Muckrock сделал хорошее дело. Эмма через FOIA получили документы о 4-1-4s. Название "банды", позже станут говорить "группы", копирует граффити уличных банд. Так как всё происходило в телефонном царстве матушки Bell, то вместо номера улицы - телефонный код Милуоки, а 1-414-PRIVATE не название BBS, на которой тусовался молодняк, а просто пометка в списке, что номер скрыт - иначе домашним телефоном нельзя было бы пользоваться из-за входящих модемныз звонков.
Wardialing, прозвон номеров подряд, пока не начнёт отвечать другой модем, уже был. В том или ином виде техника существует до сих пор - wardriving (поиск wifi-сетей и mass scanning, поиск перебором чего-нибудь вкусного в Интернете). Но после выхода винрарного (хотя никаких раров еще и близко не было) фильма WarGames все просто с цепи посрывались. Что и не удивительно, сценаристы консультировались с Виллисом Вээ. (В отличии от Гибсона, который технические детали подчерпнул из разговора с пьяной секретаршей в баре неподалёку от Пентагона)
Вээ сформулировал понятия безопасности и приватности, как мы их знаем теперь (“Security and Privacy in Computer Systems”, 1967), был одним из разработчиков системы NORAD, и входил в научный совет АНБ. NORAD - командование воздушно-космической обороны. Недавно они перехватил русский бомбардировщик над Аляской (русские заявили, что это бомбардировщик "перехватил" истребитель F-22), а в фильме компьютер NORAD был взломан школьником.
На подростков из 4-1-4s кино подействовало оглушительно и в июне 1983 они уже орудовали в компьютере LANL - национальной лаборатории в Лос Аламосе, которая в том числе разрабатывает ядерное оружие и медицинской компании Sloan Kettering. Что в те времена было не сложно. Логин DEMO, пароль DEMO, SET PROC/PRIV=ALL После того, как ребята заметили, что система ведёт логи они их стёрли, чем напугали админа и он обратился в ФБР.
Тогда еще и АОНов не было, в Bell поставили модемные линии на прослушку, чтобы отследить звонок. Дальше понятно, являются федералы, которые не знают с какой стороны включается компьютер и всё-такое. Для старших участников "банды" история закончилась небольшим штрафом за мелкое правонарушение (CFAA ещё не было), а младшие отделались легким испугом. А вот у президента Рейгана и Конгресса испуг был не шуточный.
Еще до того как 414s доберутся до Лос-Аламоса, Рейган посмотрит Wargames, вызовет генерала Весси из объединенного комитета начальника штабов и спросит: Может ли что-нибудь подобное произойти в действительности? Через неделю генерал ответит: господин президент, всё гораздо хуже чем вы думаете. Потом Рейган подпишет первый указ в области кибербезопасности NSDD-145. А пока генерал разговаривал с президентом, 414s ставили бэкдор в LANL с логином FALKEN и паролем JOSHUA...
(на скриншоте меморандум министерства энергетики - во всём виноваты фильмы и журналисты, да! и малолетние хакеры со своими BBS - о чем подробнее в комментариях https://www.facebook.com/ruheight/posts/959390461175979
Wardialing, прозвон номеров подряд, пока не начнёт отвечать другой модем, уже был. В том или ином виде техника существует до сих пор - wardriving (поиск wifi-сетей и mass scanning, поиск перебором чего-нибудь вкусного в Интернете). Но после выхода винрарного (хотя никаких раров еще и близко не было) фильма WarGames все просто с цепи посрывались. Что и не удивительно, сценаристы консультировались с Виллисом Вээ. (В отличии от Гибсона, который технические детали подчерпнул из разговора с пьяной секретаршей в баре неподалёку от Пентагона)
Вээ сформулировал понятия безопасности и приватности, как мы их знаем теперь (“Security and Privacy in Computer Systems”, 1967), был одним из разработчиков системы NORAD, и входил в научный совет АНБ. NORAD - командование воздушно-космической обороны. Недавно они перехватил русский бомбардировщик над Аляской (русские заявили, что это бомбардировщик "перехватил" истребитель F-22), а в фильме компьютер NORAD был взломан школьником.
На подростков из 4-1-4s кино подействовало оглушительно и в июне 1983 они уже орудовали в компьютере LANL - национальной лаборатории в Лос Аламосе, которая в том числе разрабатывает ядерное оружие и медицинской компании Sloan Kettering. Что в те времена было не сложно. Логин DEMO, пароль DEMO, SET PROC/PRIV=ALL После того, как ребята заметили, что система ведёт логи они их стёрли, чем напугали админа и он обратился в ФБР.
Тогда еще и АОНов не было, в Bell поставили модемные линии на прослушку, чтобы отследить звонок. Дальше понятно, являются федералы, которые не знают с какой стороны включается компьютер и всё-такое. Для старших участников "банды" история закончилась небольшим штрафом за мелкое правонарушение (CFAA ещё не было), а младшие отделались легким испугом. А вот у президента Рейгана и Конгресса испуг был не шуточный.
Еще до того как 414s доберутся до Лос-Аламоса, Рейган посмотрит Wargames, вызовет генерала Весси из объединенного комитета начальника штабов и спросит: Может ли что-нибудь подобное произойти в действительности? Через неделю генерал ответит: господин президент, всё гораздо хуже чем вы думаете. Потом Рейган подпишет первый указ в области кибербезопасности NSDD-145. А пока генерал разговаривал с президентом, 414s ставили бэкдор в LANL с логином FALKEN и паролем JOSHUA...
(на скриншоте меморандум министерства энергетики - во всём виноваты фильмы и журналисты, да! и малолетние хакеры со своими BBS - о чем подробнее в комментариях https://www.facebook.com/ruheight/posts/959390461175979
(Голосом Фрая из Футурамы) Постойте-ка, если аэропорту "Одесса", как они сами говорят, не был нанесен ущерб, то я хотел бы спросить, а чем собственно занимается The Security Service of Ukraine и Національна поліція України? То есть четыре месяца НСРД, обыски, экспертизы и суды, ущерб в сотни тысяч, если не в миллионы гривен нанесенный налогоплательщикам и нам лично, а в результате пустота? "Образи" шмартиклю? Серьёзно?
P.S. Спасибо Олександр Федієнко за депутатский запрос.
P.S. Спасибо Олександр Федієнко за депутатский запрос.
Лет десять назад я привычно тюленил на своём рабочем месте под кондиционером. Из сонного марева меня выдрал внутренний звонок. Что, к счастью, происходило не слишком часто. Полностью отключились все городские телефоны. От меди и стимпанкового порно мы давно отказались, связь полностью цифровая. Звоню в телеком с мобильного и выясняю, что нас отключили, потому что с наших номеров идут подозрительные звонки в городскую сеть. На что нам было вобщем-то наплевать, потому что городские звонки шли по фиксированной ставке. Даже логи не вели.
И как оказалось зря. Выяснилось, что предшественники оставили наш голосовой шлюз голым задом в Интернет, чем немедленно кто-то воспользовался, чтобы гнать через нас голос. Разъяренный телеком посоветовал нам самим написать на себя же заявление в полицию. От такого необыкновенно заманчивого предложения юридический отдел отказался в очень сжатой, доходчивой и экспрессивной форме, объясняя связистам что они могут сделать со своим договором, со своими драгоценным трафиком и своими претензиями.
