Во время кризиса, связанного с выводом американских войск из Афганистана, многие говорили о "неудачах разведки", забывая о том, что успешность и в войне, и в политике определяется не только качеством сбора, анализа и оценки информации, но и способностью людей, принимающих решения, слушать, верить услышанному и, сюрприз, принимать решения.
В Украине используется уникальная стратегия, не имеющая аналогов нигде в мире. Я бы назвал её deterrence by ignorance. Всем настолько всё по сараю, что ни СНБО, ни МИД, ни ОП не волнуют даже прямые выпады со стороны газоспасаемой, в которых специально для самых величайших лидеров и всратегов нужные места подчеркнуты. Мысль о том, что любое действие, даже механические движения ртом могут вызывать ответные действия для них слишком сложна.
Неделю назад Владимир Александрочич подписал указ о создании "кибервойск". Ему фантазировать о войне, как пьяному с горы катиться, "самолеты летят, будем всех бомбить", вот это вот всё. А на Лубянке обратили внимание, и сделали развернутый сюжет на канале Россия-24. Как это ни парадоксально, но не смотря на дурные намерения, забордюрная пропаганда почти не врет, больно тыкая в дележку бюджетов, должностей и кадровый голод.
И на кого тогда они обратили внимание? Может им досаждает ГУР МО? Служба внешней разведки? ССО? Войска связи и киберзащиты? Может Госспецсвязь? СБУ и, прости господи, киберполиция? Нет. Ukrainian Cyber Alliance. Попытка очернить нас в глазах общественности исполнена, прямо скажем, на троечку. То, что ФСБ пытается преуменьшить ("Россия сильнее") и преувеличить угрозу ("осажденная крепость", "происки закулисы") одновременно - оставляет стойкий привкус шизофрении.
Хочу отметить, что наследников первого управления в ближайшее же время будет ждать несколько весьма неприятных сюрпризов. Чтобы почувствовать разницу между потешными кибервойсками и настоящими.
В Украине используется уникальная стратегия, не имеющая аналогов нигде в мире. Я бы назвал её deterrence by ignorance. Всем настолько всё по сараю, что ни СНБО, ни МИД, ни ОП не волнуют даже прямые выпады со стороны газоспасаемой, в которых специально для самых величайших лидеров и всратегов нужные места подчеркнуты. Мысль о том, что любое действие, даже механические движения ртом могут вызывать ответные действия для них слишком сложна.
Неделю назад Владимир Александрочич подписал указ о создании "кибервойск". Ему фантазировать о войне, как пьяному с горы катиться, "самолеты летят, будем всех бомбить", вот это вот всё. А на Лубянке обратили внимание, и сделали развернутый сюжет на канале Россия-24. Как это ни парадоксально, но не смотря на дурные намерения, забордюрная пропаганда почти не врет, больно тыкая в дележку бюджетов, должностей и кадровый голод.
И на кого тогда они обратили внимание? Может им досаждает ГУР МО? Служба внешней разведки? ССО? Войска связи и киберзащиты? Может Госспецсвязь? СБУ и, прости господи, киберполиция? Нет. Ukrainian Cyber Alliance. Попытка очернить нас в глазах общественности исполнена, прямо скажем, на троечку. То, что ФСБ пытается преуменьшить ("Россия сильнее") и преувеличить угрозу ("осажденная крепость", "происки закулисы") одновременно - оставляет стойкий привкус шизофрении.
Хочу отметить, что наследников первого управления в ближайшее же время будет ждать несколько весьма неприятных сюрпризов. Чтобы почувствовать разницу между потешными кибервойсками и настоящими.
Наша пісня гарна, нова... Сегодня на Telecom Ukraine 2021 говорящая табуретка из Служба Бакланов Украины Ігор Черняк рассказало, что оне планирует создать реестр запрещенных сайтов, как в духовно близкой им России. Исключительно для "удобства операторов". Законность "этих" никогда не волновала. Самое время подумать о VPN, чтобы товарищ майор поел качественно зашифрованного говна. (Спасибо Max Tulyev, что обратил внимание на очередное обострение конторских) Не отстает и верховна зрада, хотят напарить SIM-ки по паспорту. Очень порадовала позиция Офіс ефективного регулювання BRDO, они заявили, что это недопустимо. После чего в комментариях появился зеленый депутат и начал кидаться голословными обвинениями в подажности. Все эти инициативы дословно повторяют диктаторские законы "16 января" и лучшие российско-пакистанские практики. Отвратительно.
Все хиикают над незадачливым молодым человеком из Лестера, которого судья приговорил к чтению Дикенса и Остин, за "подготовку к террористическому акту", но история, если разобраться, не такая уж и смешная и во многом поучительная.
В Англии есть крайне неприятный Terrorism Act 2000, в котором есть в том числе право полиции на необоснованные уличные обыски (в 2009, как любезно подсказывает вики таких было сто тысяч, ни одного террориста не нашли), или как в случае с Беном Джоном, раздел 58 - до пятнадцати лет за хранение информации, которая может быть полезна тем, кто вовлечен в терроризм. Мотивы не учитываются. Бен получил не только обязательство прочитать "Гордость и предубеждение", но и два года условно за файлы в компьютере.
И история на этом не закончилась. Добрые левые люди из организации "Надежда вместо ненависти" (sic!) обратились в прокуратуру с заявлением, о том, что двухлетний срок за файлики для диванного нациста-"террориста" "неоправданно мягок". У генеральной прокуратуры есть двадцать восемь дней на раздумья (ULS scheme). Могут и посадить.
Очень мне все это напомнило российскую "либеральную" общественность, которая так хотела сажать нацистов по 282, а потом начала визжать "а нас за что?". И наших говноедов тоже, которые с криками "а вот в Европе", стаскивают говно со всего мира. Уж лучше бы высокий суд Лондона попытались бы перетащить, а не уголовные статьи за лайки и репосты
В Англии есть крайне неприятный Terrorism Act 2000, в котором есть в том числе право полиции на необоснованные уличные обыски (в 2009, как любезно подсказывает вики таких было сто тысяч, ни одного террориста не нашли), или как в случае с Беном Джоном, раздел 58 - до пятнадцати лет за хранение информации, которая может быть полезна тем, кто вовлечен в терроризм. Мотивы не учитываются. Бен получил не только обязательство прочитать "Гордость и предубеждение", но и два года условно за файлы в компьютере.
