Atención
44503 53730 31316 57524 15287 71284 55233 12122
Проверенный временем способ связи с агентами-нелегалами - короткие волны. В определенное время диктор начинает читать "Сообщаем для геологических партий. Результаты анализа шурфов..." Определить откуда идёт передача относительно несложно, гораздо сложнее найти кому предназначено сообщение. В качестве шифра чаще всего используется одноразовый блокнот, он прост, достаточно ручки и бумаги и его нельзя взломать в принципе. В теории.
Питер Страк (тот самый, который занимался "Midyear Exam", операцией по проверке возможной утечки из почты Клинтон), в своей книжке "CompЯomised" упоминает о другой операции - "Ghost Stories": десять лет с 2000 по 2010 ФБР выслеживало русских шпионов. Их потом поменяли на Скрипаля. Большая часть данных до сих пор засекречена, но Мэтт Блейз (тот самый, который нашел дырки в чипе Clipper) обратил внимание на технические детали https://bit.ly/3llUeaa
Шпионы получали инструкции с "номерной" радиостанции на Кубе, звучит вот так https://bit.ly/2HUOTIf и чтобы скрыть количество агентов и их активность, сообщения нужно передавать всегда, даже если передавать нечего. Если сообщений много, то значит происходит что-то важное. Если ничего нет, то в эфир идёт случайный набор цифр. И вот тут-то и случилась фатальная ошибка. В "пустых сообщениях" не было ни одной девятки. Чего с нормальным одноразовым блокнотом быть не может, цифры распределяются равномерно.
Кто-то закосячил генератор случайных чисел, что и привело к провалу "геологической партии" глубокого залегания.
Final
44503 53730 31316 57524 15287 71284 55233 12122
Проверенный временем способ связи с агентами-нелегалами - короткие волны. В определенное время диктор начинает читать "Сообщаем для геологических партий. Результаты анализа шурфов..." Определить откуда идёт передача относительно несложно, гораздо сложнее найти кому предназначено сообщение. В качестве шифра чаще всего используется одноразовый блокнот, он прост, достаточно ручки и бумаги и его нельзя взломать в принципе. В теории.
Питер Страк (тот самый, который занимался "Midyear Exam", операцией по проверке возможной утечки из почты Клинтон), в своей книжке "CompЯomised" упоминает о другой операции - "Ghost Stories": десять лет с 2000 по 2010 ФБР выслеживало русских шпионов. Их потом поменяли на Скрипаля. Большая часть данных до сих пор засекречена, но Мэтт Блейз (тот самый, который нашел дырки в чипе Clipper) обратил внимание на технические детали https://bit.ly/3llUeaa
Шпионы получали инструкции с "номерной" радиостанции на Кубе, звучит вот так https://bit.ly/2HUOTIf и чтобы скрыть количество агентов и их активность, сообщения нужно передавать всегда, даже если передавать нечего. Если сообщений много, то значит происходит что-то важное. Если ничего нет, то в эфир идёт случайный набор цифр. И вот тут-то и случилась фатальная ошибка. В "пустых сообщениях" не было ни одной девятки. Чего с нормальным одноразовым блокнотом быть не может, цифры распределяются равномерно.
Кто-то закосячил генератор случайных чисел, что и привело к провалу "геологической партии" глубокого залегания.
Final
Новая документалка "Guerre Hybride" на телеканале M6. Ваш покорный слуга рассказывает о целях и методах зловредной федерации https://twitter.com/EnqueteExclu/status/1312618451710681088
В сентябре месяце я (как и многие из вас) менял место голосования, чтобы принять участие в местных выборах. Я хотел сходить в отделение реестра избирателей лично, но оно оказалось закрыто на карантин, и мне пришлось воспользоваться цифровой подписью Приватбанка.
Действительно быстро и удобно, с чем я никогда вобщем-то не спорил. И теперь у меня на диске лежит файлик, защищенный паролем. Файл можно потерять вместе с компьютером или флешкой, его может найти и утащить компьютерный "вирус" или как делают многие бухгалтера и нотариусы его можно забыть на беспарольном диске в Интернете.
Как показывает практика, например в случае с утечкой базы пользователей LinkedIn, взломать перебором можно 6 паролей из 10. Я уверен в том, что в самое ближайшее время появится черный рынок подписей, потому что с каждым днем появляются новые возможности для мошенничества. Дийови вместе с главдурачком постоянно говорят об удобстве. Некоторые вещи НЕ должны быть удобными.
