GitHub отзывает часть ssh-ключей из-за смешного криптофакапа в библиотеке keypair. Системный стойкий CSPRNG им оказался не по нраву, и поэтому они прикрутили свой AES-CMAC, а чтобы выбрать для него начальное значение используют, что? Системный CSPRNG. Но он не вызывается из-за того, что случайно присвоили переменной crypto значение null.
Но библиотека не сдается. Если что-то пошло не так с CSPRNG, то в ход идет старый добрый Лемер (LCG), инициализированный из Math.random(), что уже само по себе баг, но еще относительно терпимый (random() в броузере это как правило xorshift128). Но потом получившуюся строку преобразовали в число дважды, и получилось 96.5% нулей, и оставшиеся байты - числа от единицы до девяти.
Смеялся. Давайте, roll your own! )))
https://securitylab.github.com/advisories/GHSL-2021-1012-keypair/
Но библиотека не сдается. Если что-то пошло не так с CSPRNG, то в ход идет старый добрый Лемер (LCG), инициализированный из Math.random(), что уже само по себе баг, но еще относительно терпимый (random() в броузере это как правило xorshift128). Но потом получившуюся строку преобразовали в число дважды, и получилось 96.5% нулей, и оставшиеся байты - числа от единицы до девяти.
Смеялся. Давайте, roll your own! )))
https://securitylab.github.com/advisories/GHSL-2021-1012-keypair/
В августе недоразумение, которое стало президентом Украины сдуру пообещало кибервойска, и вчера министерство обороны провело круглый стол. Я вздыхал, закатывал глаза, увеличивал скорость до 1.25, потом до 1.50 и все-таки досмотрел почти двухчасовой припадок столоверчения. Представитель СНБО сразу сказала, что мы могли бы завалить шпротами все NATO, но нет сырья и кадров, довольно кратко и исчерпывающе, за что я ей искренне благодарен. На чем можно было и закончить.
Некоторые фигуры речи меня немного подбешивали, вроде "гибридной агрессии" и "потенциального противника". У нас оккупированы три области. То для NATO угроза гибридная, а для Украины - реальная, я не вижу ничего "гибридного" в двух армейских корпусах и других частях российской армии. Видимо это связанно с тем, что так как тема для попила относительно свежая, готовились кибервоеваки по западным доктринам.
Ребята, никакие западные доктрины вам не помогут. Потому что службы и подразделения, которые сейчас на западе объединяются в новое командование формировались по итогам двух мировых войн. Это восемьдесят лет проб, ошибок и постепенного прогресса, не говоря уже об институциональной памяти. РФ постепенно вернулась к своему советскому кгбшному наследию, что для Украины тоже неприемлемо. Одним словом, в таком виде - не взлетит #киберхуета
Некоторые фигуры речи меня немного подбешивали, вроде "гибридной агрессии" и "потенциального противника". У нас оккупированы три области. То для NATO угроза гибридная, а для Украины - реальная, я не вижу ничего "гибридного" в двух армейских корпусах и других частях российской армии. Видимо это связанно с тем, что так как тема для попила относительно свежая, готовились кибервоеваки по западным доктринам.
Ребята, никакие западные доктрины вам не помогут. Потому что службы и подразделения, которые сейчас на западе объединяются в новое командование формировались по итогам двух мировых войн. Это восемьдесят лет проб, ошибок и постепенного прогресса, не говоря уже об институциональной памяти. РФ постепенно вернулась к своему советскому кгбшному наследию, что для Украины тоже неприемлемо. Одним словом, в таком виде - не взлетит #киберхуета
Как точно подметил комрад grugq: меньше всего в ransomware интересно само ransomware. Все интересно - экономика, политика, операционный и бизнес-менеджемент. Буквально все, кроме самих атак. По ссылке 219 строк чистого беспримесного зла - потекший код вымогателя Babuk
https://pastebin.com/E9HdHZmg
Ничего более отвратительного я в жизни не видывал, за такое нужно смело ставить тройку с минусом. Программа copy, которая копирует файлы из папки в папку сложнее и интереснее, чем тот высер школьной мысли. Или ценное "хаккерское" руководство (Conti) о том, как утаскивать пароли из файла "пароли.txt". https://bit.ly/3mQMteL С граматическими ошибками и ценными замечаниями как отличить админа от дворника.
Между тем Белый Дом планирует провести саммит в зуме с тридцатью странами участницами (кроме России), и отдельно передает индивидуальные послания (только России) о том, что "нужно же что-то делать". И действительно, что-то очень сильно пошло не так, если кучка недоумков с ворохом говноскриптов (буквально) набегает на целые сектора экономики.
https://pastebin.com/E9HdHZmg
Ничего более отвратительного я в жизни не видывал, за такое нужно смело ставить тройку с минусом. Программа copy, которая копирует файлы из папки в папку сложнее и интереснее, чем тот высер школьной мысли. Или ценное "хаккерское" руководство (Conti) о том, как утаскивать пароли из файла "пароли.txt". https://bit.ly/3mQMteL С граматическими ошибками и ценными замечаниями как отличить админа от дворника.
Между тем Белый Дом планирует провести саммит в зуме с тридцатью странами участницами (кроме России), и отдельно передает индивидуальные послания (только России) о том, что "нужно же что-то делать". И действительно, что-то очень сильно пошло не так, если кучка недоумков с ворохом говноскриптов (буквально) набегает на целые сектора экономики.
Надо вам сказать, что тяжелые формы IT-индуцированного кретинизма встречаются не только в странах третьего мира. В начале пандемии была очень популярна идея отслеживания контактов, и многие прямо-таки мечтали запердолить виртуальный полицейский браслет каждому в телефон.