Одним словом, пришлось переподключаться к другому оператору. И мне эта история напомнила о том, что одна из самых крупных и сложных машин в истории человечества, не Интернет, а телефонная сеть. В ней есть свои глюки и свои дыры, но один из багов оказался настолько лютым, что породил целую субкультуру фрикеров, из которой потом вырастет хакинг. Дыру нельзя было закрыть около тридцати лет, просто из-за космической стоимости, в которую бы обошлась переделка сети. И имя ей - внутриполосная сигнализация (in-band signaling).
Уже в начале прошлого века стало понятно, что с непрерывно растущим количеством телефонных звонков "барышни"-операторы не смогут справиться в принципе, и появились автоматические коммутаторы, в начале шаговые - Строугера, а затем координатные. Появились номеронабиратели и звонки в пределах одной АТС, а потом и города, перешли в автоматический режим. Но оставался межгород, который нужно было маршрутизировать и тарифицировать вручную. Были даже специальные тарифно-маршрутные операторы, которые подсказывали рядовым операторам как соединить какой-нибудь нетривиальный звонок.
В пятидесятые годы автоматика доберётся и до межгорода. Проблема была в том, чтобы наладить связь между коммутаторами, чтобы они "знали", какие линии свободны, и какой номер нужно подсоединить к линии с "дальней" стороны. И так как проложить дополнительно тысячи и тысячи километров кабелей между коммутаторами - не вариант, то они пересвистывались между собой с помощью специальных сигналов в том же самом голосовом канале, который они соединяли. На что тут же обратили внимание телефонные хакеры, название "фрикеры" появится только в 1971 году.
Выглядело это примерно так. Вы снимаете трубку, набираете номер, местный коммутатор соединяется с междугородним, тот запоминает набранный номер, ищет маршрут и свободную линию, соединяет её, и свистит в неё набранный номер мультичастотным сигналом. Если в этот момент пропищать в линию свистком в 2600 Гц (именно из-за выбранной частоты один из стареших хакерских журналов называется "2600"), то местный коммутатор не обратит на него внимания, он "видит", что трубка снята, а вот удаленный коммутатор "подумает", что линия освободилась и разъединит звонок со своей стороны, оставаясь при этом на линии в ожидании новых команд.
Замечательная игрушка. С конца пятидесятых блю-боксы (небольшие устройства для управления сетью) изобретались и переизобретались многократно, доводя до бешенства телефонную компанию и разжигая паранойю ФБР. Холодная война как никак, критическая инфраструктура. Постепенно фрикеры научились управлять сетью, прокладывая маршруты (route by source очень плохая идея, на которую потом наступит и Интернет), и находя всё новые и новые фишки не предусмотренные проектировщиками. До прослушки линий ФБР и Белого Дома включительно. Создатели системы знали как она _должна_ работать, а фрикеры знали, как она работает _на самом деле_.
И как оказалось зря. Выяснилось, что предшественники оставили наш голосовой шлюз голым задом в Интернет, чем немедленно кто-то воспользовался, чтобы гнать через нас голос. Разъяренный телеком посоветовал нам самим написать на себя же заявление в полицию. От такого необыкновенно заманчивого предложения юридический отдел отказался в очень сжатой, доходчивой и экспрессивной форме, объясняя связистам что они могут сделать со своим договором, со своими драгоценным трафиком и своими претензиями.
Одним словом, пришлось переподключаться к другому оператору. И мне эта история напомнила о том, что одна из самых крупных и сложных машин в истории человечества, не Интернет, а телефонная сеть. В ней есть свои глюки и свои дыры, но один из багов оказался настолько лютым, что породил целую субкультуру фрикеров, из которой потом вырастет хакинг. Дыру нельзя было закрыть около тридцати лет, просто из-за космической стоимости, в которую бы обошлась переделка сети. И имя ей - внутриполосная сигнализация (in-band signaling).
Уже в начале прошлого века стало понятно, что с непрерывно растущим количеством телефонных звонков "барышни"-операторы не смогут справиться в принципе, и появились автоматические коммутаторы, в начале шаговые - Строугера, а затем координатные. Появились номеронабиратели и звонки в пределах одной АТС, а потом и города, перешли в автоматический режим. Но оставался межгород, который нужно было маршрутизировать и тарифицировать вручную. Были даже специальные тарифно-маршрутные операторы, которые подсказывали рядовым операторам как соединить какой-нибудь нетривиальный звонок.
В пятидесятые годы автоматика доберётся и до межгорода. Проблема была в том, чтобы наладить связь между коммутаторами, чтобы они "знали", какие линии свободны, и какой номер нужно подсоединить к линии с "дальней" стороны. И так как проложить дополнительно тысячи и тысячи километров кабелей между коммутаторами - не вариант, то они пересвистывались между собой с помощью специальных сигналов в том же самом голосовом канале, который они соединяли. На что тут же обратили внимание телефонные хакеры, название "фрикеры" появится только в 1971 году.
Выглядело это примерно так. Вы снимаете трубку, набираете номер, местный коммутатор соединяется с междугородним, тот запоминает набранный номер, ищет маршрут и свободную линию, соединяет её, и свистит в неё набранный номер мультичастотным сигналом. Если в этот момент пропищать в линию свистком в 2600 Гц (именно из-за выбранной частоты один из стареших хакерских журналов называется "2600"), то местный коммутатор не обратит на него внимания, он "видит", что трубка снята, а вот удаленный коммутатор "подумает", что линия освободилась и разъединит звонок со своей стороны, оставаясь при этом на линии в ожидании новых команд.
Замечательная игрушка. С конца пятидесятых блю-боксы (небольшие устройства для управления сетью) изобретались и переизобретались многократно, доводя до бешенства телефонную компанию и разжигая паранойю ФБР. Холодная война как никак, критическая инфраструктура. Постепенно фрикеры научились управлять сетью, прокладывая маршруты (route by source очень плохая идея, на которую потом наступит и Интернет), и находя всё новые и новые фишки не предусмотренные проектировщиками. До прослушки линий ФБР и Белого Дома включительно. Создатели системы знали как она _должна_ работать, а фрикеры знали, как она работает _на самом деле_.
Полное и окончательное безобразие продолжалось до конца восьмидесятых годов, а кое-где и позже, пока телефонные компании не позаменяли полностью оборудование на новую по тем временам систему ОКС-7, начиная с SS6 уже использовались отдельные линии для служебных сообщений, но в ходу в основном была пятая. Стандарт разработанный в 1975 году и утвержденный в 1984 дожил до наших дней. И когда я сидел в обнимку с нашим шлюзом, в серверной расчитанной на ядерную войну, и грязно, нечеловечески ругаясь, выяснял какая должна быть распиновка на джеке и что это за паскудство CAS, типы синхронизации и прочее телефонное мумбо-юмбо, то прочувствовал тяжкий груз истории на собственной шкуре.