И история на этом не закончилась. Добрые левые люди из организации "Надежда вместо ненависти" (sic!) обратились в прокуратуру с заявлением, о том, что двухлетний срок за файлики для диванного нациста-"террориста" "неоправданно мягок". У генеральной прокуратуры есть двадцать восемь дней на раздумья (ULS scheme). Могут и посадить.
Очень мне все это напомнило российскую "либеральную" общественность, которая так хотела сажать нацистов по 282, а потом начала визжать "а нас за что?". И наших говноедов тоже, которые с криками "а вот в Европе", стаскивают говно со всего мира. Уж лучше бы высокий суд Лондона попытались бы перетащить, а не уголовные статьи за лайки и репосты
Запощу еще разок :-)
(Все совпадения несут в себе злые намерения и отнюдь не случайны)
С утра по Киеву ходил худой человек с красными от цифровизации глазами и выскубленной до синевы мордой. Он раздавал у метро написанные от руки объявления:
* * *
6 сентября, в помещении ООО “Вектор” состоится лекция на тему:
“Блокчейнизация как стремительный драйвер окончательной цифровизации третьего цикла хайпа по Гартнеру”.
Лекцию читает гросс-министр оптимизации и цифровых наук Федор Михельсон.
Вход рубль, выход два.
* * *
Сам министр тоже не терял времени. Он заарендовал спейс за неназванную сумму бюджетных денег и перебросился на вертолетную площадку беглого любителя страусов. В Векторе сидел грустный ФОП-айтишник, безмерно страдающий от недостатка державной заботы и любви, и задумчиво листал уголовный кодекс.
- Гросс-министр оптимизации всего! - заявил Федор присаживаясь за стол. - устраиваю у вас цифровизацию, страну в страпоне и нейро-искусственный аграрно-биологический интеллект на блокчейне!
Глаза единственного представителя креативной индустрии округлились до пределов дозволенных природой, а сам он как-то сжался и уменьшился в размерах, потому что за подобными предложениями обычно следовал удар тараном в дверь, и люди с неприятно тупыми лицами и автоматами наперевес начинают рыться в личных вещах и ломать дороговалютную технику своими обезьяньими от кривизны руками.
Представитель убежал. Федор осмотрел помещение. На стенах висели фотографии страусов, оставшиеся от бывшего владельца. На столе рядом с кодексом лежала запыленная папка с подписью “Форма номер 17. Предельно допустимые показатели джиттера в оптических сетях”. Что такое джиттер Федор не знал, но заранее проникся уверенностью, что в оффшоре его мечты без тщательнейших замеров джиттера никак не обойтись. Креативная индустрия вернулась с дюжиной граждан и гражданок разных возрастов, которые подходили по очереди здороваться.
Киевские айтишники прониклись к Федору сыновней любовью. Федора несло. Он почувствовал прилив новых сил и цифровых идей.
- Вы не поверите, - говорил он, - как далеко двинулась цифровая мысль. Вы знаете Тим Кук дошел до пошлых вещей, с ним невозможно стало работать. Цифровой мир в беспокойстве. Почему в провинции нет смарт-мысли? Например, вот ваше ООО “Вектор”. Так и называется ООО “Вектор”. Скучно, девушки! Почему бы вам, в самом деле, не назвать её как-нибудь хайпово! Назвали бы “Snatch, Inc”, “GoogLag”, Дия-Сити или хотя бы "Вектор плюс". Хорошо было бы! Звучно!
Идея имела успех. ООО “Вектор” общим решением собрания учредителей немедленно переименовали в “Дия-Сити”. Каждый достал из папки “Завантаження” свою секретную цифровую подпись и квалифицированно приложился.
- Блокчейн, знаете ли вы что такое блокчейн? Он двигает вперёд не только экономику, но и культуру. Айти обогащает страну! Если вы согласитесь на мой проект, то спускаться на пристань вы будете по виртуальным лестницам. Дия-Сити станет центром Европы! Что вы раньше слышали о Бангалоре? Говно, коровы и курсы обучения си с крестами. А теперь этот городишко богат и знаменит своей утечкой мозгов в разные стороны. Сколково в Москве! ПВТ в Минске! Успех, грандиозный успех, даже новостные сайты не открываются, потому что они больше никому не нужны и новости происходят прямо на улицах. Поэтому я и говорю, нам нужно устроить цифровую супер-державу, минуя доебанную ПСО и олигархами энергетику. Дийови платить деньги не будут. Они будут их по-лу-чать. Это же все чрезвычайно просто. Ведь в оффшор съедутся любители айти со всего мира. Сотни тысяч людей, богато обеспеченных людей, будут стремиться в Дия-Сити. Поднятие сельского хозяйства в радиусе на тысячу километров: гостей нужно снабжать — овощи, фрукты, белорусская икра и креветки, местный смузи и кофе. IBM, Amazon, Microsoft бросят свою силиконовую долину, чтобы переехать в Дия-Сити и хайповать на блокчейне! Нейро-искусственный квантумный интеллект! Биотехнологическое СЕО! Хайп. Оптимизация!
Ослепительные перспективы развернулись перед айтишниками…
(Все совпадения несут в себе злые намерения и отнюдь не случайны)
С утра по Киеву ходил худой человек с красными от цифровизации глазами и выскубленной до синевы мордой. Он раздавал у метро написанные от руки объявления:
* * *
6 сентября, в помещении ООО “Вектор” состоится лекция на тему:
“Блокчейнизация как стремительный драйвер окончательной цифровизации третьего цикла хайпа по Гартнеру”.
Лекцию читает гросс-министр оптимизации и цифровых наук Федор Михельсон.
Вход рубль, выход два.
* * *
Сам министр тоже не терял времени. Он заарендовал спейс за неназванную сумму бюджетных денег и перебросился на вертолетную площадку беглого любителя страусов. В Векторе сидел грустный ФОП-айтишник, безмерно страдающий от недостатка державной заботы и любви, и задумчиво листал уголовный кодекс.
- Гросс-министр оптимизации всего! - заявил Федор присаживаясь за стол. - устраиваю у вас цифровизацию, страну в страпоне и нейро-искусственный аграрно-биологический интеллект на блокчейне!