Неудобно заходить в банк, вводя смски под бдительным надзором антифрода (иначе ворам будет удобно красть ваши деньги). Неудобно ходить на избирательные участки (иначе удобно подделывать результаты выборов). Неудобно получать санкцию суда на прослушку и обыски (иначе удобно будет следить за вами и прессовать ваш бизнес).
Если у вас нет необходимости в цифровой подписи, которую вы оформляли в Приватбанке, то вот что нужно сделать:
* Заходим на сайт АЦСК Приватбанка по адресу https://acsk.privatbank.ua/revoke
* Вводим ИНН и нажимаем на кнопку, потом выбираем сертификат и отзываем его
* Всё, теперь я защищен от собственных ошибок при работе с цифровой подписью.
Но есть еще одна проблема.
АЦСК у нас много и в любой момент мошенники могут получить цифровую подпись на мое имя. Как это случилось с Рябошапкой. Открыть ей ФОП и прогнать через него грязные деньги, оставив меня один на один с налоговой в попытке доказать, что я не верблюд. Авторизоваться в "Дие" и получить все мои документы. Авторизоваться в ЦВК и получить мой домашний адрес. Я хочу обратиться к жижитализаторам из Міністерство цифрової трансформації України. Вы же любите "фишечки"? Сделайте мне фичу - запрет всем АЦСК выдавать подпись на моё имя.
Когда я отзывал подпись, я нашел крайне любопытный сервис. Есть URL //acsk.privatbank.ua/revocation/back/certs?inn=XXXXXXXXXX количество запросов не ограничено, путем перебора грубой силой по ИНН можно составить базу данных клиентов ПриватБанка с подписями. База будет включать в себя ФИО, город, ИНН, а следовательно и дату рождения. По-моему неплохо для скрипта на десять строчек. Я отправил баг-репорт ПриватБанк, но они не считают что это уязвимость. Мои данные таким образом достать не выйдет. А ваши?
И раз уж речь зашла о выборах, то сейчас Демократична Сокира собирает деньги для участия в местых выборах. Вы можете помочь партии деньгами через "Фонд либеральных инициатив". Это быстро и удобно https://libfoundation.org А еще наша партия разбирается и в свободе, и в безопасности.
Действительно быстро и удобно, с чем я никогда вобщем-то не спорил. И теперь у меня на диске лежит файлик, защищенный паролем. Файл можно потерять вместе с компьютером или флешкой, его может найти и утащить компьютерный "вирус" или как делают многие бухгалтера и нотариусы его можно забыть на беспарольном диске в Интернете.
Как показывает практика, например в случае с утечкой базы пользователей LinkedIn, взломать перебором можно 6 паролей из 10. Я уверен в том, что в самое ближайшее время появится черный рынок подписей, потому что с каждым днем появляются новые возможности для мошенничества. Дийови вместе с главдурачком постоянно говорят об удобстве. Некоторые вещи НЕ должны быть удобными.
Неудобно заходить в банк, вводя смски под бдительным надзором антифрода (иначе ворам будет удобно красть ваши деньги). Неудобно ходить на избирательные участки (иначе удобно подделывать результаты выборов). Неудобно получать санкцию суда на прослушку и обыски (иначе удобно будет следить за вами и прессовать ваш бизнес).
Если у вас нет необходимости в цифровой подписи, которую вы оформляли в Приватбанке, то вот что нужно сделать:
* Заходим на сайт АЦСК Приватбанка по адресу https://acsk.privatbank.ua/revoke
* Вводим ИНН и нажимаем на кнопку, потом выбираем сертификат и отзываем его
* Всё, теперь я защищен от собственных ошибок при работе с цифровой подписью.
Но есть еще одна проблема.
АЦСК у нас много и в любой момент мошенники могут получить цифровую подпись на мое имя. Как это случилось с Рябошапкой. Открыть ей ФОП и прогнать через него грязные деньги, оставив меня один на один с налоговой в попытке доказать, что я не верблюд. Авторизоваться в "Дие" и получить все мои документы. Авторизоваться в ЦВК и получить мой домашний адрес. Я хочу обратиться к жижитализаторам из Міністерство цифрової трансформації України. Вы же любите "фишечки"? Сделайте мне фичу - запрет всем АЦСК выдавать подпись на моё имя.
