А у кого есть полная утечка с дискорда?
Не для обсуждения или публикации (хочу кое-что уточнить)
В комментарии не нужно, в личку.

Крутой взлом и хорошая статья на InformNapalm. К хакерам, даже если это новички, а не офицеры ГРУ очень тяжело подобраться https://informnapalm.org/en/hacked-russian-gru-officer/

Взлом стоил того, спасибо C.A.S. и UHG, только чтобы прочитать настолько замечательное объявление. Наглой и вероломной. Надо же. Еще и нового типа. Внимание говорит Москва! Говорит Москва! Заявление Советского правительства! Граждане и гражданки советского союза (а так же учреждения культуры)...

АХХАХАХАХАХАХАХАХХАХАХАХАХАХАХАХАХАХАХАХАХАХАХХАХАХАХАХАХАХАХАХАХХА

А чему вы так удивляетесь по поводу Тейшейры? Потомственный военный, капрал, три года службы, медаль за достижения, должность сантехника по компьютерам как у Сноудена. Кто будет генералам JWICS настраивать? И JWICS это сеть, чтобы не повторилась история с 9/11, когда один аналитик видит хобот, другой жопу, а вместе они смотрят на руины торгового центра. А где JWICS там просто обязателен допуск TS/SCI, а значит полиграф и полная проверка. У Меннинга и предыдущей победительницы на конкурсе "самый тупой слив" Рилити "желтые точки" Виннер примерно тоже самое. Вот что действительно непонятно, так это почему контрразведка потратила столько времени на его поимку? И их обогнал Толер и журналисты NYT. Казалось бы после Бредли-Челси проблема была видна...

Похоже журналисты совсем разучились читать секретные документы. Правильный заголовок не "Патрушев и Герасимов cаботировали войну", а "согласно перехвату АНБ, не затрагивающему интересы граждан США, глава администрации президента Украины слушает сплетни, которые ему рассказывает безумный бобёр, по недоразумению попавший в парламенте". В таком виде сообщение приобретает и новостную и разведывательную ценность. А на месте Андрея Борисовича я бы крепко призадумался.

Смотреть на то как Killnet "угрожает" Белоруссии можно вечно

Прочитал два отчета (The International Institute for Strategic Studies и German Institute for International and Security Affairs). Полная катастрофа, господа исследователи насобирали вырезок из отчетов Micosoft, Google и газет и пытаются делать далеко идущие политические выводы. Влоть до того, что IISS задаётся вопросом "как Европа сможет повторить успех Украины в киберзащите?", а их немецкие коллеги склоняются к пересмотру доктрин НАТО. И те и другие, умудрились пропустить примерно три четверти всех происходивших событий, и ни один из них не удосужился хотя бы мимолетом взгялнуть на сырые данные.

Russian intelligence failure связан не с феноменальной украинской защитой и гибкостью (и то и другое местами улучшилось, местами ухудшилось и по-прежнему отсутствует как система), и не с тем, что российская сторона недостаточно владеет "источниками и методами" (хотя и не "cyberpower" это миф), а с тем, что они изначально поставили перед собой противоречивую и практически невыполнимую задачу. И совершенно ровно и планомерно продолжают долбить по схеме, не смотря на то что изначальный план не только провальный, но и уже провалился. Вплоть до повторения день-в-день абсолютно одинаковых операций. Видимо, уважаемые стратеги и аналитики, по-прежнему не понимают специфических "культурных" особенностей забордюрья.

Еще одно слово, которое бесит (сразу после “гибридный” и “дезинформация”) это конечно “хактивист”, оно очень прижилось, не смотря на то, что уже давно не имеет никакого отношения к реальности, но его хотя бы начали брать в кавычки.

Цель любого активизма - изменить отношение общества, к какому-то явлению. Не принять новый закон, не изменить бюджет, а изменить приоритеты, чтобы первый встречный на улице на вполне конкретный вопрос ответил: “Да, это так”.

Как только цель достигнута и отношение людей изменилось, активизм теряет всякий смысл и превращается в обычную политику. Потому-то тот же Anonymous и анонимен, акции прямого действия и гражданского неповиновения находятся где-то на границах законности.

По той же самой причине акции хактивистов практически безвредны, цель - привлечь внимание, а не нанести ущерб. Что даже привело к тому, что дефейс считается “незначительной атакой”. Когда вас дефейсят рансомварщики или военная разведка противника, это уже не “виртуальное граффити”, это - конечная.

В ходе войны просто не может быть никакого “хактивизма”, война привлекает внимание сама по себе. И нет никакой идеологии, “front toward enemy” - вот и вся идеология. Так что выкидывайте “хактивизм” из своего лексикона, до победы не пригодится.