Вмешались Apple и Google, так как торговля частной жизнью пользователей их основной бизнес, и реализовали ту же фичу в анонимизированном виде. Британская NHS решила все-таки выкатить свою систему слежки, и приложение предсказуемо не смогло работать. Потраченными деньгами сейчас очень интересуется парламент.
Впрочем, яблочным гуглагом тоже никто не пользуется. Не смотря на сотни миллионов скачиваний и сотни тысяч отчетов её эффект близок к нулевому. Недостаточно ещё народишко дисциплинированный, чтобы самостоятельно за собой следить и докладывать куда следует. Мрачное цифровое будущее еще не наступило, еще есть куда падать.
Очередной цирк в смартфоне NHS устроила с сертификатами. Во-первых, они хвала Brexit, не совместимы с европейскими. А, во-вторых, они как британская империя централизованы. И когда неожиданно прилег хостинг-провайдер (думаю это был OVH). То все (предсказуемо) перестало работать, и многих людей поснимали с самолетов.
И в Европе их ждут приключения с суверенными медсправками, так что некоторые предусмотрительно загружают их во французское приложение, чтобы было хоть что-то что можно показать, потому что не смотря на наличие цифровых подписей, что это такое, как им пользоваться, как проверять, и что будет, если нет - все эти вопросы находятся далеко за пределами общественного бессознательного. "Ты мне наци-анальное приложение покажи, а не куаром тыкай".
Если бы подобную систему делал я, то я бы данные о вакцинации записал бы в CSV и добавил бы цифровую подпись, с новым МОЗ-ключом подписанным CA, выдающим международные паспорта, чтобы использовать уже работающую инфраструктуру ICAO (Международная организация гражданской авиации).
И выдавал бы тот всратый код сразу после прививки. А для тех у кого принтер бумагу зажевал - сайт, на котором для получения кода нужно ввести имя и дату рождения. А не головой вертеть и смартфон к жопе прикладывать. Почему?
Объясняю. Потому что внутри кода тоже имя и дата рождения, и от того что NSA, GCHQ и хакер по кличке Бледная Выпь узнают о том, что я вакцинирован файзером мне не холодно и не жарко. И если NSA, GCHQ и хакер Бледная Выпь знают мое имя и дату рождения, то они уже знают имя и дату моего рождения и сертификат им для этого не нужен.
Сохранять в wallet, в папку "Завантаження" - куда угодно, но не онлайн, черт его дери.
Но понять разницу между посадочным талоном и мед. справкой нелегко. Даже NHS не справляется. Не говоря уже про наших отечественных долбоебов, у которых скоро туалетная бумага тоже будет в смартфоне, с цифровой подписью ДСТУ, фискальным чеком ПРРО и вусмерть заебавшей плашкой фейсбука о том, что вакцинация безопасна (для тех у кого нет противопоказаний) #GoogLAG
Вмешались Apple и Google, так как торговля частной жизнью пользователей их основной бизнес, и реализовали ту же фичу в анонимизированном виде. Британская NHS решила все-таки выкатить свою систему слежки, и приложение предсказуемо не смогло работать. Потраченными деньгами сейчас очень интересуется парламент.
Впрочем, яблочным гуглагом тоже никто не пользуется. Не смотря на сотни миллионов скачиваний и сотни тысяч отчетов её эффект близок к нулевому. Недостаточно ещё народишко дисциплинированный, чтобы самостоятельно за собой следить и докладывать куда следует. Мрачное цифровое будущее еще не наступило, еще есть куда падать.
Очередной цирк в смартфоне NHS устроила с сертификатами. Во-первых, они хвала Brexit, не совместимы с европейскими. А, во-вторых, они как британская империя централизованы. И когда неожиданно прилег хостинг-провайдер (думаю это был OVH). То все (предсказуемо) перестало работать, и многих людей поснимали с самолетов.
И в Европе их ждут приключения с суверенными медсправками, так что некоторые предусмотрительно загружают их во французское приложение, чтобы было хоть что-то что можно показать, потому что не смотря на наличие цифровых подписей, что это такое, как им пользоваться, как проверять, и что будет, если нет - все эти вопросы находятся далеко за пределами общественного бессознательного. "Ты мне наци-анальное приложение покажи, а не куаром тыкай".
Если бы подобную систему делал я, то я бы данные о вакцинации записал бы в CSV и добавил бы цифровую подпись, с новым МОЗ-ключом подписанным CA, выдающим международные паспорта, чтобы использовать уже работающую инфраструктуру ICAO (Международная организация гражданской авиации).
И выдавал бы тот всратый код сразу после прививки. А для тех у кого принтер бумагу зажевал - сайт, на котором для получения кода нужно ввести имя и дату рождения. А не головой вертеть и смартфон к жопе прикладывать. Почему?
Объясняю. Потому что внутри кода тоже имя и дата рождения, и от того что NSA, GCHQ и хакер по кличке Бледная Выпь узнают о том, что я вакцинирован файзером мне не холодно и не жарко. И если NSA, GCHQ и хакер Бледная Выпь знают мое имя и дату рождения, то они уже знают имя и дату моего рождения и сертификат им для этого не нужен.
Сохранять в wallet, в папку "Завантаження" - куда угодно, но не онлайн, черт его дери.
Но понять разницу между посадочным талоном и мед. справкой нелегко. Даже NHS не справляется. Не говоря уже про наших отечественных долбоебов, у которых скоро туалетная бумага тоже будет в смартфоне, с цифровой подписью ДСТУ, фискальным чеком ПРРО и вусмерть заебавшей плашкой фейсбука о том, что вакцинация безопасна (для тех у кого нет противопоказаний) #GoogLAG
Восьмого сентября Служба Брелков Украины радостно отчиталась о том, что, цитирую: "СБУ припинила діяльність зловмисників, які торгували програмами для зламування WhatsApp, Viber і Telegram" https://bit.ly/3lGTGOR Сегодня Anton Brenner рассказал о том, что "шпионский софт" контора искала именно у него https://bit.ly/3FR6Y3q
Как я понимаю, чекисты пришли в Софткей и заказали канадский "Softactivity Monitor" - программа для контроля за сотрудниками. Видимо, договора на поставку софта им оказалось мало, и чтобы посильнее надавить на Антона и компанию, в которой он работает, СБУ провели обыски у него дома, у его жены и на работе. Я даже не знаю, что именно они расчитывали найти?