Когда я отзывал подпись, я нашел крайне любопытный сервис. Есть URL //acsk.privatbank.ua/revocation/back/certs?inn=XXXXXXXXXX количество запросов не ограничено, путем перебора грубой силой по ИНН можно составить базу данных клиентов ПриватБанка с подписями. База будет включать в себя ФИО, город, ИНН, а следовательно и дату рождения. По-моему неплохо для скрипта на десять строчек. Я отправил баг-репорт ПриватБанк, но они не считают что это уязвимость. Мои данные таким образом достать не выйдет. А ваши?
И раз уж речь зашла о выборах, то сейчас Демократична Сокира собирает деньги для участия в местых выборах. Вы можете помочь партии деньгами через "Фонд либеральных инициатив". Это быстро и удобно https://libfoundation.org А еще наша партия разбирается и в свободе, и в безопасности.
Tim Karpinsky и Kostiantyn Korsun на "Центральном" https://central-ua.tv/tsentralnaya_rada_kyiv/13/ Блокировки, злоДия, вранье минцифры, небесная Эстония, незаконная слежка, криптовалюта, новинки законодательной мысли и прочий оксюморон
И еще немного прессы:
"Дело рук россиян". Как хакеры взломали сайт полиции, чтобы очернить учения с НАТО https://www.liga.net/politics/articles/delo-ruk-rossiyan-kak-hakery-vzlomali-sayt-politsii-chtoby-ochernit-ucheniya-s-nato
Киберпартизаны: что известно о хакерах, которые хотят разрушить режим Лукашенко https://www.bbc.com/russian/features-54425325
"ВКонтакте" со здравым смыслом: чем опасны российские сервисы и инициативы по их блокировке https://focus.ua/technologies/464450-vkontakte-blokirovka-uchet-v-natspolitsii
И еще немного прессы:
"Дело рук россиян". Как хакеры взломали сайт полиции, чтобы очернить учения с НАТО https://www.liga.net/politics/articles/delo-ruk-rossiyan-kak-hakery-vzlomali-sayt-politsii-chtoby-ochernit-ucheniya-s-nato
Киберпартизаны: что известно о хакерах, которые хотят разрушить режим Лукашенко https://www.bbc.com/russian/features-54425325
"ВКонтакте" со здравым смыслом: чем опасны российские сервисы и инициативы по их блокировке https://focus.ua/technologies/464450-vkontakte-blokirovka-uchet-v-natspolitsii
Телеканал «Центральний»
Центральна Рада KYIV - випуск 13
- Цифровізація у «ДІЇ». Як працює інтренет-додаток для оформлення документів та сплати сплати штрафів? І на які недоліки застосунку скаржаться користувачі?
Вчера Михайло Федоров в передаче Шустер online устроил очередной тёплый дождь (уж не знаю, себе ли или вам, дорогие телезрители). Я посмотрел искрометный фестиваль цифровизации и даже "поучаствовал" в виде скриншота майского поста https://bit.ly/3jHP086 . Были договоренности о том, что в студии будет Mykhailo Makaruk, Kostiantyn Korsun или Tim Karpinsky, на выбор, но потом гостевой редактор сказал, что тема передачи поменялась на ковид и перестала брать трубку. Внезапно. Возможно Vitaliy Shabunin или Іван Крулько лучше разбираются в IT? Кто знает.
Для усиления эффекта даже сняли пару роликов о том, как люди регистрируют ФОП и оформляют помощь через е-Малятко за сколько-то там минут, и что мол такого дийового аналоговнета больше ни у кого нет. Знаете почему? Да потому, что во многих юрисдикциях sole proprietorship (тот самый ФОП), LP и LLP не требуют государственной регистрации. Нет её. Никакой. Ни электронной, ни бумажной. А если вы регистрируете торговое имя (Doing Business As), чтобы стать Солом Гудменом вместо Джимми МакГила, то это нужно, чтобы защитить вас от клонов. Не для ментов, не для службы брелков.
