Email один из самых древних протоколов. В следующем году исполнится пятьдесят лет с тех пор, как было послано первое электронное письмо. О безопасности тогда думали куда меньше чем сейчас и у почты есть множество врожденных проблем, которые пытаются решить разнообразными костылями. Один из моих любимых - #DKIM, цифровая подпись, которая подтверждает целостность сообщения и домен отправителя, чтобы усложнить жизнь спамерам. У неё есть неприятный (для пользователя эффект) - non-repudiation, невозможность отрицания авторства.
В январе месяце, компания "Area 1" выявила попытку фишинга, направленную против группы компаний "Бурисма" и "Квартал 95". Я, кстати, хочу спросить у Кіберполіція: как поживает расследование, полудурки? Не пора ли вам рассказать всем о ваших успехах? Год прошел. А перед выборами в США, в New York Post полыхнул "октябрьский сюрприз" - письмо от Вадима Пожарского (Бурисма) Хантеру Байдену, с благодарностью за знакомство с его отцом, что оживило теории заговора о "коррупции Байдена, который уволил честнейшего прокурора Шокина".
Все вместе выглядит как классическое "активное мероприятие". Спустя какое-то время содержимое мифических "ноубуков Хантера" подтекло и появился оригинал письма https://github.com/…/h…/blob/main/Meeting%20for%20coffee.eml и оно настоящее, что добавило вес остальным обвинениям. Побочный эффект борьбы со спамом и фишингом, который как бы намекает на то, что неотзываемые подписи хороши на договорах, а не на личной переписке.
Нашел интересную статью о том, как вернуть почте deniability http://www.mit.edu/~specter/blog/2020/dkim/ Еще один вариант - чаще менять ключи, и публиковать старые секретные ключи. Немного заморочливо для небольших компаний, но вполне по силам монстрам вроде Гугла. Это немного усложнит жизнь хактивистам, но вернёт немного приватности обычным пользователям.
В январе месяце, компания "Area 1" выявила попытку фишинга, направленную против группы компаний "Бурисма" и "Квартал 95". Я, кстати, хочу спросить у Кіберполіція: как поживает расследование, полудурки? Не пора ли вам рассказать всем о ваших успехах? Год прошел. А перед выборами в США, в New York Post полыхнул "октябрьский сюрприз" - письмо от Вадима Пожарского (Бурисма) Хантеру Байдену, с благодарностью за знакомство с его отцом, что оживило теории заговора о "коррупции Байдена, который уволил честнейшего прокурора Шокина".
Все вместе выглядит как классическое "активное мероприятие". Спустя какое-то время содержимое мифических "ноубуков Хантера" подтекло и появился оригинал письма https://github.com/…/h…/blob/main/Meeting%20for%20coffee.eml и оно настоящее, что добавило вес остальным обвинениям. Побочный эффект борьбы со спамом и фишингом, который как бы намекает на то, что неотзываемые подписи хороши на договорах, а не на личной переписке.
Нашел интересную статью о том, как вернуть почте deniability http://www.mit.edu/~specter/blog/2020/dkim/ Еще один вариант - чаще менять ключи, и публиковать старые секретные ключи. Немного заморочливо для небольших компаний, но вполне по силам монстрам вроде Гугла. Это немного усложнит жизнь хактивистам, но вернёт немного приватности обычным пользователям.
GitHub
GitHub · Change is constant. GitHub keeps you ahead.
Join the world's most widely adopted, AI-powered developer platform where millions of developers, businesses, and the largest open source community build software that advances humanity.
Державне бюро розслідувань
Як мені стало відомо з повідомлення в соціальній мережі "Фейсбук" від 16.11.2020, розташованого за посиланням https://www.facebook.com/yelyzaveta.zharikova/posts/3460489630725449 , 12.10.2020 співробітники СУ ГУНП та відділу протидії кіберзлочинам Департаменту Кіберполіція Національна поліція України в Луганській області, у невстановленному місці, у невстановленний час, повністю усвідомлюючи протиправну суть своїх дій, відтворили власну копію відеоматеріалів які мають ознаки дитячої порнографії, шляхом завантаження з сайту icaccops . com. Подібні дії мають ознаки злочину передбаченного ст. 301 ККУ, й до них можуть бути причетні старший слідчий Труфанов В. Ю, інспектор Сочка Р. І. Надані мною відомості підтверджуються ухвалою слідчого судді Сєвєродонецького міського суду Бароніна Д. Б. від 21.10.2020. Прошу надати правову оцінку діям співробітників Національної поліції України.