Свистеть в линию уже давно бесполезно, но интересные глюки там возникают до сих пор. Начиная с ошибки в одной строчке кода, которая увалила половину междугородних коммутаторов в 1990 году и вплоть до наших дней. Начиная с подмены номера хотя бы, очередной won't fix баг, который не получается исправить десятилетиями. Подобные экскурсы в историю вдохновляют и открывают безграничные переспективы. А потом смотришь на какого-нибудь державного рагуляйтера, который думает что телефон и Интернет просто такие шнурки из стены, чтобы звонить и смотреть порно, а не целый мир со своими правилами, историей и культурой, то возникает ощущение, что они все просто душевнобольные и поехавшие наглухо.
Свистеть в линию уже давно бесполезно, но интересные глюки там возникают до сих пор. Начиная с ошибки в одной строчке кода, которая увалила половину междугородних коммутаторов в 1990 году и вплоть до наших дней. Начиная с подмены номера хотя бы, очередной won't fix баг, который не получается исправить десятилетиями. Подобные экскурсы в историю вдохновляют и открывают безграничные переспективы. А потом смотришь на какого-нибудь державного рагуляйтера, который думает что телефон и Интернет просто такие шнурки из стены, чтобы звонить и смотреть порно, а не целый мир со своими правилами, историей и культурой, то возникает ощущение, что они все просто душевнобольные и поехавшие наглухо.
А в конце восьмидесятых из хакерско-фрикерской среды выделится тусовка, от которой кривились не только админы, но и другие хакеры. Индустрия развяжет против неё настоящую войну. Так как это одна из любимых моих тусовок, то говорить буду от первого лица. Меня потом не раз спрашивали: а зачем, собственно, сидеть и пялиться в компьютер часами, чтобы сделать что-то настолько не просто бесполезное, но и пугающее? Типовой ответ - знания и развлечение, но он не настолько прост как кажется.
Я не раз с интересом наблюдал, как мой друг UR3IJC копается в своём радиолюбительском трансивере, и иногда спрашивал, зачем он припаивает (или откусывает) очередную деталь? Я не разбираюсь в электронике, но общее представление о том, как работают вещи у меня есть. Когда я был маленьким многие бытовые приборы поплатились за это. И так пока Энди не уговорил меня получить позывной. (Я вас предупреждаю, если вам предложат поставить зачет на автомате или пить с коротковолновиками - выбирайте экзамен).
Я в первый раз нажимаю на передачу и начинаю повторять: "Всем, ульяна, радио, шесть, иван, ульяна, федор...". Отпускаю и в наушниках шипит эфир. Через какое-то время я слышу щелчок, фоновый шум немного меняется. Кто-то собирается мне ответить. И вот тут я понял. Ничем не передаваемое ощущение. Так разволновался, что не сразу вспомнил, что нужно говорить в ответ! 73 и 99 не перепутал в конце и ладно. Вот этот первый звук был самым важным. Радиолюбителя из меня не вышло, но это было здорово!
Думаю, что когда слепой фрикер Джойбабл свистнул в линию и услышал, как коммутатор разрывает соединение он чувствовал тоже самое. Или когда начинаешь понимать, что какой-нибудь математический фокус - не просто формула, в которую нужно подставить нужные числа, а структура, ткань реальности, для которой числа не важны. Что она существует сама по себе. Мы её просто "открыли" и используем для своих надобностей. Я не впадаю в подобные крайности, но среди математиков довольно много хардкорных идеалистов. У меня не всегда хватает воображения на такие штуки. Программисты прикладники.
И ещё у меня когда-то была книжка Чарльза Везерелла "Этюды для программистов" (довольно экстремальная штука для новичка). В ней есть задача - написать программу, которая печатает свой собственный текст, не используя файлы или какие-то скрытые функции системы. Звучит просто. Её и сейчас часто задают. Для поста я быстренько нашел пример на питоне. Посмотреть и запустить ответ можно здесь https://trinket.io/python/378584dc8a Но самое лучшее, что вы можете сделать (если не сталкивались), не открывать ссылку и решить её самостоятельно.
Можно выучить уравнения Максвелла и биографию Фессендена, но радио-приёмник останется для вас мертвым предметом, который издаёт какие-то звуки. Может даже увлекательным, но неинтересным. Можно прочитать Bell Labs Technical Journal и найти ответы на все вопросы, и телефонная сеть останется удобным способом послать сообщение из точки А в точку Б. Иногда бесплатно. Да, это всё знания, и в них нет никаких секретов. Чтобы там вам хакеры не говорили. Гораздо проще ходить на лекции в институте и вам расскажут про лямбда-исчисление, неподвижные точки и Y-комбинаторы. Полезно.
Но тайны уже не будет. А такие простые, казалось бы, вещи: лампа с проводами и несколькими деталями, свист правильной частоты, однострочная программа или несложное уравнение в технологической реальности превращаются в заклинания. Они действуют непосредственно. Их красоту невозможно объяснить кроме как just for fun. Они дают чувство причастности к чему-то большему. Напоминая о том, что "любая развитая технология не отличима от магии". И продолжение идеи саморепликации - компьютерные вирусы, программы написанные, чтобы изменять другие программы, чтобы изменять другие программы, чтобы...
Я не раз с интересом наблюдал, как мой друг UR3IJC копается в своём радиолюбительском трансивере, и иногда спрашивал, зачем он припаивает (или откусывает) очередную деталь? Я не разбираюсь в электронике, но общее представление о том, как работают вещи у меня есть. Когда я был маленьким многие бытовые приборы поплатились за это. И так пока Энди не уговорил меня получить позывной. (Я вас предупреждаю, если вам предложат поставить зачет на автомате или пить с коротковолновиками - выбирайте экзамен).
Я в первый раз нажимаю на передачу и начинаю повторять: "Всем, ульяна, радио, шесть, иван, ульяна, федор...". Отпускаю и в наушниках шипит эфир. Через какое-то время я слышу щелчок, фоновый шум немного меняется. Кто-то собирается мне ответить. И вот тут я понял. Ничем не передаваемое ощущение. Так разволновался, что не сразу вспомнил, что нужно говорить в ответ! 73 и 99 не перепутал в конце и ладно. Вот этот первый звук был самым важным. Радиолюбителя из меня не вышло, но это было здорово!
Думаю, что когда слепой фрикер Джойбабл свистнул в линию и услышал, как коммутатор разрывает соединение он чувствовал тоже самое. Или когда начинаешь понимать, что какой-нибудь математический фокус - не просто формула, в которую нужно подставить нужные числа, а структура, ткань реальности, для которой числа не важны. Что она существует сама по себе. Мы её просто "открыли" и используем для своих надобностей. Я не впадаю в подобные крайности, но среди математиков довольно много хардкорных идеалистов. У меня не всегда хватает воображения на такие штуки. Программисты прикладники.
И ещё у меня когда-то была книжка Чарльза Везерелла "Этюды для программистов" (довольно экстремальная штука для новичка). В ней есть задача - написать программу, которая печатает свой собственный текст, не используя файлы или какие-то скрытые функции системы. Звучит просто. Её и сейчас часто задают. Для поста я быстренько нашел пример на питоне. Посмотреть и запустить ответ можно здесь https://trinket.io/python/378584dc8a Но самое лучшее, что вы можете сделать (если не сталкивались), не открывать ссылку и решить её самостоятельно.
