И цирковые трансформаторы, по-прежнему, не знают, как все это произошло. Когда Джо Байден переехал в Украину? Где была уязвимость и почему молчит разработчик софта ІІТ? Она же критическая, нужно обновляться. Скомпрометирован АЦСК Приватбанка, в котором выдано десять миллионов ключей. Их сейчас нужно отзывать и выдавать заново. Есть только непрерывные потоки лжи. "Хакеры", "уязвимости", "сами виноваты" - это все ложь. Я практически уверен в том, что кто-то (кто может прогнуть Приват) хотел выслужиться перед Ермаком, "помогая" отмазывать его зама Татарова.
А Госспецсвязь и Минцирк покрывают мошенников, которые по доброте душевной похоронили любую жижитализацию, вместе ДСТУ и прочими чудесами отечественной науки в принципе. Единственный способ защиты - юридически значимый запрет всем АЦСК и прочим злодиям выдавать любые е-документы на ваше имя. Бесполезно бороться со свиньей в грязи. Свиньям это нравится. Opt out. Отказ. Это - единственная и конечно же бумажная справка, которая мне по-настоящему нужна.
"Безпека — супер. Це той документ, який точно відповідає сучасності. Людині треба лише бути уважною", рассказывает Мстислав Баник из МЦТ про ID-карты. Прелюбопытная скажу я вам технология. На самом деле legacy у этих чипов длиной в десятилетия. В той же Эстонии сменилось четыре поколения ID-карт Micardo, Multos, SLE76 и SLE78 (вот этот как раз стоит в украинских ID-картах).
Про то как GCHQ и NSA потрошили Gemalto (Multos), то отдельная захваатывающая история, про ROCA (уязвимость при генерации ключей тоже уже говорили), но вернемся к "организационно-технической" части, на которою переключилась госспецсвязь после "дорогостоящих байденских атак".
О том, что в Украине используется Инфинеон я узнал из статьи на AIN, в домене "gov.ua" нет ни малейших зацепок. Ни стандартов, ни регламентов. Как всегда, "нужно просто верить". Когда в тот же чип начали пихать цифровую подпись я безуспешно пытался добиться от ДМС, хоть одного внятного слова о технической части процесса, и конечно же, получил порцию бессвязной копипасты с их сайта в ответ.
Между тем есть прехорошенькая статья на Usenix https://bit.ly/3i1eJdb, описывающая проблемы с чипами. Баник от ДМС недалеко ушел и даже не знает, что чип можно разблокировать сканированием MRZ (без ПИН-кода), называется BAC - базовая аутентификация. И я совершенно не удивлен тому, что ID никто не сканирует, хотя NFC-ридер есть в каждом втором телефоне.
Как зафиксировать факт проверки? Что будет, если документ откроется, но валидацию не пройдет? Что делать проверяемому и проверяющему? Не говоря уже о том, что без правильно реализованного AA (самих по себе механизмов активной аутентификации чипа недостаточно, нужна организационная составляющая, чтобы предотвратить replay-атаку) массовое считывание чипов приведет к торговле украденными дампами (полностью идентичных натуральным).
Внешняя генерация ключей за пределами чипа, просто прямое нарушение всех стандартов. Потому-то биометрические документы полноценно используются только в контролируемой среде - на пограничном контроле, с жестким физическим присутствием, доступом к базам и тренированным персоналом.
И вот эти люди, которые даже с технологиями двадцатилетней давности разобраться не могут, продолжают нас всех радовать своими цифровыми экскрементами
Про то как GCHQ и NSA потрошили Gemalto (Multos), то отдельная захваатывающая история, про ROCA (уязвимость при генерации ключей тоже уже говорили), но вернемся к "организационно-технической" части, на которою переключилась госспецсвязь после "дорогостоящих байденских атак".
О том, что в Украине используется Инфинеон я узнал из статьи на AIN, в домене "gov.ua" нет ни малейших зацепок. Ни стандартов, ни регламентов. Как всегда, "нужно просто верить". Когда в тот же чип начали пихать цифровую подпись я безуспешно пытался добиться от ДМС, хоть одного внятного слова о технической части процесса, и конечно же, получил порцию бессвязной копипасты с их сайта в ответ.
Между тем есть прехорошенькая статья на Usenix https://bit.ly/3i1eJdb, описывающая проблемы с чипами. Баник от ДМС недалеко ушел и даже не знает, что чип можно разблокировать сканированием MRZ (без ПИН-кода), называется BAC - базовая аутентификация. И я совершенно не удивлен тому, что ID никто не сканирует, хотя NFC-ридер есть в каждом втором телефоне.