Склады с лицензионными ключами? Их это не волнует. "Стаття 359. Незаконні придбання, збут або використання спеціальних технічних засобів отримання інформації" - злочин проти авторитету органів державної влади. Если у правопохоронных органов есть какой-то "авторитет" и его можно подорвать с помощью софта, то может ну его нахер такие "органы"?
Эта статья - полное и окончательное безобразие, от которого уже пострадали тысячи людей и компаний. За копечные брелки с камерами. GPS-маячки для автомобилей. Радио-няни. Программки родительского контроля и контроля сотрудников. Все эти страшные приспособления подрывают авторитет нашей всратой власти и СБУ в особенности.
Надеюсь, что Антон сможет отбиться от придурков в погонах, и две безумные статьи криминализующие софт (359 и 361-1) будут отменены https://t.me/ruheight/939
Как я понимаю, чекисты пришли в Софткей и заказали канадский "Softactivity Monitor" - программа для контроля за сотрудниками. Видимо, договора на поставку софта им оказалось мало, и чтобы посильнее надавить на Антона и компанию, в которой он работает, СБУ провели обыски у него дома, у его жены и на работе. Я даже не знаю, что именно они расчитывали найти?
Склады с лицензионными ключами? Их это не волнует. "Стаття 359. Незаконні придбання, збут або використання спеціальних технічних засобів отримання інформації" - злочин проти авторитету органів державної влади. Если у правопохоронных органов есть какой-то "авторитет" и его можно подорвать с помощью софта, то может ну его нахер такие "органы"?
Эта статья - полное и окончательное безобразие, от которого уже пострадали тысячи людей и компаний. За копечные брелки с камерами. GPS-маячки для автомобилей. Радио-няни. Программки родительского контроля и контроля сотрудников. Все эти страшные приспособления подрывают авторитет нашей всратой власти и СБУ в особенности.
Надеюсь, что Антон сможет отбиться от придурков в погонах, и две безумные статьи криминализующие софт (359 и 361-1) будут отменены https://t.me/ruheight/939
Задорно проходит месяц осведомленности о кибербезопасности в штате Миссури. Журналист Сент-Луис Пост-Диспетч зашел на сайт местного департамента образования (DESE) открыл код страницы и нашел там номера социального страхования всех работников в закодированном виде. В base64 скорее всего или может ROT13. Security through obscurity во всей красе.
Газета немного задержала материал, чтобы уведомить власти. Реакция со стороны губернатора Майка Парсона - классическая, то есть дикая до невменяемости. Он тут же наказал полиции и прокуратуре начать расследование в отношении журналиста.
Тред настолько нечеловечески прекрасен, что его бесполезно перессказывать, лучше читать целиком и полностью https://twitter.com/GovParsonMO/status/1448697768311132160 Там и про "хакерство" (посредством просмотра исходного кода страницы) и про ущерб в 50 миллионов долларов, и естественно, ноль ответственности.
Картинка просто так. От нашего министерства образования и науки после того, как они оставили пароль администратора на веб-странице я давно уже ничего не жду.
Газета немного задержала материал, чтобы уведомить власти. Реакция со стороны губернатора Майка Парсона - классическая, то есть дикая до невменяемости. Он тут же наказал полиции и прокуратуре начать расследование в отношении журналиста.
Тред настолько нечеловечески прекрасен, что его бесполезно перессказывать, лучше читать целиком и полностью https://twitter.com/GovParsonMO/status/1448697768311132160 Там и про "хакерство" (посредством просмотра исходного кода страницы) и про ущерб в 50 миллионов долларов, и естественно, ноль ответственности.
Картинка просто так. От нашего министерства образования и науки после того, как они оставили пароль администратора на веб-странице я давно уже ничего не жду.
Когда мне скучно, я иду на страницу Міністерство охорони здоров'я, чтобы посмотреть, как там поживает страна самого читающего в мире мороженого? Так себе и представляю, как перед заколоченным окошком с вывеской "выдача трупов с 9 до 12" застенчиво переминается с ноги на ногу интеллигенция, и тихонько спрашивают друг у друга будут ли сегодня давать вторую зенеку? Неказистые мужички черным ногтем царапают свои смартфоны в заскорузлых ладонях, в поисках незнакомых иностранных слов. И тут над толпой взвивается глубокий бабий вой, переходящий в визг: "Люу-у-у-уди, а ведь вохцина-то, вохцина не настоящая-яя!! Нетестированна-а-я!!!". Над толпой бассовитым колоколом гудит недвольство: "Уууу... Брехняяя..." Очень люблю наш народ. Особенно издалека.
Я уже как-то писал про продавцов змеиного масла из Crown Sterling https://bit.ly/3pfRT5P, когда они торжественно взломали ключ RSA длиной 256 бит (с сегодняшней техникой это можно представить, как поединок между чемпионом в тяжелом весе и недокормленным детсадовцем, минимальная длина в RSA challenge 330 бит, и RSA-100 взломали в 1991 году, тогда это было достижение). И они не унимаются.