Глаза единственного представителя креативной индустрии округлились до пределов дозволенных природой, а сам он как-то сжался и уменьшился в размерах, потому что за подобными предложениями обычно следовал удар тараном в дверь, и люди с неприятно тупыми лицами и автоматами наперевес начинают рыться в личных вещах и ломать дороговалютную технику своими обезьяньими от кривизны руками.
Представитель убежал. Федор осмотрел помещение. На стенах висели фотографии страусов, оставшиеся от бывшего владельца. На столе рядом с кодексом лежала запыленная папка с подписью “Форма номер 17. Предельно допустимые показатели джиттера в оптических сетях”. Что такое джиттер Федор не знал, но заранее проникся уверенностью, что в оффшоре его мечты без тщательнейших замеров джиттера никак не обойтись. Креативная индустрия вернулась с дюжиной граждан и гражданок разных возрастов, которые подходили по очереди здороваться.
Киевские айтишники прониклись к Федору сыновней любовью. Федора несло. Он почувствовал прилив новых сил и цифровых идей.
- Вы не поверите, - говорил он, - как далеко двинулась цифровая мысль. Вы знаете Тим Кук дошел до пошлых вещей, с ним невозможно стало работать. Цифровой мир в беспокойстве. Почему в провинции нет смарт-мысли? Например, вот ваше ООО “Вектор”. Так и называется ООО “Вектор”. Скучно, девушки! Почему бы вам, в самом деле, не назвать её как-нибудь хайпово! Назвали бы “Snatch, Inc”, “GoogLag”, Дия-Сити или хотя бы "Вектор плюс". Хорошо было бы! Звучно!
Идея имела успех. ООО “Вектор” общим решением собрания учредителей немедленно переименовали в “Дия-Сити”. Каждый достал из папки “Завантаження” свою секретную цифровую подпись и квалифицированно приложился.
- Блокчейн, знаете ли вы что такое блокчейн? Он двигает вперёд не только экономику, но и культуру. Айти обогащает страну! Если вы согласитесь на мой проект, то спускаться на пристань вы будете по виртуальным лестницам. Дия-Сити станет центром Европы! Что вы раньше слышали о Бангалоре? Говно, коровы и курсы обучения си с крестами. А теперь этот городишко богат и знаменит своей утечкой мозгов в разные стороны. Сколково в Москве! ПВТ в Минске! Успех, грандиозный успех, даже новостные сайты не открываются, потому что они больше никому не нужны и новости происходят прямо на улицах. Поэтому я и говорю, нам нужно устроить цифровую супер-державу, минуя доебанную ПСО и олигархами энергетику. Дийови платить деньги не будут. Они будут их по-лу-чать. Это же все чрезвычайно просто. Ведь в оффшор съедутся любители айти со всего мира. Сотни тысяч людей, богато обеспеченных людей, будут стремиться в Дия-Сити. Поднятие сельского хозяйства в радиусе на тысячу километров: гостей нужно снабжать — овощи, фрукты, белорусская икра и креветки, местный смузи и кофе. IBM, Amazon, Microsoft бросят свою силиконовую долину, чтобы переехать в Дия-Сити и хайповать на блокчейне! Нейро-искусственный квантумный интеллект! Биотехнологическое СЕО! Хайп. Оптимизация!
Ослепительные перспективы развернулись перед айтишниками…
(Раздаётся оглушительный удар тарана в двери. В помещение врывается СБУ, налоговая, инспекция электросвязи и другие компетентные органы уполномоченные на цифровизацию, чьи полномочия давно и окончатиельно превысили их компетентность)
На сайте КМУ началось голосование за Раду громадського контролю Бюро Економічної Безпеки. Именно эта организация будет расследовать экономические преступления. Так что заходим сюда https://vote.kmu.gov.ua/step1.php (как всегда понадобится два кода подтверждения через почту и телефон) и голосуем за Тарас Котов, Євгеній Романюк і Андрій Ткаченко (ГО «Антикорупційна Сокира») Номера наших кандидатов в списке 48, 49, 50. Спасибо!
Apple и Google продолжают работать над водительскими правами в телефоне. В Украине уже есть "Дія", и кое-то удивляется почему специалисты ноют и отказываются поздравлять Федорова и Ко с оглушительным технологическим прорывом. Так что поговорим о том, чем отличается ISO/IEC от хуяк-ермак.
Сделать цифровой документ тяжело. Даже не столько из-за того, что люди не умеют писать безопасные программы, а потому что нужно выполнить целый ряд взаимоисключающих требований. Начнем с того, что сделать что-то в телефоне безопасным практически невозможно без помощи производителя. В начале эпидемии все носились с идеей отслеживания контактов и британская NHS потратила миллионы на разработку приложения, которое оглушительно провалилось просто потому, что доступ к BLE в телефоне ограничен по соображениям приватности.
Вернемся к документам. Чтобы телефон работал документом, нужно привязать вас к документу, а документ к телефону. Как и электронном паспорте, данные подписаны цифровой подписью (пассивная аутентификация используется для подтверждения целостности), а чтобы документ нельзя было клонировать в самом документе должен быть еще один ключ, который связывает набор данных и физический носитель (это называется активная аутентификация), и наконец фотография подтверждает, что вы - владелец документа.
То что диевые называют "паспортом в телефоне" - это вобще не документ, а выписка из реестра. Дию можно сравнить с посадочным талоном, все данные находятся у авиакомпании, и там это работает, потому что проверка проводится в тщательно охраняемом и контролируемом здании аэропорта, а не на мутном сервере непонятно где. Обо всем этом можно почитать в черновой редакции стандарта ISO 18013-5, разработкой которого занимаются технологические альянсы куда входят монстры вроде Infineon и JP Morgan. Почему-то не вижу в списке учаснтников ДП "Дія" со своим революционным поделием.
При этом первейшая задача, которая рассматривается в стандарте, как сделать документ не отслеживаемым, чтобы он работал без Интернета, а Google еще думает, как сделать его так, чтобы телефон работал документом при разряженной батарее (все это естественно требует аппаратной поддержки, приложений заряжающих батарею еще не придумали).
Дия же напротив сразу связывает телефон, email и IP с паспортными данными. Телефон с установленной Дией или Дий.Вдома ничем не отличается от мобильного маячка для гео-зонирования, который полиция цепляет на ногу. То есть когда мусора пытаются продавить SIM-ки по паспорту или отслеживать пользователей по IP на сайтах вы возмущаетесь, и возмущаетесь правильно. А тут вам предлагают добровольно прицепить себе браслет на ногу и вы радуетесь как дети. Ура, ура, мы первые в мире! Конечно первые, даже в Китае такого нет.