#ACAB
Як мені стало відомо з повідомлення в соціальній мережі "Фейсбук" від 16.11.2020, розташованого за посиланням https://www.facebook.com/yelyzaveta.zharikova/posts/3460489630725449 , 12.10.2020 співробітники СУ ГУНП та відділу протидії кіберзлочинам Департаменту Кіберполіція Національна поліція України в Луганській області, у невстановленному місці, у невстановленний час, повністю усвідомлюючи протиправну суть своїх дій, відтворили власну копію відеоматеріалів які мають ознаки дитячої порнографії, шляхом завантаження з сайту icaccops . com. Подібні дії мають ознаки злочину передбаченного ст. 301 ККУ, й до них можуть бути причетні старший слідчий Труфанов В. Ю, інспектор Сочка Р. І. Надані мною відомості підтверджуються ухвалою слідчого судді Сєвєродонецького міського суду Бароніна Д. Б. від 21.10.2020. Прошу надати правову оцінку діям співробітників Національної поліції України.
#ACAB
С удовольсвием рассматриваю "организационно-техническую модель киберзащиты". Модель состоит из одного слайда набитого "киберетикой" и "правами человека в киберспорте" (чтобы это ни значило). Обратите внимание на то, насколько плотно связано общество и бизнес с государством. Частно-государственное партнерство во все поля. У меня есть обоснованные сомнения в том, что господин Щиголь сможет объяснить чем отличаются SOC, CSIRT и CERT. Long story short, не взлетит балалайка, вёсла все опять забыли прихватить. Фасилитация деградации только набирает обороты. Насладиться державным высером можно здесь https://cip.gov.ua/services/cm/api/attachment/download?id=24594 Kostiantyn тоже прошелся, рекомендую https://www.facebook.com/kostiantyn.korsun/posts/1536885473163215
Screenshot from 2020-11-23 16-36-01.png
458.7 KB
Пропустил наброс со стороны "Федерального Агентства Новостей", там много смешного, но для тех кто не ценит забордюрный юмор, приведу цитату из разговора с журналистом BBC, которая не вошла в интервью о беларусских киберпартизанах:
"...у нас есть внешний враг - Российская Федерация, и мы никогда не использовали и не используем хакерские методы внутри страны или в отношении других стран кроме РФ и оккупированных территорий, которые полностью подконтрольны России. В Украине мы ведем публичные дискуссии, участвуем в политической жизни страны, а взломы - только в РФ. При этом с целями и методами мы определились сразу и неуклонно придерживаемся определенных принципов."
"...у нас есть внешний враг - Российская Федерация, и мы никогда не использовали и не используем хакерские методы внутри страны или в отношении других стран кроме РФ и оккупированных территорий, которые полностью подконтрольны России. В Украине мы ведем публичные дискуссии, участвуем в политической жизни страны, а взломы - только в РФ. При этом с целями и методами мы определились сразу и неуклонно придерживаемся определенных принципов."
image_2020-12-03_12-23-00.png
643.9 KB
Министерство креативного наебизнеса, авторы нашумевшего приложения Йди.Нахуй и первого в мире виртуального мусударства NewVasyuki.City выкатили "концепцію розвитку штучного інтелекту в Україні" (ссылка в комментариях). Как комментировать не знаю. Все на картинке. Интеллектуальный локдаун продолжает свирепствовать.