Ни слова о том, что "Дия" "экспериментальный проект", в котором вы подобытные кролики, о финансировании, о документации, о законодательной базе, о независимом аудите, вместо цирка с КСЗИ (после раздутого Дубинским скандала о возможной утечке из Дии, Федоров сменил руководство ДССЗЗІ на более послушное и фактически выписал сертификат соответствия сам себе). Про "старые данные" - смехотворная отмазка. Мой паспорт выдан в 1995 году, e-mail и номер телефона не меняются лет пятнадцать. Мне все равно, когда они утекли - вчера или пять лет назад. Мне нужны ответы на вопросы.
Я хочу знать: кто понес ответственность за утечку? Кто наказан за недостоверные данные в реестрах? Почему полиция, спецслужбы и другие мошенники роются там совершенно бесконтрольно? Почему документы с грифом "таємно" валяются в Интернете, а на еще более любопытных документах грифа нет вовсе? Может, начнем наконец-то повышать "кибер-грамотность" самих чиновников, вместо конкурсов по самовыпасу населения? Зачем создавать внутренний оффшор с отдельным законодательством, а не бить мусоров за то, что они не понимают, что такое probable cause и не клянутся под присягой в том, что они осознают, что бремя доказательства - это бремя и оно лежит на них? Почему здравоохранением у нас занимается полиция?
И самый главный вопрос ИБ: а что, блядь, если нет? Что вы будете делать, когда весь этот автоматизированный совковый бардак с электронными справками "о составе семьи" просто рухнет?
Для усиления эффекта даже сняли пару роликов о том, как люди регистрируют ФОП и оформляют помощь через е-Малятко за сколько-то там минут, и что мол такого дийового аналоговнета больше ни у кого нет. Знаете почему? Да потому, что во многих юрисдикциях sole proprietorship (тот самый ФОП), LP и LLP не требуют государственной регистрации. Нет её. Никакой. Ни электронной, ни бумажной. А если вы регистрируете торговое имя (Doing Business As), чтобы стать Солом Гудменом вместо Джимми МакГила, то это нужно, чтобы защитить вас от клонов. Не для ментов, не для службы брелков.
Ни слова о том, что "Дия" "экспериментальный проект", в котором вы подобытные кролики, о финансировании, о документации, о законодательной базе, о независимом аудите, вместо цирка с КСЗИ (после раздутого Дубинским скандала о возможной утечке из Дии, Федоров сменил руководство ДССЗЗІ на более послушное и фактически выписал сертификат соответствия сам себе). Про "старые данные" - смехотворная отмазка. Мой паспорт выдан в 1995 году, e-mail и номер телефона не меняются лет пятнадцать. Мне все равно, когда они утекли - вчера или пять лет назад. Мне нужны ответы на вопросы.
Я хочу знать: кто понес ответственность за утечку? Кто наказан за недостоверные данные в реестрах? Почему полиция, спецслужбы и другие мошенники роются там совершенно бесконтрольно? Почему документы с грифом "таємно" валяются в Интернете, а на еще более любопытных документах грифа нет вовсе? Может, начнем наконец-то повышать "кибер-грамотность" самих чиновников, вместо конкурсов по самовыпасу населения? Зачем создавать внутренний оффшор с отдельным законодательством, а не бить мусоров за то, что они не понимают, что такое probable cause и не клянутся под присягой в том, что они осознают, что бремя доказательства - это бремя и оно лежит на них? Почему здравоохранением у нас занимается полиция?
И самый главный вопрос ИБ: а что, блядь, если нет? Что вы будете делать, когда весь этот автоматизированный совковый бардак с электронными справками "о составе семьи" просто рухнет?
Facebook
Log in to Facebook | Facebook
Log in to Facebook to start sharing and connecting with your friends, family and people you know.
Не только украинская земля богата идиотами. Министры внутренних дел стран "пяти глаз" и примкнувший к ним генеральный прокурор Барр, подписали обращение https://bit.ly/34Y1ceD , в котором отмечают, что с одной стороны шифрование, которое нельзя взломать - это хорошо, и как бы, права человека, но с другой стороны, очень хочется бэкдор. Конец немного предсказуем. Нельзя просверлить дно лодки, чтобы удобнее было смотреть на рыбок. Или надежное шифрование для всех (включая плохих парней и правоохранителей) или ни для кого.