"Надвигающаяся угроза квантовых компьютеров толкает нас к новым парадигмам", "Предсказуемые последовательности ранее неизвестные в теории чисел", "Наше шифрование использует иррациональные числа и машинное обучение", "одноразовый блокнот на суверенных токенах", "от квантово-устойчивого шифрования к блокчейн экосистеме". Цитаты с их говносайта. В этот раз они выпустили техническую статью и это непрерывный ор. Баньши в темных лесах прикрывают уши, выпи и опоссумы разбегаются в разные стороны.
Начинают они с "правильной" генерации ключей. Программно конечно (а этого не стоит делать https://bit.ly/3vrsW8y). Особенно классно собирать движения мышью на роутере или в виртуалке. Но дальше начинается магия. Как вам должны были рассказывать в школе, квадратный корень целого числа или целое число или иррациональное (его нельзя представить в виде простой дроби). Потом с помощью квадратных корней и тригонометрии CS портят полученную случайность и достают из десятичных разложений чисел случайные куски.
Есть несколько неприятностей. Во-первых, неизвестно являются ли ираациональные числа нормальными (любая последовательность встречается в нормальном числе с равной вероятностью), во-вторых, даже если они нормальные, то количество знаков после запятой, которые нужно пропустить должно быть сопоставимо с 2^n (где n - уровень безопасности), что находится далеко за пределами возможного. То есть они ослабили свои два килобита случайных чисел бит до 30 максимум. И им этого показалось мало.
Есть такая штука, как генератор случайных чисел Блюма, Блюма и Шуба, он напоминает RSA: x_{i+1} = {x_i}^2 mod m, где m произведение двух простых чисел. Его стойкость основана на том, что для того, чтобы посчитать квадратный корень нужно разложить число m на множители. Стерлинги решили испортить и его и используют в качестве модуля произведение двух своих не очень рациональных чисел. У них есть очень неплохие шансы начать генерировать очень длинные и очень случайные последовательности из 3, 5, 7, 11... элементов.
Потом, как это ни странно в ход идет ECDH (как он работает авторы видимо не понимают и потому самостоятельно выбрать параметры кривой не смогли, а жаль), после стандартного обмена ключами Диффи-Хелмана, получившийся общий ключ переводится в десятичную систему из него снова извлекаются корни в случайных местах, и свалка получившегося говна называется "одноразовый блокнот". Естественно, что это не одноразовый блокнот, а крайне безобразный потоковый шифр с очень низкой стойкостью. На операции "reverse XOR" я уже просто охрип. Больше постквантовых иррациональных блохчейнов по ссылке https://www.crownsterling.io/wp-content/uploads/2021/09/Crown-Sterling-Lite-Paper-.pdf
Эталонный образец змеиного масла, надеюсь, что их следующий шаг - заключить договор с Министерством цифровой трансформации. Similis simili gaudet
"Надвигающаяся угроза квантовых компьютеров толкает нас к новым парадигмам", "Предсказуемые последовательности ранее неизвестные в теории чисел", "Наше шифрование использует иррациональные числа и машинное обучение", "одноразовый блокнот на суверенных токенах", "от квантово-устойчивого шифрования к блокчейн экосистеме". Цитаты с их говносайта. В этот раз они выпустили техническую статью и это непрерывный ор. Баньши в темных лесах прикрывают уши, выпи и опоссумы разбегаются в разные стороны.
Начинают они с "правильной" генерации ключей. Программно конечно (а этого не стоит делать https://bit.ly/3vrsW8y). Особенно классно собирать движения мышью на роутере или в виртуалке. Но дальше начинается магия. Как вам должны были рассказывать в школе, квадратный корень целого числа или целое число или иррациональное (его нельзя представить в виде простой дроби). Потом с помощью квадратных корней и тригонометрии CS портят полученную случайность и достают из десятичных разложений чисел случайные куски.
Есть несколько неприятностей. Во-первых, неизвестно являются ли ираациональные числа нормальными (любая последовательность встречается в нормальном числе с равной вероятностью), во-вторых, даже если они нормальные, то количество знаков после запятой, которые нужно пропустить должно быть сопоставимо с 2^n (где n - уровень безопасности), что находится далеко за пределами возможного. То есть они ослабили свои два килобита случайных чисел бит до 30 максимум. И им этого показалось мало.
Есть такая штука, как генератор случайных чисел Блюма, Блюма и Шуба, он напоминает RSA: x_{i+1} = {x_i}^2 mod m, где m произведение двух простых чисел. Его стойкость основана на том, что для того, чтобы посчитать квадратный корень нужно разложить число m на множители. Стерлинги решили испортить и его и используют в качестве модуля произведение двух своих не очень рациональных чисел. У них есть очень неплохие шансы начать генерировать очень длинные и очень случайные последовательности из 3, 5, 7, 11... элементов.
Потом, как это ни странно в ход идет ECDH (как он работает авторы видимо не понимают и потому самостоятельно выбрать параметры кривой не смогли, а жаль), после стандартного обмена ключами Диффи-Хелмана, получившийся общий ключ переводится в десятичную систему из него снова извлекаются корни в случайных местах, и свалка получившегося говна называется "одноразовый блокнот". Естественно, что это не одноразовый блокнот, а крайне безобразный потоковый шифр с очень низкой стойкостью. На операции "reverse XOR" я уже просто охрип. Больше постквантовых иррациональных блохчейнов по ссылке https://www.crownsterling.io/wp-content/uploads/2021/09/Crown-Sterling-Lite-Paper-.pdf
Эталонный образец змеиного масла, надеюсь, что их следующий шаг - заключить договор с Министерством цифровой трансформации. Similis simili gaudet
Когда я листаю материалы уголовного дела, которое Служба безпеки, Кіберполіція и Національна поліція сфабриковали против Андрей, Alexandr и меня два года назад, мне вспоминается картина Брейгеля старшего "Безумная Грета". Между отдельными персонажами (из бесенят рангом пониже) и упырями в погонах есть бесспорное сходство. Пожалуй, стоит рассказать историю еще раз.