А я всё ждал когда же в Украине появится статья за д̶и̶с̶к̶р̶е̶д̶и̶т̶а̶ц̶и̶ю̶ дезинформацию. И дождался. Мне даже стало любопытно чем еще славен депутат Мазурашу? "Запрет ЛГБТ пропаганды", "компромисс по языковому вопросу", "Люди живут на Богом (а не Украиной) данной земле", "запрет продажи алкоголя и табака в супермаркетах", "разрешить командирам расстреливать солдат", всё настолько вкусное, что остальных борцов с дезинформацией я гуглить не стал. Давайте запретим депутата Мазурашу? Найдется один смелый депутат? И божественную клизму ему для мозгов пропишите. Очень уж там понасрано.

Хорошая история с Mullvad VPN. Шведская полиция пришла к ним с ордером, чтобы получить данные клиентов и тут выяснилось, что никаких данных нет. Просто не существует в природе. Так что полиция ушла несолоно хлебавши. Не хранишь данные - не потеряешь. Так что пользуйтесь личным VPN, платными иностранными сервисами или можете как last resort использовать наш сервер Garda Без регистрации, без оплаты, без логов

Я всегда выступаю за дерегуляцию всякую и разную, но BRDO умеет удивлять. В порядке дерегуляции предложили отменить не 359/361-1 ККУ, не реестр провайдеров в экселе, не невменяемую отчетность по джиттеру, и даже не совершенно бесполезную заебь связанную с КЗІ, а регистрацию OID. Это нихуя не "URL", это такая древняя часть стандартов ISO, которая до сих пор используется в сертификатах X.509, протоколах LDAP и SNMP. Если вы хотите пользоваться какими-то национальными особенностями в общепринятых форматах, как на картинке, то кто-то должен присвоить циферки, чтобы отличать одно от другого. 1.2.804 часть справочника зарезервированная для Украины. Вы в качестве "дерегуляции" собрались отменить "интернетный ISBN". Самую невинную часть того пиздеца, который связан с ТЗІ/КЗІ и телекомом. Смеялся.

В предыдущем посте я по неосторожности помянул семиуровневою модель OSI, и тут же получил пачку ответов, о том что это абстрактная, идеальная модель, которая может чуточку не соответствовать реальности. В прошлом я работал сетевым инженером (админ спит в обнимку со своим сервером, у инженера пожар идет по плану), и не раз спрашивал про OSI на собеседованиях, стараясь по возможности избегать уровней 1, 5 и 6, которых в четырехуровневой TCP/IP suite не было никогда. Мне даже казалось, что это неплохой способ объяснить что такое инкапсуляция пакетов, и чем коммутация отличается от маршрутизации. Тогда ещё можно было найти отличия.

Пока я не вспомнил первое своё столкновение с Frame Relay, в отсутствие сеньора. Виртуальные цепи? Да, что это всё за ёбань такая и что она делает в нашей модной электро-музыкальной сети? Всё это остатки сетей 70-80-х годов, DECNet, SNA, X.21/X.25 сотоварищи. Тогда считалось, что взаимодействие происходит между человеком и компьютером, а не между компьютерами, и что глобальная сеть станет “мировым информаторием”, здорово смахивающим на телефонную сеть. А в телефонии “цепи” (circuit) были настоящей электрической цепью между двумя телефонными аппаратами с кучей фильтров, усилителей и коммутаторов по дороге. И терминалы для подключения к мэйнфреймам.

Сейчас это всё не имеет ни малейшего смысла. Мы по-прежнему хотим от сетей доставки данных из точки A в точку B, вкупе с мультиплексированием, контролем ошибок, контролем потока, гарантиями по полосе и качеству сервиса, и всё это устроено совсем не так как написано в “стандарте” (в полном объёме его так и не удалось реализовать, что к лучшему). Никакого деления на “слои” каждый из которых общается только со слоем ниже и предоставляет унифицированный интерфейс слою выше, нет и не было никогда. Нет никаких “фреймов” пересылаемых через “мосты”, и пакетов, для которых маршрутизаторы выбирают маршрут. И то, и то - пакеты, и то, и то маршрутизация. И когда вы настраиваете современный L2/L3 свитч, первое же столкновение с ARP, MPLS и DHCP Relay оставляет очень неприятный осадочек по поводу “идеальных моделей”.

