С удовольствием прочитал отчет Bellingcat об операции "Авеню" (она же "Вагнергейт") https://bit.ly/3Hx1tb7 надо отдать котозвоночкам должное за аккуратное и последовательное изложение событий, хотя приниципиально новых данных в отчете нет, крепкая журналистская работа. Кто-то хвалит спецслужбы, кто-то ругает (Толер называет операцию "абсолютно сумасбродной и наглой", "bonkers and brazen"). Помимо неоспоримой измены со стороны завхоза зеленой макаки, это очевидная неудача разведки, только не там где ее ищут.
Тут прекрасно все. Анекдотическая передача досье наемников из ГУР в СБУ на бумаге, чтобы предотвратить утечку (такая мера вполне оправдана, но красноречиво говорит о состоянии IT в спецслужбах). Отсутствие взаимодействия между службами, когда СБУ накапливает развед. данные вагонными нормами, но не может или не хочет хоть как-то их использовать. А самое главное, что данные не превращаются в конечный продукт и не доходят до потребителей. Одновременно из-за неспособности превратить сырую разведку в аналитику, и из-за нежелания руководства страны принимать аналитику в расчет и действовать. Как говорится, "зачем вам телефон, мистер Андерсон, если у вас нет рта?"
Что касается "наглости", то мне кажется, что сам план выманить негодяев из России просто отличный, и тут ГУР отработал на пятерочку, собирая всех блядей в одном самолете. Внедренные агенты, фишинговые домены, звонки с подменой А-номера, социальная инженерия. Именно так и должна работать разведка. Что касается финальной части плана с посадкой самолета, тот тут они я думаю вдохновлялись историей пятилетней давности, когда СБУ развернула рейс "Белавиа", чтобы снять с самолета, а затем отпустить Армена Мартиросяна (давний знакомый по #SurkovLeaks). И успехом дикую выходку с посадкой гражданского борта может назвать только полный идиот.
И факт остается фактом. Зеленский в начале одобрил операцию, а потом вместе с Ермаком ее слил. Где в этот момент находился Баканов отдельная загадка. Если бы офис действительно беспокоили политические последствия, как они заявляли после того, как перестали врать о том, что "никакой операции не было" и то, что это якобы "провокация российских спецслужб" (которые на удивление все проебали), то операцию всегда можно было отменить вместо того, чтобы её сливать. Не говоря уже о том, что в таком сочетании из слабого президента неспособного принимать решения, офиса нашпигованного предателями, разведки, контрразведки и МИДа получается совершенно нерабочая конструкция
Тут прекрасно все. Анекдотическая передача досье наемников из ГУР в СБУ на бумаге, чтобы предотвратить утечку (такая мера вполне оправдана, но красноречиво говорит о состоянии IT в спецслужбах). Отсутствие взаимодействия между службами, когда СБУ накапливает развед. данные вагонными нормами, но не может или не хочет хоть как-то их использовать. А самое главное, что данные не превращаются в конечный продукт и не доходят до потребителей. Одновременно из-за неспособности превратить сырую разведку в аналитику, и из-за нежелания руководства страны принимать аналитику в расчет и действовать. Как говорится, "зачем вам телефон, мистер Андерсон, если у вас нет рта?"
Что касается "наглости", то мне кажется, что сам план выманить негодяев из России просто отличный, и тут ГУР отработал на пятерочку, собирая всех блядей в одном самолете. Внедренные агенты, фишинговые домены, звонки с подменой А-номера, социальная инженерия. Именно так и должна работать разведка. Что касается финальной части плана с посадкой самолета, тот тут они я думаю вдохновлялись историей пятилетней давности, когда СБУ развернула рейс "Белавиа", чтобы снять с самолета, а затем отпустить Армена Мартиросяна (давний знакомый по #SurkovLeaks). И успехом дикую выходку с посадкой гражданского борта может назвать только полный идиот.
