На днях правительство решило осчастливить бизнес новыми вольностями - разрешить использовать цифровые подписи на флешках вместо аппаратных ключей (6085 - про внесення змін до Податкового кодексу України щодо електронної ідентифікації та електронних довірчих послуг". Давайте представим на секундочку, что в правительстве сидят люди с IQ чуть выше комнатной температуры и поговорим о ключах, подписях и инфраструктуре, которая обслуживает все это цифровое великолепие.
Посмотрите на картинку. Ключ - это просто два больших числа, одно из них (секретное) необходимо хранить в строжайшей тайне (его нельзя класть под облачный коврик, в паку "Завантаження" или отдавать кому-то на хранение, ни один бит не должен из него утечь), с его помощью можно сгенерировать подпись. Второе число (pub) необходимо для проверки. Это просто числа связанные друг с другом математическими законами, но не с вами - на них нигде не написано, что они ваши. Вы можете сгенерировать таких пар одну, десять, а если подождать пару секунд, то и миллион.
Когда шифрование с открытыми ключами пошло в народ, люди прекрасно об этом помнили и обменивались ключами при личной встрече. Точно так же и сейчас мы можем составить документ о том, что мы взаимно признаем публичные ключи XX:XX... и YY:YY... как принадлежащие ТОВ "Рога" и ТОВ "Копыта", действующих на основании устава... и что все документы ими подписанные имеют ту же силу, что и бумажные. Подписать циферки перьевой ручкой и поставить сверху высококачественную мокрую печать. В двух экземплярах.
Проблемы возникают, когда мы не можем встретиться лично. Тогда нам нужен посредник, которому доверяют и "Рога" и "Копыта". Пусть он по очереди убедиться, что ключ X - рогатый, а ключ Y - копытный, и выдаст нам подписанный документ, можно сразу электронный, а свой публичный ключ Certificate Authority (или на юридическом сленге ЦСК) пусть опубликует в газете и мамой поклянется, что не будет заверять ключи на чужое имя, а свой секретный ключ хранить в сейфе с недреманными автоматчиками и видеонаблюдением.
Мы еще не дошли до целительной роли государства в увлекательном процессе сертификации ключей, а уже возникают очень неприятные вопросы к ЦСК "Дырявожопов и сыновья". Что значит "мамой клянется", а что, блядь, если нет у него никакой мамы и сам он выращен в пробирке рептилоидами нам на погибель? Но ведь "замочки" на сайтах как-то работают? В том-то и дело, что "как-то". В список проблемных CA попадали Thawte, StartCom, Comodo, DigiNotar, TurkTrust, NICCA, CNNIC, WoSign, Symantec, Certinomis, GoDaddy и даже всеми любимый Let's Encrypt. Оправились от дыр и взломов чуть менее, чем все.
Но вернемся в родные палестины. Закон о цифровой подписи приняли у нас в 2007 году. А уникальный (переводится как "ни с чем не совместимый") стандарт подписей в 2002. В основном для того, чтобы подавать отчетность в налоговую. Зачем для налоговой отчетности нужен полноценный PKI, с аккредитацией ЦСК (которые стали АЦСК), и привязкой ключей к паспорту никто не думал. На границе тучи ходят хмуро. Мышь не проскочит. Хотя хватило бы "личного кабинета" на сайте, с паролем выдаваемым в оффлайне.
Но можно и цифровую подпись, ради бога. А чтобы её не потеряли и не украли - засунем ее в специальный крипто-токен. Отечественный производителей в лице ІІТ и Автор, я полагаю, вполне доволен уникальностью украинских стандартов. Естественно, бизнес не оценил всего великолепия державной регуляции и стал ныть, что тридцать долларов за ключ слишком дорого. Да, и неудобно, вместо того, чтобы выписать "электронный приказ" о том, что функции бухгалтера исполняет компания "Счетоводов и Ко", приходится отдавать им личные ключи. USB-хабы опять-таки дорожают.
Ладно, правительство пошло на встречу и разрешило хранить ключи в файлах, и даже получать в онлайне без полной идентификации. И даже АЦСК стали чуть менее аккредитованными, их перестали нагибать проверками, потому что "нельзя кошмарить бизнес". Пока речь шла об отчетности все работало не то чтобы правильно, но вполне терпимо. Пока глаза отдельных чиновников не засветились божественным эстонским светом.
Посмотрите на картинку. Ключ - это просто два больших числа, одно из них (секретное) необходимо хранить в строжайшей тайне (его нельзя класть под облачный коврик, в паку "Завантаження" или отдавать кому-то на хранение, ни один бит не должен из него утечь), с его помощью можно сгенерировать подпись. Второе число (pub) необходимо для проверки. Это просто числа связанные друг с другом математическими законами, но не с вами - на них нигде не написано, что они ваши. Вы можете сгенерировать таких пар одну, десять, а если подождать пару секунд, то и миллион.
Когда шифрование с открытыми ключами пошло в народ, люди прекрасно об этом помнили и обменивались ключами при личной встрече. Точно так же и сейчас мы можем составить документ о том, что мы взаимно признаем публичные ключи XX:XX... и YY:YY... как принадлежащие ТОВ "Рога" и ТОВ "Копыта", действующих на основании устава... и что все документы ими подписанные имеют ту же силу, что и бумажные. Подписать циферки перьевой ручкой и поставить сверху высококачественную мокрую печать. В двух экземплярах.
Проблемы возникают, когда мы не можем встретиться лично. Тогда нам нужен посредник, которому доверяют и "Рога" и "Копыта". Пусть он по очереди убедиться, что ключ X - рогатый, а ключ Y - копытный, и выдаст нам подписанный документ, можно сразу электронный, а свой публичный ключ Certificate Authority (или на юридическом сленге ЦСК) пусть опубликует в газете и мамой поклянется, что не будет заверять ключи на чужое имя, а свой секретный ключ хранить в сейфе с недреманными автоматчиками и видеонаблюдением.
Мы еще не дошли до целительной роли государства в увлекательном процессе сертификации ключей, а уже возникают очень неприятные вопросы к ЦСК "Дырявожопов и сыновья". Что значит "мамой клянется", а что, блядь, если нет у него никакой мамы и сам он выращен в пробирке рептилоидами нам на погибель? Но ведь "замочки" на сайтах как-то работают? В том-то и дело, что "как-то". В список проблемных CA попадали Thawte, StartCom, Comodo, DigiNotar, TurkTrust, NICCA, CNNIC, WoSign, Symantec, Certinomis, GoDaddy и даже всеми любимый Let's Encrypt. Оправились от дыр и взломов чуть менее, чем все.
Но вернемся в родные палестины. Закон о цифровой подписи приняли у нас в 2007 году. А уникальный (переводится как "ни с чем не совместимый") стандарт подписей в 2002. В основном для того, чтобы подавать отчетность в налоговую. Зачем для налоговой отчетности нужен полноценный PKI, с аккредитацией ЦСК (которые стали АЦСК), и привязкой ключей к паспорту никто не думал. На границе тучи ходят хмуро. Мышь не проскочит. Хотя хватило бы "личного кабинета" на сайте, с паролем выдаваемым в оффлайне.