P.S. Они, по-прежнему, продолжают пиздить наши деньги (бумажная "концепция" обошлась налогоплательщику в три миллиона сто тысяч гривен, примерно восемь с половиной тысяч долларов за страницу высера) https://docs.google.com/document/d/1kYP_VQcAejQSu20IdSSw5CfHfXSpxQPftXubi5LoA5U/edit
P.S. Они, по-прежнему, продолжают пиздить наши деньги (бумажная "концепция" обошлась налогоплательщику в три миллиона сто тысяч гривен, примерно восемь с половиной тысяч долларов за страницу высера) https://docs.google.com/document/d/1kYP_VQcAejQSu20IdSSw5CfHfXSpxQPftXubi5LoA5U/edit
police.png
311.8 KB
Посмотрел трансляцию Kyiv Criminal Law Forum. Меня заинтересовала тема з/п 4004 про цифровые доказательства, который лоббирует Кіберполіція
. Сладенький Станислав Самойлов из четвертого управления кибер-полюции разливался соловьем о доказательствах и их совокупности, но понять чего именно они хотят несложно из их собственной презентации (в которой слежка и идентификация на первом месте, а "цифровые доказательства" на последнем)
А хотят они расширить неконтролируемую слежку не только на мобильных операторов, но и на провайдеров, их цель - тотальная идентификация, чтобы у каждого был цифровой намордник, ужесточение санкций по легким статьям, чтобы врубать НСРД по поводу и без, и взламывать все что плохо лежит без ордера и хоть сколько-нибудь вменяемых объяснений (это уже в 4003). Что сильно упростит организованной мусорской банде их системную и непрекращающуюся "работу" по грабежу, вымогательству и прочим злоупотреблениям.
. Сладенький Станислав Самойлов из четвертого управления кибер-полюции разливался соловьем о доказательствах и их совокупности, но понять чего именно они хотят несложно из их собственной презентации (в которой слежка и идентификация на первом месте, а "цифровые доказательства" на последнем)
А хотят они расширить неконтролируемую слежку не только на мобильных операторов, но и на провайдеров, их цель - тотальная идентификация, чтобы у каждого был цифровой намордник, ужесточение санкций по легким статьям, чтобы врубать НСРД по поводу и без, и взламывать все что плохо лежит без ордера и хоть сколько-нибудь вменяемых объяснений (это уже в 4003). Что сильно упростит организованной мусорской банде их системную и непрекращающуюся "работу" по грабежу, вымогательству и прочим злоупотреблениям.
На то чтобы даже кратко перессказать историю технических методов разведки не хватит не только поста в Фейсбуке, но и книги, но в связи с тем, что ВР приняла закон "О телекоммуникациях" (3014) стоит напомнить несколько историй, связанных с прослушкой.
В семидесятых годах один скандал следовал за другим. ФБР охотилась на идеологических противников. "Сантехники" Никсона порылись в DNC (сейчас на том самом шкафчике стоит взломанный русскими сервер) и установили незаконную прослушку. С конца шестидесятых Bell внедрила систему "Greenstar" (Кеминг, юрист Белл, сразу сказал, что только одно "название уже звучит как что-то незаконное") для борьбы с мошенничеством, но как выяснилось позже (после самоубийств в руководстве компании) спец. службы тоже имели к ней доступ. Комиссия Черча от души нахлобучила ЦРУ и ФБР, и наконец-то в 1978 году появился закон FISA и секретный суд FISC, регламентирующий прослушку. Казалось бы баланс между защитой личной жизни от государства (гарантированной четвертой поправкой) и интересами национальной безопасности восстановлен. Или по крайней мере так казалось.
В июне 2013 года в Гардиан и Вашингтон Пост появился убойный материал. Агентство Национальной Безопасности получило в FISC "ковровый ордер", согласно которому Verizon (бывший Bell Atlantic, после того как матушку Белл раздробили на части за злоупотребление монопольным положением) передает мета-информацию (кто кому звонил, без содержимого звонка) разведчикам. Они использовали довольно оригинальный юридический выверт, который заключался в том, что ордер нужен, когда аналитик запрашивает информацию, а пока никто её не видит, её можно собирать и хранить. "Чтобы найти иголку в стоге сена - нужен стог". После Сноудена скандал вспыхнул с новой силой. Конгресс собрал комиссию Морелла. АНБ, пусть и не сразу, но пришлось отказаться от многих своих игрушек.
Но вернёмся в наше место и наше время. Ни для кого не секрет, что у СБУ есть прямой доступ к операторам телефонной связи, ежегодно Служба получает разрешение на прослушку нескольких десятков тысяч абонентов только законным способом. На незаконной прослушке их ловят регулярно, и цены на черном рынке давно держатся на уровне нескольких сот долларов. Можно сфабриковать дело, можно включить еще один номерочек в уже существующее. Одним словом, телефонной связью в Украине пользоваться нельзя. Можно спросить: купить ли хлеба по дороге? И это всё.