И факт остается фактом. Зеленский в начале одобрил операцию, а потом вместе с Ермаком ее слил. Где в этот момент находился Баканов отдельная загадка. Если бы офис действительно беспокоили политические последствия, как они заявляли после того, как перестали врать о том, что "никакой операции не было" и то, что это якобы "провокация российских спецслужб" (которые на удивление все проебали), то операцию всегда можно было отменить вместо того, чтобы её сливать. Не говоря уже о том, что в таком сочетании из слабого президента неспособного принимать решения, офиса нашпигованного предателями, разведки, контрразведки и МИДа получается совершенно нерабочая конструкция
👍1
Сегодня неизвестные взломали целый ряд сайтов районных администраций и громад в Одесской области, где разместили ложное заявление от имени Демократична Сокира, о том, что партия якобы "поддерживает инициативу "Национального Корпуса" о решительном отпоре беглым террористам".
Все это - ложь и провокация.
Я хотел бы в очередной раз подчеркнуть, что мы в Демократична Сокира и Ukrainian Cyber Alliance неуклонно придерживаемся действующего законодательства. И расцениваем попытки нас дискредетировать, как провокацию против нашей политической партии.
Я обращаюсь к Кіберполіція и Служба безпеки України с требованием провести быстрое и беспристрастное расследование инцидента.
Все это - ложь и провокация.
Я хотел бы в очередной раз подчеркнуть, что мы в Демократична Сокира и Ukrainian Cyber Alliance неуклонно придерживаемся действующего законодательства. И расцениваем попытки нас дискредетировать, как провокацию против нашей политической партии.
Я обращаюсь к Кіберполіція и Служба безпеки України с требованием провести быстрое и беспристрастное расследование инцидента.
И к накопившимся "цифровым" новостям. Volodymyr нашел чудесное: согласно новому законопроекту 3860-д судебные документы считаются "врученными на e-mail", даже, если вы больше не пользуютесь почтовым ящиком, и даже если у вас нет к нему доступа. Такие пустяки, как то, что Интернет вобще и SMTP в частности не дают никаких гарантий доставки, и то что почту (и при наличии доступа) может листать кот, говнометариев не беспокоит https://bit.ly/3cBt8sY
На этом законобрательная деятельность не заканчивается, а только набирает обороты. Принят закон о критической инфраструктуре 5219, согласно которому критичкой становится чуть менее чем все. До сортира в сельсовете включительно. Что открывает чекистам невиданные просторы для обилечивания (Я думаю, что и статьи новые примут по 10-15 лет за попытку покушения на ̶д̶р̶а̶г̶о̶ц̶е̶н̶н̶ы̶е̶ ̶т̶е̶л̶е̶с̶н̶ы̶е̶ ̶ж̶и̶д̶к̶о̶с̶т̶и̶ "инфравсруткурву") https://bit.ly/30OlGbV
Так вот КИ, это не то, что делает вашу жизнь привычной и удобной, и даже не то, без чего трудно и дорого обходиться. КИ - в случае отказа убивает людей. а) массово б) затейливо Потому к КИ вполне можно отнести электро и водоснабжение и опасные производства, хлоропроводы вот это вот все. Если вы не умеете думать, "что будет если?" - посмотрите на Донбасс. В ходе войны критичность выявляется предельно четко. Потому КИ должны регулироваться правилами безопасности (safety), а не защиты (security), и они гораздо строже.
Жадные и глупые дети из комитета цифровой трансформации, https://bit.ly/3HyMxcB, не смотря на все обещания отдельных граждан и гражданок, пытаются протащить реестр IMEI (6183). Слежка, коррупция, нечестная конкуренция, если нужно объяснять, то не нужно объяснять. Когда я читаю фразы вроде "щодо захисту інтересів держави", меня не перестает мучать вопрос, какие такие есть интересы государства отдельные от интересов граждан? "Куда ж несешься ты? Дай ответ. Не дает ответа"
Киберпилиция хвастается победой в одной из категорий на хахатоне, проходившем всю последнюю неделю. Разработали расширение к броузеру "AntiPhish", которое как я понимаю, бьет все посещаемые пользователем сайты по базе полиции и выдает предупреждения. Я сомневаюсь в том, что при разработке учитывались соображения приватности (k-анонимность), не говоря уже о том, что я скорее сам себе банковский троян поставлю, чем полицейское приложение с полным контролем над броузером https://bit.ly/3x616zj Любители дикпиков так увлеклись погромированием, что на взломы сайтов одесских громад у них времени не нашлось https://bit.ly/3xa9vSC
И наконец-то появилось заявление г-на (не "господина") Выскуба https://bit.ly/3CAvXFs о том, что технически министерство цифрового пиздежа готово к онлайн-выборам. Никто в мире не готов, а цифровые гудки готовы. Понимаете, онлайн-выборы не сводятся к тому, чтобы убедиться, что ваш голос учтен. Даже если отказаться от анонимности голосования, то вы никак не сможете проверить то, что "Байден Джо, РНОКПП 1566450018" существует в природе, что он проголосовал так как задумал, и его голос был посчитан так, как он проголосовал и сделал он это в ясном уме и без принуждения. Вам не свой голос нужно проверить, а чужой. При том, что Турчинов и Разумков уже заявили, что наевыборы нужны для массовых фальсификаций, я не представляю, как Выскуб собирается решать техническими средствами, социальную задачу.
