Читаю текстовую трансляцию пресс-конференции очень ответственных служб о вчерашней DDoS-атаке. Сразу резанула глаз фраза "такая атака стоит миллионы долларов". Сейчас я вам расскажу то, что вам не хотелось знать о DDoS-атаках, но придется узнать. На черном рынке "услуга" DDoS стоит от нескольких десятков до нескольких сот долларов в час. Так что о "миллионах" говорить не приходится. Как это работает?
Самая большая база данных в мире - DNS, в ней сопоставлены понятные людям доменные имена, и понятные компьютерам IP-адреса. когда вы вводите в строке броузера mil точка gov точка ua, броузер сперва обращается к DNS-серверу и спрашивает, какой адрес у этого домена? Сервер отвечает 104.18.6.221 (поздравляю МОУ с переездом за Cloudflare, давно пора). Проблема в том, что запрос маленький от 50 байт, а ответ большой до 8 килобайт (если есть поддержка eDNS0). Возникает плечо до 1 к 160 (как правило меньше чем 1:160)
Атакующий покупает сервер, и начинает посылать запросы специально подобранным и абсолютно легальным DNS-серверам, в качестве отправитля указывает адрес жертвы (подмена адреса, spoofing, работает не всегда и такие сервера стоят дороже обычных, но не очень дорого). "Коробочный" софт для DDoS с красивым веб-интерфейсом для самых глупых киберпреступников на черном рынке стоит пару тысяч долларов. Если у сервера гигабитное подключение, то плечо превратит их в 20-100 гигабит мусора в секунду.
Смышленый студент третьего курса напишет такую городушку на коленке забесплатно. Прямо по описанию из этого поста и учебнику Стивенса. Чекисты потратят пять косарей зелени, что для них не проблема. И вот именно в этом проблема. Это очень дешево. Защита от DDoS стоит гораздо дороже и требует определенных умений, а самое главное готовности их применять. Естественно, что адреса "отражателей" и их национальная принадлежность не несут в себе никакого смысла. Так что если даете Федорову скрины с Арбора, расскажите ему в следующий раз, что они значат. 600 "узбекских" kpps - ни о чем. Стыдно даже слушать подобные глупости.
Самая большая база данных в мире - DNS, в ней сопоставлены понятные людям доменные имена, и понятные компьютерам IP-адреса. когда вы вводите в строке броузера mil точка gov точка ua, броузер сперва обращается к DNS-серверу и спрашивает, какой адрес у этого домена? Сервер отвечает 104.18.6.221 (поздравляю МОУ с переездом за Cloudflare, давно пора). Проблема в том, что запрос маленький от 50 байт, а ответ большой до 8 килобайт (если есть поддержка eDNS0). Возникает плечо до 1 к 160 (как правило меньше чем 1:160)
Атакующий покупает сервер, и начинает посылать запросы специально подобранным и абсолютно легальным DNS-серверам, в качестве отправитля указывает адрес жертвы (подмена адреса, spoofing, работает не всегда и такие сервера стоят дороже обычных, но не очень дорого). "Коробочный" софт для DDoS с красивым веб-интерфейсом для самых глупых киберпреступников на черном рынке стоит пару тысяч долларов. Если у сервера гигабитное подключение, то плечо превратит их в 20-100 гигабит мусора в секунду.
Смышленый студент третьего курса напишет такую городушку на коленке забесплатно. Прямо по описанию из этого поста и учебнику Стивенса. Чекисты потратят пять косарей зелени, что для них не проблема. И вот именно в этом проблема. Это очень дешево. Защита от DDoS стоит гораздо дороже и требует определенных умений, а самое главное готовности их применять. Естественно, что адреса "отражателей" и их национальная принадлежность не несут в себе никакого смысла. Так что если даете Федорову скрины с Арбора, расскажите ему в следующий раз, что они значат. 600 "узбекских" kpps - ни о чем. Стыдно даже слушать подобные глупости.