Как зафиксировать факт проверки? Что будет, если документ откроется, но валидацию не пройдет? Что делать проверяемому и проверяющему? Не говоря уже о том, что без правильно реализованного AA (самих по себе механизмов активной аутентификации чипа недостаточно, нужна организационная составляющая, чтобы предотвратить replay-атаку) массовое считывание чипов приведет к торговле украденными дампами (полностью идентичных натуральным).
Внешняя генерация ключей за пределами чипа, просто прямое нарушение всех стандартов. Потому-то биометрические документы полноценно используются только в контролируемой среде - на пограничном контроле, с жестким физическим присутствием, доступом к базам и тренированным персоналом.
И вот эти люди, которые даже с технологиями двадцатилетней давности разобраться не могут, продолжают нас всех радовать своими цифровыми экскрементами
Кіберполіція скрывает от нас свои успехи. Кто-то спер у державы десять тысяч. Год спустя пилиция пришла к хостеру, где стоял сервер, адрес которого засветился в краже, и изъяли два сервера, принадлежащих канадскому VPN-провайдеру Windscribe. Наверное и спецназ присутствовал, вдруг дежурный администратор начнет отстреливаться из флешек? Естественно, компанию никто ни о чем не просил и ни о чем не предупреждал. Due diligence по-украински.
Что я могу сказать, такой способ действий очень положительно влияет на образ и инвестиционную привлекательность нашей страны, не говоря уже о международном сотрудничестве в правоохранительной деятельности. Вместо того, чтобы обратиться к самой компании или написать один запрос хостеру и поднять данные netflow - грабь, ломай, круши. Всё как они любят. Не удивлюсь, если вора тоже не поймали (Windscribe говорит, что логов на шлюзах не ведет) #ACAB
Что я могу сказать, такой способ действий очень положительно влияет на образ и инвестиционную привлекательность нашей страны, не говоря уже о международном сотрудничестве в правоохранительной деятельности. Вместо того, чтобы обратиться к самой компании или написать один запрос хостеру и поднять данные netflow - грабь, ломай, круши. Всё как они любят. Не удивлюсь, если вора тоже не поймали (Windscribe говорит, что логов на шлюзах не ведет) #ACAB
Яника Мерило меня забанила, и я чуть не пропустил пир духа, если бы на него не обратил внимание Кир Важницкий. У госпожи Мерило в комментариях собрались титаны цирковой трансформации - шпрехшталмейстер Выскуб и шапитмейстер Илья Родин (архитект Дии), который ничтоже сумняшеся заявил, что они руководствуются принципом "security through obscurity". Звучит солидно.
Смотрите, и программы и результат их работы - просто числа. Строку "Hell" можно представить, как последовательность байт в кодировке ASCII: 48 65 6c 6c, как целое число 1819043144, или число с плавающей точкой 1.1431391224375825e+27, изменить кодировку на base64: SGVsbA== его можно разложить на множители 2 * 2 * 2 * 227380393, или слагаемые. Суть от этого не меняется. Существует бесконечное множество эквивалентных программ, которые выводят строку "Hell".
Единственное место, где обфускация по-прежнему широко используется - мальварь. Авторы вредоносного ПО пытаются обойти автоматику и выиграть несколько часов (не лет), пока аналитик слой за слоем снимает с кода шелуху, чтобы понять как он работает. Никогда отсутствие чертежей замка не останавливало взломщиков.
В 1883 году Кергоффс сформулировал несколько принципов, в том числе один из основных - безопасность системы не должна опираться на секретность. Исходить нужно из того, что противник получил копию системы, разобрал её по винтику и точно знает, как она работает.
Для важных государственных систем такой подход не годится. И своим "security by obscurity" диевые прямо нам заявляют, что они на деньги налогоплательщика пытаются вводить нас в заблуждение, запутывать и врать в глаза.
Смотрите, и программы и результат их работы - просто числа. Строку "Hell" можно представить, как последовательность байт в кодировке ASCII: 48 65 6c 6c, как целое число 1819043144, или число с плавающей точкой 1.1431391224375825e+27, изменить кодировку на base64: SGVsbA== его можно разложить на множители 2 * 2 * 2 * 227380393, или слагаемые. Суть от этого не меняется. Существует бесконечное множество эквивалентных программ, которые выводят строку "Hell".
Единственное место, где обфускация по-прежнему широко используется - мальварь. Авторы вредоносного ПО пытаются обойти автоматику и выиграть несколько часов (не лет), пока аналитик слой за слоем снимает с кода шелуху, чтобы понять как он работает. Никогда отсутствие чертежей замка не останавливало взломщиков.