Отечественные говноеды очень любят такие штуки, чтобы при закручивании гаечек, говорить "а вот в Европе", забывая о том, что и в Штатах и в Европе за подобные инициативы государство пиздят титановым ломом и оспаривают в не-печерских судах. В Украине по-прежнему действует контроль криптографии, введенный еще в 1998 году. Утешает только то, что дикость украинских законов компенсируется обязательностью их не исполнения. #EARNIT #cryptowar
Отечественные говноеды очень любят такие штуки, чтобы при закручивании гаечек, говорить "а вот в Европе", забывая о том, что и в Штатах и в Европе за подобные инициативы государство пиздят титановым ломом и оспаривают в не-печерских судах. В Украине по-прежнему действует контроль криптографии, введенный еще в 1998 году. Утешает только то, что дикость украинских законов компенсируется обязательностью их не исполнения. #EARNIT #cryptowar
Как раз сегодня записывали интервью по поводу возможного вмешательства России в американские выборы. И тут прямо как по заказу появились "письма Байдена". Ничего более смехотворного в жизни не видывал. Еще в январе компания Area 1 опубликовала отчет, в котором обвинила ГРУ в попытках взлома почты Бурисмы. Тактика не меняется - немного настоящей почты, немного фейковой и д̶и̶с̶п̶е̶т̶ч̶е̶р̶ ̶К̶а̶р̶л̶о̶с̶ честный ремонтник из Делавера. Совсем обленилась #terrorussia.
Есть простой способ поиска уязвимостей, детский совсем, доступный всем без исключения. Попробовать вставить одинарную или двойную кавычку в параметр сайта. Если после добавления кавычки появится ошибка SQL error, то значит сайт уязвим к error-based SQL injection. Как на на скриншоте. Над распихиванием кавычек очень любят хихикать хакеры "категории Б" с элитного телеграм-канала, но скуля от этого скулей быть не перестаёт, а ставит владельца уязвимого сайта в ещё более унизительное и смехотворное положение.
Недавно мне рассказали замечательную историю о том, как Служба безпеки України умудрилась сломать кавычку. Документы к сожалению показать не могу. В одно государственное учреждение приходит грозное письмо из областной конторы о том, что в вашем сайте найдены SQL- и SSI-инъекции, требуем устранить, отчитаться, потому что враг не дремлет, что может за собой как повлечь, так и поволочь.
Владелец ресурса без понятия о том, что это за инъекции такие и не наркомания ли это, и зовет контрактора (один из немногих примеров частно-государственного партнерства). А контрактор начинает неиллюзорно удивляться, потому что скули в этом месте быть просто не может. Звонит конечно в избу, а там тоже без понятия про скули-хуюли и прочее кибер-мумбо-юмбо, но обещают узнать в Киеве, что за зверь такой? До сих пор узнают.
Тут прекрасно все, тут вам и ответственность "распорядителя государственного информационного ресурса", и коммуникации, и стратегии, и кибербезопасность - всё в одном флаконе. Вместо того, чтобы ловить российские APT (то пусть американцы ловят, не барское дело), изба натравила говно-сканер и разослала всем ложных срабатываний, не думая и не проверяя. Компьютер написал injection - значит injection. Как говорят, на плечах можно носить что-то одно - или голову или погоны.
P.S. Да, кстати, CERT-UA дерните там кого-нибудь в Приазовской РДА, там скуля настоящая.
Недавно мне рассказали замечательную историю о том, как Служба безпеки України умудрилась сломать кавычку. Документы к сожалению показать не могу. В одно государственное учреждение приходит грозное письмо из областной конторы о том, что в вашем сайте найдены SQL- и SSI-инъекции, требуем устранить, отчитаться, потому что враг не дремлет, что может за собой как повлечь, так и поволочь.
Владелец ресурса без понятия о том, что это за инъекции такие и не наркомания ли это, и зовет контрактора (один из немногих примеров частно-государственного партнерства). А контрактор начинает неиллюзорно удивляться, потому что скули в этом месте быть просто не может. Звонит конечно в избу, а там тоже без понятия про скули-хуюли и прочее кибер-мумбо-юмбо, но обещают узнать в Киеве, что за зверь такой? До сих пор узнают.
Тут прекрасно все, тут вам и ответственность "распорядителя государственного информационного ресурса", и коммуникации, и стратегии, и кибербезопасность - всё в одном флаконе. Вместо того, чтобы ловить российские APT (то пусть американцы ловят, не барское дело), изба натравила говно-сканер и разослала всем ложных срабатываний, не думая и не проверяя. Компьютер написал injection - значит injection. Как говорят, на плечах можно носить что-то одно - или голову или погоны.