Два года назад, в сентябре Перевезий нашел несколько уязвимостей в аэропорту "Одесса", о чем написал несколько постов, в которых поямнул и пидорполицию и службу брелков. Критическая инфраструктура и все такое. В сети 80[.]90.238.0 и сейчас все не слава богу, но то их личные половые трудности. 16 октября, какой-то неизвестный шутник вывел на табло аэропорта мемасик про Грету Тунберг, куда она может сходить и все-такое. Я с прохладцей отношусь к борьбе за глобальное потепление, но на маленьких девочек не нападаю.
С невиданной ранее скоростью, в аэропорту тут же появились сотрудники ДКИБ СБУ, и не смотря на сопротивление персонала, без какого-либо оформления и понятых порылись в компьютерах аэропорта. Как они сами пишут: "используя имеющиеся оперативные возможности". О чем составили аналитическую записку. В ней они ошиблись в написании имени "GretTa" (sic!), и с тех пор эта опечатка присутствует во всех без исключения документах.
Уже на следующий день полиция возбудилась и производство было внесено в ЄРДР за номером 12019160470003222, по чатье 361 ч. 1 (взлом). Скорость просто изумительная, иногда уходят месяцы на суды, чтобы открыть производство, а тут: "Опа!" Опрос свидетелей (сотрудников ODS) тоже проводила "контора". Как это ни удивительно, но спросить у провайдера с каких IP-адресов обращались кк серверу 80[.]90.238.2 никто и не думал, зато свидетелям 24-го числа (!) уже задавали вопросы знают ли они "пользователей фейсбука Андрей Перевезий и Sean Brian Townsend?", не иначе в хрустальный шар посмотрели. На всякий случай полиция попросила осмотреть наши фейсбучные страницы.
И тут начинается прелюбопытная дичь. В моих постах мудаков из контрразведки заинтересовали не столько "взломы", сколько "угрозы действующему президенту Украины", да Володимир Зеленський это про вас, а так же "оскорбления президента" и наконец-то призывы к маршу неповиновения президенту (это про марш 14 октября на деньзащитника Украины). С чего я должен повиноваться президенту, теряюсь в догадках.
В качестве "бесспорного доказательства" моей причастности к "Грете" (именно так пишется имя, СБУ, записывайте): "відомості із ознаками несанкціонованного втручання в роботу мережі аеропорту Боріспіль, а саме публікацію "я что-то нажал и все зависло" із фотографією табло з написом "Disc read error occured". Помимо орфографической ошибки, сообщение говорит не о взломе, а о том что посыпался диск.
К черту орфографию! Дело заведено об аэропорте Одесса, а фото якобы из аэропорта Борисполь. Проблема в том, что фото не из Борисполя, а из аэропорта София, но возвращался я действительно через KBP (так что базу погранцов дернули по поводу моих перемещений). Если вы видели зону прибытия в терминале "F", то там не то что с табло и лайтбоксами, там с туалетами проблема.
Что конечно не помешало мусорам уже 6 ноября получить ордера на НСРД (негласні (слідчі) розшукові дії), в просторечии - прослушка телефонов. И за несколько месяцев прослушки и наблюдения не нашли ровным счетом ничего. К тому времени дело самым загадочным образом изменило свою квалификацию на часть вторую (группа лиц) и к списку подозреваемых добавился Саша Галущенко (он в "день Греты" был в Милане)
Шли месяцы, бурная деятельность начала протекать, и нам мышка нашептала, что столичная полиция планирует внедриться в нашу чудо-организацию с помощью совместной попойки. Отличный план. Надежный, как швейцарские часы. Мы даже прикидывали кого из журналистов позвать, чтобы встречали на выходе и спрашивали как прошла вербовка? Видимо решили не рисковать, и...
Два года назад, в сентябре Перевезий нашел несколько уязвимостей в аэропорту "Одесса", о чем написал несколько постов, в которых поямнул и пидорполицию и службу брелков. Критическая инфраструктура и все такое. В сети 80[.]90.238.0 и сейчас все не слава богу, но то их личные половые трудности. 16 октября, какой-то неизвестный шутник вывел на табло аэропорта мемасик про Грету Тунберг, куда она может сходить и все-такое. Я с прохладцей отношусь к борьбе за глобальное потепление, но на маленьких девочек не нападаю.
С невиданной ранее скоростью, в аэропорту тут же появились сотрудники ДКИБ СБУ, и не смотря на сопротивление персонала, без какого-либо оформления и понятых порылись в компьютерах аэропорта. Как они сами пишут: "используя имеющиеся оперативные возможности". О чем составили аналитическую записку. В ней они ошиблись в написании имени "GretTa" (sic!), и с тех пор эта опечатка присутствует во всех без исключения документах.
Уже на следующий день полиция возбудилась и производство было внесено в ЄРДР за номером 12019160470003222, по чатье 361 ч. 1 (взлом). Скорость просто изумительная, иногда уходят месяцы на суды, чтобы открыть производство, а тут: "Опа!" Опрос свидетелей (сотрудников ODS) тоже проводила "контора". Как это ни удивительно, но спросить у провайдера с каких IP-адресов обращались кк серверу 80[.]90.238.2 никто и не думал, зато свидетелям 24-го числа (!) уже задавали вопросы знают ли они "пользователей фейсбука Андрей Перевезий и Sean Brian Townsend?", не иначе в хрустальный шар посмотрели. На всякий случай полиция попросила осмотреть наши фейсбучные страницы.