Но можно и цифровую подпись, ради бога. А чтобы её не потеряли и не украли - засунем ее в специальный крипто-токен. Отечественный производителей в лице ІІТ и Автор, я полагаю, вполне доволен уникальностью украинских стандартов. Естественно, бизнес не оценил всего великолепия державной регуляции и стал ныть, что тридцать долларов за ключ слишком дорого. Да, и неудобно, вместо того, чтобы выписать "электронный приказ" о том, что функции бухгалтера исполняет компания "Счетоводов и Ко", приходится отдавать им личные ключи. USB-хабы опять-таки дорожают.
Ладно, правительство пошло на встречу и разрешило хранить ключи в файлах, и даже получать в онлайне без полной идентификации. И даже АЦСК стали чуть менее аккредитованными, их перестали нагибать проверками, потому что "нельзя кошмарить бизнес". Пока речь шла об отчетности все работало не то чтобы правильно, но вполне терпимо. Пока глаза отдельных чиновников не засветились божественным эстонским светом.
Теперь с помощью цифровой подписи можно получить документы и открыть счет в банке. Еще пару месяцев назад можно было даже кредит оформить, потом МФО от этой кормушки отключили. Возможности открываются неимоверные, куда той Эстонии! Обычный банковский троян может наворовать нам подписей, ставим на перебор, и как показывает утечка LinkedIn ломаем 60% всех паролей. Открываем дебетовые счета на левых людей, а то и юрлица и начинаем гонять грязный кеш. А терпилы, налоговая и полиция пусть с этим ебутся как хотят.
Это уже не говоря о том, как по указанию Офиса Президента один из АЦСК подписал ключ "Байдена Джо", а до этого несколько лет назад другой АЦСК выдал сертификат на имя Руслана Рябошапки. Им изначально верить было нельзя. Не говоря уже про ключ Тупицкого и ключи нотариусов, от которых они потом отказываются в суде. И получается, что инфраструктура ключей у нас несовершенна технически, и сломана организационно. И если вам гопник на улице выдает расписку о том, что он вас не ограбил, а взял во временное пользование, то ценность такого документа невелика.
Немного привести эту систему в чувство, я полагаю можно. Передовую науку из ДСТУ можно поставить на службу национальной безопасности, а простым людям разрешить пользоваться ECDSA. Количество технических решений и конкуренция между ними возрастет стремительно. Обязать АЦСК подписывать ключи исключительно в личном присутствии, с бумажным следом. Вплоть до фотографий с бумагой, на которой напечатан публичный ключ
Самый доступный аппаратный носитель ключей это не "Алмаз", не "Кристалл", и даже не мобильный телефон (который надежным хранилищем никогда не был) и уж тем более не облако, а новые загран. и внутренние паспорта. Там внутри Infineon SLE78, который умеет самостоятельно генерировать ключи, и из которого крайне сложно достать секретную часть. Такой же как и в эстонских ID-картах. А еще цифровыми подписями нужно пользоваться там, где они нужны - для подписания документов.
В данный момент PKI в Украине безнадежно сломан, а ключи на флешках его окончательно превратят в такой балаган, что ни о каком доверии не может быть и речи.
Это уже не говоря о том, как по указанию Офиса Президента один из АЦСК подписал ключ "Байдена Джо", а до этого несколько лет назад другой АЦСК выдал сертификат на имя Руслана Рябошапки. Им изначально верить было нельзя. Не говоря уже про ключ Тупицкого и ключи нотариусов, от которых они потом отказываются в суде. И получается, что инфраструктура ключей у нас несовершенна технически, и сломана организационно. И если вам гопник на улице выдает расписку о том, что он вас не ограбил, а взял во временное пользование, то ценность такого документа невелика.
Немного привести эту систему в чувство, я полагаю можно. Передовую науку из ДСТУ можно поставить на службу национальной безопасности, а простым людям разрешить пользоваться ECDSA. Количество технических решений и конкуренция между ними возрастет стремительно. Обязать АЦСК подписывать ключи исключительно в личном присутствии, с бумажным следом. Вплоть до фотографий с бумагой, на которой напечатан публичный ключ
Самый доступный аппаратный носитель ключей это не "Алмаз", не "Кристалл", и даже не мобильный телефон (который надежным хранилищем никогда не был) и уж тем более не облако, а новые загран. и внутренние паспорта. Там внутри Infineon SLE78, который умеет самостоятельно генерировать ключи, и из которого крайне сложно достать секретную часть. Такой же как и в эстонских ID-картах. А еще цифровыми подписями нужно пользоваться там, где они нужны - для подписания документов.
В данный момент PKI в Украине безнадежно сломан, а ключи на флешках его окончательно превратят в такой балаган, что ни о каком доверии не может быть и речи.
В отличии от очень важного государственного софта в моей родной области "obscurity" иногда играет даже более важную роль, чем "security". Самый простой способ искать компьютерные вирусы - сигнатурный. Ищем достаточно уникальную строку в теле вируса, вроде "Your PC is now Stoned!" и добавляем её в антиврусную базу. По сути дела антивирус своего рода программа для поиска строк на стероидах, grep-переросток.
В конце восьмидесятых авторы вирусов научились писать самомодифицирующися код, который состоял из случайно составленного расшифровщика и "зашифрованной" тушки. Ценилась не стойкость "шифра", а количество различных вариантов расшифровщика. "Шифр" состоял из случайных обратимых операций - сложение, вычитание, xor и циклические сдвиги. На самом деле обратимы еще и умножение/деление (для нечетных чисел) и сложение, вычитание и xor со сдвигом (x = x op (x << k)), об этом и о многом другом вирусописатели тогда не подозревали потому, что "настоящие кодеры пишут на асме" и "математика программистам не нужна". Я тоже одно время так думал, но с тех пор чистосердечно раскаялся и твердо встал на путь исправления.
Эйверы в ответ освоили регулярные выражения и эмуляцию. Очень смешно было, когда Касперский пытался эмулировать мертвый цикл. Так как количество функционально-идентичных программ бесконечно, и алгоритма для поиска эквивалентных программ не существует, то антивирусы не самый эффективный способ защиты.
Тем не менее, по мере роста сложности полиморфных и метаморфных "движков" антивирусы обзавелись полноценными тьюринг-полными фильтрами (куски кода в базе) и другими довольно интересными фичами, как поиск морфизмов в графах вызовов.
А потом все резко изменилось, с появлением массовой коммерческой мальвари, оказалось что гораздо проще руками добавлять в мальварь навесную защиту (на сленге "криптор") и прогонять его через антивирусную ферму, чтобы не было детектов. По сути дела, кодер сбивающий детекты имитирует полиморфный движок. И с обеих сторон широко применяется автоматика. Настолько же тупорылая, как и их авторы, которые по сути дела фаззят друг друга. Деградация продолжается, я даже как-то встретил одну украинскую компанию, которая спустя тридцать лет заново изобрела поведенческие блокировки и обещает всем защиту от зеродеев.