👍266
Перечитал заявление президента Байдена, заместителя советника Нойберг и министра Остина. Меня интересовала та часть, которая касается кибератак.
Соединенные Штаты болезненно относятся к попыткам кидаться камнями в стеклянном доме. Влоть до того, что после переговоров Байдена и Путина в июле, Россия пошла на уступки и 14 января в РФ арестовали предполагаемых участников банды REvil. Если вы помните, то утро 14 января Украина встретила без половины сайтов правительства и других полезных вещей. Аресты REvil - сигнал Байдену - "мы готовы договариваться", а выпотрошенные системы - сигнал Украине - "вам пизда". Что тут непонятного?
Так почему руководство Соединенных Штатов упоминает тему "кибер" как бы вскользь? Тоже не бином Ньютона. Министерство цифровой выскубизации до сих пор отказывается признавать утечку, из-за того, что она непосредственно связана с их уродливым детищем, на котором построены обещания Зеленского об удобной державе в телефоне. Дія - политический проект. Так и хули ж вы хотите? Чтобы союзники вас защищали против вашей же воли? Как вас защищать, если вы отрицаете ущерб? Вы хотите, чтоюы Байден слил операции своей собственной разведки, чтобы помочь кретинам, которые ради сиюмитной политической выгоды врут о кибератаках?
Сразу вспомнилась апрельская история, тогда перед презентацией очередных цифровых свистков и гудков, выяснилось, что лендинг проекта торчит всеми кишками наружу. Даже депутат по особым поручениям метался в комментариях и говорил, что это "только лендинг. С кем не бывает". Бывает со всеми, тут я согласен. Не у всех проходит. Тогда и "Дия" торчала кишками наружу. Выводы никто не сделал. Уроки не выучил. И серьезнейшая утечка "14 января" и палки в колеса дипломатическим усилиям союзников - вот это и есть обещанная диджитализация во всей красе
Соединенные Штаты болезненно относятся к попыткам кидаться камнями в стеклянном доме. Влоть до того, что после переговоров Байдена и Путина в июле, Россия пошла на уступки и 14 января в РФ арестовали предполагаемых участников банды REvil. Если вы помните, то утро 14 января Украина встретила без половины сайтов правительства и других полезных вещей. Аресты REvil - сигнал Байдену - "мы готовы договариваться", а выпотрошенные системы - сигнал Украине - "вам пизда". Что тут непонятного?
Так почему руководство Соединенных Штатов упоминает тему "кибер" как бы вскользь? Тоже не бином Ньютона. Министерство цифровой выскубизации до сих пор отказывается признавать утечку, из-за того, что она непосредственно связана с их уродливым детищем, на котором построены обещания Зеленского об удобной державе в телефоне. Дія - политический проект. Так и хули ж вы хотите? Чтобы союзники вас защищали против вашей же воли? Как вас защищать, если вы отрицаете ущерб? Вы хотите, чтоюы Байден слил операции своей собственной разведки, чтобы помочь кретинам, которые ради сиюмитной политической выгоды врут о кибератаках?
Сразу вспомнилась апрельская история, тогда перед презентацией очередных цифровых свистков и гудков, выяснилось, что лендинг проекта торчит всеми кишками наружу. Даже депутат по особым поручениям метался в комментариях и говорил, что это "только лендинг. С кем не бывает". Бывает со всеми, тут я согласен. Не у всех проходит. Тогда и "Дия" торчала кишками наружу. Выводы никто не сделал. Уроки не выучил. И серьезнейшая утечка "14 января" и палки в колеса дипломатическим усилиям союзников - вот это и есть обещанная диджитализация во всей красе
👍270
Администрация так и не извлекла урок из "пяти вопросов президента", которые отправились на помойку сразу после фейкового плебисцита, с помощью которого зеленая власть пытается переложить ответственность за принятие решений на народ. "Не мы так решили. Народ так решил". Даже Ленин писал: "Мы не утописты. Мы знаем, что любой чернорабочий и любая кухарка не способны сейчас же вступить в управление государством". А диевые между тем продвигают свои "опросы" с истинно пролетарской непосредственностью.