Накидайте еще новостей, может я что-то пропустил?
На этом законобрательная деятельность не заканчивается, а только набирает обороты. Принят закон о критической инфраструктуре 5219, согласно которому критичкой становится чуть менее чем все. До сортира в сельсовете включительно. Что открывает чекистам невиданные просторы для обилечивания (Я думаю, что и статьи новые примут по 10-15 лет за попытку покушения на ̶д̶р̶а̶г̶о̶ц̶е̶н̶н̶ы̶е̶ ̶т̶е̶л̶е̶с̶н̶ы̶е̶ ̶ж̶и̶д̶к̶о̶с̶т̶и̶ "инфравсруткурву") https://bit.ly/30OlGbV
Так вот КИ, это не то, что делает вашу жизнь привычной и удобной, и даже не то, без чего трудно и дорого обходиться. КИ - в случае отказа убивает людей. а) массово б) затейливо Потому к КИ вполне можно отнести электро и водоснабжение и опасные производства, хлоропроводы вот это вот все. Если вы не умеете думать, "что будет если?" - посмотрите на Донбасс. В ходе войны критичность выявляется предельно четко. Потому КИ должны регулироваться правилами безопасности (safety), а не защиты (security), и они гораздо строже.
Жадные и глупые дети из комитета цифровой трансформации, https://bit.ly/3HyMxcB, не смотря на все обещания отдельных граждан и гражданок, пытаются протащить реестр IMEI (6183). Слежка, коррупция, нечестная конкуренция, если нужно объяснять, то не нужно объяснять. Когда я читаю фразы вроде "щодо захисту інтересів держави", меня не перестает мучать вопрос, какие такие есть интересы государства отдельные от интересов граждан? "Куда ж несешься ты? Дай ответ. Не дает ответа"
Киберпилиция хвастается победой в одной из категорий на хахатоне, проходившем всю последнюю неделю. Разработали расширение к броузеру "AntiPhish", которое как я понимаю, бьет все посещаемые пользователем сайты по базе полиции и выдает предупреждения. Я сомневаюсь в том, что при разработке учитывались соображения приватности (k-анонимность), не говоря уже о том, что я скорее сам себе банковский троян поставлю, чем полицейское приложение с полным контролем над броузером https://bit.ly/3x616zj Любители дикпиков так увлеклись погромированием, что на взломы сайтов одесских громад у них времени не нашлось https://bit.ly/3xa9vSC
И наконец-то появилось заявление г-на (не "господина") Выскуба https://bit.ly/3CAvXFs о том, что технически министерство цифрового пиздежа готово к онлайн-выборам. Никто в мире не готов, а цифровые гудки готовы. Понимаете, онлайн-выборы не сводятся к тому, чтобы убедиться, что ваш голос учтен. Даже если отказаться от анонимности голосования, то вы никак не сможете проверить то, что "Байден Джо, РНОКПП 1566450018" существует в природе, что он проголосовал так как задумал, и его голос был посчитан так, как он проголосовал и сделал он это в ясном уме и без принуждения. Вам не свой голос нужно проверить, а чужой. При том, что Турчинов и Разумков уже заявили, что наевыборы нужны для массовых фальсификаций, я не представляю, как Выскуб собирается решать техническими средствами, социальную задачу.