В OSI сессионный и презентационный уровень не абстрактны, а вполне конкретны, это протоколы X.215, X.216, и первый еще дополнительно отвечает за синхронизацию, а второй за то, что сейчас можно было бы назвать сериализацией и кодировкой данных. В современных сетях и то и другое находится сильно выше седьмого уровня приложений. А тогда предполагалось, что вы в мировом телефонном справочнике DAP (X.500) найдёте нужного абонента, пошлете ему структурированное MHS (X.400) письмо, и все эти сложносочиненные структуры данных, будут сериализованы и перекодированы на пятом и шестом “уровнях”. Если вы сталкивались с LDAP и считаете, что это невменяемая, но иногда неизбежная хуйня, то вы еще не видели его страшного дедушку.

Самый простой вопрос, связанный с моделью OSI: на каком “уровне” находится TLS? Он пользуется TCP, значит он должен быть выше четвертого уровня. В нем есть свой собственный хендшейк и сессии, и у него есть собственные структуры данных, значит это уровень пять или шесть. Но приложения используют его как транспорт, значит это четвертый уровень (тут кстати в QUIC попытались навести порядок). Так что называйте его хоть 42-м уровнем, попытайтесь поставить вместо TLS X.216, придумывайте уровень 2-с-половиной для MPLS, всё это не имеет никакого смысла. И в RFC есть даже объяснение почему слои (layering) не нужно (и даже вредно) воспринимать всерьез.

Да, вот это наверное и есть многоуровневая защита, resilience, быстрая адаптация, сотрудничество с международными партнерами, пример для подражания и блестящий образец, у которого нужно перенимать передовой опыт. Единственное хорошее, что я могу сказать, что господин Кубраков не стал врать и честно рассказал про взлом и не стал играть в "старые неважные данные" и "ничего не хранит".

В остальном выводы довольно неутешительные (и очевидные): никакие партнеры и спецслужбы (включая USCYBERCOM) не могут ничего защитить сами по себе, их девиз: "мы не сеем". За последний год довелось общаться с потерпевшими, и я пришел к выводу о том, что администраторы (а за систему отвечает администратор, не CERT, не СБУ и не киберполиция) просто не знают что делать в случае взлома. Не понимают что и как произошло, и не понимают что делать. По-прежнему сохраняется вера в магические свойства облаков и IDS/IPS железок, что как видите не очень помогает. Учиться плавать в бассейне с крокодилами способны не все.

P.S. Существующая система управления слишком сложна для примитивизирующегося государства. Если бы не было компьютеров, то её практически невозможно было бы поддерживать. Автоматизация и диджитализация не только ничего не меняет, а ускоряет этот процесс.

P.P.S. ZN сняли новость от чего она стала только интереснее

У Толера из Беллингкет продолжение про Thug Shaker Leaks. Фантастическая история. Капрал-малолетка выкладывает секретные документы в дискорд и они медленно и печально начинают бродить из рук в руки.

Потом доки попадают в лапы к проукраинским троллям и они придумывают дивный план по дискредитации Donbass Devúshka (пророссийский паблик: якобы девушка из Луганска, а на самом деле отставной старшина из DC).

Сперва закидывают оригинал в 4chan, перерисовывают цифры потерь и отправляют "девушке". Она их постит, откуда наживку растаскивает российская "сетка". И на следующий день вместо веселого смеха, важные дяди в Пентагоне взлетают над своими стульями на реактивной струе, компетентно (и анонимно) намекая на происки Москвы.

Россияне Ёбаная русня при этом (все без исключения от зрадоёбов до трупопатриотов) свято уверены в том, что это хитрый план американской военщины и ЦИПСО (или даже под руководством ЦИПСО) по заманиваю россоссии в подлую ловушку. И дальше свежеуволенный Такер брызгает слюнями, заявления разных стран, пересравшие малолетки, агенты ФБР...

Никакой "Burn after reading" конкурировать с таким задорным сеттингом не сможет. Любителям инфоопераций на заметку: если в вашем хитром плане есть пункт "2" и это не "PROFIT!", то это уже не план, а гарантированный факап.

Неумирающая классика. В этот раз попался TrustWallet (предыдущий победитель Kaspersky). Генераторы бывают криптостойкие, для моделирования (длинный период и всякие статистические плюшки) и для всего остального (LCG подойдёт). Понять и запомнить разницу погромисты не в состоянии уже сорок лет.

Медицина тут давно бессильна и нужно просто сделать криптостойкий random() по дефолту, fast_random() для ученых, и i_know_this_is_lcg_random_seeded_by_time_NULL() для тех, кто по ошибке прочитает документацию. Всё остальное объявить deprecated, PRNG перенести с программы первого курса института в третий, еще PRNG может брать у программиста информированное согласие в качестве параметра, с цифровой подписью.

Сидить вихрь Мереснна 32-битным значением тоже клиника.