В этот раз они пытаются обмануть всех незнакомыми словами: "при авторизації користувач отримує унікальний знеособлений хеш-ключ". Хеш - односторонняя функция. Дайте на вход хешу MD5 строку "qwe123" и получится 200820e3 227815ed 1756a6b5 31e7e0d2, а если изменить в строке один бит, то результат поменяется очень сильно MD5(qwe122) = e42673a1 7dd3fcce c081d8c4 b8e6ae2b. Хороший хеш (MD5 к ним уже не относится) не предсказуем и необратим. Есть одно "но". Если вы шифруете строки "да" и "нет", то вам не нужно искать прообраз хеша, достаточно хешировать повторно строку "да".
Если в Дие есть все необходимые данные, от которых посчитан хеш, то точно так же Дия может пересчитать все хеши повторно, их всего несколько миллионов, для компьютера не сложная задача, и деанонимизировать пользователя. Даже если каждому пользователю присвоить полностью случайный идентификатор, то его придется сопоставить с пользователем, чтобы убедиться в том, что он участвует в опросе однократно. Не говоря уже о том, что если Дия выдает идентификаторы, то она может их выдать несуществующим людям или просто нарисовать любой желаемый результат. Никакого способа проверить честность подобного "опроса" нет.
То что пытаются, но не могут вспомнить жижитализаторы из институтской программы называется не хеш, а слепая подпись. Но и слепые подписи ничего принципиально не меняют. Пока минцифра контролирует процесс выдачи ЕЦП они могут выписать любую подпись на любое имя, к примеру на "Biden Joe, ИНН 1566450018" и ее никак не отличить от "настоящей", потому что она и есть настоящая. Настоящая цифровая подпись выданная мошенниками.
Да, а при чем здесь "Самсунг"? Разработчики приложений, даже если они не искалечены фантазиями о цифровизации - природные оптимисты. Даже диевые уже знают, что в современных телефонах есть аппаратное хранилище ключей, откуда их (в теории) нельзя достать. В телефоне есть вторая операционка, которая отделена от основной, и именно она занимается всеми криптографическими операциями. В том числе платежами Paypal или аутентификацией в Дие. Знакомьтесь CVE-2021-25444.
В Trust Zone самсунгов хранится Root Encryption Key. Затем приложение просит сгенерировать новую ключевую пару. TZOS берет REK, данные из приложения application id и соль, генерирует новую пару и шифрует ее AES-GCM(K, KDF(REK + salt)) Зашифрованную пару можно экспортировать из Trust Zone в обычную ОС (которая по умолчанию считается скомпрометированной). Проблема в том, что самсунги используют один и тот же вектор инициализации (IV).
AES-GCM - потоковый шифр, текст, который нужно зашифровать складывается с длинной "гаммой" полученной на основе ключа и вектора инициализации. Если у нас есть неизвестные данные A, и известные данные B, и мы можем заставить систему сгенерировать одинаковый эффективный ключ K, то (A ⨁ K) ⨁ (B ⨁ K) = (A ⨁ B), так как мы знаем B, то A ⨁ B ⨁ B = A. Атака возможна из-за IV reuse. И даже флагманские модели, которые добавляют случайность в IV, позволяют перейти на более старую версию протокола (downgrade attack)
В этот раз они пытаются обмануть всех незнакомыми словами: "при авторизації користувач отримує унікальний знеособлений хеш-ключ". Хеш - односторонняя функция. Дайте на вход хешу MD5 строку "qwe123" и получится 200820e3 227815ed 1756a6b5 31e7e0d2, а если изменить в строке один бит, то результат поменяется очень сильно MD5(qwe122) = e42673a1 7dd3fcce c081d8c4 b8e6ae2b. Хороший хеш (MD5 к ним уже не относится) не предсказуем и необратим. Есть одно "но". Если вы шифруете строки "да" и "нет", то вам не нужно искать прообраз хеша, достаточно хешировать повторно строку "да".