P.S. Да, кстати, CERT-UA дерните там кого-нибудь в Приазовской РДА, там скуля настоящая.
Из года в год не прекращаются попытки взять украинских пользователей Сети под контроль. Не мытьем, так катаньем внедрить неконтролируемую прослушку и государственную цензуру, наплевав на здравый смысл и Конституцию.
В последнее время попытки пошли настолько часто и густо, что единственный способ противостоять беспределу правопохоронной системы - неповиновение.
Мы в Ukrainian Cyber Alliance решили сделать бесплатный VPN-сервис для всех желающих. Без регистрации. Сейчас доступно два тестовых сервера в Канаде и Польше. Ссылки на софт (OpenVPN connect и конфигурацию) здесь https://cyber.org.ua/vpn.html
В последнее время попытки пошли настолько часто и густо, что единственный способ противостоять беспределу правопохоронной системы - неповиновение.
Мы в Ukrainian Cyber Alliance решили сделать бесплатный VPN-сервис для всех желающих. Без регистрации. Сейчас доступно два тестовых сервера в Канаде и Польше. Ссылки на софт (OpenVPN connect и конфигурацию) здесь https://cyber.org.ua/vpn.html
Я так устал от мамкиных экспертов по "большим данным" вконтактика и свидетелей ФСБ под кроватью, что книжка Томаса Рида "Активные мероприятия" - просто бальзам на моё израненное долбоёбами сердце.
Помимо монументального обзора спецопераций за последние сто лет, есть еще интересные выводы (рад, что ко многим из них я как практик пришел самостоятельно): у любого мероприятия есть целевая аудитория (и это отнюдь не домохозяйки из одноглазников, если вы подрывной деятельностью занимаетесь, а не продажей фартучков) и измеримая, вполне конкретная цель.
Просто раньше приходилось все печатать на механической машинке и отправлять по почте, а теперь есть имейл, что сильно снижает стоимость, но не меняет принципов, так что, все происходит более активно, и с меньшей мерой (more active, less measured) , и те на кого направлены активные мероприятия сильно их недооценивают, а те кто противодействуют наоборот переоценивают противника, в итоге и первая и вторая категории переходят в одну общую - полезных идиотов.
Там еще много интересного, так что рекомендую. Одна из лучших книг, из тех что я прочел за последний год.
Самое смешное, что пока я читал книжку, к нам подошел оператор одной из новых активок, прямо как из учебника, чтобы вбросить свой материал, потом это чучело активно пытающееся пропихнуть активку по срыву активок, затегало Рида. Я просто хрюкал от смеха, за всем этим наблюдая. Не делайте так никогда. Надо будет на досуге полистать материалы, чтобы определить кто это такой тупой.
Помимо монументального обзора спецопераций за последние сто лет, есть еще интересные выводы (рад, что ко многим из них я как практик пришел самостоятельно): у любого мероприятия есть целевая аудитория (и это отнюдь не домохозяйки из одноглазников, если вы подрывной деятельностью занимаетесь, а не продажей фартучков) и измеримая, вполне конкретная цель.
Просто раньше приходилось все печатать на механической машинке и отправлять по почте, а теперь есть имейл, что сильно снижает стоимость, но не меняет принципов, так что, все происходит более активно, и с меньшей мерой (more active, less measured) , и те на кого направлены активные мероприятия сильно их недооценивают, а те кто противодействуют наоборот переоценивают противника, в итоге и первая и вторая категории переходят в одну общую - полезных идиотов.
Там еще много интересного, так что рекомендую. Одна из лучших книг, из тех что я прочел за последний год.
Самое смешное, что пока я читал книжку, к нам подошел оператор одной из новых активок, прямо как из учебника, чтобы вбросить свой материал, потом это чучело активно пытающееся пропихнуть активку по срыву активок, затегало Рида. Я просто хрюкал от смеха, за всем этим наблюдая. Не делайте так никогда. Надо будет на досуге полистать материалы, чтобы определить кто это такой тупой.