Технические проблемы, это даже не середина. Еще сложнее документы выпускать (issue) и выдавать (provisioning), для этого сейчас готовится еще один стандарт ISO 23220-3. Когда вы получаете обычный документ, вы делаете это лично. И если что-то пошло не так, то всегда можно будет найти тот ЦНАП, где документ был выдан и кого-нибудь из сотрудников посадить. Или вас за подделку документов. Но кто-то должен сесть. Это называется ответственность. Ради этого-то все и затевалось. Чтобы документам можно было доверять.
Так как "Дия не хранит данные" (что прямая ложь), то идентификацию они перекидывают на банки. Но функции банка сильно ограничены, банк рискует только заранее известной суммой денег, потому там используются пароли и СМС-ки. Для документов этого недостаточно, о чем прямо написано в стандарте (для банков по-хорошему тоже, но там еще есть службы безопасности, оценки рисков и возможные потери от мошенничества уже заложены в стоимость услуг). У Дии уже есть "кредит Людмилы" и "подпись Байдена", и это только самое начало, потому что сама архитектура broken by design, если конечно хипстерские рисунки на салфетках и видосики можно назвать "архитектурой".
Сделать цифровой документ тяжело. Даже не столько из-за того, что люди не умеют писать безопасные программы, а потому что нужно выполнить целый ряд взаимоисключающих требований. Начнем с того, что сделать что-то в телефоне безопасным практически невозможно без помощи производителя. В начале эпидемии все носились с идеей отслеживания контактов и британская NHS потратила миллионы на разработку приложения, которое оглушительно провалилось просто потому, что доступ к BLE в телефоне ограничен по соображениям приватности.
Вернемся к документам. Чтобы телефон работал документом, нужно привязать вас к документу, а документ к телефону. Как и электронном паспорте, данные подписаны цифровой подписью (пассивная аутентификация используется для подтверждения целостности), а чтобы документ нельзя было клонировать в самом документе должен быть еще один ключ, который связывает набор данных и физический носитель (это называется активная аутентификация), и наконец фотография подтверждает, что вы - владелец документа.
То что диевые называют "паспортом в телефоне" - это вобще не документ, а выписка из реестра. Дию можно сравнить с посадочным талоном, все данные находятся у авиакомпании, и там это работает, потому что проверка проводится в тщательно охраняемом и контролируемом здании аэропорта, а не на мутном сервере непонятно где. Обо всем этом можно почитать в черновой редакции стандарта ISO 18013-5, разработкой которого занимаются технологические альянсы куда входят монстры вроде Infineon и JP Morgan. Почему-то не вижу в списке учаснтников ДП "Дія" со своим революционным поделием.
При этом первейшая задача, которая рассматривается в стандарте, как сделать документ не отслеживаемым, чтобы он работал без Интернета, а Google еще думает, как сделать его так, чтобы телефон работал документом при разряженной батарее (все это естественно требует аппаратной поддержки, приложений заряжающих батарею еще не придумали).
Дия же напротив сразу связывает телефон, email и IP с паспортными данными. Телефон с установленной Дией или Дий.Вдома ничем не отличается от мобильного маячка для гео-зонирования, который полиция цепляет на ногу. То есть когда мусора пытаются продавить SIM-ки по паспорту или отслеживать пользователей по IP на сайтах вы возмущаетесь, и возмущаетесь правильно. А тут вам предлагают добровольно прицепить себе браслет на ногу и вы радуетесь как дети. Ура, ура, мы первые в мире! Конечно первые, даже в Китае такого нет.
Технические проблемы, это даже не середина. Еще сложнее документы выпускать (issue) и выдавать (provisioning), для этого сейчас готовится еще один стандарт ISO 23220-3. Когда вы получаете обычный документ, вы делаете это лично. И если что-то пошло не так, то всегда можно будет найти тот ЦНАП, где документ был выдан и кого-нибудь из сотрудников посадить. Или вас за подделку документов. Но кто-то должен сесть. Это называется ответственность. Ради этого-то все и затевалось. Чтобы документам можно было доверять.
Так как "Дия не хранит данные" (что прямая ложь), то идентификацию они перекидывают на банки. Но функции банка сильно ограничены, банк рискует только заранее известной суммой денег, потому там используются пароли и СМС-ки. Для документов этого недостаточно, о чем прямо написано в стандарте (для банков по-хорошему тоже, но там еще есть службы безопасности, оценки рисков и возможные потери от мошенничества уже заложены в стоимость услуг). У Дии уже есть "кредит Людмилы" и "подпись Байдена", и это только самое начало, потому что сама архитектура broken by design, если конечно хипстерские рисунки на салфетках и видосики можно назвать "архитектурой".
Вся диевая дендро-фекальная конструкция: не выполняет свои основные функции, размывает доверие и ответственность, недокументирована и ни с чем не совместима. Не говоря уже о том, что министерство вместо того, чтобы трансформировать народное хозяйство, просто перенимает на себя функции других министерств.
Сейчас появились сертификаты вакцинации, хорошая штука (правила есть правила, не нравится, не ездите в ЕС). Есть eHealth (косой, кривой но уже есть). Дия-то тут причем? Проблемы с PKI ICAO? Так я могу подсказать где взять такой PKI. Загранпаспорта и внутренние ID-карты работают именно так. То есть что можно было сделать? Отказаться от чудес отечественной криптографии и начать пользоваться RSA/ECC, как и весь остальной мир (передовую науку можно оставить внутри гос. сектора, на подобие NSA Suite A). Прикрутить PKI к eHealth, где уже собраны необходимые данные и спокойно получать те самые сертификаты хоть в бумажном виде, хоть в цифровом. То что хочет сделать МЦТ - замкнуть все информационные потоки на себя, и построить мега-реестр, цифровой украинский гуглаг наподобие китайского. И так чтобы отвественных за неизбежные злоупотребления и ошибки нельзя было найти и привлечь к отвественности.
Так что там права в смартфоне, и тут права в смартфоне, но разница такая же, как между прототипом настоящего самолета и соломенным алтарем с тушонкой.