Если в Дие есть все необходимые данные, от которых посчитан хеш, то точно так же Дия может пересчитать все хеши повторно, их всего несколько миллионов, для компьютера не сложная задача, и деанонимизировать пользователя. Даже если каждому пользователю присвоить полностью случайный идентификатор, то его придется сопоставить с пользователем, чтобы убедиться в том, что он участвует в опросе однократно. Не говоря уже о том, что если Дия выдает идентификаторы, то она может их выдать несуществующим людям или просто нарисовать любой желаемый результат. Никакого способа проверить честность подобного "опроса" нет.
То что пытаются, но не могут вспомнить жижитализаторы из институтской программы называется не хеш, а слепая подпись. Но и слепые подписи ничего принципиально не меняют. Пока минцифра контролирует процесс выдачи ЕЦП они могут выписать любую подпись на любое имя, к примеру на "Biden Joe, ИНН 1566450018" и ее никак не отличить от "настоящей", потому что она и есть настоящая. Настоящая цифровая подпись выданная мошенниками.
Да, а при чем здесь "Самсунг"? Разработчики приложений, даже если они не искалечены фантазиями о цифровизации - природные оптимисты. Даже диевые уже знают, что в современных телефонах есть аппаратное хранилище ключей, откуда их (в теории) нельзя достать. В телефоне есть вторая операционка, которая отделена от основной, и именно она занимается всеми криптографическими операциями. В том числе платежами Paypal или аутентификацией в Дие. Знакомьтесь CVE-2021-25444.
В Trust Zone самсунгов хранится Root Encryption Key. Затем приложение просит сгенерировать новую ключевую пару. TZOS берет REK, данные из приложения application id и соль, генерирует новую пару и шифрует ее AES-GCM(K, KDF(REK + salt)) Зашифрованную пару можно экспортировать из Trust Zone в обычную ОС (которая по умолчанию считается скомпрометированной). Проблема в том, что самсунги используют один и тот же вектор инициализации (IV).
AES-GCM - потоковый шифр, текст, который нужно зашифровать складывается с длинной "гаммой" полученной на основе ключа и вектора инициализации. Если у нас есть неизвестные данные A, и известные данные B, и мы можем заставить систему сгенерировать одинаковый эффективный ключ K, то (A ⨁ K) ⨁ (B ⨁ K) = (A ⨁ B), так как мы знаем B, то A ⨁ B ⨁ B = A. Атака возможна из-за IV reuse. И даже флагманские модели, которые добавляют случайность в IV, позволяют перейти на более старую версию протокола (downgrade attack)
👍129
Что в очередной раз напоминает о том, что телефоны достаточно надежны, чтобы рискнуть соткой баксов на текущем счету, и недостаточно надежны для всего остального, что криптография - это сложно и никакие глупости в стиле "мы используем хеш на основе персональных данных" не защищают от элементарных ошибок. И никакие анонимные опросы и голосования в телефоне в данный момент невозможны, как по техническим, так и по организационным причинам. Но на МЦТ слова не действуют, им похоже уже нужно бейсбольной битой объяснять основы. А, и да, если у вас Самсунг, то не забудьте его обновить.