Можно выучить уравнения Максвелла и биографию Фессендена, но радио-приёмник останется для вас мертвым предметом, который издаёт какие-то звуки. Может даже увлекательным, но неинтересным. Можно прочитать Bell Labs Technical Journal и найти ответы на все вопросы, и телефонная сеть останется удобным способом послать сообщение из точки А в точку Б. Иногда бесплатно. Да, это всё знания, и в них нет никаких секретов. Чтобы там вам хакеры не говорили. Гораздо проще ходить на лекции в институте и вам расскажут про лямбда-исчисление, неподвижные точки и Y-комбинаторы. Полезно.
Но тайны уже не будет. А такие простые, казалось бы, вещи: лампа с проводами и несколькими деталями, свист правильной частоты, однострочная программа или несложное уравнение в технологической реальности превращаются в заклинания. Они действуют непосредственно. Их красоту невозможно объяснить кроме как just for fun. Они дают чувство причастности к чему-то большему. Напоминая о том, что "любая развитая технология не отличима от магии". И продолжение идеи саморепликации - компьютерные вирусы, программы написанные, чтобы изменять другие программы, чтобы изменять другие программы, чтобы...
Идея настолько проста, что она буквально висит в воздухе. Любой начинающий программист с самыми скромными знаниями управится за неделю. И в конце восьмидесятых количество посвященных достигло критической точки - появились специализированные BBS и первые журналы, Corrupted Programming International, 40Hex, NuKE (и не вздумайте написать иначе!), с весьма-а-а колоритными персонажами, так в CPI (самое древнее что я нашел) отметился Acid Phreak из LoD. Про Легион и чем всё закончилось Брюс Стерлинг написал книжку "The Hacker crackdown". (Спойлер: "свадьбы" и всеобщего примирения не произошло)
Вирусная сцена в 1990-м только формировалась...
(продолжение следует)
Вирусная сцена в 1990-м только формировалась...
(продолжение следует)
Недавно правоохранители Британии, Франции и Голландии с большой помпой отчитались о том, что они смогли положить коммуникационную сеть #EncroChat, которой пользовалась организованная преступность. Казалось бы большая победа, но вопросов куда больше, чем ответов. Начнём с того, что EncroChat - типичный представитель Snake Oil - фальшивое лекарство от всех болезней.
Слабые ключи DH - 1024 бит, древняя версия OpenSSL, уязвимая к #Heartbleed, то что компания называла "замкнутым контуром" - обычный SIP-TLS, с самоподписанными сертификатами. Уязвимый клон PGP, из которого текут внутренние IP-адреса. Заведомо уязвимый комплект шифров в OpenSSL, такой как TLS-(EC)DH-NONE
Когда вам присылают открытый ключ, вы должны каким-то образом выяснить, что ключ принадлежит собеседнику, а не товарищу майору. Для этого открытые сесионные ключи подписывают долгоживущим и проверенным ключом. None - значит, что подписи нет. Активный атакующий может перехватить любую сессию и стать в середине. Но полиция говорит, что взлом не имеет отношения к криптографии.
Тогда как?
#Hackback, вот как. Складывается впечатление, что полиция получила доступ к серверам, и спустила по supply chain push-обновление с вирусней. И возникает вопрос, а если этим недо-крипто-фоном пользовались люди не связанные с преступностью, тогда что? "Извините, ошиблись адресом"? Типичный пример незаконных действий полиции. Да, и полицейская мальварь очень сильно подрывает доказательную базу.
Если вы думаете, что это всё далеко, слишком сложно или вас не касается, то должен вас разачаровать. С 2014 года The Security Service of Ukraine использует ссылки-трекеры, клик-и-пиздык, чтобы "вычислять по IP" и запросы (часто без ордера) к провайдеру на раскрытие персональных данных (что незаконно). И не только против россиян, но и против собственных граждан.
Орудуют с такой фантастической наглостью и детской непосредственностью, что их даже спалили россияне (это такое прилагательное характеризующее умственные способности), еще тогда же, в конце 2014. Кому интересно, найдёте детали у Sp0raw. Запомните, хакерью, в большинстве случаев, не нужен ваш IP, а ментам и чекистам только он-то и нужен.
Уже десять лет они пытаются протащить СОРМ - бесконтрольную массовую слежку. Не брезгуют ничем. Тут вам и "синие киты", и "ответственность" прессы, что угодно, чтобы залезть в наш Интернет.
Что до всяких специально сконструированных и "очень надежных" приложений, то лучше их избегать и пользоваться проверенными и массовыми (не ассоциирущимися с криминалом) программами. Возможно, что EncroChat изначально был, или со временем стал, операцией по внедрению. Так что - Signal, а еще лучше Jabber+OTR. Без логов.
Слабые ключи DH - 1024 бит, древняя версия OpenSSL, уязвимая к #Heartbleed, то что компания называла "замкнутым контуром" - обычный SIP-TLS, с самоподписанными сертификатами. Уязвимый клон PGP, из которого текут внутренние IP-адреса. Заведомо уязвимый комплект шифров в OpenSSL, такой как TLS-(EC)DH-NONE
Когда вам присылают открытый ключ, вы должны каким-то образом выяснить, что ключ принадлежит собеседнику, а не товарищу майору. Для этого открытые сесионные ключи подписывают долгоживущим и проверенным ключом. None - значит, что подписи нет. Активный атакующий может перехватить любую сессию и стать в середине. Но полиция говорит, что взлом не имеет отношения к криптографии.
Тогда как?
#Hackback, вот как. Складывается впечатление, что полиция получила доступ к серверам, и спустила по supply chain push-обновление с вирусней. И возникает вопрос, а если этим недо-крипто-фоном пользовались люди не связанные с преступностью, тогда что? "Извините, ошиблись адресом"? Типичный пример незаконных действий полиции. Да, и полицейская мальварь очень сильно подрывает доказательную базу.
Если вы думаете, что это всё далеко, слишком сложно или вас не касается, то должен вас разачаровать. С 2014 года The Security Service of Ukraine использует ссылки-трекеры, клик-и-пиздык, чтобы "вычислять по IP" и запросы (часто без ордера) к провайдеру на раскрытие персональных данных (что незаконно). И не только против россиян, но и против собственных граждан.
Орудуют с такой фантастической наглостью и детской непосредственностью, что их даже спалили россияне (это такое прилагательное характеризующее умственные способности), еще тогда же, в конце 2014. Кому интересно, найдёте детали у Sp0raw. Запомните, хакерью, в большинстве случаев, не нужен ваш IP, а ментам и чекистам только он-то и нужен.
Уже десять лет они пытаются протащить СОРМ - бесконтрольную массовую слежку. Не брезгуют ничем. Тут вам и "синие киты", и "ответственность" прессы, что угодно, чтобы залезть в наш Интернет.