Сейчас появились сертификаты вакцинации, хорошая штука (правила есть правила, не нравится, не ездите в ЕС). Есть eHealth (косой, кривой но уже есть). Дия-то тут причем? Проблемы с PKI ICAO? Так я могу подсказать где взять такой PKI. Загранпаспорта и внутренние ID-карты работают именно так. То есть что можно было сделать? Отказаться от чудес отечественной криптографии и начать пользоваться RSA/ECC, как и весь остальной мир (передовую науку можно оставить внутри гос. сектора, на подобие NSA Suite A). Прикрутить PKI к eHealth, где уже собраны необходимые данные и спокойно получать те самые сертификаты хоть в бумажном виде, хоть в цифровом. То что хочет сделать МЦТ - замкнуть все информационные потоки на себя, и построить мега-реестр, цифровой украинский гуглаг наподобие китайского. И так чтобы отвественных за неизбежные злоупотребления и ошибки нельзя было найти и привлечь к отвественности.
Так что там права в смартфоне, и тут права в смартфоне, но разница такая же, как между прототипом настоящего самолета и соломенным алтарем с тушонкой.
Недавно в прессе прокатились волны паники. Первая связана со сквозным шифрованием в WhatsApp, мол оно не настолько уж и сквозное, раз уж Facebook нанял тысячу модераторов, для разбора жалоб. Вторая вокруг ProtonMail, они передали IP и информацию о броузере французских эко-активистов властям. Видимо люди начали забывать, что такое Интернет и чем безопасность отличается от анонимности, передача данных (data at motion) и их хранение (data at rest).
Почта (в том числе обычная бумажная) должна знать кому адресовано письмо. Адрес нужно написать на конверте, чтобы было понятно куда его отправлять. Можно конечно вложить письмо в два конверта, и попросить первого адресата вскрыть первый конверт и переслать его дальше. Поздравляю, мы только что заново изобрели ремейлеры,TOR и меш-сети. О чем прямо сказано в Privacy policy ProtonMail, они не обязаны вести логи, но если к ним приходят власти с решением суда, то они включают их по требованию. Пользуйтесь TOR. Почтовый сервис не может обеспечить вам анонимность, даже если бы хотел. С Протоном все в порядке.
Более того, есть другая чудовищная угроза - содержимое переписки может разгласить получатель. Он его видит. Глазами. И никакие исчезающие сообщения и запреты скриншотов не помешают ему сфотографировать экран телефона, записать сообщение на бумагу и прокричать его на майдане через мегафон. Не говоря уж о показаниях под присягой. Даже мусора об этом знают. В случае с whatsapp у получателя есть возможность одним кликом отправить уже полученные и расшифрованные сообщения модератору.
Иногда содержимое сообщений и не нужно. Год назад в Польше задержали украинца. Глеба Иванова-Толпинцева подозревают в том, что он подбирал перебором доступы к компьютерам через RDP и продавал их на черном рынке. Сейчас его экстрадируют в США (Почему-то Украина не рвалась помогать своим гражданам) Вычислила его налоговая служба (IRS) И вычислили буквально по IP https://bit.ly/2XikJGT
Глеб продавал акки на черном форуме, а общался через Jabber скорее всего с шифрованием OTR (золотой стандарт андеграунда). Только jabber-сервер xmpp[.]ru стоит отнюдь не в России, а в Филадельфии. Все что оставалось сделать налоговикам, просмотреть сообщения на форуме, связать их с обращениями к jabber, найти e-mail адреса и получить с ордером содержимое почтовых ящиков с Google. А в почте сканы паспортов, номера счетов и другие детали. Классический traffic analysis. Это вам не "Гроверов" по никнеймам гуглить. И "соединили точки" налоговики, не федералы даже. Шифрование от такого не защищает.
Так что думайте дважды кому и что вы говорите, как передаете сообщения, и как храните переписку
Почта (в том числе обычная бумажная) должна знать кому адресовано письмо. Адрес нужно написать на конверте, чтобы было понятно куда его отправлять. Можно конечно вложить письмо в два конверта, и попросить первого адресата вскрыть первый конверт и переслать его дальше. Поздравляю, мы только что заново изобрели ремейлеры,TOR и меш-сети. О чем прямо сказано в Privacy policy ProtonMail, они не обязаны вести логи, но если к ним приходят власти с решением суда, то они включают их по требованию. Пользуйтесь TOR. Почтовый сервис не может обеспечить вам анонимность, даже если бы хотел. С Протоном все в порядке.
Более того, есть другая чудовищная угроза - содержимое переписки может разгласить получатель. Он его видит. Глазами. И никакие исчезающие сообщения и запреты скриншотов не помешают ему сфотографировать экран телефона, записать сообщение на бумагу и прокричать его на майдане через мегафон. Не говоря уж о показаниях под присягой. Даже мусора об этом знают. В случае с whatsapp у получателя есть возможность одним кликом отправить уже полученные и расшифрованные сообщения модератору.
Иногда содержимое сообщений и не нужно. Год назад в Польше задержали украинца. Глеба Иванова-Толпинцева подозревают в том, что он подбирал перебором доступы к компьютерам через RDP и продавал их на черном рынке. Сейчас его экстрадируют в США (Почему-то Украина не рвалась помогать своим гражданам) Вычислила его налоговая служба (IRS) И вычислили буквально по IP https://bit.ly/2XikJGT
Глеб продавал акки на черном форуме, а общался через Jabber скорее всего с шифрованием OTR (золотой стандарт андеграунда). Только jabber-сервер xmpp[.]ru стоит отнюдь не в России, а в Филадельфии. Все что оставалось сделать налоговикам, просмотреть сообщения на форуме, связать их с обращениями к jabber, найти e-mail адреса и получить с ордером содержимое почтовых ящиков с Google. А в почте сканы паспортов, номера счетов и другие детали. Классический traffic analysis. Это вам не "Гроверов" по никнеймам гуглить. И "соединили точки" налоговики, не федералы даже. Шифрование от такого не защищает.