👍160
За что я люблю государственное IT? За стабильность. Три года назад находил уязвимость в реестре Міністерство юстиції. После поста ко мне подошел один из сотрудников ДП НАИС, вежливо спросил где дыра и пообещал все исправить. Сеогдня один из знакомых нашел там же XSS. Пошел проверить, что с SQLi трехлетней давности? Вот вы как думаете, что с ней? Конечно уязвимость на месте. Н - необучаемость. Сейчас вежливый человек, который обещал все исправить работает в ДП Дія, и далее цитирую, ощущает гордость за страну, которая внедряет такие инновационные решения
👍288👎3
Меня уже несколько раз спросили о том, что я думаю про KordonTech и анализ спутниковых снимков. Я, если честно, на спутниковых снимках с разрешением в метры, не отличу водокачку от баллистической ракеты, это только кажется, что можно посмотреть на фотографии и сразу все понятно. SIGINT is hard. Понятия не имею, что изображено на этой фотографии, то ли войска, то ли сарай. Зато я немного знаю о том, как работает (или не работает) информация.
В семидесятых такую роскошь могли себе позволить только государства. У Соединенных штатов была Corona, у СССР Зенит-2, пленки рассматривали специально обученные люди, и все их находки засекречены до 2040 года. Что крайне затрудняет обмен информацией, и не дает быстро получить конечный результат - преимущество при принятии политических и военных решений. С появлением коммерческих спутников и шустрых компьютеров полянка спецслужб стала куда более плоской.
С одной стороны - это хорошо, больше глаз, больше данных, мгновенная публикация без ограничений по секретности, с другой стороны - не очень. Могут быть (и обязатеьно будут) ошибки, и даже, если все верно, то во-первых, разведка тратит время на перепроверку данных вместо того, чтобы заниматься собственной работой, во-вторых, мгновенная публикация может спровоцировать события. Мы знаем, что они знают, что мы знаем, но пространства для маневра нет, потому что все уже лежит в Интернете.
Не говоря уже о доверии. В 2016 году мы отказалались от большей части анонимности, чтобы убедить всех, что мы не орангутанг бату из новосибирского зоопарка, а живые люди, которые в состоянии объяснить откуда взялась наша информация, как можно проверить ее подлинность, и какие из нее следуют выводы. Даже взломанная почта, дающая окно в образ мысли противника сама по себе ничего не значит, там могут быть нереализуемые (и нереализовавшиеся) планы, и все виды когнитивных искажений.
Так что по поводу кордона, мне лично хотелось бы больше узнать о методологии, потому что для меня эти скриншоты выглядят как тест Роршарха, не говоря уже о намеренной или непреднамеренной дезинформации.
В семидесятых такую роскошь могли себе позволить только государства. У Соединенных штатов была Corona, у СССР Зенит-2, пленки рассматривали специально обученные люди, и все их находки засекречены до 2040 года. Что крайне затрудняет обмен информацией, и не дает быстро получить конечный результат - преимущество при принятии политических и военных решений. С появлением коммерческих спутников и шустрых компьютеров полянка спецслужб стала куда более плоской.
С одной стороны - это хорошо, больше глаз, больше данных, мгновенная публикация без ограничений по секретности, с другой стороны - не очень. Могут быть (и обязатеьно будут) ошибки, и даже, если все верно, то во-первых, разведка тратит время на перепроверку данных вместо того, чтобы заниматься собственной работой, во-вторых, мгновенная публикация может спровоцировать события. Мы знаем, что они знают, что мы знаем, но пространства для маневра нет, потому что все уже лежит в Интернете.
Не говоря уже о доверии. В 2016 году мы отказалались от большей части анонимности, чтобы убедить всех, что мы не орангутанг бату из новосибирского зоопарка, а живые люди, которые в состоянии объяснить откуда взялась наша информация, как можно проверить ее подлинность, и какие из нее следуют выводы. Даже взломанная почта, дающая окно в образ мысли противника сама по себе ничего не значит, там могут быть нереализуемые (и нереализовавшиеся) планы, и все виды когнитивных искажений.
Так что по поводу кордона, мне лично хотелось бы больше узнать о методологии, потому что для меня эти скриншоты выглядят как тест Роршарха, не говоря уже о намеренной или непреднамеренной дезинформации.