И захотелось мне чего-нибудь простого, в духе старой школы. Перебрал несколько вариантов и решил что-нибудь сделать с кодированием Хаффмана. Чтобы сжать сообщение Хаффманом в начале нужно посчитать частоту каждого символа и добавить символы в двоичное дерево, в котором самые часто встречающиеся символы висят повыше (ближе к корню), а более редкие глубже, затем нужно просто найти символ двигаясь от корня вниз, запоминая повороты (налево - ноль, направо - один). Как только мы дошли до нужного символа запомненные нули и единички и есть код, для часто встречающихся символов он короткий, а для редких длинный.
Этой замечательной штуке уже семьдесят лет, и о ней рассказывают в институте. Можно его разогнать многократно таблицами и автоматами (как в ZSTD), но суть не в этом. Алгоритму все равно, что мы используем нули или единицы. Любые две ветки дерева можно поменять местами и коеффициент сжатия от этого не изменится, зато изменится код. Если менять ветки местами, то получится 2^n вариантов (где n - количество внутренних узлов), общее количество вариантов задается числом Каталана (но не все из них оптимальны, оптимальность сохраняется, если переставлять символы местами на одном уровне вложенности).
А собственно и все, на результат "полиморфного сжатия" можно посмотреть тут https://twitter.com/vx_herm1t/status/1444972910972706816
В конце восьмидесятых авторы вирусов научились писать самомодифицирующися код, который состоял из случайно составленного расшифровщика и "зашифрованной" тушки. Ценилась не стойкость "шифра", а количество различных вариантов расшифровщика. "Шифр" состоял из случайных обратимых операций - сложение, вычитание, xor и циклические сдвиги. На самом деле обратимы еще и умножение/деление (для нечетных чисел) и сложение, вычитание и xor со сдвигом (x = x op (x << k)), об этом и о многом другом вирусописатели тогда не подозревали потому, что "настоящие кодеры пишут на асме" и "математика программистам не нужна". Я тоже одно время так думал, но с тех пор чистосердечно раскаялся и твердо встал на путь исправления.
Эйверы в ответ освоили регулярные выражения и эмуляцию. Очень смешно было, когда Касперский пытался эмулировать мертвый цикл. Так как количество функционально-идентичных программ бесконечно, и алгоритма для поиска эквивалентных программ не существует, то антивирусы не самый эффективный способ защиты.
Тем не менее, по мере роста сложности полиморфных и метаморфных "движков" антивирусы обзавелись полноценными тьюринг-полными фильтрами (куски кода в базе) и другими довольно интересными фичами, как поиск морфизмов в графах вызовов.
А потом все резко изменилось, с появлением массовой коммерческой мальвари, оказалось что гораздо проще руками добавлять в мальварь навесную защиту (на сленге "криптор") и прогонять его через антивирусную ферму, чтобы не было детектов. По сути дела, кодер сбивающий детекты имитирует полиморфный движок. И с обеих сторон широко применяется автоматика. Настолько же тупорылая, как и их авторы, которые по сути дела фаззят друг друга. Деградация продолжается, я даже как-то встретил одну украинскую компанию, которая спустя тридцать лет заново изобрела поведенческие блокировки и обещает всем защиту от зеродеев.
И захотелось мне чего-нибудь простого, в духе старой школы. Перебрал несколько вариантов и решил что-нибудь сделать с кодированием Хаффмана. Чтобы сжать сообщение Хаффманом в начале нужно посчитать частоту каждого символа и добавить символы в двоичное дерево, в котором самые часто встречающиеся символы висят повыше (ближе к корню), а более редкие глубже, затем нужно просто найти символ двигаясь от корня вниз, запоминая повороты (налево - ноль, направо - один). Как только мы дошли до нужного символа запомненные нули и единички и есть код, для часто встречающихся символов он короткий, а для редких длинный.
Этой замечательной штуке уже семьдесят лет, и о ней рассказывают в институте. Можно его разогнать многократно таблицами и автоматами (как в ZSTD), но суть не в этом. Алгоритму все равно, что мы используем нули или единицы. Любые две ветки дерева можно поменять местами и коеффициент сжатия от этого не изменится, зато изменится код. Если менять ветки местами, то получится 2^n вариантов (где n - количество внутренних узлов), общее количество вариантов задается числом Каталана (но не все из них оптимальны, оптимальность сохраняется, если переставлять символы местами на одном уровне вложенности).
А собственно и все, на результат "полиморфного сжатия" можно посмотреть тут https://twitter.com/vx_herm1t/status/1444972910972706816
Октябрь замечательное время года. Особенно два года назад. На табло аэропорта появляются всякие интересные надписи. В Пидорполицию, а затем и в Служба Бакланов Украины наползают всякие мутные решалы из эКономических отделов. И сидим мы, как-то с Tim "У Хромого Пола", отдыхаем и спокойно отвыпиваем односолодовый по поводу, который никак нельзя ни подтвердить, ни опровергнуть. И тут мимо проходит кое-кто из конторы.
А надо вам сказать, что у каждого есть знакомый в СБУ, а многие еще и знают, что этот знакомый "из этих". Чтобы сохранить в тайне "цели и методы" защитников национальной безопасности, придумаем ему какое-нибудь прозвище. Например, "начальник второго управления департамента контррозвідувального захисту інтересів держави у сфері інформаційної безпеки, но это слишком длинно, потому сократим конспиративный позывной до "Артема Викторовича". Главное, друзья, конспирация!
После всяких вздохов, экивоков и светского small talk, надо вам сказать небезыинтересного, Артем Викторович переходит с места в карьер и говорит: а давайте, пацаны, воровать деньги на России? Меня всегда радовал полет фантазии конторских. Учитывая их нежную душевную организацию, он был послан на хуй (и для гендерного баланса в пизду) не сразу, а на следующий день и довольно тактично.
А психика у этих не только нежная, но и крайне ранимая. Иногда говоришь ласково и почти любя: "Пошел нахуй, полковник", а тебе после этого и мышка-наружка и лягушка-прослушка - полный теремок неприятностей, иногда довольно неожиданных. Год прошел с той занимательной беседы, и начинают нам приходить письма из всех державных учреждений, какие только есть. Следователи по особо важным делам звонят и жаждут вызвать "Шона Таунсенда" для дачи показаний по скромной делюге на четыре миллиарда гривен. Попытались таким образом втравить в непонятное. Послушайте, где я, а где те миллиарды?
Еще предлагаю вызвать Винни-Пуха, Робин Гуда и Питера Пена. Накосячила конечно контора с этими письмами страшно. Тоньшее нужно работать, господа, гораздо тоньшее. Там очень много ошибок (и отнюдь не граматических). Ребятки, я понимаю - контрабанда, наркоторговля, вымогательство и кардинг, но лжесвидетельство? Дача заведомо ложных показаний от чужого имени? Фу такими быть.