Что до всяких специально сконструированных и "очень надежных" приложений, то лучше их избегать и пользоваться проверенными и массовыми (не ассоциирущимися с криминалом) программами. Возможно, что EncroChat изначально был, или со временем стал, операцией по внедрению. Так что - Signal, а еще лучше Jabber+OTR. Без логов.
В октябре прошлого года президент Зеленский пообещал распустить "экономические" отделы полиции и службы безопасности. Рассадники коррупции и решалова. Что не помешало Баканову тут же сказать, что он постарается сохранить ценных "К"адров, и шмартикль, позабыв про предыдущие обещания, в экзальтации пропищал: "Молодец, Ваня!" https://bit.ly/2VVdYac Сложно ему удержать две мысли в голове одновременно.
И тогда же, осенью, "экономисты" зашли в киберполицию и ДКИБ (кибер-подразделение СБ). А сейчас Kostiantyn Korsun рассказывает прекрасное https://bit.ly/2Dh2HdO TL;DR Юрий Щиголь из ДКИБ, которого шмуряд назначил рулить Госспесвязью, пять лет назад попался на взятке. Чекисты с мусорами наехали в Днепре на бизнесмена, пограбили немного, а потом попросили ещё миллион https://bit.ly/3iIJhil , с которым их и приняла внутренняя безопасность. Дело замяли.
Теперь-то я за кибербезопасность совершенно спокоен. Если даже враги попрут военную тайну, то новое руководство спецсвязи спиздит её обратно. Верю в них.
И тогда же, осенью, "экономисты" зашли в киберполицию и ДКИБ (кибер-подразделение СБ). А сейчас Kostiantyn Korsun рассказывает прекрасное https://bit.ly/2Dh2HdO TL;DR Юрий Щиголь из ДКИБ, которого шмуряд назначил рулить Госспесвязью, пять лет назад попался на взятке. Чекисты с мусорами наехали в Днепре на бизнесмена, пограбили немного, а потом попросили ещё миллион https://bit.ly/3iIJhil , с которым их и приняла внутренняя безопасность. Дело замяли.
Теперь-то я за кибербезопасность совершенно спокоен. Если даже враги попрут военную тайну, то новое руководство спецсвязи спиздит её обратно. Верю в них.
Пару дней назад в НКЦК РНБО снова зашла речь об онлайн-голосовании, в том числе они рекомендуют "заинтересованным министерствам", то есть министерству цифрового пиздежа, разработать техническое задание https://www.rnbo.gov.ua/ua/Diialnist/4642.html Спасибо Kostiantyn, что обратил внимание https://www.facebook.com/kostiantyn.korsun/posts/1414742648710832 Потому поговорим ещё раз про небесную Эстонию.
Почему про Эстонию? В данный момент одно из немногих государств на планете (а именно двух), где проводятся выборы онлайн. Все остальные страны отказались от утопических проектов онлайн-голосования. Ничего сложного или супер-технологичного в эстонской системе нет, это обычный "двойной конверт". Такую систему можно реализовать и на бумаге для удаленного голосования. Вы запечатываете заполненный бюллетень в непрозрачный конверт, кладёте во второй конверт и на нём уже пишете своё имя, чтобы избирательная комиссия могла проверить, что у вас есть право голоса. Потом внешние конверты снимаются, и конверты с голосами перемешиваются, чтобы обеспечить тайну голоса и отправляются на пересчёт.
Онлайновая система работает точно так же и состоит из трёх серверов. Первый сервер принимает TLS-соединения ("с замочком"), для проверки личности используется ключ аутентификации из паспорта (Что, кстати, само по себе позволяет составить чудесную базу IP-адресов с привязкой к паспорту, эстонцы просто верят что PP и KaPo такая база не нужна). Эстонский паспорт - активное устройство, которое само создаёт ключи и способно выполнять запросы на аутентификацию и цифровую подпись. И оно устроено не так как биометрический паспорт. И в 2017 году выяснилось, что все они уязвимы к ROCA и все 750 тысяч карт пришлось заменить. У нас есть около двадцати центров сертификации (АЦСК), и я уверен в том, что за достаточно большую взятку один из них сгенерирует столько липовых подписей сколько вам нужно.
Но вернёмся к голосованию, пользователь выбирает кандидата, добавляет к номеру кандидата nonce (о чем забыли раки на выборах в мосгордуру, чем ослабили шифрование приблизительно до нуля), подписывает голос вторым ключом из папорта и отсылает на сервер. Тот передаёт голос на второй сервер уже без подключения к Интернету, который проверяет подписи и отрывает их. Потом приходят специальные люди, под видеозапись вводят пароль администратора, не обращая внимания на ошибки, записывают анонимизированные голоса на первую попавшуюся флешку и переносят на третий сервер, где хранится секретный ключ выборов и происходит расшифровка и подсчёт голосов. Наблюдатели могут посмотреть на весело мигающие лампочки.
Придумали это всё в те времена, когда кибервойна проходила по рубоике "новинки научной фантастики". Работает система "нипель" исключительно потому, что во всей Эстонии живёт меньше людей чем в Харькове. Около миллиона человек имеет право голоса и полмиллиона принимает участие в выборах. Нет, оналайн-голосование не повышает активность избирателей, но немного снижает стоимость. А ещё в эстонском обществе меньше конфликтов и очень высокий уровень доверия власти. Эстонцы верят, что правительство их не обманет, потому что не может же правительство обманывать? И обманщику станет стыдно! А забыл, вторая страна, которая недавно провела онлайн-выборы - Россия, чтобы был вечный Путин, а базу номеров паспортов людей проголовавших онлайн тут же выложили в Интернет.
Я полагаю, что цель любителей погудеть в трансформатор ближе к путинской - фальсифицировать выборы с целью сохранения власти. Потом конечно - революция, война, голод, правительство национального спасения, но они об этом не думают, потому что считают себя исключительно гениальными туловищами.
Почему про Эстонию? В данный момент одно из немногих государств на планете (а именно двух), где проводятся выборы онлайн. Все остальные страны отказались от утопических проектов онлайн-голосования. Ничего сложного или супер-технологичного в эстонской системе нет, это обычный "двойной конверт". Такую систему можно реализовать и на бумаге для удаленного голосования. Вы запечатываете заполненный бюллетень в непрозрачный конверт, кладёте во второй конверт и на нём уже пишете своё имя, чтобы избирательная комиссия могла проверить, что у вас есть право голоса. Потом внешние конверты снимаются, и конверты с голосами перемешиваются, чтобы обеспечить тайну голоса и отправляются на пересчёт.
Онлайновая система работает точно так же и состоит из трёх серверов. Первый сервер принимает TLS-соединения ("с замочком"), для проверки личности используется ключ аутентификации из паспорта (Что, кстати, само по себе позволяет составить чудесную базу IP-адресов с привязкой к паспорту, эстонцы просто верят что PP и KaPo такая база не нужна). Эстонский паспорт - активное устройство, которое само создаёт ключи и способно выполнять запросы на аутентификацию и цифровую подпись. И оно устроено не так как биометрический паспорт. И в 2017 году выяснилось, что все они уязвимы к ROCA и все 750 тысяч карт пришлось заменить. У нас есть около двадцати центров сертификации (АЦСК), и я уверен в том, что за достаточно большую взятку один из них сгенерирует столько липовых подписей сколько вам нужно.