С Интернетом всё иначе. Если телефонные компании и у нас и за рубежом выросли из естественных монополий или небольшого количества игроков, то Интернет стал таким, как мы его видим не благодаря, а вопреки государству. Голубая мечта мусоров и чекистов всей планеты засунуть туда свои грязные лапы. Авторитарным режимам всегда проще, в России внедрили СОРМ (система оперативно-розыскных мероприятий). Давление постоянно усиливалось, начиная с СОРМ-1 (для прослушки телефонов) и заканчивая СОРМ-3 и "пакетом Яровой". Конечно для защиты детей от педофилов и борьбы с международным терроризмом. А на самом деле для укрепления власти правящей банды и подавления инакомыслия.
В Украине попытки взять интернет-провайдеров и операторов к ногтю не прекращались последние десять лет. То симки по паспорту, то 6688, то еще какая-нибудь хитрожопая правка, чтобы хоть краешек коготочка засунуть в неподконтрольную государству Сеть. В 3014 норму про обязательную прослушку расширили и основная война там шла не из-за того давать гебне прослушку или не давать, а за то что считать "достаточными основаниями". ОП задвинула правки о том, что можно и без ордера "в неотложных ситуациях", парламент эти правки (55, 56) отклонил, но самая жесть не в них, а в ст. 121 п. 2, который не изменился:
"Зняття інформації з електронних комунікаційних мереж постачальників електронних комунікаційних послуг забезпечується єдиною системою технічних засобів, що використовується всіма уповноваженими законом органами, на умовах автономного доступу до інформації у порядку, визначеному законодавством"
В семидесятых годах один скандал следовал за другим. ФБР охотилась на идеологических противников. "Сантехники" Никсона порылись в DNC (сейчас на том самом шкафчике стоит взломанный русскими сервер) и установили незаконную прослушку. С конца шестидесятых Bell внедрила систему "Greenstar" (Кеминг, юрист Белл, сразу сказал, что только одно "название уже звучит как что-то незаконное") для борьбы с мошенничеством, но как выяснилось позже (после самоубийств в руководстве компании) спец. службы тоже имели к ней доступ. Комиссия Черча от души нахлобучила ЦРУ и ФБР, и наконец-то в 1978 году появился закон FISA и секретный суд FISC, регламентирующий прослушку. Казалось бы баланс между защитой личной жизни от государства (гарантированной четвертой поправкой) и интересами национальной безопасности восстановлен. Или по крайней мере так казалось.
В июне 2013 года в Гардиан и Вашингтон Пост появился убойный материал. Агентство Национальной Безопасности получило в FISC "ковровый ордер", согласно которому Verizon (бывший Bell Atlantic, после того как матушку Белл раздробили на части за злоупотребление монопольным положением) передает мета-информацию (кто кому звонил, без содержимого звонка) разведчикам. Они использовали довольно оригинальный юридический выверт, который заключался в том, что ордер нужен, когда аналитик запрашивает информацию, а пока никто её не видит, её можно собирать и хранить. "Чтобы найти иголку в стоге сена - нужен стог". После Сноудена скандал вспыхнул с новой силой. Конгресс собрал комиссию Морелла. АНБ, пусть и не сразу, но пришлось отказаться от многих своих игрушек.
Но вернёмся в наше место и наше время. Ни для кого не секрет, что у СБУ есть прямой доступ к операторам телефонной связи, ежегодно Служба получает разрешение на прослушку нескольких десятков тысяч абонентов только законным способом. На незаконной прослушке их ловят регулярно, и цены на черном рынке давно держатся на уровне нескольких сот долларов. Можно сфабриковать дело, можно включить еще один номерочек в уже существующее. Одним словом, телефонной связью в Украине пользоваться нельзя. Можно спросить: купить ли хлеба по дороге? И это всё.
С Интернетом всё иначе. Если телефонные компании и у нас и за рубежом выросли из естественных монополий или небольшого количества игроков, то Интернет стал таким, как мы его видим не благодаря, а вопреки государству. Голубая мечта мусоров и чекистов всей планеты засунуть туда свои грязные лапы. Авторитарным режимам всегда проще, в России внедрили СОРМ (система оперативно-розыскных мероприятий). Давление постоянно усиливалось, начиная с СОРМ-1 (для прослушки телефонов) и заканчивая СОРМ-3 и "пакетом Яровой". Конечно для защиты детей от педофилов и борьбы с международным терроризмом. А на самом деле для укрепления власти правящей банды и подавления инакомыслия.