Так что думайте дважды кому и что вы говорите, как передаете сообщения, и как храните переписку
256-й день года - самый подходящий день, чтобы напомнить Міністерство цифрової трансформації України про проваленную запись на вакцинацию в Дія, "Байденов Джо", которые голосуют на сайте президента, РГК МЦТ, избранную двумя стами голосов (по сравнению с сорока тысячами по РГК БЕБ) и невозможность отказаться от принудительного цифрого счастья. Наш митинг прошел скромнее, чем у любителей БДСМ нафты, чьи неподкупные плакаты и символику мы обнаруживали в самых неожиданных помойках вдоль Институтской, но если раньше неприятные вопросы звучали в фейсбуке, потом в телевизоре, то теперь, благодаря Демократична Сокира. Київ и ІТ Січ - на улице. И это только самое начало. Дальше - больше.
"Ми закладаємо кошти на початок і підготовку всеукраїнського перепису населення. Цей перепис буде незвичайним, ми хочемо проводити його з використанням надсучасних цифрових технологій, про це віцепрем'єр-міністр"
Чтобы я поучаствовал в перепизди Михаилу Альбертовичу нужно записаться в моем личном приложении Йди.Нахуй, получить талон в электронную очередь на получение талонов, а потом все-таки сходить нахуй и там погибнуть.
Чтобы я поучаствовал в перепизди Михаилу Альбертовичу нужно записаться в моем личном приложении Йди.Нахуй, получить талон в электронную очередь на получение талонов, а потом все-таки сходить нахуй и там погибнуть.
На россии после того, как РТК прибанил DNS-сервера Google и CloudFlare "почему-то" прилег центробанк и РЖД. Я бы даже с удовольствием посмеялся над "суверенным интернетом", если бы Украина хоть чем-то отличалась от газоспасаемой. Не перестаю удивляться тому, с каким наслаждением граждане готовы скакать на бутылке, если она покрашена в цвета нацианального флага.
Сколеновставан тоже начинал с защиты детей от детской порнографии (я по-прежнему предпочитаю думать, что это специальная порнография для детей), гонялись за книжками Берроуза и прочим "экстремизмом". При этом ̶б̶е̶л̶о̶п̶о̶л̶ь̶т̶о̶ч̶н̶а̶я̶ белоленточная "оппозиция" в этом ничем не отличалась от путиноидов. Они расчитывали оказаться с нужной стороны ножки от стула, а теперь хлопают чистыми от мозгов глазами и носятся со своим ̶у̶н̶ы̶л̶ы̶м̶ ̶г̶о̶в̶н̶о̶м̶ умным голосованием.
Наша держава с братским народом всегда шла ноздря в ноздрю. Про "16 января" я вам говорить не буду, бесполезно, потому что революционные полимеры просраны, и как-то неудобно уже об этом напоминать.
Открываю "Проект Закону про внесення змін до Закону України "Про захист суспільної моралі" (щодо захисту інформаційного простору)" от июня 2013, и звучит он на удивление знакомо и свежо, начиная от "адресного простору українського сегмента мережі Інтернет" и до "... після слів "Міністерство освіти і науки України" доповнити словами "Служба безпеки України".
И потом - неизменным курсом на россию от седьмого созыва и до девятого, от Януковича до Зеленского - традициям верны. Так что, если вы "боретесь с Россией" с помощью цензуры и слежки в сети, то вы - электорат Партии Регионов и ОПЗЖ. Электорат Единой России
Сколеновставан тоже начинал с защиты детей от детской порнографии (я по-прежнему предпочитаю думать, что это специальная порнография для детей), гонялись за книжками Берроуза и прочим "экстремизмом". При этом ̶б̶е̶л̶о̶п̶о̶л̶ь̶т̶о̶ч̶н̶а̶я̶ белоленточная "оппозиция" в этом ничем не отличалась от путиноидов. Они расчитывали оказаться с нужной стороны ножки от стула, а теперь хлопают чистыми от мозгов глазами и носятся со своим ̶у̶н̶ы̶л̶ы̶м̶ ̶г̶о̶в̶н̶о̶м̶ умным голосованием.
Наша держава с братским народом всегда шла ноздря в ноздрю. Про "16 января" я вам говорить не буду, бесполезно, потому что революционные полимеры просраны, и как-то неудобно уже об этом напоминать.
Открываю "Проект Закону про внесення змін до Закону України "Про захист суспільної моралі" (щодо захисту інформаційного простору)" от июня 2013, и звучит он на удивление знакомо и свежо, начиная от "адресного простору українського сегмента мережі Інтернет" и до "... після слів "Міністерство освіти і науки України" доповнити словами "Служба безпеки України".
И потом - неизменным курсом на россию от седьмого созыва и до девятого, от Януковича до Зеленского - традициям верны. Так что, если вы "боретесь с Россией" с помощью цензуры и слежки в сети, то вы - электорат Партии Регионов и ОПЗЖ. Электорат Единой России
Чем меня уже двадцать лет развлекает хакерская сцена (включая её темные углы), так это способностью генерировать драму вместо технических решений. Читаю сейчас эпической силы тред в стиле "Breaking bad" на XSS: малолетний кодер вымогательской группировки Babuk написал, что у него рак в терминальной стадии и слил исходники проекта. Исходники конечно страшная говнина.
Единственный просвет, это то, что не справившись со сборкой bignum-библиотек блекари перешли на ECIES с оторванной аутентификацией. Чтобы получить симметричный ключ, генерируется две пары ECC ключей (v, V) и (r, R) для жертвы и вымогателя соответственно. После чего в целевой системе генерируется симметричный ключ H(R · v), v уничтожается, а V добавляется к вымогательской записке. Мошенники потом могут восстановить ключ H(r · V). Оффлайновый ECDH.
И зоопарк симметричных шифров. ChaCha/Salsa разной степени испорченности и даже экзотика вроде Sosemanuk. Не понимают глупые, что проблема у них даже не в том, что они пытались потоковый шифр использовать в режиме ECB (это на самом деле очень смешная шутка), и не в скорости самого примитива, а в fseek/fread вместо MMIO.
А вот взрослые дяди иногда поражают своей оторватостью. Вспомнился отличный пост Мэттью Грина, в котором он описывает смарт-контракт на рансомварь. Или даже полностью автоматическую систему, которая принуждает людей творить херню без участия оператора (но для этого нужны секретные смарт-контракты, таких пока нет).
Но самое смешное, в том, что кучка недорослей-блекарей без опыта и образования гнет целые отрасли народного хозяйства и вызывает баттхерт трехбуквенных агентств и Белого Дома. В удивительное время мы живем, удивительное...