Но вернёмся к голосованию, пользователь выбирает кандидата, добавляет к номеру кандидата nonce (о чем забыли раки на выборах в мосгордуру, чем ослабили шифрование приблизительно до нуля), подписывает голос вторым ключом из папорта и отсылает на сервер. Тот передаёт голос на второй сервер уже без подключения к Интернету, который проверяет подписи и отрывает их. Потом приходят специальные люди, под видеозапись вводят пароль администратора, не обращая внимания на ошибки, записывают анонимизированные голоса на первую попавшуюся флешку и переносят на третий сервер, где хранится секретный ключ выборов и происходит расшифровка и подсчёт голосов. Наблюдатели могут посмотреть на весело мигающие лампочки.
Придумали это всё в те времена, когда кибервойна проходила по рубоике "новинки научной фантастики". Работает система "нипель" исключительно потому, что во всей Эстонии живёт меньше людей чем в Харькове. Около миллиона человек имеет право голоса и полмиллиона принимает участие в выборах. Нет, оналайн-голосование не повышает активность избирателей, но немного снижает стоимость. А ещё в эстонском обществе меньше конфликтов и очень высокий уровень доверия власти. Эстонцы верят, что правительство их не обманет, потому что не может же правительство обманывать? И обманщику станет стыдно! А забыл, вторая страна, которая недавно провела онлайн-выборы - Россия, чтобы был вечный Путин, а базу номеров паспортов людей проголовавших онлайн тут же выложили в Интернет.
Я полагаю, что цель любителей погудеть в трансформатор ближе к путинской - фальсифицировать выборы с целью сохранения власти. Потом конечно - революция, война, голод, правительство национального спасения, но они об этом не думают, потому что считают себя исключительно гениальными туловищами.
Продолжаю увлеченно следить за приключениями бабы яги разведывательного сообщества - Эммы Бест. Если кто-то еще не знаком с этим чудом природы, то про Эмму у меня есть TL;DR Collateral treason #3 https://www.facebook.com/ruheight/posts/773984366383257
Несколько недель назад, в разгар протестов в США, Эмма кинули клич ̶в̶о̶р̶у̶й̶,̶ у̶б̶и̶в̶а̶й̶,̶ ̶е̶б̶и̶ ̶г̶у̶с̶е̶й̶ хакать полицию, и какие-то добрые люди под лейблом Anonymous (что довольно сомнительно), прислали ей триста гиг файлов из fusion и awareness центров (гос. учреждения для обмена информацией между правоохранительными органами).
Полицию не любит никто и нигде, даже полиция не любит сама себя, тем не менее каки-то совсем уж откровенных залётов в #BlueLeaks нет. Листаю последние твиты: центр в Северной Каролине рассылает список намеченных протестов. И чтобы подчеркнуть зловещую суть режима сверху написано красным "Только для того, чтобы вы были в курсе, поскольку протесты - деятельность, охраняемая законом в соответствии с первой поправкой Конституции США". Адские репрессии.
Хотя попадаются и не вполне приличные моменты. Например, один из активистов спросил у адвоката, сможет ли он защитить его pro bono в случае ареста? Добрый малый переслал письмо в прокуратуру. И прокурор заполнил "Отчет о подозрительной активности" в категории "радикализация/экстремизм".
Кори Доктороу вполне резонно спрашивает, а стоит ли вваливать деньги налогоплательщиков в производство параноидальных отчетов? https://twitter.com/doctorow/status/1283798628058804224 Потом вмешался Твиттер и начал банить направо и налево, особенно после того как выяснилось, что компания использует свою платформу Dataminr для слежки в интересах полиции.
Несмотря на врождённую анальную фиксацию, полиция почему-то не любит, когда их трахают в задницу гей-активисты (не, это не я придумал, это у Эммы написано в профиле - "Be Gay, Do Leaktivism"). Подключилось DHS, и по запросу американской стороны Германия хлопнула сервер #DDoSecrets. Ничего ж не предвещало. Что на журналистов действует как красная тряпка на быка. Опять-таки, внезапно! В специальной олимпиаде: главное не победа, а участие.
Однако, Эмме стало беспокойно и они решили провернуть свой любимый фокус. В начале своей "транспарентно" "журналистской" деятельности они отжались от Ассанжа и от нас (Ukrainian Cyber Alliance), и в этот раз решили действовать точно так же, посливали чаты Викиликс ( assangeleaks.org ), включая переписку с обожаемым Джереми Хаммондом из Анонимус. Борцы за транспарентность они такие. Вместе и до конца.
А всё почему? А потому, что ни WikiLeaks, ни DDoSecrets (в отличии от Muckrook) не являются ни журналистскими, ни активистскими организациями. Точнее один и тот же человек может по очереди выступать как журналист и как источник, как активист и как радикальный политик, но не одновременно. Иначе получается слабо-скоординированная ебанина (loosely coordinated motherfuckery)
Несколько недель назад, в разгар протестов в США, Эмма кинули клич ̶в̶о̶р̶у̶й̶,̶ у̶б̶и̶в̶а̶й̶,̶ ̶е̶б̶и̶ ̶г̶у̶с̶е̶й̶ хакать полицию, и какие-то добрые люди под лейблом Anonymous (что довольно сомнительно), прислали ей триста гиг файлов из fusion и awareness центров (гос. учреждения для обмена информацией между правоохранительными органами).
Полицию не любит никто и нигде, даже полиция не любит сама себя, тем не менее каки-то совсем уж откровенных залётов в #BlueLeaks нет. Листаю последние твиты: центр в Северной Каролине рассылает список намеченных протестов. И чтобы подчеркнуть зловещую суть режима сверху написано красным "Только для того, чтобы вы были в курсе, поскольку протесты - деятельность, охраняемая законом в соответствии с первой поправкой Конституции США". Адские репрессии.
Хотя попадаются и не вполне приличные моменты. Например, один из активистов спросил у адвоката, сможет ли он защитить его pro bono в случае ареста? Добрый малый переслал письмо в прокуратуру. И прокурор заполнил "Отчет о подозрительной активности" в категории "радикализация/экстремизм".
Кори Доктороу вполне резонно спрашивает, а стоит ли вваливать деньги налогоплательщиков в производство параноидальных отчетов? https://twitter.com/doctorow/status/1283798628058804224 Потом вмешался Твиттер и начал банить направо и налево, особенно после того как выяснилось, что компания использует свою платформу Dataminr для слежки в интересах полиции.
Несмотря на врождённую анальную фиксацию, полиция почему-то не любит, когда их трахают в задницу гей-активисты (не, это не я придумал, это у Эммы написано в профиле - "Be Gay, Do Leaktivism"). Подключилось DHS, и по запросу американской стороны Германия хлопнула сервер #DDoSecrets. Ничего ж не предвещало. Что на журналистов действует как красная тряпка на быка. Опять-таки, внезапно! В специальной олимпиаде: главное не победа, а участие.