И тут начинается прелюбопытная дичь. В моих постах мудаков из контрразведки заинтересовали не столько "взломы", сколько "угрозы действующему президенту Украины", да Володимир Зеленський это про вас, а так же "оскорбления президента" и наконец-то призывы к маршу неповиновения президенту (это про марш 14 октября на деньзащитника Украины). С чего я должен повиноваться президенту, теряюсь в догадках.
В качестве "бесспорного доказательства" моей причастности к "Грете" (именно так пишется имя, СБУ, записывайте): "відомості із ознаками несанкціонованного втручання в роботу мережі аеропорту Боріспіль, а саме публікацію "я что-то нажал и все зависло" із фотографією табло з написом "Disc read error occured". Помимо орфографической ошибки, сообщение говорит не о взломе, а о том что посыпался диск.
К черту орфографию! Дело заведено об аэропорте Одесса, а фото якобы из аэропорта Борисполь. Проблема в том, что фото не из Борисполя, а из аэропорта София, но возвращался я действительно через KBP (так что базу погранцов дернули по поводу моих перемещений). Если вы видели зону прибытия в терминале "F", то там не то что с табло и лайтбоксами, там с туалетами проблема.
Что конечно не помешало мусорам уже 6 ноября получить ордера на НСРД (негласні (слідчі) розшукові дії), в просторечии - прослушка телефонов. И за несколько месяцев прослушки и наблюдения не нашли ровным счетом ничего. К тому времени дело самым загадочным образом изменило свою квалификацию на часть вторую (группа лиц) и к списку подозреваемых добавился Саша Галущенко (он в "день Греты" был в Милане)
Шли месяцы, бурная деятельность начала протекать, и нам мышка нашептала, что столичная полиция планирует внедриться в нашу чудо-организацию с помощью совместной попойки. Отличный план. Надежный, как швейцарские часы. Мы даже прикидывали кого из журналистов позвать, чтобы встречали на выходе и спрашивали как прошла вербовка? Видимо решили не рисковать, и...
25 февраля по всем адресам заваливаются дармоеды - КП, НП и СБУ, вместе с до зубов вооруженным "Кордом". Они на броню столько магазинов навешали будто бы на войну собрались. Я очень благодарен моему адвокату Vadim Kolokolnikov, который здорово умерил пыл правопохоронцев, нарушающих все, что только в силах нарушить.
Расчет, как я понимаю, состоял в том, что мы увидим грозно насупившихся дрыщей из СБУ, испугаемся, заплачем и побежим жаловаться на нашу горькую судьбинушку на Политехнический, 4 (ДКИБ), откуда незадолго до этого поступали недвусмысленные предложения помогать СБУ воровать деньги, и были, естественно, посланы на хуй (и для гендерного разнообразия в пизду).
Вместо этого наша дорогая партия Демократична Сокира обеспечила нам защиту и организовала пресс-конференцию в Интерфаксе. Еще через пару дней вторая прессуха прошла в Верховной Раде, и фракция Європейська Солідарність подписала обращение к генеральному прокурору Рябошапке, на которое ни Рябошапка, ни его преемница Венедиктова не дали себе труда ответить. Только тут до мудачья стало потихоньку доходить, что что-то пошло не так.
Это дело - полная липа, сфабрикованно от начал до конца, цель - запугать оппозицию, поквитаться за свои предыдущие проебы и взять под контроль наглых активистов. Политическое преследование чистой воды. В марте начались суды по аресту имущества. После того как защита раскатала прокуратуру в дурно пахнущий блин, контора надавила на судью и его честь срочно отбыл на больничный. Надеюсь, что с его здоровьем все хорошо.
Однако, обвинения так и не были предъявлены. Вы можете заглянуть в реестр (номер производства в начале поста) и посмотреть на потуги нашей больной фемиды. Николай. Иван. Харитон. Ульяна. Яков. За два года ни мусорье, ни чекисты так и не смогли ничего найти. Не только про аэропорт, совсем ничего. Менялись судьи, следователи, прокуроры. Ноль.
При этом данные из конфискованного у коллеги телефона появлялись в телеграм-каналах, найденные нами данные о российских хакеров всплывали в Москве в "федеральных учреждениях", кто-то писал от моего имени ложные доносы, так что следователи по особо важным делам рвались вызывать "Шона Таунсенда" в качестве свидетеля. И даже какой-то придурочный, который занимался ложными минированиями, внезапно, заявил, что входит в Украинский Киберальянс, после чего звонить начали уже из ДЗНД СБУ. Сделано все было на такой отъебись, что небритые, заросшие зеленой шерстью уши конторы торчали за версту.
Последние судебные решения просто поражают незамутненностью юридической мысли. Из них можно узнать, что прокурор и следователь действуют в интересах друг друга, и о том, как полиция спустя два года собралась проводить радиоразведку (OMFG!) и видеонаблюдение на месте происшествия, где уже даже все сотрудники успели поменяться. И прочие чудеса.
Что я могу сказать? КП, НП, СБУ (под процессуальным руководством прокуратуры) - зловонный бесовской рассадник жадности, глупости, подлости и предательства.
Расчет, как я понимаю, состоял в том, что мы увидим грозно насупившихся дрыщей из СБУ, испугаемся, заплачем и побежим жаловаться на нашу горькую судьбинушку на Политехнический, 4 (ДКИБ), откуда незадолго до этого поступали недвусмысленные предложения помогать СБУ воровать деньги, и были, естественно, посланы на хуй (и для гендерного разнообразия в пизду).
Вместо этого наша дорогая партия Демократична Сокира обеспечила нам защиту и организовала пресс-конференцию в Интерфаксе. Еще через пару дней вторая прессуха прошла в Верховной Раде, и фракция Європейська Солідарність подписала обращение к генеральному прокурору Рябошапке, на которое ни Рябошапка, ни его преемница Венедиктова не дали себе труда ответить. Только тут до мудачья стало потихоньку доходить, что что-то пошло не так.