В Украине попытки взять интернет-провайдеров и операторов к ногтю не прекращались последние десять лет. То симки по паспорту, то 6688, то еще какая-нибудь хитрожопая правка, чтобы хоть краешек коготочка засунуть в неподконтрольную государству Сеть. В 3014 норму про обязательную прослушку расширили и основная война там шла не из-за того давать гебне прослушку или не давать, а за то что считать "достаточными основаниями". ОП задвинула правки о том, что можно и без ордера "в неотложных ситуациях", парламент эти правки (55, 56) отклонил, но самая жесть не в них, а в ст. 121 п. 2, который не изменился:
"Зняття інформації з електронних комунікаційних мереж постачальників електронних комунікаційних послуг забезпечується єдиною системою технічних засобів, що використовується всіма уповноваженими законом органами, на умовах автономного доступу до інформації у порядку, визначеному законодавством"
🔥1
Кто будет принимать решение о начале НСРД, и какие при этом должен соблюдать процедуры - это без сомнения важно (г-н Федиенко даже попытался обвинить меня в том, что я помогаю СБУ, LOL!), но проблема не в этом, а в том, что у полиции, контрразведки и разведки (sic!) появляется прямой доступ к каналом связи. Если есть прямой доступ, то будут злоупотребления. Я ни капли не сомневаюсь в том, что гебня придумает как все оформить на бумаге, так чтобы нельзя было подкопаться. АНБ обмануло FISC и Конгресс, а учитывая состояние нашей правоохранительной системы, я ничуть не сомневаюсь в том, что и наши "пинкертоны" и "бонды" что-нибудь придумают. Повторю еще раз: прямого доступа к каналам связи правопохоронцам давать нельзя. "Система технических средств" - это и есть СОРМ-2. Бесконтрольная массовая прослушка. Как на России.
Мы предполагали, что так случится, поэтому и запустили проект свободного, бесплатного VPN сервиса - #GardaVPN - (для законопослушных граждан Украины). Почитать можно тут:
https://www.cyber.org.ua/vpn.html
Там же мы будем добавлять материалы о том, как обеспечить безопасность и неприкосновенность личной жизни от назойливого внимания государства.
Помочь проекту можно вот здесь:
https://send.monobank.ua/DNQkMToz8
Мы предполагали, что так случится, поэтому и запустили проект свободного, бесплатного VPN сервиса - #GardaVPN - (для законопослушных граждан Украины). Почитать можно тут:
https://www.cyber.org.ua/vpn.html
Там же мы будем добавлять материалы о том, как обеспечить безопасность и неприкосновенность личной жизни от назойливого внимания государства.
Помочь проекту можно вот здесь:
https://send.monobank.ua/DNQkMToz8
👍1
В июне славно горело Главное Следственное Управление МВД. Ответственность на себя взяла группа анархистов "Смельчаки". Видео поджога неизвестные смельчаки прислали для публикации сайту "Боец Анархист", в заявлении они рассказали, что акция - их ответ на беспредел ментов из Кагарлыка (где выродки в погонах пытали и насиловали людей) и убийство Кирилла Тлявова. Кстати, по обоим делам нет движения, суд отказывается судить социально близких. Зато подгоревший мусорятник - для них дело "чести", носом землю роют.
Киберполиция смогла пробить один из телефонных номеров БоАк, только печалька - номер виртуальный, его обслуживала небольшая компания VirtualSIM. Они нанимают сотрудников, которые ставят сим-банки, шлюзы, пользователи могут зайти через Интернет и получать СМС-ки онлайн. Сервис вполне легальный. К одному из сотрудников-"операторов" доблестная пилиция и заявилась с обыском, что в принципе логично, но дальше начинаются традиционные в наших широтах "чудеса".
Ни полное согласие выдать интересующую ментов сим-карту и информацию о клиенте, ни объяснения как работает сервис и какую информацию хранит, а какую нет, не помогли, всё естественно изъято. Дальше больше. Сии всратые пинкертоны придумали хитрый план™ - пусть администрация сервиса попытается выманить анархистов. Будучи посланными нахуй и в пизду, мусора просто перешли к террору, для начала хлопнули еще одну точку с симками, потом пуганули хостера, попутно пытаясь ломать и DDoS-ить и VS, и БоАк. Соглашайтесь, мол, а то хуже будет. Так же пытались ломать аккаунты, привязанные к изъятым симкам.