Занятная история. Вчера российский хакер Павел Ситников слил в паблик архивчик "Одесское МВД", файлы из которого он подобрал на беспарольной шаре. Кроме многочисленных ментов (не только из Одессы), там хакнутые документы СБ в Донецкой области, ДЗНД, военных, пограничников и кабмина. Самое смешное, что IP адресочек-то донецкий. Фокс слил оккупантов, которые в свою очередь по системам Міністерство внутрішніх справ и Служба безпеки України ходят как у себя дома. У меня есть предложение. Вместо того чтобы отслеживать утечки и происхождение документов, лучше всего собрать круглый стол по кибербезопасности. Подписать меморандум об углублении и наращивании. А потом фуршет.
После теракта в Вене появились алармистские заявления о том, что Евросоюз "потребует у WhatsApp и Signal ключи от шифрования". Для начала напомню, что законы ЕС принимает Еврокомиссия, а черновик резолюции потек из Совета Европы и скорее всего это заявление так и останется ничем не подкрепленным бла-бла-бла. Тем не менее занятный вывих мысли. Пропорциональность, таргетируемость и парламентский контроль - это все прекрасно, но доступ к данным он либо есть, либо его нет. Сломанное шифрование или как говорят в CoEU "безопасность не смотря на шифрование" приведет ко многим бедам и огромным убыткам.
Мэт Грин приводит хороший пример. Правоохранителям не нужен доступ к переписке людей, которых они уже подозревают. Взять того же террориста. О его планах никто не знал, его убили и теперь хотят получить доступ к его сообщениям, которые были написаны до того, как появились подозрения. И если вы можете прочитать письма человека, которого никто не подозревал, то значит можете прочитать письма любого человека. Для таких действий есть подходящее название - бесконтрольная массовая прослушка.
Отдельно доставило про "квантовое шифрование". Как раз несколько недель назад АНБ опубликовало свое мнение на этот счет. Когда говорят про что-нибудь "квантовое", то подразумевается QKD (обмен ключами), QC (шифрование) и алгоритмы устойчивые к квантовым компьютерам (PQC). QKD и QC с научной точки зрения штуки интересные, но очень дороги и сложны в реализации (требуются отдельные каналы), атакующий может устроить DoS-атаку просто "посмотрев" в "коробку с котом", и вместо хорошо изученных математических законов возвращается к физическим устройствам для защиты. Все равно что шифрование заменить на хитрое скремблирование. PQC вещь полезная и тут американская контора ставит на решетки (lattices).
P.S. Кстати, австрийскую полицию предупреждали о возможном теракте, но они проигнорировали данные разведки.
P.P.S. Ни у WhatsApp ни у Signal нет ключей, в понимании товарища майора, нечего "требовать", но упоминание "ключей" - на совести журналистов, в тексте резолюции об этом ни слова. "Сотрудничество с академией" переводится на понятный язык как "никто не знает как это сделать, но мы очень хотим".
Мэт Грин приводит хороший пример. Правоохранителям не нужен доступ к переписке людей, которых они уже подозревают. Взять того же террориста. О его планах никто не знал, его убили и теперь хотят получить доступ к его сообщениям, которые были написаны до того, как появились подозрения. И если вы можете прочитать письма человека, которого никто не подозревал, то значит можете прочитать письма любого человека. Для таких действий есть подходящее название - бесконтрольная массовая прослушка.
Отдельно доставило про "квантовое шифрование". Как раз несколько недель назад АНБ опубликовало свое мнение на этот счет. Когда говорят про что-нибудь "квантовое", то подразумевается QKD (обмен ключами), QC (шифрование) и алгоритмы устойчивые к квантовым компьютерам (PQC). QKD и QC с научной точки зрения штуки интересные, но очень дороги и сложны в реализации (требуются отдельные каналы), атакующий может устроить DoS-атаку просто "посмотрев" в "коробку с котом", и вместо хорошо изученных математических законов возвращается к физическим устройствам для защиты. Все равно что шифрование заменить на хитрое скремблирование. PQC вещь полезная и тут американская контора ставит на решетки (lattices).
P.S. Кстати, австрийскую полицию предупреждали о возможном теракте, но они проигнорировали данные разведки.
P.P.S. Ни у WhatsApp ни у Signal нет ключей, в понимании товарища майора, нечего "требовать", но упоминание "ключей" - на совести журналистов, в тексте резолюции об этом ни слова. "Сотрудничество с академией" переводится на понятный язык как "никто не знает как это сделать, но мы очень хотим".