👍148
Я знаю все ждут постов, команд и все такое. Постов и так дохуя. Лучшую команду я получил от местного тро - какой хуйни не творить (список). И. Мы ищем доступ. Не ддос, не инфо, не дефейсы, этим есть кому заниматься. Доступы. И уже ищем. Это будет не быстро, не зрелищно, но неотвратимо.
👍717
Пока армия отбивает нападение российских захватчиков, в кибер происходит тоже самое. Так что уже министерство обороны агрессора грозится "высокоточными ударами". Дорогих россиян ждет еще не мало сюрпризов. То одно перестанет работать, то другое. Участвуют все. И СБУ, и Госспецсвязь, НКЦК, Киберполиция, хакерские группы, волонтеры и минцифра. Россия хотела повернуть историю вспять? Можно устроить. Прямиком в каменный век.
👍781
Западные эксперты спрашивают, а куда делся "кибер"? В отличии от хактивизма (условно) мирного времени, дефейсов и прочих милых шуток, связанных с политикой гораздо меньше. И публичных утечек не будет. Другое время, другие методы. Дадим слово нашим врагам: "... массовые атаки являются скоординированными и беспрецедентными... Точно неизвестно, кто причастен к произошедшим атакам на сайты органов государственной власти РФ". Что, захватчики, интересно знать, кто вас атакует? У меня есть "атрибуция" для вас. Вас контратакует Украина. И будем продолжать. До победы. А может и дольше.
👍625
Мы обустроились во львовском метро и продолжаем методично шерстить сети захватчиков. Не смотря на то, что часть систем активно гео-огораживается, нам это не сильно мешает. Сейчас "Федерация" превратилась в огромный хакерский "free for all". И мы в их системах надолго. Потом ведь придется еще присматривать за нижневолжской народной республикой и их стычками с кавказским эмиратом. Так что запасаемся терпением и наносим противнику урон. Демократична Сокира продолжает собирать средства для территориальной обороны и пострадавших, реквизиты https://sokyra.space/uk
👍618👎1
Меня в очередной раз спрашивают про правила информационной безопасности. Правила на то и правила, что они не меняются. И "military-grade" security строится не на секретном цифровом вундерваффе, а на дисциплине. У меня полностью обновлен телефон (если модель не поддерживается, то лучше купить менее навороченный, но обновляемый). В нем нет левых приложений. Signal, Twitter, Messenger. Для экспериментов - отдельная труба. Просто просмотрите список и удалите все, чем не пользуетесь. У меня нет биометрии, только пароль (количество попыток ограничено). На всех аккаунтах стоит двуфактор. Зашифрованный бэкап в облаке. И, да, я кликаю на всякую фигню со специально предназначенного для фигни компьютера потому, что отношусь к любой ссылке одинаково подозрительно. Better safe than sorry.
👍505👎4
С большим удовольствием наблюдаю за тем, как первая понная киберармия имени Нестора Ивановича Махно разносит то один, то другой российский ресурс. И я благодарен всем, кто пытается внести толику порядка в происходящее кибер-унижение противника. Отличие кибер в том, что кибер требует не масштаба, а разнообразия. Независимо от того, сколько женщин вы подключите к деторождению, процесс не ускоряется. Но хотя бы чаты перестали полыхать и стратегия "Эгегей, еб твою мать!" переходит в каждодневную работу. Медленно. С горы. Стадо. Там где "нас нет" - мы надолго.
👍562
То, что в исторической перспективе рососсисии пришла пизда - это хорошо и здорово. Но даже в нашем очень скромном кибер-сегменте отдельные граждане ведут себя так, будто бы уже пора начищать ордена к параду нашей победы на красной площади. А тут еще ебашить и ебашить. И дурной оптимизм неплохо бы засунуть туда же куда и "все пропало".