А надо вам сказать, что у каждого есть знакомый в СБУ, а многие еще и знают, что этот знакомый "из этих". Чтобы сохранить в тайне "цели и методы" защитников национальной безопасности, придумаем ему какое-нибудь прозвище. Например, "начальник второго управления департамента контррозвідувального захисту інтересів держави у сфері інформаційної безпеки, но это слишком длинно, потому сократим конспиративный позывной до "Артема Викторовича". Главное, друзья, конспирация!
После всяких вздохов, экивоков и светского small talk, надо вам сказать небезыинтересного, Артем Викторович переходит с места в карьер и говорит: а давайте, пацаны, воровать деньги на России? Меня всегда радовал полет фантазии конторских. Учитывая их нежную душевную организацию, он был послан на хуй (и для гендерного баланса в пизду) не сразу, а на следующий день и довольно тактично.
А психика у этих не только нежная, но и крайне ранимая. Иногда говоришь ласково и почти любя: "Пошел нахуй, полковник", а тебе после этого и мышка-наружка и лягушка-прослушка - полный теремок неприятностей, иногда довольно неожиданных. Год прошел с той занимательной беседы, и начинают нам приходить письма из всех державных учреждений, какие только есть. Следователи по особо важным делам звонят и жаждут вызвать "Шона Таунсенда" для дачи показаний по скромной делюге на четыре миллиарда гривен. Попытались таким образом втравить в непонятное. Послушайте, где я, а где те миллиарды?
Еще предлагаю вызвать Винни-Пуха, Робин Гуда и Питера Пена. Накосячила конечно контора с этими письмами страшно. Тоньшее нужно работать, господа, гораздо тоньшее. Там очень много ошибок (и отнюдь не граматических). Ребятки, я понимаю - контрабанда, наркоторговля, вымогательство и кардинг, но лжесвидетельство? Дача заведомо ложных показаний от чужого имени? Фу такими быть.
Читая твиттер, наткнулся у Метта Блейза на дивную шпионскую историю https://twitter.com/mattblaze/status/1447305069888692225, которая в очередной раз напоминает о том, что opsec - это сложно.
Инженер из Аннаполиса, с допуском к секретам, который восемь лет работал над разработкой новых подводных лодок класса Вирджиния решил продаться другой стране. План был неплох - TOR, ProtonMail обмен ключами по почте (обычной бумажной), Monero в качестве оплаты.
Вся его переписка так и пестрит специфическим сленгом - "Алиса и Боб", "противник". Есть несколько любопытных моментов. Первый пакет с документами и инструкциями он отправил в апреле 2020, а СТРАНА_1 (Блейз предполагает, что это могла быть Франция) отдала документы легату в декабре, уже после того, как прошли выборы президента. И сдали ли бы они wannabe-шпиона в случае победы Трампа - большой вопрос.
Дальше с Джонатаном общались агенты ФБР, которые постепенно убедили его отказаться от электронного общения в пользу традиционных "закладок". Убеждали долго. Естественно, что после того как предатель пришел на выбранную не им закладку, конец был немного предсказуем. Если бы он настоял на своем первоначальном плане или хотя бы сам выбирал закладки, то ловили бы его годами, если бы поймали вобще.
Инженер из Аннаполиса, с допуском к секретам, который восемь лет работал над разработкой новых подводных лодок класса Вирджиния решил продаться другой стране. План был неплох - TOR, ProtonMail обмен ключами по почте (обычной бумажной), Monero в качестве оплаты.
Вся его переписка так и пестрит специфическим сленгом - "Алиса и Боб", "противник". Есть несколько любопытных моментов. Первый пакет с документами и инструкциями он отправил в апреле 2020, а СТРАНА_1 (Блейз предполагает, что это могла быть Франция) отдала документы легату в декабре, уже после того, как прошли выборы президента. И сдали ли бы они wannabe-шпиона в случае победы Трампа - большой вопрос.
Дальше с Джонатаном общались агенты ФБР, которые постепенно убедили его отказаться от электронного общения в пользу традиционных "закладок". Убеждали долго. Естественно, что после того как предатель пришел на выбранную не им закладку, конец был немного предсказуем. Если бы он настоял на своем первоначальном плане или хотя бы сам выбирал закладки, то ловили бы его годами, если бы поймали вобще.
GitHub отзывает часть ssh-ключей из-за смешного криптофакапа в библиотеке keypair. Системный стойкий CSPRNG им оказался не по нраву, и поэтому они прикрутили свой AES-CMAC, а чтобы выбрать для него начальное значение используют, что? Системный CSPRNG. Но он не вызывается из-за того, что случайно присвоили переменной crypto значение null.
Но библиотека не сдается. Если что-то пошло не так с CSPRNG, то в ход идет старый добрый Лемер (LCG), инициализированный из Math.random(), что уже само по себе баг, но еще относительно терпимый (random() в броузере это как правило xorshift128). Но потом получившуюся строку преобразовали в число дважды, и получилось 96.5% нулей, и оставшиеся байты - числа от единицы до девяти.
Смеялся. Давайте, roll your own! )))
https://securitylab.github.com/advisories/GHSL-2021-1012-keypair/
Но библиотека не сдается. Если что-то пошло не так с CSPRNG, то в ход идет старый добрый Лемер (LCG), инициализированный из Math.random(), что уже само по себе баг, но еще относительно терпимый (random() в броузере это как правило xorshift128). Но потом получившуюся строку преобразовали в число дважды, и получилось 96.5% нулей, и оставшиеся байты - числа от единицы до девяти.
Смеялся. Давайте, roll your own! )))
https://securitylab.github.com/advisories/GHSL-2021-1012-keypair/
В августе недоразумение, которое стало президентом Украины сдуру пообещало кибервойска, и вчера министерство обороны провело круглый стол. Я вздыхал, закатывал глаза, увеличивал скорость до 1.25, потом до 1.50 и все-таки досмотрел почти двухчасовой припадок столоверчения. Представитель СНБО сразу сказала, что мы могли бы завалить шпротами все NATO, но нет сырья и кадров, довольно кратко и исчерпывающе, за что я ей искренне благодарен. На чем можно было и закончить.
Некоторые фигуры речи меня немного подбешивали, вроде "гибридной агрессии" и "потенциального противника". У нас оккупированы три области. То для NATO угроза гибридная, а для Украины - реальная, я не вижу ничего "гибридного" в двух армейских корпусах и других частях российской армии. Видимо это связанно с тем, что так как тема для попила относительно свежая, готовились кибервоеваки по западным доктринам.