В 1883 году Кергоффс сформулировал несколько принципов, в том числе один из основных - безопасность системы не должна опираться на секретность. Исходить нужно из того, что противник получил копию системы, разобрал её по винтику и точно знает, как она работает.
Для важных государственных систем такой подход не годится. И своим "security by obscurity" диевые прямо нам заявляют, что они на деньги налогоплательщика пытаются вводить нас в заблуждение, запутывать и врать в глаза.
Между тем киберпартизаны в Беларуси отжали автоматизированную систему "Паспорт". << Если атака подтверждается, то это крупнейший и наиболее успешный взлом государственных систем с 2015 года, когда китайские хакеры взломали сервера Управления кадровой службы в США https://www.currenttime.tv/a/hakery-vzlomali-pasporta/31385554.html
Настоящее Время
Противостоящие Лукашенко "Киберпартизаны" получили паспортные данные и фото ВСЕХ белорусов. Фактчек Настоящего Времени и интервью…
Анонимная группа белорусских "Киберпартизан" (часть движения "Супраціў" – "Сопротивление") утверждает, что взломала паспортную систему страны. В распоряжении хакеров оказались данные миллионов белорусов, включая "скрытые записи" о руководстве силовых структур…
Еще не успела как следует разгореться новость о взломе АИС "Паспорт" в Беларуси, как подоспели новости из мекки цифровизации - безоблачной Эстонии.
Riigi Infosüsteemi Amet, которые отвечают за электронную идентификацию проморгали баг на портале, любой залогиненый пользователь мог просматривать данные всех остальных.
Никто и не думал фиксить багу, даже после того, как об этом стало известно. Пока некий хакер не начал качать все подряд, и получил триста тысяч наборов ФИО+номер+фото.
Полиция и министерство подгорают, просят денег на обновление legacy-систем, хакера арестовали и обещают уведомить каждого гражданина, чьи данные потекли.
В это время архитект Дии рассказывает, что они не выкладывают код и документацию, потому что не знают кто будет отвечать за возможную утечку или мошенничество.
Простая мысль о том, что за уже известные косяки Федоров, Щиголь и вся их лживая пиздобратия уже должна отправиться на мороз, до них пока не доходит.
Riigi Infosüsteemi Amet, которые отвечают за электронную идентификацию проморгали баг на портале, любой залогиненый пользователь мог просматривать данные всех остальных.
Никто и не думал фиксить багу, даже после того, как об этом стало известно. Пока некий хакер не начал качать все подряд, и получил триста тысяч наборов ФИО+номер+фото.
Полиция и министерство подгорают, просят денег на обновление legacy-систем, хакера арестовали и обещают уведомить каждого гражданина, чьи данные потекли.
В это время архитект Дии рассказывает, что они не выкладывают код и документацию, потому что не знают кто будет отвечать за возможную утечку или мошенничество.
Простая мысль о том, что за уже известные косяки Федоров, Щиголь и вся их лживая пиздобратия уже должна отправиться на мороз, до них пока не доходит.
Прекрасное от ІСЕІ (ДП Дія). По старой доброй традиции они перечислили всех получателей в CC вместо BCC и получился отличный список целей для российских хакеров. ІСЕІ - точка аутентификации, на которую сейчас завязаны гос. услуги, а в карбонке осел список людей, которые отвечают за системы, которые к ней подключены.
Как показывает практика, если в списке рассылки есть хотя бы человек 10, то кто-нибудь обязательно поведется на фиш. Я так как-то наблюдал за страданиями ОД "Донецкая республика". Их дрючили, проводили инструктажи, они устанавливали замысловатые пароли и двуфактор. Им это не помогло. Любая система надежна настолько, насколько надежно самое слабое её звено.
Как показывает практика, если в списке рассылки есть хотя бы человек 10, то кто-нибудь обязательно поведется на фиш. Я так как-то наблюдал за страданиями ОД "Донецкая республика". Их дрючили, проводили инструктажи, они устанавливали замысловатые пароли и двуфактор. Им это не помогло. Любая система надежна настолько, насколько надежно самое слабое её звено.
У американцев есть занятная теория по поводу иностранных хакеров. Если хакеров ни при каких условиях нельзя арестовать, то можно вычислить и опубликовать обвинительный акт, и это приведет к сдерживанию. Пока это привело только к тому, что СВР (в тоже время что и SolarWinds) принялись за министерство юстиции, и взломали двадцать семь округов, видимо, чтобы быть в курсе, что успел накопать противник.