👍884👎2
Пару дней не заглядывал во всякие интересные чатики, повторно знакомился с русской культурой (от чего русофобия только крепла), предавался радостям человеческого общения, одним словом, бездельничал как мог, так что теперь не спится, и я пошел почитать свежий законопроект 7182 - "щодо підвищення ефективності боротьби з кіберзлочинністю". Так что придется написать лонгрид про кибер, глупую слепую девочку и пельмени.
От физического мира кибер отличается тем, что исследования, проверка, преступление, разведка и война выглядят совершенно одинаково, пока не наступят последствия. А когда они наступают (особенно война) уже поздно пить боржоми. При этом между замыслом и его реализацией могут пройти считанные милисекунды.
Украинский уголовный кодекс, а точнее правоохренительные органы предпочитают в такие тонкости не вникать, а заодно и на общий раздел кодекса тоже кладут болт. Что открывает невиданные перспективы. Отнюдь не редкость, когда тупой мусор трактует снятие кеша с чужой карты не как мошенничество или кражу, а как вмешательство в работу банкомата, в чем его поддерживают не менее тупые судьи.
С кибер (ст. 359, 361 и 361-1) все совсем плохо. Потому что никакие обстоятельства не принимаются в расчет. Что хотелось бы показать на примере. Вот шесть байт AC CD 29 E2 FB C3, если их записать в файл, то не исключено, что антивирус ругнется на них, как на Trojan.Stdout... И так как я довел сейчас эту нехитрую мудрость неограниченному кругу лиц в сети Интернет, то произошло "распространение вредоносного программного обеспечения" от двух тысяч "минимумов" до трех лет. Независимо от того, был ли причинен какой-либо вред.
С 359-й та же самая херня. Несколько месяцев назад чекисты заказали у некоей компании лицензию на софт для мониторинга сотрудников. После этого открыли дело по 359-й и против менеджера, который им прислал лицензионный ключ и против директора компании. Перевернули вверх дном офис и квартиры. Потому что ІСТЕ СБУ написали заключение о том, что это - СТЗ ("специальное техническое средство"), на которое распространяется импортно-экспортный контроль, требуется лицензия, а иначе - статья. Во всем мире (включая Иран и Россию) этот канадский софт просто продается на полках. Вместе с GPS-трекерами, ручками-камерами и прочей мелкой хуетой.
И упаси вас теперь боже найти проебанный кем-нибудь беспарольный диск. Если не сможете доказать, что вы это сделали с целью усиления безопасности (а бремя доказательств, оно не для слабых державных плеч), то в условиях военного времени - до пятнадцати лет. На что хакерам и их ГРУ, и из ФСБ, и даже Народно-Освободительной Армии глубочайшим образом насрать. Им и на США насрать (именно потому и публикуются обвинения публично, потому что в Штатах понимают, что не достанут этих людей никогда)
Между тем, та же самая чекистско-мусорская кодла уже десять лет оббивает пороги западных лавок, начиная от Hacking Team и заканчивая NSO и просят прдать им что-нибудь эдакое. От отчаяния даже "Стахановца" когда-то думали использовать как троян, потому что гордые обладатели лицензий на СТЗ не производят ничего кроме депрессии. Не говоря уже о том, что кибер-операции больше зависят от организации, а не от секретного вундерваффе, но это отдельная больная тема.
Так что нужно сделать? Для начала не подписывать проект 7182 в его тепершнем виде. Статьи 359 и 361-1 выбросить целиком и полностью. Не редактировать их. Выбросить. Совсем. Отменить лицензирование и контроль импорта и экспорта. Для вмешательства в личные тайны есть другие статьи, а хакерский софт без хака запрещать не имеет смысла (нужно научиться доказывать мотивы и факт сговора). А собственно взлом должен подразумевать ущерб и дурные намерения. Все.
Благость намерений определить достаточно легко. Для этого не нужен мифический "Порядок поиска и выявления". Идите в жопу, дорогие. Если исследователь сообщает об уязвимости владельцу системы или публично, и при этом нет ущерба, то он получает иммунитет. Иначе в кибервойне вы будете и дальше воевать подобранными на помойках объедками.