Накидайте еще новостей, может я что-то пропустил?
Дивная история о том, как выпотрошили Nintendo атакой с помощью ошибок (fault attack) https://bit.ly/3oT1ptM У производителей игровых консолей незавидное положение. Все их хотят взломать, и так они по миру пойдут, ничего-то у них горемычных не останется кроме золотых шахт и нефтянных скважин.
В начале ломанули загрузчик в ROM. И можно конечно выпустить обновление, вот только для новых устройств, а не для уже готовых. Тогда Nintendo сообразили, что у них есть Nvidia TSEC - отдельный крипточип, который помимо прочего может сбросить основной процессор и безопасно загрузиться. Его-то и атаковали.
Попробую атаку ошибками описать на примере RSA CRT. Чтобы не офигеть от больших чисел, то сперва вычисляются две половинки подписи. Sp = m^{d mod (p - 1)} mod p и точно так же Sq, а потом они объединяются с помощью китайской теоремы об остатках. S = Sp * q * q^{-1} mod p + Sq * p * p^{-1} mod q (mod n), то есть подпись имеет вид a*q + b*p, если в одной из веток вычислений (Sp или Sq) произойдет ошибка, то получится недействительная подпись. Вычтем одно из другого S - S' = aq + bp - a'q - bp = aq - a'q = q(a - a'). Посчитаем НОД(q(a - a'), N), и так как N= pq, то на этом все, q - делитель. Ключ сломан https://onecompiler.com/python/3xjamym45
Примерно таким же способом можно взломать ключ AES, если в одном из последних раундов повредить состояние шифра. Там все немного пострашнее, чем с RSA, но принцип тот же. Хакеры добились этого играясь с напряжением процессора. Поражены твоей неудачей, Nintendo.
В начале ломанули загрузчик в ROM. И можно конечно выпустить обновление, вот только для новых устройств, а не для уже готовых. Тогда Nintendo сообразили, что у них есть Nvidia TSEC - отдельный крипточип, который помимо прочего может сбросить основной процессор и безопасно загрузиться. Его-то и атаковали.
Попробую атаку ошибками описать на примере RSA CRT. Чтобы не офигеть от больших чисел, то сперва вычисляются две половинки подписи. Sp = m^{d mod (p - 1)} mod p и точно так же Sq, а потом они объединяются с помощью китайской теоремы об остатках. S = Sp * q * q^{-1} mod p + Sq * p * p^{-1} mod q (mod n), то есть подпись имеет вид a*q + b*p, если в одной из веток вычислений (Sp или Sq) произойдет ошибка, то получится недействительная подпись. Вычтем одно из другого S - S' = aq + bp - a'q - bp = aq - a'q = q(a - a'). Посчитаем НОД(q(a - a'), N), и так как N= pq, то на этом все, q - делитель. Ключ сломан https://onecompiler.com/python/3xjamym45
Примерно таким же способом можно взломать ключ AES, если в одном из последних раундов повредить состояние шифра. Там все немного пострашнее, чем с RSA, но принцип тот же. Хакеры добились этого играясь с напряжением процессора. Поражены твоей неудачей, Nintendo.
Чего не хватает мусударству? Заветное желание любого охранителя следить за вами непрерывно. Чтобы у вас был официальное место жительство, куда можно прийти с обыском, "официальный" e-mail, который считается прочтенным, даже если у вас нет пароля. Официальный номер телефона, накрепко прибитый номерами IMSI и IMEI к вашему паспорту.
Мало того, что законопроект о реестре IMEI уже прошел комитет (Kira Rudik, Volodymyr Ariev обратите внимание), так господин Олександр Федієнко решил в очередной раз всех принудительно осчастливить новой затеей - якобы, борьбе с мошенничеством поможет перевод всех номеров, привязанных к онлайн-банкингу на контракт https://bit.ly/3DOA0zb
Это - те же самые "SIM-карты по паспорту", которые Янукович вместе со своей бандой пропихнули 16 января 2014, только в профиль. Еще раз. Если полиция не умеет ловить преступников, то это проблемы с полицией, а не с гражданами или мобильными операторами. Украсть деньги недостаточно, их еще нужно отмыть и вывести. Вот там и нужно искать, а не в телефонах.