Это дело - полная липа, сфабрикованно от начал до конца, цель - запугать оппозицию, поквитаться за свои предыдущие проебы и взять под контроль наглых активистов. Политическое преследование чистой воды. В марте начались суды по аресту имущества. После того как защита раскатала прокуратуру в дурно пахнущий блин, контора надавила на судью и его честь срочно отбыл на больничный. Надеюсь, что с его здоровьем все хорошо.
Однако, обвинения так и не были предъявлены. Вы можете заглянуть в реестр (номер производства в начале поста) и посмотреть на потуги нашей больной фемиды. Николай. Иван. Харитон. Ульяна. Яков. За два года ни мусорье, ни чекисты так и не смогли ничего найти. Не только про аэропорт, совсем ничего. Менялись судьи, следователи, прокуроры. Ноль.
При этом данные из конфискованного у коллеги телефона появлялись в телеграм-каналах, найденные нами данные о российских хакеров всплывали в Москве в "федеральных учреждениях", кто-то писал от моего имени ложные доносы, так что следователи по особо важным делам рвались вызывать "Шона Таунсенда" в качестве свидетеля. И даже какой-то придурочный, который занимался ложными минированиями, внезапно, заявил, что входит в Украинский Киберальянс, после чего звонить начали уже из ДЗНД СБУ. Сделано все было на такой отъебись, что небритые, заросшие зеленой шерстью уши конторы торчали за версту.
Последние судебные решения просто поражают незамутненностью юридической мысли. Из них можно узнать, что прокурор и следователь действуют в интересах друг друга, и о том, как полиция спустя два года собралась проводить радиоразведку (OMFG!) и видеонаблюдение на месте происшествия, где уже даже все сотрудники успели поменяться. И прочие чудеса.
Что я могу сказать? КП, НП, СБУ (под процессуальным руководством прокуратуры) - зловонный бесовской рассадник жадности, глупости, подлости и предательства.
Давеча, диевые хвастались тем, что у них теперь документы в "оффлайне" работают. То, что они называют документами - это такие же мурзилкины картинки, как те, за которые сейчас запорожскому пареньку пидорполиция статью лепит. Единственный работающий в оффлайне документ, который есть в дие - ковид-сертификат. Смеха добавляет то, что для того, чтобы им пользоваться, Дия - нахер не нужна.
Документ этот довольно специфический. Это - медицинская справка. Она не удостоверяет личность. Вы можете взять любой QR-код из своей ленты фейсбука, где люди хвастаются редким артефактом и предъявлять его налево и направо. Да, там написано не ваше имя, но и паспорт вы с собой носить не обязаны. Единственное место, где QR-коды можно полноценно проверить - аэропорт. А в ресторанах это даже вредно. Зачем из знать мое имя и дату рождения?
Сейчас европейский формат сертификатов (EUDCC) использует около сорока стран и я все жду, когда наконец-то потекут ключи или какая-нибудь из стран накосячит с числом "k" в ECDSA. И даже сейчас злоупотреблений никак не избежать. Если к бэкендам, которые подписывают сертификаты, есть доступ у сотен тысяч медиков, аптекарей и чиновников, то левые записи будут вносить все кому не лень. Если у вас попросят код в ТРЦ, покажите код Адольфа Гитлера
Документ этот довольно специфический. Это - медицинская справка. Она не удостоверяет личность. Вы можете взять любой QR-код из своей ленты фейсбука, где люди хвастаются редким артефактом и предъявлять его налево и направо. Да, там написано не ваше имя, но и паспорт вы с собой носить не обязаны. Единственное место, где QR-коды можно полноценно проверить - аэропорт. А в ресторанах это даже вредно. Зачем из знать мое имя и дату рождения?
Сейчас европейский формат сертификатов (EUDCC) использует около сорока стран и я все жду, когда наконец-то потекут ключи или какая-нибудь из стран накосячит с числом "k" в ECDSA. И даже сейчас злоупотреблений никак не избежать. Если к бэкендам, которые подписывают сертификаты, есть доступ у сотен тысяч медиков, аптекарей и чиновников, то левые записи будут вносить все кому не лень. Если у вас попросят код в ТРЦ, покажите код Адольфа Гитлера
👍1
Я уже несколько раз писал о том, как устроены цифровые подписи с технической точки зрения, но различные печальные заблуждения продолжают косить наши ряды. Технари, зачастую, не очень хорошо понимают политические, юридические и социальные последствия технологий, политики не очень понимают как это все работает, что не мешает им принимать заведомо расплывчатые законы (в расчете на то, что рыночек порешает). В Украине все усугубляется министерством цифровой трансформации, которое разбирается и в том, и в другом чуть менее, чем никак.
Начнем с привычных всем подписей, которые мы изображаем ручкой на бумаге. Подпись - не идентификация (кто вы), и не аутентификация (проверка подлинности), подпись - обещание одного человека другому. Информированное согласие с устанавливаемыми правилами и добровольность участия. Даже обычная мутноватая ксерокопия паспорта нужна не столько для того, чтобы подтвердить вашу личность, данные паспорта можно просто переписать от руки, а как доказательство того, что вы были в определенное время в определенном месте и добровольно дали сделать копию с уникального документа. И как только ксерокопии без надписи (время, место) поперек листа начинают гулять в Интернете весь ритуал теряет смысл.
Возьмем всеми любимую банковскую систему. К примеру, то что в API ПриватБанка называется "подписью транзакции", это не подпись, а код аутентификации сообщения, MAC: SHA1(K || M || K), где M - транзакция, а K - симметричный ключ. Если бы разработчики читали специальную литературу, то они бы конечно взяли HMAC: H(K || 0 || H(K || 1 || M)) вместо Envelope-MAC, но суть в том, что MAC аутентифицирует сообщения между устройством клиента и устройством банка. Так как арбитром по любым спорным транзакциям выступает сам банк, то нет необходимости в использовании цифровых подписей (non-repudability - возможность подтвердить истинность факта третьей стороне, или что то же самое - невозможность отказаться от своих обещаний). Третьей стороны тут нет.