Ребята, никакие западные доктрины вам не помогут. Потому что службы и подразделения, которые сейчас на западе объединяются в новое командование формировались по итогам двух мировых войн. Это восемьдесят лет проб, ошибок и постепенного прогресса, не говоря уже об институциональной памяти. РФ постепенно вернулась к своему советскому кгбшному наследию, что для Украины тоже неприемлемо. Одним словом, в таком виде - не взлетит #киберхуета
Некоторые фигуры речи меня немного подбешивали, вроде "гибридной агрессии" и "потенциального противника". У нас оккупированы три области. То для NATO угроза гибридная, а для Украины - реальная, я не вижу ничего "гибридного" в двух армейских корпусах и других частях российской армии. Видимо это связанно с тем, что так как тема для попила относительно свежая, готовились кибервоеваки по западным доктринам.
Ребята, никакие западные доктрины вам не помогут. Потому что службы и подразделения, которые сейчас на западе объединяются в новое командование формировались по итогам двух мировых войн. Это восемьдесят лет проб, ошибок и постепенного прогресса, не говоря уже об институциональной памяти. РФ постепенно вернулась к своему советскому кгбшному наследию, что для Украины тоже неприемлемо. Одним словом, в таком виде - не взлетит #киберхуета
Как точно подметил комрад grugq: меньше всего в ransomware интересно само ransomware. Все интересно - экономика, политика, операционный и бизнес-менеджемент. Буквально все, кроме самих атак. По ссылке 219 строк чистого беспримесного зла - потекший код вымогателя Babuk
https://pastebin.com/E9HdHZmg
Ничего более отвратительного я в жизни не видывал, за такое нужно смело ставить тройку с минусом. Программа copy, которая копирует файлы из папки в папку сложнее и интереснее, чем тот высер школьной мысли. Или ценное "хаккерское" руководство (Conti) о том, как утаскивать пароли из файла "пароли.txt". https://bit.ly/3mQMteL С граматическими ошибками и ценными замечаниями как отличить админа от дворника.
Между тем Белый Дом планирует провести саммит в зуме с тридцатью странами участницами (кроме России), и отдельно передает индивидуальные послания (только России) о том, что "нужно же что-то делать". И действительно, что-то очень сильно пошло не так, если кучка недоумков с ворохом говноскриптов (буквально) набегает на целые сектора экономики.
https://pastebin.com/E9HdHZmg
Ничего более отвратительного я в жизни не видывал, за такое нужно смело ставить тройку с минусом. Программа copy, которая копирует файлы из папки в папку сложнее и интереснее, чем тот высер школьной мысли. Или ценное "хаккерское" руководство (Conti) о том, как утаскивать пароли из файла "пароли.txt". https://bit.ly/3mQMteL С граматическими ошибками и ценными замечаниями как отличить админа от дворника.
Между тем Белый Дом планирует провести саммит в зуме с тридцатью странами участницами (кроме России), и отдельно передает индивидуальные послания (только России) о том, что "нужно же что-то делать". И действительно, что-то очень сильно пошло не так, если кучка недоумков с ворохом говноскриптов (буквально) набегает на целые сектора экономики.
Надо вам сказать, что тяжелые формы IT-индуцированного кретинизма встречаются не только в странах третьего мира. В начале пандемии была очень популярна идея отслеживания контактов, и многие прямо-таки мечтали запердолить виртуальный полицейский браслет каждому в телефон.
Вмешались Apple и Google, так как торговля частной жизнью пользователей их основной бизнес, и реализовали ту же фичу в анонимизированном виде. Британская NHS решила все-таки выкатить свою систему слежки, и приложение предсказуемо не смогло работать. Потраченными деньгами сейчас очень интересуется парламент.
Впрочем, яблочным гуглагом тоже никто не пользуется. Не смотря на сотни миллионов скачиваний и сотни тысяч отчетов её эффект близок к нулевому. Недостаточно ещё народишко дисциплинированный, чтобы самостоятельно за собой следить и докладывать куда следует. Мрачное цифровое будущее еще не наступило, еще есть куда падать.
Очередной цирк в смартфоне NHS устроила с сертификатами. Во-первых, они хвала Brexit, не совместимы с европейскими. А, во-вторых, они как британская империя централизованы. И когда неожиданно прилег хостинг-провайдер (думаю это был OVH). То все (предсказуемо) перестало работать, и многих людей поснимали с самолетов.
И в Европе их ждут приключения с суверенными медсправками, так что некоторые предусмотрительно загружают их во французское приложение, чтобы было хоть что-то что можно показать, потому что не смотря на наличие цифровых подписей, что это такое, как им пользоваться, как проверять, и что будет, если нет - все эти вопросы находятся далеко за пределами общественного бессознательного. "Ты мне наци-анальное приложение покажи, а не куаром тыкай".
Если бы подобную систему делал я, то я бы данные о вакцинации записал бы в CSV и добавил бы цифровую подпись, с новым МОЗ-ключом подписанным CA, выдающим международные паспорта, чтобы использовать уже работающую инфраструктуру ICAO (Международная организация гражданской авиации).
И выдавал бы тот всратый код сразу после прививки. А для тех у кого принтер бумагу зажевал - сайт, на котором для получения кода нужно ввести имя и дату рождения. А не головой вертеть и смартфон к жопе прикладывать. Почему?
Объясняю. Потому что внутри кода тоже имя и дата рождения, и от того что NSA, GCHQ и хакер по кличке Бледная Выпь узнают о том, что я вакцинирован файзером мне не холодно и не жарко. И если NSA, GCHQ и хакер Бледная Выпь знают мое имя и дату рождения, то они уже знают имя и дату моего рождения и сертификат им для этого не нужен.
Сохранять в wallet, в папку "Завантаження" - куда угодно, но не онлайн, черт его дери.
Но понять разницу между посадочным талоном и мед. справкой нелегко. Даже NHS не справляется. Не говоря уже про наших отечественных долбоебов, у которых скоро туалетная бумага тоже будет в смартфоне, с цифровой подписью ДСТУ, фискальным чеком ПРРО и вусмерть заебавшей плашкой фейсбука о том, что вакцинация безопасна (для тех у кого нет противопоказаний) #GoogLAG
Вмешались Apple и Google, так как торговля частной жизнью пользователей их основной бизнес, и реализовали ту же фичу в анонимизированном виде. Британская NHS решила все-таки выкатить свою систему слежки, и приложение предсказуемо не смогло работать. Потраченными деньгами сейчас очень интересуется парламент.
Впрочем, яблочным гуглагом тоже никто не пользуется. Не смотря на сотни миллионов скачиваний и сотни тысяч отчетов её эффект близок к нулевому. Недостаточно ещё народишко дисциплинированный, чтобы самостоятельно за собой следить и докладывать куда следует. Мрачное цифровое будущее еще не наступило, еще есть куда падать.
Очередной цирк в смартфоне NHS устроила с сертификатами. Во-первых, они хвала Brexit, не совместимы с европейскими. А, во-вторых, они как британская империя централизованы. И когда неожиданно прилег хостинг-провайдер (думаю это был OVH). То все (предсказуемо) перестало работать, и многих людей поснимали с самолетов.