От физического мира кибер отличается тем, что исследования, проверка, преступление, разведка и война выглядят совершенно одинаково, пока не наступят последствия. А когда они наступают (особенно война) уже поздно пить боржоми. При этом между замыслом и его реализацией могут пройти считанные милисекунды.
Украинский уголовный кодекс, а точнее правоохренительные органы предпочитают в такие тонкости не вникать, а заодно и на общий раздел кодекса тоже кладут болт. Что открывает невиданные перспективы. Отнюдь не редкость, когда тупой мусор трактует снятие кеша с чужой карты не как мошенничество или кражу, а как вмешательство в работу банкомата, в чем его поддерживают не менее тупые судьи.
С кибер (ст. 359, 361 и 361-1) все совсем плохо. Потому что никакие обстоятельства не принимаются в расчет. Что хотелось бы показать на примере. Вот шесть байт AC CD 29 E2 FB C3, если их записать в файл, то не исключено, что антивирус ругнется на них, как на Trojan.Stdout... И так как я довел сейчас эту нехитрую мудрость неограниченному кругу лиц в сети Интернет, то произошло "распространение вредоносного программного обеспечения" от двух тысяч "минимумов" до трех лет. Независимо от того, был ли причинен какой-либо вред.
С 359-й та же самая херня. Несколько месяцев назад чекисты заказали у некоей компании лицензию на софт для мониторинга сотрудников. После этого открыли дело по 359-й и против менеджера, который им прислал лицензионный ключ и против директора компании. Перевернули вверх дном офис и квартиры. Потому что ІСТЕ СБУ написали заключение о том, что это - СТЗ ("специальное техническое средство"), на которое распространяется импортно-экспортный контроль, требуется лицензия, а иначе - статья. Во всем мире (включая Иран и Россию) этот канадский софт просто продается на полках. Вместе с GPS-трекерами, ручками-камерами и прочей мелкой хуетой.
И упаси вас теперь боже найти проебанный кем-нибудь беспарольный диск. Если не сможете доказать, что вы это сделали с целью усиления безопасности (а бремя доказательств, оно не для слабых державных плеч), то в условиях военного времени - до пятнадцати лет. На что хакерам и их ГРУ, и из ФСБ, и даже Народно-Освободительной Армии глубочайшим образом насрать. Им и на США насрать (именно потому и публикуются обвинения публично, потому что в Штатах понимают, что не достанут этих людей никогда)
Между тем, та же самая чекистско-мусорская кодла уже десять лет оббивает пороги западных лавок, начиная от Hacking Team и заканчивая NSO и просят прдать им что-нибудь эдакое. От отчаяния даже "Стахановца" когда-то думали использовать как троян, потому что гордые обладатели лицензий на СТЗ не производят ничего кроме депрессии. Не говоря уже о том, что кибер-операции больше зависят от организации, а не от секретного вундерваффе, но это отдельная больная тема.
Так что нужно сделать? Для начала не подписывать проект 7182 в его тепершнем виде. Статьи 359 и 361-1 выбросить целиком и полностью. Не редактировать их. Выбросить. Совсем. Отменить лицензирование и контроль импорта и экспорта. Для вмешательства в личные тайны есть другие статьи, а хакерский софт без хака запрещать не имеет смысла (нужно научиться доказывать мотивы и факт сговора). А собственно взлом должен подразумевать ущерб и дурные намерения. Все.
Благость намерений определить достаточно легко. Для этого не нужен мифический "Порядок поиска и выявления". Идите в жопу, дорогие. Если исследователь сообщает об уязвимости владельцу системы или публично, и при этом нет ущерба, то он получает иммунитет. Иначе в кибервойне вы будете и дальше воевать подобранными на помойках объедками.
👍393