Кто захочет может перейти на контракт самостоятельно. Подобные эксперименты проводились уже неоднократно (есть отчет GSMA на эту тему), и даже в Соединенном Королевстве, симки по паспорту сперва ввели, а потом отменили. Я хочу попросить у законодателей о небольшом одолжении. Отьебитесь от моего телефона. А свои (а точнее мусорские) желания засуньте себе в законодательный орган. Спасибо #цифровойгулаг
Это - те же самые "SIM-карты по паспорту", которые Янукович вместе со своей бандой пропихнули 16 января 2014, только в профиль. Еще раз. Если полиция не умеет ловить преступников, то это проблемы с полицией, а не с гражданами или мобильными операторами. Украсть деньги недостаточно, их еще нужно отмыть и вывести. Вот там и нужно искать, а не в телефонах.
Кто захочет может перейти на контракт самостоятельно. Подобные эксперименты проводились уже неоднократно (есть отчет GSMA на эту тему), и даже в Соединенном Королевстве, симки по паспорту сперва ввели, а потом отменили. Я хочу попросить у законодателей о небольшом одолжении. Отьебитесь от моего телефона. А свои (а точнее мусорские) желания засуньте себе в законодательный орган. Спасибо #цифровойгулаг
Очередная гениальная идея посетила человека похожего на министра здравоохранения, того самого, который закрывал парки "ради психологического эффекта" (если подобными "эффектами" занимаются частные лица, их обычно называют террористами) - так как несознательный народишко освоился и вместо сертификатов показывает коды "Гитлеров" и "куриных окорочков", то теперь за несканирование сертификатов будут штрафы от 34 до 170 тысяч гривен.
Похоже на недоувлетворенные фантазии о том, чтобы одна половина населения проверяла паспорта у другой, а потом чтобы менялись и так по кругу. Уважаемые, у вас мусорья не хватит, чтобы устроить рейды по проверке медицинских справок, которые без паспорта не имеют ни малейшего смысла. Не говоря уже о том, что те самые коды и зашитые в них данные начнут оседать буквально на каждом углу. Очень сильно напомнило помешательство на отслеживании контактов в самом начале.
Я знаю один простой способ защиты персональных данных - не могут потечь те данные, которые и так уже известны. Сертификаты можно проверять на рабочем месте, потому что там (как правило) знают как вас зовут, в аэропорту и на железной дороге, где и так предъявляется паспорт. И может даже в местах массового скопления людей, где дежурит полиция вроде метро, но об этом желательно предупреждать заранее, как о стихийном бедствии. А в секс-шопах, скверах и гастрономах - совсем необязательно, хотя бы для того, чтобы не создавать давку (очень полезную для распространения вирусных заболеваний)
(фото Укрінформ)
Похоже на недоувлетворенные фантазии о том, чтобы одна половина населения проверяла паспорта у другой, а потом чтобы менялись и так по кругу. Уважаемые, у вас мусорья не хватит, чтобы устроить рейды по проверке медицинских справок, которые без паспорта не имеют ни малейшего смысла. Не говоря уже о том, что те самые коды и зашитые в них данные начнут оседать буквально на каждом углу. Очень сильно напомнило помешательство на отслеживании контактов в самом начале.
Я знаю один простой способ защиты персональных данных - не могут потечь те данные, которые и так уже известны. Сертификаты можно проверять на рабочем месте, потому что там (как правило) знают как вас зовут, в аэропорту и на железной дороге, где и так предъявляется паспорт. И может даже в местах массового скопления людей, где дежурит полиция вроде метро, но об этом желательно предупреждать заранее, как о стихийном бедствии. А в секс-шопах, скверах и гастрономах - совсем необязательно, хотя бы для того, чтобы не создавать давку (очень полезную для распространения вирусных заболеваний)
(фото Укрінформ)
Как может быть президентом страны человек, который не в состоянии произнести хотя бы одно предложение так, чтобы слушателю не приходила на ум классификация болезней МКБ-10?