Если вы когда-нибудь отправляли тысячу долларов в биткоинах на неправильный кошелек, то вы сразу поняли бы, что такое невозможность отказа, и то, что это совсем не то свойство, которое нам нужно. С точностью до наоборот, в той же самой банковской системе предусмотрены правила для отказа от транзакций и механизмы разделения ответственности, подкрепленные законами, регуляцией и договорными отношениями. То что в цифровом мире называется "невозможность отказа" (на самом деле невозможность подделать цифровую подпись, не имея ключа, приводит к тому, что вся ответственность достается клиенту, как с биткоинами)
После того, как минцирк попытался переложить вину за уродливую архитектуру Дии на юношу, который сделал игрушку для обмана продавцов, Макс Тульев предложил: а давайте, Дия вобще не будет ничего показывать, кроме QR-кода? Чтобы ей невозможно было пользоваться не проверив. Такой вариант, конечно подрывает теневую экономику в старших классах школы, но то что получится в результате - это, по-прежнему, не документ.
Документ (для идентификации) должен быть уникальным, на этом строятся подтверждения добровольности и личного участия (пример с ксерокопиями), документ связан с владельцем (фото, и то что владелец помнит как его зовут, место и дату рождения), его сложно подделать или клонировать. Желательно еще исключить возможность слежки и минимизировать данные.
Мобильный телефон не удовлетворяет ни одному из этих требований, потому в большинстве стран используются электронные документы (карточки), а не цифровые (Украина решила первой походить по граблям). Реестр же нужен для восстановления документов и выявления подделок, а не для того, чтобы сорить данными из него на каждом углу.
Этот небольшой пост, скорее приглашение к диалогу, потому что о типах доверия, инфраструктуре ключей и различных сценариях я могу вещать долго, и видимо придется это сделать, потому что когда я слышу о "документах в телефоне" или вижу, как минцирк навязывает юридически значимые цифровые подписи людям, которым они не нужны, и то как те подписи используются для "идентфикации", меня уже просто передергивает
Начнем с привычных всем подписей, которые мы изображаем ручкой на бумаге. Подпись - не идентификация (кто вы), и не аутентификация (проверка подлинности), подпись - обещание одного человека другому. Информированное согласие с устанавливаемыми правилами и добровольность участия. Даже обычная мутноватая ксерокопия паспорта нужна не столько для того, чтобы подтвердить вашу личность, данные паспорта можно просто переписать от руки, а как доказательство того, что вы были в определенное время в определенном месте и добровольно дали сделать копию с уникального документа. И как только ксерокопии без надписи (время, место) поперек листа начинают гулять в Интернете весь ритуал теряет смысл.
Возьмем всеми любимую банковскую систему. К примеру, то что в API ПриватБанка называется "подписью транзакции", это не подпись, а код аутентификации сообщения, MAC: SHA1(K || M || K), где M - транзакция, а K - симметричный ключ. Если бы разработчики читали специальную литературу, то они бы конечно взяли HMAC: H(K || 0 || H(K || 1 || M)) вместо Envelope-MAC, но суть в том, что MAC аутентифицирует сообщения между устройством клиента и устройством банка. Так как арбитром по любым спорным транзакциям выступает сам банк, то нет необходимости в использовании цифровых подписей (non-repudability - возможность подтвердить истинность факта третьей стороне, или что то же самое - невозможность отказаться от своих обещаний). Третьей стороны тут нет.
Если вы когда-нибудь отправляли тысячу долларов в биткоинах на неправильный кошелек, то вы сразу поняли бы, что такое невозможность отказа, и то, что это совсем не то свойство, которое нам нужно. С точностью до наоборот, в той же самой банковской системе предусмотрены правила для отказа от транзакций и механизмы разделения ответственности, подкрепленные законами, регуляцией и договорными отношениями. То что в цифровом мире называется "невозможность отказа" (на самом деле невозможность подделать цифровую подпись, не имея ключа, приводит к тому, что вся ответственность достается клиенту, как с биткоинами)
После того, как минцирк попытался переложить вину за уродливую архитектуру Дии на юношу, который сделал игрушку для обмана продавцов, Макс Тульев предложил: а давайте, Дия вобще не будет ничего показывать, кроме QR-кода? Чтобы ей невозможно было пользоваться не проверив. Такой вариант, конечно подрывает теневую экономику в старших классах школы, но то что получится в результате - это, по-прежнему, не документ.
Документ (для идентификации) должен быть уникальным, на этом строятся подтверждения добровольности и личного участия (пример с ксерокопиями), документ связан с владельцем (фото, и то что владелец помнит как его зовут, место и дату рождения), его сложно подделать или клонировать. Желательно еще исключить возможность слежки и минимизировать данные.
Мобильный телефон не удовлетворяет ни одному из этих требований, потому в большинстве стран используются электронные документы (карточки), а не цифровые (Украина решила первой походить по граблям). Реестр же нужен для восстановления документов и выявления подделок, а не для того, чтобы сорить данными из него на каждом углу.
Этот небольшой пост, скорее приглашение к диалогу, потому что о типах доверия, инфраструктуре ключей и различных сценариях я могу вещать долго, и видимо придется это сделать, потому что когда я слышу о "документах в телефоне" или вижу, как минцирк навязывает юридически значимые цифровые подписи людям, которым они не нужны, и то как те подписи используются для "идентфикации", меня уже просто передергивает