Однако, Эмме стало беспокойно и они решили провернуть свой любимый фокус. В начале своей "транспарентно" "журналистской" деятельности они отжались от Ассанжа и от нас (Ukrainian Cyber Alliance), и в этот раз решили действовать точно так же, посливали чаты Викиликс ( assangeleaks.org ), включая переписку с обожаемым Джереми Хаммондом из Анонимус. Борцы за транспарентность они такие. Вместе и до конца.
А всё почему? А потому, что ни WikiLeaks, ни DDoSecrets (в отличии от Muckrook) не являются ни журналистскими, ни активистскими организациями. Точнее один и тот же человек может по очереди выступать как журналист и как источник, как активист и как радикальный политик, но не одновременно. Иначе получается слабо-скоординированная ебанина (loosely coordinated motherfuckery)
Twitter
Cory Doctorow #BLM
Last month, the Distributed Denial of Secrets transparency org published a massive dump of internal police documents dubbed #Blueleaks. The release triggered a massive backlash from @Twitter, including a removal of the DDoSecrets account. https://t.co/TJp0wtjM2Y…
На YahooNews чудесное https://yhoo.it/2WxgrrJ Как выяснили журналисты, Трамп подписал National Security Presidential Memorandum 13, который даёт спец. службам больше полномочий при проведении кибер-операций. При Обаме каждую операцию нужно было согласовывать с Белым Домом. Учитывать возможные последствия. Теперь против откровенных вражин таких как Россия, Китай, Иран и Северная Корея они могут действовать самостоятельно и не стесняя себя в средствах. Один из бывших сотрудников прокомментировал: "Наша страна практически превращается в гребаный Викиликс"
CIA has dumped information online about an ostensibly independent Russian company that was “doing work for Russian intelligence services,” (ЦРУ слило информацию якобы независимой российской компании, которая "выполняла работу для разведывательных служб России". Яху связывает слив с "группой" Digital Revolution и взломами Кванта, Сайтек и иранской APT34. По поводу Сайтека, я был полностью уверен, что "борцы за свободу норота" тут точно не при чем, но думал, что это разборки между контракторами за бабло https://bit.ly/2OAz1Ld Если это Central Intelligence Agency (CIA), то это не только истерически смешно, но и заставляет задуматься об уровне долбоебизма в Агентстве
CIA has dumped information online about an ostensibly independent Russian company that was “doing work for Russian intelligence services,” (ЦРУ слило информацию якобы независимой российской компании, которая "выполняла работу для разведывательных служб России". Яху связывает слив с "группой" Digital Revolution и взломами Кванта, Сайтек и иранской APT34. По поводу Сайтека, я был полностью уверен, что "борцы за свободу норота" тут точно не при чем, но думал, что это разборки между контракторами за бабло https://bit.ly/2OAz1Ld Если это Central Intelligence Agency (CIA), то это не только истерически смешно, но и заставляет задуматься об уровне долбоебизма в Агентстве
На сайте Рады появился текст очередного законодательного маразма за номером 3861 http://w1.c1.rada.gov.ua/pls/zweb2/webproc4_1?pf3511=69499 (про официальный email, да, без черточки, как однажды пошутил Рей Томлинсон: мы должны сохранить мировые запасы дефисов). Депутаты так торопились всех осчастливить, что забыли написать о том, что речь идёт об электронной почте в Интернете (на протоколе SMTP свет клином не сошелся). И ещё они забыли о том, что такое Интернет. В 1971 году люди об этом ещё знали, а сейчас уже нет.
Сеть без гарантий. Достаточно надёжная, чтобы свзывать ей всё что угодно, от "умных" лампочек до атомных реакторов, но без обещаний. Не говоря уже о том, что компьютеры, по крайне мере пока, не могут быть субъектами человеческих отношений. Распространенная и фатальная ересь. Вы можете звонить до упора мне на мобильный и иногда получить подтверждение, что трубка звонила, но никакими силами вы не заставите меня вам ответить. А уж тем более определить, что трубку снял я, а не мой кот.
"Официальная" почта по задумке парламента должна состоять из ИНН и произвольного домена и храниться в реестре юридических лиц. Кроме домена RU. SU и РФ значит можно. Естестественно, такая удобная фича будет использоваться для спама и мошенничества. Берём ИНН и шлём разводняк на ИНН+популярный домен, с вероятностью семь из десяти - это будет GMail, пятнадцать процентов - остальные популярные сервисы, и остаток - редкие сервисы и собственные домены. Конечно же с цифровыми аккаунтами ошибки в наборе будут происходить куда чаще, чем с обычными.
А ещё GMail, на стандартных аккаунтах, не шлёт подтверждения о прочтении. И не обязан это делать. Фишка с квитками была придумана AOL хрен знает сколько лет назад. В принципе, в рамках организации её ещё как-то можно использовать, а глобально все эти флажки не значат ничего. После того, как вы достучались до MX-а и что-то там послали никто не сможет вам сказать что именно произошло с письмом. Я и за заказными письмами на почту не хожу. Потому не может быть никаких юридически значимых "подтверждений". Даже ответ с цифровой подписью не гарантирует, что отвечает именно тот человек, которому адресовано письмо.
Разумно было бы дать возможность указывать произвольный адрес. И перестать фантазировать о гарантиях ("надіслані на офіційну електронну адресу вважаються такими, що надіслані офіційно та не потребують додаткового документального підтвердження їх направлення"). Потому что в суде потом человек скажет, что ничего такого не получал и в первый раз обо всём этом слышит. И конечно же, не должно быть принуждения. Хочешь регистрируй, хочешь не регистрируй. С телефонами - тоже самое.
Научитесь хоть немного доверять собственным гражданам, иначе глупо требовать взаимности, и уж тем более доверие невозможно создать техническими средствами.
Сеть без гарантий. Достаточно надёжная, чтобы свзывать ей всё что угодно, от "умных" лампочек до атомных реакторов, но без обещаний. Не говоря уже о том, что компьютеры, по крайне мере пока, не могут быть субъектами человеческих отношений. Распространенная и фатальная ересь. Вы можете звонить до упора мне на мобильный и иногда получить подтверждение, что трубка звонила, но никакими силами вы не заставите меня вам ответить. А уж тем более определить, что трубку снял я, а не мой кот.
"Официальная" почта по задумке парламента должна состоять из ИНН и произвольного домена и храниться в реестре юридических лиц. Кроме домена RU. SU и РФ значит можно. Естестественно, такая удобная фича будет использоваться для спама и мошенничества. Берём ИНН и шлём разводняк на ИНН+популярный домен, с вероятностью семь из десяти - это будет GMail, пятнадцать процентов - остальные популярные сервисы, и остаток - редкие сервисы и собственные домены. Конечно же с цифровыми аккаунтами ошибки в наборе будут происходить куда чаще, чем с обычными.
А ещё GMail, на стандартных аккаунтах, не шлёт подтверждения о прочтении. И не обязан это делать. Фишка с квитками была придумана AOL хрен знает сколько лет назад. В принципе, в рамках организации её ещё как-то можно использовать, а глобально все эти флажки не значат ничего. После того, как вы достучались до MX-а и что-то там послали никто не сможет вам сказать что именно произошло с письмом. Я и за заказными письмами на почту не хожу. Потому не может быть никаких юридически значимых "подтверждений". Даже ответ с цифровой подписью не гарантирует, что отвечает именно тот человек, которому адресовано письмо.