И в Европе их ждут приключения с суверенными медсправками, так что некоторые предусмотрительно загружают их во французское приложение, чтобы было хоть что-то что можно показать, потому что не смотря на наличие цифровых подписей, что это такое, как им пользоваться, как проверять, и что будет, если нет - все эти вопросы находятся далеко за пределами общественного бессознательного. "Ты мне наци-анальное приложение покажи, а не куаром тыкай".
Если бы подобную систему делал я, то я бы данные о вакцинации записал бы в CSV и добавил бы цифровую подпись, с новым МОЗ-ключом подписанным CA, выдающим международные паспорта, чтобы использовать уже работающую инфраструктуру ICAO (Международная организация гражданской авиации).
И выдавал бы тот всратый код сразу после прививки. А для тех у кого принтер бумагу зажевал - сайт, на котором для получения кода нужно ввести имя и дату рождения. А не головой вертеть и смартфон к жопе прикладывать. Почему?
Объясняю. Потому что внутри кода тоже имя и дата рождения, и от того что NSA, GCHQ и хакер по кличке Бледная Выпь узнают о том, что я вакцинирован файзером мне не холодно и не жарко. И если NSA, GCHQ и хакер Бледная Выпь знают мое имя и дату рождения, то они уже знают имя и дату моего рождения и сертификат им для этого не нужен.
Сохранять в wallet, в папку "Завантаження" - куда угодно, но не онлайн, черт его дери.
Но понять разницу между посадочным талоном и мед. справкой нелегко. Даже NHS не справляется. Не говоря уже про наших отечественных долбоебов, у которых скоро туалетная бумага тоже будет в смартфоне, с цифровой подписью ДСТУ, фискальным чеком ПРРО и вусмерть заебавшей плашкой фейсбука о том, что вакцинация безопасна (для тех у кого нет противопоказаний) #GoogLAG
Восьмого сентября Служба Брелков Украины радостно отчиталась о том, что, цитирую: "СБУ припинила діяльність зловмисників, які торгували програмами для зламування WhatsApp, Viber і Telegram" https://bit.ly/3lGTGOR Сегодня Anton Brenner рассказал о том, что "шпионский софт" контора искала именно у него https://bit.ly/3FR6Y3q
Как я понимаю, чекисты пришли в Софткей и заказали канадский "Softactivity Monitor" - программа для контроля за сотрудниками. Видимо, договора на поставку софта им оказалось мало, и чтобы посильнее надавить на Антона и компанию, в которой он работает, СБУ провели обыски у него дома, у его жены и на работе. Я даже не знаю, что именно они расчитывали найти?
Склады с лицензионными ключами? Их это не волнует. "Стаття 359. Незаконні придбання, збут або використання спеціальних технічних засобів отримання інформації" - злочин проти авторитету органів державної влади. Если у правопохоронных органов есть какой-то "авторитет" и его можно подорвать с помощью софта, то может ну его нахер такие "органы"?
Эта статья - полное и окончательное безобразие, от которого уже пострадали тысячи людей и компаний. За копечные брелки с камерами. GPS-маячки для автомобилей. Радио-няни. Программки родительского контроля и контроля сотрудников. Все эти страшные приспособления подрывают авторитет нашей всратой власти и СБУ в особенности.
Надеюсь, что Антон сможет отбиться от придурков в погонах, и две безумные статьи криминализующие софт (359 и 361-1) будут отменены https://t.me/ruheight/939
Как я понимаю, чекисты пришли в Софткей и заказали канадский "Softactivity Monitor" - программа для контроля за сотрудниками. Видимо, договора на поставку софта им оказалось мало, и чтобы посильнее надавить на Антона и компанию, в которой он работает, СБУ провели обыски у него дома, у его жены и на работе. Я даже не знаю, что именно они расчитывали найти?
Склады с лицензионными ключами? Их это не волнует. "Стаття 359. Незаконні придбання, збут або використання спеціальних технічних засобів отримання інформації" - злочин проти авторитету органів державної влади. Если у правопохоронных органов есть какой-то "авторитет" и его можно подорвать с помощью софта, то может ну его нахер такие "органы"?
Эта статья - полное и окончательное безобразие, от которого уже пострадали тысячи людей и компаний. За копечные брелки с камерами. GPS-маячки для автомобилей. Радио-няни. Программки родительского контроля и контроля сотрудников. Все эти страшные приспособления подрывают авторитет нашей всратой власти и СБУ в особенности.
Надеюсь, что Антон сможет отбиться от придурков в погонах, и две безумные статьи криминализующие софт (359 и 361-1) будут отменены https://t.me/ruheight/939
Задорно проходит месяц осведомленности о кибербезопасности в штате Миссури. Журналист Сент-Луис Пост-Диспетч зашел на сайт местного департамента образования (DESE) открыл код страницы и нашел там номера социального страхования всех работников в закодированном виде. В base64 скорее всего или может ROT13. Security through obscurity во всей красе.
Газета немного задержала материал, чтобы уведомить власти. Реакция со стороны губернатора Майка Парсона - классическая, то есть дикая до невменяемости. Он тут же наказал полиции и прокуратуре начать расследование в отношении журналиста.
Тред настолько нечеловечески прекрасен, что его бесполезно перессказывать, лучше читать целиком и полностью https://twitter.com/GovParsonMO/status/1448697768311132160 Там и про "хакерство" (посредством просмотра исходного кода страницы) и про ущерб в 50 миллионов долларов, и естественно, ноль ответственности.
Картинка просто так. От нашего министерства образования и науки после того, как они оставили пароль администратора на веб-странице я давно уже ничего не жду.
Газета немного задержала материал, чтобы уведомить власти. Реакция со стороны губернатора Майка Парсона - классическая, то есть дикая до невменяемости. Он тут же наказал полиции и прокуратуре начать расследование в отношении журналиста.
Тред настолько нечеловечески прекрасен, что его бесполезно перессказывать, лучше читать целиком и полностью https://twitter.com/GovParsonMO/status/1448697768311132160 Там и про "хакерство" (посредством просмотра исходного кода страницы) и про ущерб в 50 миллионов долларов, и естественно, ноль ответственности.
Картинка просто так. От нашего министерства образования и науки после того, как они оставили пароль администратора на веб-странице я давно уже ничего не жду.
Когда мне скучно, я иду на страницу Міністерство охорони здоров'я, чтобы посмотреть, как там поживает страна самого читающего в мире мороженого? Так себе и представляю, как перед заколоченным окошком с вывеской "выдача трупов с 9 до 12" застенчиво переминается с ноги на ногу интеллигенция, и тихонько спрашивают друг у друга будут ли сегодня давать вторую зенеку? Неказистые мужички черным ногтем царапают свои смартфоны в заскорузлых ладонях, в поисках незнакомых иностранных слов. И тут над толпой взвивается глубокий бабий вой, переходящий в визг: "Люу-у-у-уди, а ведь вохцина-то, вохцина не настоящая-яя!! Нетестированна-а-я!!!". Над толпой бассовитым колоколом гудит недвольство: "Уууу... Брехняяя..." Очень люблю наш народ. Особенно издалека.