Единственный просвет, это то, что не справившись со сборкой bignum-библиотек блекари перешли на ECIES с оторванной аутентификацией. Чтобы получить симметричный ключ, генерируется две пары ECC ключей (v, V) и (r, R) для жертвы и вымогателя соответственно. После чего в целевой системе генерируется симметричный ключ H(R · v), v уничтожается, а V добавляется к вымогательской записке. Мошенники потом могут восстановить ключ H(r · V). Оффлайновый ECDH.
И зоопарк симметричных шифров. ChaCha/Salsa разной степени испорченности и даже экзотика вроде Sosemanuk. Не понимают глупые, что проблема у них даже не в том, что они пытались потоковый шифр использовать в режиме ECB (это на самом деле очень смешная шутка), и не в скорости самого примитива, а в fseek/fread вместо MMIO.
А вот взрослые дяди иногда поражают своей оторватостью. Вспомнился отличный пост Мэттью Грина, в котором он описывает смарт-контракт на рансомварь. Или даже полностью автоматическую систему, которая принуждает людей творить херню без участия оператора (но для этого нужны секретные смарт-контракты, таких пока нет).
Но самое смешное, в том, что кучка недорослей-блекарей без опыта и образования гнет целые отрасли народного хозяйства и вызывает баттхерт трехбуквенных агентств и Белого Дома. В удивительное время мы живем, удивительное...
Комитет 1̶6̶ ̶ ̶я̶н̶в̶а̶р̶я̶ цифровой трансформации не унимается. Хотят и SIM-ки по паспорту https://bit.ly/3CquWQu и реестр IMEI https://bit.ly/2VS16oD Так как никаких возражений от участников комитета я не видел, то видимо, они поддерживают озалупливание населения единогласно. Список депутатов-дегенератов продвигающих массовую слежку и коррупцию: Федієнко (этот однозначно "за"), Васильєв, Крячко, Ларін, Подгорна, Соха, Чернєв, Штепа https://t.me/ruheight/909
Как выяснилось Арьев и Рудик не только не в курсе этих инициатив, но и против симок по паспорту, и я хотел бы их поблагодарить за четкую позицию и извиниться за провокативный стиль поста. Остальные пока молчат.
Как выяснилось Арьев и Рудик не только не в курсе этих инициатив, но и против симок по паспорту, и я хотел бы их поблагодарить за четкую позицию и извиниться за провокативный стиль поста. Остальные пока молчат.
С большим интересом наблюдаю за ходом мошенничества на выборах в госдуру. Даже авториатарный путинский режим пытается создать хотя бы видимость легитимности власти. В этот раз помимо традиционного фрода, используются передовые технологии и протестный уг-фрод. В отличии от московских выборов, цифровая система ДЭГ довольно проста.
Пользователь заходит в ЕСИА (у нас это называется ІСЕІ и они уже пропустили левую цифровую подпись "Байдена Джо") и там его сверяют со списками избирателей (что ставит под угрозу целостность списков). Всем выдается одинаковый "бюллетень". Дырявый броузер пользователя генерирует ключевую пару RSA. Случайный ключ пользователя подписывается сервером "вслепую". Сервер знает пользователя, но не видит, что подписывает.
(s' = r * m^d mod n (s - слепая подпись, r - случайное число, e, n - открытый ключ, d - закрытый ключ). Чтобы снять blinding factor нужно просто разделить результат на "r" (или что тоже самое умножить на обратный элемент в Z/nZ), чтобы получить не-слепую подпись s: s = s' * r^-1 = m^d * r^{e * d} * r^{-1) = m^d * r / r = m ^ d C которой пользователь уходит голосовать в другое место, якобы независимое от гос. мафии. И наконец-то результаты добавляются в блохчейн)
Что конечно же никак не может помешать "Регистратору" создать миллион левых ключей, а избирательной комиссии пошаманить с блокчейном или просто объявить нечестный результат, независящий от подсчета голосов. Рядовому избирателю ничего непонятно, а наблюдатели могут посмотреть на весело перемигивающиеся лампочки, в каждой из которых отражаются рубиновые звезды кремля.
Потому нужно посмотреть на российские потуги и отказаться от автоматического мошенничества. Существующая бумажная система - децентрализованна и находится под контролем наблюдателей, присматривающих за тем, чтобы "cast as intended" и "counted as cast", что затрудняет широкомасштабный автоматизированный фрод. Есть вещи, которые в ней можно и нужно улучшить, но явно не блокчейном. Это вобще вопрос доверия, а не технологий.
А если комиссия выгонит наблюдателей и напишет нужный результат вместо подсчитанного? Тогда в ход идет RLA (аудит снижения рисков) Почитать можно здесь https://bit.ly/3AxeopK ("A Gentle Introduction to Risk-limiting Audits"). Только что провел небольшую симуляцию, дано: миллион избирателей и кандидат, который побеждает с 60% голосов. Для того, чтобы подтвердить его победу с вероятностью ошибки 1% в среднем понадобится проверить вручную 150 бюллетеней.
Если зловредная избирательная комиссия припишет победителю 20% вместо 60%, то тот же самый метод выявит фрод после проверки 12 бюллетеней, выбранных на удачу. 12 из миллиона. После чего начинается пересчет голосов под камеру, а наряд полиции позвякивает наручниками и смотрит на комиссию неодобрительно. У статистики есть свои чудеса, ничем не уступающие квантумным блокчейнам.
Выборы штука сложная. Но люди ищут "простые решения" там, где они не нужны и спотыкаются на элементарных вещах. Есть неплохие книжки на эту тему https://bit.ly/3EzbNhq А выборы в Интернете - вредная и опасная утопия. На сегодняшний день специалисты (и по выборам и по безопасности) сходятся в том, что провести выборы онлайн, удовлетворяющие требованиям Конституции невозможно. Нихт. Нет такого способа.
🎵 So, without further ado, and by way of endorsing my candidacy, the Soggy Bottom Boys is gonna lead us all in a chorus of "You Are My Sunshine"
Пользователь заходит в ЕСИА (у нас это называется ІСЕІ и они уже пропустили левую цифровую подпись "Байдена Джо") и там его сверяют со списками избирателей (что ставит под угрозу целостность списков). Всем выдается одинаковый "бюллетень". Дырявый броузер пользователя генерирует ключевую пару RSA. Случайный ключ пользователя подписывается сервером "вслепую". Сервер знает пользователя, но не видит, что подписывает.