Мне кажется, что больнее чем огласка (и последующие санкции) по россии могут ударить грязные деньги, а сильнее, чем грязные деньги (надо же и разведке что-то кушать, все все понимают) - нелояльность, рекция будет молниеносной и беспощадной (Такие мелочи как нарушение прав человека, и прочая народно-освободительная риторика не работают от слова совсем, а оглаской они иногда даже гордятся, а иногда огласка - необходимая часть более размашистых операций)
Такое вот "сдерживание"
Мне кажется, что больнее чем огласка (и последующие санкции) по россии могут ударить грязные деньги, а сильнее, чем грязные деньги (надо же и разведке что-то кушать, все все понимают) - нелояльность, рекция будет молниеносной и беспощадной (Такие мелочи как нарушение прав человека, и прочая народно-освободительная риторика не работают от слова совсем, а оглаской они иногда даже гордятся, а иногда огласка - необходимая часть более размашистых операций)
Такое вот "сдерживание"
С приходом Влада Стырана в минцифросрач, техно-политический скандал приобрел интеллектуальный лоск и философскую глубину. Влад рассматривает его, как идеологическую и даже религиозную стычку между дейтаистами или даже дейтеистами (постгуманистическое течение, рассматривающее любой процесс как информационный и придающий ценность информации как таковой) и "ретроградами"-либералами (скорее гуманистами), защищаюими традиционные человеческие ценности.
Когда дейтаизм хотя бы отчасти станет реальностью, и он ей станет, то homo sapiens sapiens перестанет существовать как биологический вид. Изменятся не только отдельные паттерны мышления, поменяется все и подобные споры потеряют всякий смысл. "Живые ливни брызнут нам в глаза. Земные боги выйдут нам навстречу" А пока выйти за рамки той или иной идеологии довольно сложно, потому что это та часть проблемы сознания, которую дейтаизм обходит стороной, подменяя её китайской комнатой искусственного интеллекта
Настаивая на своем праве не исповедовать ни одну из религий, Влад незаметно угодил в логическую ловушку, оказавшись в одном лагере с ретроградами, потому что дейтеизм освобождает информацию, а не людей и подобные права уважает не больше, чем радикальный ислам. Что касается наших жижитализаторов, то у меня есть большие сомнения в том, что они руководствуются идеями Брукса или Харари, но тем не менее они инстинктивно понимают, что знание суть власть, хотя едва ли это можно приписать неортодоксальному прочтению Гоббса.
Проблема в том, что Федоров и Ко и рядом не стояли с дейтеизмом они его непримиримые враги, они пытаются присвоить информацию, подчинить её, замкнуть все информационные потоки на себя в пародии на гипер-централизованный цифровой коммунизм. В отличии от Китая наши комиссары с пыльными смартфонами вместо наганов, наблюдают за тяжелой поступью прогресса из тьмы беспросветного невежества, что придает их версии культа "больших данных" непередаваемый вкус соломенных самолетов Меланезии, приправленный юсейдовской тушонкой.
Когда дейтаизм хотя бы отчасти станет реальностью, и он ей станет, то homo sapiens sapiens перестанет существовать как биологический вид. Изменятся не только отдельные паттерны мышления, поменяется все и подобные споры потеряют всякий смысл. "Живые ливни брызнут нам в глаза. Земные боги выйдут нам навстречу" А пока выйти за рамки той или иной идеологии довольно сложно, потому что это та часть проблемы сознания, которую дейтаизм обходит стороной, подменяя её китайской комнатой искусственного интеллекта
Настаивая на своем праве не исповедовать ни одну из религий, Влад незаметно угодил в логическую ловушку, оказавшись в одном лагере с ретроградами, потому что дейтеизм освобождает информацию, а не людей и подобные права уважает не больше, чем радикальный ислам. Что касается наших жижитализаторов, то у меня есть большие сомнения в том, что они руководствуются идеями Брукса или Харари, но тем не менее они инстинктивно понимают, что знание суть власть, хотя едва ли это можно приписать неортодоксальному прочтению Гоббса.
Проблема в том, что Федоров и Ко и рядом не стояли с дейтеизмом они его непримиримые враги, они пытаются присвоить информацию, подчинить её, замкнуть все информационные потоки на себя в пародии на гипер-централизованный цифровой коммунизм. В отличии от Китая наши комиссары с пыльными смартфонами вместо наганов, наблюдают за тяжелой поступью прогресса из тьмы беспросветного невежества, что придает их версии культа "больших данных" непередаваемый вкус соломенных самолетов Меланезии, приправленный юсейдовской тушонкой.