Я уже как-то писал про продавцов змеиного масла из Crown Sterling https://bit.ly/3pfRT5P, когда они торжественно взломали ключ RSA длиной 256 бит (с сегодняшней техникой это можно представить, как поединок между чемпионом в тяжелом весе и недокормленным детсадовцем, минимальная длина в RSA challenge 330 бит, и RSA-100 взломали в 1991 году, тогда это было достижение). И они не унимаются.
"Надвигающаяся угроза квантовых компьютеров толкает нас к новым парадигмам", "Предсказуемые последовательности ранее неизвестные в теории чисел", "Наше шифрование использует иррациональные числа и машинное обучение", "одноразовый блокнот на суверенных токенах", "от квантово-устойчивого шифрования к блокчейн экосистеме". Цитаты с их говносайта. В этот раз они выпустили техническую статью и это непрерывный ор. Баньши в темных лесах прикрывают уши, выпи и опоссумы разбегаются в разные стороны.
Начинают они с "правильной" генерации ключей. Программно конечно (а этого не стоит делать https://bit.ly/3vrsW8y). Особенно классно собирать движения мышью на роутере или в виртуалке. Но дальше начинается магия. Как вам должны были рассказывать в школе, квадратный корень целого числа или целое число или иррациональное (его нельзя представить в виде простой дроби). Потом с помощью квадратных корней и тригонометрии CS портят полученную случайность и достают из десятичных разложений чисел случайные куски.
Есть несколько неприятностей. Во-первых, неизвестно являются ли ираациональные числа нормальными (любая последовательность встречается в нормальном числе с равной вероятностью), во-вторых, даже если они нормальные, то количество знаков после запятой, которые нужно пропустить должно быть сопоставимо с 2^n (где n - уровень безопасности), что находится далеко за пределами возможного. То есть они ослабили свои два килобита случайных чисел бит до 30 максимум. И им этого показалось мало.
Есть такая штука, как генератор случайных чисел Блюма, Блюма и Шуба, он напоминает RSA: x_{i+1} = {x_i}^2 mod m, где m произведение двух простых чисел. Его стойкость основана на том, что для того, чтобы посчитать квадратный корень нужно разложить число m на множители. Стерлинги решили испортить и его и используют в качестве модуля произведение двух своих не очень рациональных чисел. У них есть очень неплохие шансы начать генерировать очень длинные и очень случайные последовательности из 3, 5, 7, 11... элементов.
Потом, как это ни странно в ход идет ECDH (как он работает авторы видимо не понимают и потому самостоятельно выбрать параметры кривой не смогли, а жаль), после стандартного обмена ключами Диффи-Хелмана, получившийся общий ключ переводится в десятичную систему из него снова извлекаются корни в случайных местах, и свалка получившегося говна называется "одноразовый блокнот". Естественно, что это не одноразовый блокнот, а крайне безобразный потоковый шифр с очень низкой стойкостью. На операции "reverse XOR" я уже просто охрип. Больше постквантовых иррациональных блохчейнов по ссылке https://www.crownsterling.io/wp-content/uploads/2021/09/Crown-Sterling-Lite-Paper-.pdf
Эталонный образец змеиного масла, надеюсь, что их следующий шаг - заключить договор с Министерством цифровой трансформации. Similis simili gaudet
"Надвигающаяся угроза квантовых компьютеров толкает нас к новым парадигмам", "Предсказуемые последовательности ранее неизвестные в теории чисел", "Наше шифрование использует иррациональные числа и машинное обучение", "одноразовый блокнот на суверенных токенах", "от квантово-устойчивого шифрования к блокчейн экосистеме". Цитаты с их говносайта. В этот раз они выпустили техническую статью и это непрерывный ор. Баньши в темных лесах прикрывают уши, выпи и опоссумы разбегаются в разные стороны.
Начинают они с "правильной" генерации ключей. Программно конечно (а этого не стоит делать https://bit.ly/3vrsW8y). Особенно классно собирать движения мышью на роутере или в виртуалке. Но дальше начинается магия. Как вам должны были рассказывать в школе, квадратный корень целого числа или целое число или иррациональное (его нельзя представить в виде простой дроби). Потом с помощью квадратных корней и тригонометрии CS портят полученную случайность и достают из десятичных разложений чисел случайные куски.
Есть несколько неприятностей. Во-первых, неизвестно являются ли ираациональные числа нормальными (любая последовательность встречается в нормальном числе с равной вероятностью), во-вторых, даже если они нормальные, то количество знаков после запятой, которые нужно пропустить должно быть сопоставимо с 2^n (где n - уровень безопасности), что находится далеко за пределами возможного. То есть они ослабили свои два килобита случайных чисел бит до 30 максимум. И им этого показалось мало.
Есть такая штука, как генератор случайных чисел Блюма, Блюма и Шуба, он напоминает RSA: x_{i+1} = {x_i}^2 mod m, где m произведение двух простых чисел. Его стойкость основана на том, что для того, чтобы посчитать квадратный корень нужно разложить число m на множители. Стерлинги решили испортить и его и используют в качестве модуля произведение двух своих не очень рациональных чисел. У них есть очень неплохие шансы начать генерировать очень длинные и очень случайные последовательности из 3, 5, 7, 11... элементов.
Потом, как это ни странно в ход идет ECDH (как он работает авторы видимо не понимают и потому самостоятельно выбрать параметры кривой не смогли, а жаль), после стандартного обмена ключами Диффи-Хелмана, получившийся общий ключ переводится в десятичную систему из него снова извлекаются корни в случайных местах, и свалка получившегося говна называется "одноразовый блокнот". Естественно, что это не одноразовый блокнот, а крайне безобразный потоковый шифр с очень низкой стойкостью. На операции "reverse XOR" я уже просто охрип. Больше постквантовых иррациональных блохчейнов по ссылке https://www.crownsterling.io/wp-content/uploads/2021/09/Crown-Sterling-Lite-Paper-.pdf
Эталонный образец змеиного масла, надеюсь, что их следующий шаг - заключить договор с Министерством цифровой трансформации. Similis simili gaudet
Когда я листаю материалы уголовного дела, которое Служба безпеки, Кіберполіція и Національна поліція сфабриковали против Андрей, Alexandr и меня два года назад, мне вспоминается картина Брейгеля старшего "Безумная Грета". Между отдельными персонажами (из бесенят рангом пониже) и упырями в погонах есть бесспорное сходство. Пожалуй, стоит рассказать историю еще раз.
Два года назад, в сентябре Перевезий нашел несколько уязвимостей в аэропорту "Одесса", о чем написал несколько постов, в которых поямнул и пидорполицию и службу брелков. Критическая инфраструктура и все такое. В сети 80[.]90.238.0 и сейчас все не слава богу, но то их личные половые трудности. 16 октября, какой-то неизвестный шутник вывел на табло аэропорта мемасик про Грету Тунберг, куда она может сходить и все-такое. Я с прохладцей отношусь к борьбе за глобальное потепление, но на маленьких девочек не нападаю.