Я и не знаю, что тут еще можно добавить. Организованная преступная банда во всей красе: сфабрикованные улики, взлом, шантаж и прочие красоты весьма далекие от процессуального кодекса. Кагарлык в смартфоне.
Киберполиция смогла пробить один из телефонных номеров БоАк, только печалька - номер виртуальный, его обслуживала небольшая компания VirtualSIM. Они нанимают сотрудников, которые ставят сим-банки, шлюзы, пользователи могут зайти через Интернет и получать СМС-ки онлайн. Сервис вполне легальный. К одному из сотрудников-"операторов" доблестная пилиция и заявилась с обыском, что в принципе логично, но дальше начинаются традиционные в наших широтах "чудеса".
Ни полное согласие выдать интересующую ментов сим-карту и информацию о клиенте, ни объяснения как работает сервис и какую информацию хранит, а какую нет, не помогли, всё естественно изъято. Дальше больше. Сии всратые пинкертоны придумали хитрый план™ - пусть администрация сервиса попытается выманить анархистов. Будучи посланными нахуй и в пизду, мусора просто перешли к террору, для начала хлопнули еще одну точку с симками, потом пуганули хостера, попутно пытаясь ломать и DDoS-ить и VS, и БоАк. Соглашайтесь, мол, а то хуже будет. Так же пытались ломать аккаунты, привязанные к изъятым симкам.
Я и не знаю, что тут еще можно добавить. Организованная преступная банда во всей красе: сфабрикованные улики, взлом, шантаж и прочие красоты весьма далекие от процессуального кодекса. Кагарлык в смартфоне.
Очень поучительная история про крипто-бэкдоры, не RSA BSAFE, а Juniper. В 2008 году Juniper добавили в ScreenOS генератор псевдослучайных чисел Dual_EC_DRBG. И уже в то время многие подозревали, что в нем есть бэкдор АНБ. Генератор устроен довольно просто s' = s*P, r = s*Q (s - внутреннее состояние генератора, r - результат, P и Q - заранее заданные точки эллиптической кривой). Одна точка нужна, чтобы по результату нельзя было восстановить состояние, а вторая, чтобы зная состояние, генератор нельзя было раскрутить в обратную сторону).
Черный ход не лишен изящества. Если выбрать точки так, что P = kQ, то зная один из результатов r = sQ, можно домножить его на секретное k, и получить k*s*Q = s*P, то есть следующее состояние генератора. При этом, для любых двух точек P и Q, всегда существует такое k, что P = kQ. (Вычислить его, зная две точки практически невозможно, но если выбрать одну точку и множитель, то посчитать вторую - проще простого). Идеально. На сленге такой тип уязвимостей называется NOBUS (nobody but us - никто кроме нас) Единственный способ доказать, что в параметрах нет черного хода, сгенерировать их каким-нибудь очевидным образом, например тысячу раз взять хеш от строки "NSA SUCKS".
С Juniper все было интереснее. Они взяли P из стандарта NIST, но добавили собственную, якобы случайную точку Q. А чтобы убедить всех окончательно построили каскад Dual_EC + ANSI X9.31 (что тот еще рак, на который потом наступит Fortinet). Я полагаю, что таким образом они хотели сохранить контроль над черным ходом. Если АНБ понадобится расшифровать траффик, то им пришлось бы обращаться к компании.
Работает это примерно так. И TLS, и IKE обмениваются строками случайных чисел (nonce) в открытом виде, и так как Dual_EC выдаёт за один раз 30 байт, то оставшиеся два байта можно подобрать перебором, и зная секретное число k получить следующее состояние генератора, а значит и сгенерировать заново ключи (с IKE все немного сложнее, протокол в начале генерирует параметры DH, а потом уже nonce, но ScreenOS, чтобы ускорить медленный алгоритм, генерирует в начале пачку nonces, а потом пачку DH, ага, ага, верим им с детства). Более того, в ScreenOS каскад Dual_EC+ANSI оказался сломан в результате "ошибки", и второй генератор просто не работал (если не включить недокументированную настройку), и размер nonce увеличен с 20 до 32 байт. Просто так совпало.