(s' = r * m^d mod n (s - слепая подпись, r - случайное число, e, n - открытый ключ, d - закрытый ключ). Чтобы снять blinding factor нужно просто разделить результат на "r" (или что тоже самое умножить на обратный элемент в Z/nZ), чтобы получить не-слепую подпись s: s = s' * r^-1 = m^d * r^{e * d} * r^{-1) = m^d * r / r = m ^ d C которой пользователь уходит голосовать в другое место, якобы независимое от гос. мафии. И наконец-то результаты добавляются в блохчейн)
Что конечно же никак не может помешать "Регистратору" создать миллион левых ключей, а избирательной комиссии пошаманить с блокчейном или просто объявить нечестный результат, независящий от подсчета голосов. Рядовому избирателю ничего непонятно, а наблюдатели могут посмотреть на весело перемигивающиеся лампочки, в каждой из которых отражаются рубиновые звезды кремля.
Потому нужно посмотреть на российские потуги и отказаться от автоматического мошенничества. Существующая бумажная система - децентрализованна и находится под контролем наблюдателей, присматривающих за тем, чтобы "cast as intended" и "counted as cast", что затрудняет широкомасштабный автоматизированный фрод. Есть вещи, которые в ней можно и нужно улучшить, но явно не блокчейном. Это вобще вопрос доверия, а не технологий.
А если комиссия выгонит наблюдателей и напишет нужный результат вместо подсчитанного? Тогда в ход идет RLA (аудит снижения рисков) Почитать можно здесь https://bit.ly/3AxeopK ("A Gentle Introduction to Risk-limiting Audits"). Только что провел небольшую симуляцию, дано: миллион избирателей и кандидат, который побеждает с 60% голосов. Для того, чтобы подтвердить его победу с вероятностью ошибки 1% в среднем понадобится проверить вручную 150 бюллетеней.
Если зловредная избирательная комиссия припишет победителю 20% вместо 60%, то тот же самый метод выявит фрод после проверки 12 бюллетеней, выбранных на удачу. 12 из миллиона. После чего начинается пересчет голосов под камеру, а наряд полиции позвякивает наручниками и смотрит на комиссию неодобрительно. У статистики есть свои чудеса, ничем не уступающие квантумным блокчейнам.
Выборы штука сложная. Но люди ищут "простые решения" там, где они не нужны и спотыкаются на элементарных вещах. Есть неплохие книжки на эту тему https://bit.ly/3EzbNhq А выборы в Интернете - вредная и опасная утопия. На сегодняшний день специалисты (и по выборам и по безопасности) сходятся в том, что провести выборы онлайн, удовлетворяющие требованиям Конституции невозможно. Нихт. Нет такого способа.
🎵 So, without further ado, and by way of endorsing my candidacy, the Soggy Bottom Boys is gonna lead us all in a chorus of "You Are My Sunshine"
У истории с Kaseya появилось интересное продолжение. В июле вымогатели REvil напали на производителя софта Kaseya, софт используется MSP - компаниями, которые поддерживают IT-инфраструктуру своих клиентов. Идеальная позиция для supply chain атаки. К примеру, вслед за Касеей прилегла на недельку сеть шведских супермаркетов.
Об уязвимости вендор знал с апреля месяца, их предупредил голандский DIVD CSIRT. Спустя две недели после атаки Касея выпустила пресс-релиз о том, что риволам они не платили и у них есть утилита для расшифровки. Сами REvil повалили свою инфраструктуру и затаились. Конспирология цвела буйным цветом, вплоть до теорий о десанте американских кибервойск прямо в кремль и результативности переговоров между Путиным и Байденом. В августе универсальный расшифровщик выпустил Bitdefender, опять-таки без каких-либо пояснений.
Разгадку вчера нашел сенатский комитет по национальной безопасности. ФБР нашли и скопировали злодейский сервер вместе с ключами, и держали ключи, чтобы не спугнуть вымогателей. Получилось как в анекдоте - и зайцев не спас и перед партизанами неудобно.
Особенно насмешила отмазка директора Кристофера Рея о том, что "требуется тщательное тестирование и проверка, чтобы убедиться в том, что [ключи] действительно делают то, что должны делать. И большая инженерная работа по разработке приложения [для расшифровки]". У Эмисофт, которые писали расшифровщик для Касеи на проверку ушло десять минут. А "большую инженерную работу" они оценили в четыре человеко-часа.
Учитывая, что в среднем интеллектуальные возможности вымогателей колеблются где-то между тумбочкой и табуреткой, то полагаю, что ривол получил доступ к zeroday-эксплоитам и вовремя спрыгнул в результате утечек. Это не совпадение. Что как бы напоминает еще и о том, что со стратегией противодействия вымогателям что-то сильно пошло не так.
Об уязвимости вендор знал с апреля месяца, их предупредил голандский DIVD CSIRT. Спустя две недели после атаки Касея выпустила пресс-релиз о том, что риволам они не платили и у них есть утилита для расшифровки. Сами REvil повалили свою инфраструктуру и затаились. Конспирология цвела буйным цветом, вплоть до теорий о десанте американских кибервойск прямо в кремль и результативности переговоров между Путиным и Байденом. В августе универсальный расшифровщик выпустил Bitdefender, опять-таки без каких-либо пояснений.
Разгадку вчера нашел сенатский комитет по национальной безопасности. ФБР нашли и скопировали злодейский сервер вместе с ключами, и держали ключи, чтобы не спугнуть вымогателей. Получилось как в анекдоте - и зайцев не спас и перед партизанами неудобно.
Особенно насмешила отмазка директора Кристофера Рея о том, что "требуется тщательное тестирование и проверка, чтобы убедиться в том, что [ключи] действительно делают то, что должны делать. И большая инженерная работа по разработке приложения [для расшифровки]". У Эмисофт, которые писали расшифровщик для Касеи на проверку ушло десять минут. А "большую инженерную работу" они оценили в четыре человеко-часа.
Учитывая, что в среднем интеллектуальные возможности вымогателей колеблются где-то между тумбочкой и табуреткой, то полагаю, что ривол получил доступ к zeroday-эксплоитам и вовремя спрыгнул в результате утечек. Это не совпадение. Что как бы напоминает еще и о том, что со стратегией противодействия вымогателям что-то сильно пошло не так.