С невиданной ранее скоростью, в аэропорту тут же появились сотрудники ДКИБ СБУ, и не смотря на сопротивление персонала, без какого-либо оформления и понятых порылись в компьютерах аэропорта. Как они сами пишут: "используя имеющиеся оперативные возможности". О чем составили аналитическую записку. В ней они ошиблись в написании имени "GretTa" (sic!), и с тех пор эта опечатка присутствует во всех без исключения документах.
Уже на следующий день полиция возбудилась и производство было внесено в ЄРДР за номером 12019160470003222, по чатье 361 ч. 1 (взлом). Скорость просто изумительная, иногда уходят месяцы на суды, чтобы открыть производство, а тут: "Опа!" Опрос свидетелей (сотрудников ODS) тоже проводила "контора". Как это ни удивительно, но спросить у провайдера с каких IP-адресов обращались кк серверу 80[.]90.238.2 никто и не думал, зато свидетелям 24-го числа (!) уже задавали вопросы знают ли они "пользователей фейсбука Андрей Перевезий и Sean Brian Townsend?", не иначе в хрустальный шар посмотрели. На всякий случай полиция попросила осмотреть наши фейсбучные страницы.
И тут начинается прелюбопытная дичь. В моих постах мудаков из контрразведки заинтересовали не столько "взломы", сколько "угрозы действующему президенту Украины", да Володимир Зеленський это про вас, а так же "оскорбления президента" и наконец-то призывы к маршу неповиновения президенту (это про марш 14 октября на деньзащитника Украины). С чего я должен повиноваться президенту, теряюсь в догадках.
В качестве "бесспорного доказательства" моей причастности к "Грете" (именно так пишется имя, СБУ, записывайте): "відомості із ознаками несанкціонованного втручання в роботу мережі аеропорту Боріспіль, а саме публікацію "я что-то нажал и все зависло" із фотографією табло з написом "Disc read error occured". Помимо орфографической ошибки, сообщение говорит не о взломе, а о том что посыпался диск.
К черту орфографию! Дело заведено об аэропорте Одесса, а фото якобы из аэропорта Борисполь. Проблема в том, что фото не из Борисполя, а из аэропорта София, но возвращался я действительно через KBP (так что базу погранцов дернули по поводу моих перемещений). Если вы видели зону прибытия в терминале "F", то там не то что с табло и лайтбоксами, там с туалетами проблема.
Что конечно не помешало мусорам уже 6 ноября получить ордера на НСРД (негласні (слідчі) розшукові дії), в просторечии - прослушка телефонов. И за несколько месяцев прослушки и наблюдения не нашли ровным счетом ничего. К тому времени дело самым загадочным образом изменило свою квалификацию на часть вторую (группа лиц) и к списку подозреваемых добавился Саша Галущенко (он в "день Греты" был в Милане)
Шли месяцы, бурная деятельность начала протекать, и нам мышка нашептала, что столичная полиция планирует внедриться в нашу чудо-организацию с помощью совместной попойки. Отличный план. Надежный, как швейцарские часы. Мы даже прикидывали кого из журналистов позвать, чтобы встречали на выходе и спрашивали как прошла вербовка? Видимо решили не рисковать, и...
Два года назад, в сентябре Перевезий нашел несколько уязвимостей в аэропорту "Одесса", о чем написал несколько постов, в которых поямнул и пидорполицию и службу брелков. Критическая инфраструктура и все такое. В сети 80[.]90.238.0 и сейчас все не слава богу, но то их личные половые трудности. 16 октября, какой-то неизвестный шутник вывел на табло аэропорта мемасик про Грету Тунберг, куда она может сходить и все-такое. Я с прохладцей отношусь к борьбе за глобальное потепление, но на маленьких девочек не нападаю.
С невиданной ранее скоростью, в аэропорту тут же появились сотрудники ДКИБ СБУ, и не смотря на сопротивление персонала, без какого-либо оформления и понятых порылись в компьютерах аэропорта. Как они сами пишут: "используя имеющиеся оперативные возможности". О чем составили аналитическую записку. В ней они ошиблись в написании имени "GretTa" (sic!), и с тех пор эта опечатка присутствует во всех без исключения документах.
Уже на следующий день полиция возбудилась и производство было внесено в ЄРДР за номером 12019160470003222, по чатье 361 ч. 1 (взлом). Скорость просто изумительная, иногда уходят месяцы на суды, чтобы открыть производство, а тут: "Опа!" Опрос свидетелей (сотрудников ODS) тоже проводила "контора". Как это ни удивительно, но спросить у провайдера с каких IP-адресов обращались кк серверу 80[.]90.238.2 никто и не думал, зато свидетелям 24-го числа (!) уже задавали вопросы знают ли они "пользователей фейсбука Андрей Перевезий и Sean Brian Townsend?", не иначе в хрустальный шар посмотрели. На всякий случай полиция попросила осмотреть наши фейсбучные страницы.
И тут начинается прелюбопытная дичь. В моих постах мудаков из контрразведки заинтересовали не столько "взломы", сколько "угрозы действующему президенту Украины", да Володимир Зеленський это про вас, а так же "оскорбления президента" и наконец-то призывы к маршу неповиновения президенту (это про марш 14 октября на деньзащитника Украины). С чего я должен повиноваться президенту, теряюсь в догадках.
В качестве "бесспорного доказательства" моей причастности к "Грете" (именно так пишется имя, СБУ, записывайте): "відомості із ознаками несанкціонованного втручання в роботу мережі аеропорту Боріспіль, а саме публікацію "я что-то нажал и все зависло" із фотографією табло з написом "Disc read error occured". Помимо орфографической ошибки, сообщение говорит не о взломе, а о том что посыпался диск.
К черту орфографию! Дело заведено об аэропорте Одесса, а фото якобы из аэропорта Борисполь. Проблема в том, что фото не из Борисполя, а из аэропорта София, но возвращался я действительно через KBP (так что базу погранцов дернули по поводу моих перемещений). Если вы видели зону прибытия в терминале "F", то там не то что с табло и лайтбоксами, там с туалетами проблема.
Что конечно не помешало мусорам уже 6 ноября получить ордера на НСРД (негласні (слідчі) розшукові дії), в просторечии - прослушка телефонов. И за несколько месяцев прослушки и наблюдения не нашли ровным счетом ничего. К тому времени дело самым загадочным образом изменило свою квалификацию на часть вторую (группа лиц) и к списку подозреваемых добавился Саша Галущенко (он в "день Греты" был в Милане)
Шли месяцы, бурная деятельность начала протекать, и нам мышка нашептала, что столичная полиция планирует внедриться в нашу чудо-организацию с помощью совместной попойки. Отличный план. Надежный, как швейцарские часы. Мы даже прикидывали кого из журналистов позвать, чтобы встречали на выходе и спрашивали как прошла вербовка? Видимо решили не рисковать, и...