Российские безопасники такая же вкусная еда для хакеров как и российские "гениальные" программисты и админы. Они умеют объяснять сложные вещи простым языком, умеют в комплаенс, установку всяких вундерваффе и тренинги. Единственное чего они не умеют - применять всё перечисленное на практике. В этот раз DumpForums попался Bi.Zone - четыреста "защищенных" клиентов (включая Сбер, Вконтакт и Норникель), "больше тысячи завершенных проектов", единственная неудача - их собственная компания https://news.1rj.ru/str/dumpforums/231

Очень смешная ошибка. В палате мер и весов идиотизма второе место (после srandom(time(NULL))

У меня часто спрашивают про безопасные мессенджеры и мне постоянно приходится напоминать, что безопасность - не функция мессенджера, и всё зависит от того, что и от кого вы хотите спрятать. Это всегда tradeoff, нельзя получить всё и сразу. И тут попался пост про божественно прекрасный мессенджер Converso "по сравнению с которым все остальные выглядят как подстава от АНБ". Мало того что все, что они говорят оказалось ложью от начала до конца, так потом еще выяснилось, что они оставили в паблике полную базу клиентов, полную базу ключей (зашифрованных юзернеймом) и полную базу всех когда либо посланных сообщений. Эталонный snake oil. Немного не хватает "military grade encryption", в остальном shit bingo. https://crnkovic.dev/testing-converso/

Техническая журналистика по-прежнему продолжает расстраивать. Если вы пишете новость о том что идёт дождь не нужно спрашивать мнение специалистов, достаточно посмотреть в окно. Так же и с последним "багом" в Телеграме. Есть две модели безопасности: в Unix и Windows права выдаются пользователю, а в Android, iOS и MacOS - отдельным приложениям. Приложение говорит: "Хочу камеру!", система ему в ответ: попизди мне тут, сейчас у хозяина спросим.

Apple требует, чтобы приложения в AppStore вели себя прилично. CVE-2023-26818, который по мнению местного Форбс, якобы позволяет "удаленно включать камеру", позволяет запустить левую библиотеку (она уже должна присутствовать в системе) от имени Телеграма, у которого права на камеру есть. Просто потому что Телеграму все равно. Но сперва нужно зайти в систему. Если хакер туда зашел, то Телеграм станет не самой главной проблемой.

Еще раз для особо непонятливых. DYLD_INSERT_LIBRARIES - тоже самое, что и LD_PRELOAD в Линуксе. И в винде, и в юниксах, если пользователь может запустить Телеграм с камерой, то он может включить камеру самостоятельно, ни у кого ничего не спрашивая. Как говорит Алан Кокс - normal Unix model. На маках это не так, и то что AppStore пропустил приложение, которое говорит "не хочу пользоваться вашей системой безопасности" как бы намекает нам на то, что проблема совсем не в Телеграме.

У любой компании помимо желания заработать денег, и необходимости выполнять законы разных стран (иногда взаимоисключающие) бывает собственная политика. И они её иногда продвигают открыто, как Фейсбук с его человеконенавистническим "сообществом" рака и щуки. А Телеграм пытается проскочить между капелек, и кому и что он покажет и отдаст большой вопрос. Их политика - скрывать от посторонних цели и методы. Вот это проблема, а не загрузка сторонней библиотеки.

Наконец-то появился текст многострадального "порядка поиска уязвимостей". Суть в чем. Вы заходите в какую-нибудь гос. систему, и видите, что у неё из ушей вываливается собственное говно, что отнюдь не редкость.

Вы как добрый самаритянин пишете администратору, что вот тут дыра, а вот тут, например, крокодилы ебались. Как правило, всем похуй и никто вам не ответит. Вы рассказываете об этом публично, и тут внутри чиновника что-то щелкает и приходит озарение, вот этот вот дрыщ компьютерный он же хочет лично его подсидеть, нагадить, а то и занять тепленькое местечко заместителя залуподрищенского управления, департамента не ваших собачьих дел, и пишет заявление в полицию. А вобще полиции даже заявление не нужно, могут возбуждаться по факту.

Со временем возникла идея, а давайте не будем пиздить безопасников? Российские хакеры никуда не делись, дыры тоже. Давайте сделаем так, чтобы сообщать о дырах в безопасности стало безопасно? Для этого статья 361 ККУ не должна быть фактовой, и нужен хоть какой-нибудь ущерб, чтобы взлом не был victimless crime. Что мы получили в итоге? Срока по статье увеличили до 15 лет, а в порядке прописали, что поиск уязвимостей в системе проводит её владелец. Как будто бы раньше ему что-то мешало.

Так что, если вы занимаетесь поиском уязвимостей, советую держаться как можно дальше от украинских систем. А дыры найдут российские хакеры. Если люди необучаемые, то их обучением займётся враг.