Разумно было бы дать возможность указывать произвольный адрес. И перестать фантазировать о гарантиях ("надіслані на офіційну електронну адресу вважаються такими, що надіслані офіційно та не потребують додаткового документального підтвердження їх направлення"). Потому что в суде потом человек скажет, что ничего такого не получал и в первый раз обо всём этом слышит. И конечно же, не должно быть принуждения. Хочешь регистрируй, хочешь не регистрируй. С телефонами - тоже самое.
Научитесь хоть немного доверять собственным гражданам, иначе глупо требовать взаимности, и уж тем более доверие невозможно создать техническими средствами.
Ладно, давайте разбираться, что это за украинские хакеры, за которых Секретная Служба и Гос. Департамент назначили миллионную награду.
История не про политику, а про фондовый рынок. Чтобы предотвратить всевозможные спекуляции (Джека Лондона "Поселок Тру-ля-ля" все читали?), комиссия по ценным бумагам (SEC) обязывает публично-торгуемые компании публиковать отчетность. Если отчетность лучше, чем ожидания трейдеров от компании, то акции растут, а если нет, то падают. Угадав в какую сторону сдвинется цена, можно неплохо заработать.
Кроме акций есть производные инструменты - опционы на покупку и продажу акций (по предварительно фиксированной цене) и контракты на разницу (CFD). Торговля на инсайде - тяжелое преступление. Когда один из директоров Интела начал продавать акции, зная что после сообщения об ошибках в процессорах акции упадут, это заставило заиграть слоган "Intel inside" новыми красками. Наказывается соборно и за такие фокусы можно присесть всерьёз и надолго.
В 2016 году (по мнению SEC), господин Еременко добрался до закрытой информации в информ. агентствах, которые публикуют отчеты, а затем к автоматической системе EDGAR (для подачи отчетов в SEC). И начал сливать информацию трейдерам в Украине, России и Корее, иногда "по подписке", иногда за часть прибыли. Успешность торговли выросла с 45% до 77%, трейдеры связанные с хакерами подняли не менее четырех миллионов долларов на дерривативах.
А и всё. Теперь Секретная Служба (по традиции занимается, помимо охраны первых лиц, фальшивомонетчиками и финансовыми мошенниками) предлагает миллион долларов за голову. Ибо нехуй.
P.S. Взлом обнаружили только через полгода, что позволяет сделать массу интересных выводов о безопасности, но об этом в другой раз.
История не про политику, а про фондовый рынок. Чтобы предотвратить всевозможные спекуляции (Джека Лондона "Поселок Тру-ля-ля" все читали?), комиссия по ценным бумагам (SEC) обязывает публично-торгуемые компании публиковать отчетность. Если отчетность лучше, чем ожидания трейдеров от компании, то акции растут, а если нет, то падают. Угадав в какую сторону сдвинется цена, можно неплохо заработать.
Кроме акций есть производные инструменты - опционы на покупку и продажу акций (по предварительно фиксированной цене) и контракты на разницу (CFD). Торговля на инсайде - тяжелое преступление. Когда один из директоров Интела начал продавать акции, зная что после сообщения об ошибках в процессорах акции упадут, это заставило заиграть слоган "Intel inside" новыми красками. Наказывается соборно и за такие фокусы можно присесть всерьёз и надолго.
В 2016 году (по мнению SEC), господин Еременко добрался до закрытой информации в информ. агентствах, которые публикуют отчеты, а затем к автоматической системе EDGAR (для подачи отчетов в SEC). И начал сливать информацию трейдерам в Украине, России и Корее, иногда "по подписке", иногда за часть прибыли. Успешность торговли выросла с 45% до 77%, трейдеры связанные с хакерами подняли не менее четырех миллионов долларов на дерривативах.
А и всё. Теперь Секретная Служба (по традиции занимается, помимо охраны первых лиц, фальшивомонетчиками и финансовыми мошенниками) предлагает миллион долларов за голову. Ибо нехуй.
P.S. Взлом обнаружили только через полгода, что позволяет сделать массу интересных выводов о безопасности, но об этом в другой раз.
Г-н Федоров (министр цифрового ничего) бодро рапортует о том, что USAID даст 38 миллионов на безопасность, и что тут вам и новые подходы, и взвейтесь, да, развейтесь, и всё такое. Давайте я быстренько расскажу из чего состоит кибербезопаность в Украине (кибер - это не сложно, кибер - это "почта, телефон и телеграф" в одном флаконе, в том числе военная "почта" и правительственный "телеграф").
Согласно закону "Про основні засади" за кибер в основном отвечают (но это не точно): ДССЗЗІ (больше известная как госспецсвязь), полиция (прославленная своей неуёмной борьбой с онлайн-сиськами и письками), министерство обороны (за штатку ЦКБЗ можно сажать сразу), СБ Украины и Национальный Банк (жив ли тот CSIRT - науке не ведомо). Они и раньше были "в основном безвредны", как писал Дуглас Адамс.
Ни один кибер-факап не был расследован до конца.
В результате затяжных боёв за проводочки и бабло, которые продолжаются с августа 2019 года, уже пал смертью храбрых ДЦКЗ госспецсвязи и ситуационный центр СБУ ("эти" ещё имеют наглость попрошайничать и просить "каких-нибудь намёков". Намекаю. Охуенно крупный государственный сервис сейчас уязвим к CVE 2017 года. Видите, какой я добрый? Ищите сами)
Следующим на отжим трансформаторами, как я полагаю, будет НКЦК при РНБО. После чего "экономисты" приберут к рукам майно, а плесень - всё остальное и Федоров с Аваковым вам устроят страпон в смартфоне. Под личным контролем центрального департамента первого директората единого национального нихуя.
Согласно закону "Про основні засади" за кибер в основном отвечают (но это не точно): ДССЗЗІ (больше известная как госспецсвязь), полиция (прославленная своей неуёмной борьбой с онлайн-сиськами и письками), министерство обороны (за штатку ЦКБЗ можно сажать сразу), СБ Украины и Национальный Банк (жив ли тот CSIRT - науке не ведомо). Они и раньше были "в основном безвредны", как писал Дуглас Адамс.
Ни один кибер-факап не был расследован до конца.
В результате затяжных боёв за проводочки и бабло, которые продолжаются с августа 2019 года, уже пал смертью храбрых ДЦКЗ госспецсвязи и ситуационный центр СБУ ("эти" ещё имеют наглость попрошайничать и просить "каких-нибудь намёков". Намекаю. Охуенно крупный государственный сервис сейчас уязвим к CVE 2017 года. Видите, какой я добрый? Ищите сами)
Следующим на отжим трансформаторами, как я полагаю, будет НКЦК при РНБО. После чего "экономисты" приберут к рукам майно, а плесень - всё остальное и Федоров с Аваковым вам устроят страпон в смартфоне. Под личным контролем центрального департамента первого директората единого национального нихуя.