И так все и продолжалось, но в 2012 неизвестные китайские товарищи хакнули Juniper и немножко исправили исходный код, заменив одну единственную строку. 9585320EEAF81044F20D55030A035B11BECE81C785E6C933E4A8A131F6578107 - параметр Q, и тесты конечно тоже. Еще и зашили пароль администратора на всякий случай (на днях такую же штуку нашли в прошивках Zyxel) АНБ не только потеряло свой бэкдор, но и похаканный хак открыл доступ китайцам. И опять-таки, никто не замечал "баг" годами. В 2015 году, АНБ видимо всё-таки предупредило Juniper, и компания выпустила обновление безопасности, которое та-дам! возвращало на место старое значение "Q". И только в 2016 наконец-то оба генератора и Dual_EC и ANSI выкинули из прошивки.
Так что шифрование одно для всех, и попытки встраивать в него доступ для разведки и правоохранителей заканчиваются печально.
Черный ход не лишен изящества. Если выбрать точки так, что P = kQ, то зная один из результатов r = sQ, можно домножить его на секретное k, и получить k*s*Q = s*P, то есть следующее состояние генератора. При этом, для любых двух точек P и Q, всегда существует такое k, что P = kQ. (Вычислить его, зная две точки практически невозможно, но если выбрать одну точку и множитель, то посчитать вторую - проще простого). Идеально. На сленге такой тип уязвимостей называется NOBUS (nobody but us - никто кроме нас) Единственный способ доказать, что в параметрах нет черного хода, сгенерировать их каким-нибудь очевидным образом, например тысячу раз взять хеш от строки "NSA SUCKS".
С Juniper все было интереснее. Они взяли P из стандарта NIST, но добавили собственную, якобы случайную точку Q. А чтобы убедить всех окончательно построили каскад Dual_EC + ANSI X9.31 (что тот еще рак, на который потом наступит Fortinet). Я полагаю, что таким образом они хотели сохранить контроль над черным ходом. Если АНБ понадобится расшифровать траффик, то им пришлось бы обращаться к компании.
Работает это примерно так. И TLS, и IKE обмениваются строками случайных чисел (nonce) в открытом виде, и так как Dual_EC выдаёт за один раз 30 байт, то оставшиеся два байта можно подобрать перебором, и зная секретное число k получить следующее состояние генератора, а значит и сгенерировать заново ключи (с IKE все немного сложнее, протокол в начале генерирует параметры DH, а потом уже nonce, но ScreenOS, чтобы ускорить медленный алгоритм, генерирует в начале пачку nonces, а потом пачку DH, ага, ага, верим им с детства). Более того, в ScreenOS каскад Dual_EC+ANSI оказался сломан в результате "ошибки", и второй генератор просто не работал (если не включить недокументированную настройку), и размер nonce увеличен с 20 до 32 байт. Просто так совпало.
И так все и продолжалось, но в 2012 неизвестные китайские товарищи хакнули Juniper и немножко исправили исходный код, заменив одну единственную строку. 9585320EEAF81044F20D55030A035B11BECE81C785E6C933E4A8A131F6578107 - параметр Q, и тесты конечно тоже. Еще и зашили пароль администратора на всякий случай (на днях такую же штуку нашли в прошивках Zyxel) АНБ не только потеряло свой бэкдор, но и похаканный хак открыл доступ китайцам. И опять-таки, никто не замечал "баг" годами. В 2015 году, АНБ видимо всё-таки предупредило Juniper, и компания выпустила обновление безопасности, которое та-дам! возвращало на место старое значение "Q". И только в 2016 наконец-то оба генератора и Dual_EC и ANSI выкинули из прошивки.
Так что шифрование одно для всех, и попытки встраивать в него доступ для разведки и правоохранителей заканчиваются печально.
🔥1
Screenshot from 2021-01-07 14-05-36.png
90 KB
Пока Ассанж ждет апелляции американских властей на отказ английского суда в экстрадиции, другой радикальный коллектив сделал еще один шажок в сторону эквадорского посольства. У операторов вымогательского ПО появилась новая тактика - угрожать не уничтожением, а публикацией данных. DDoSecrets полазили по хакерским помойкам и раздают архивы, опубликованные вымогателями. Сейчас доступны MVTEC, India Bulls, Netzsch, Planatol и ExecuPharm. При этом есть ли в опубликованных архивах какие-нибудь злоупотребления или данные, в которых было бы заинтересовано общество в целом никто не проверял. Учитывая, доступ к медиа, борцы за прозрачность, по сути, работают рычагом для вымогателей.
P.S. Занятно еще, что попытки переформатировать инфо-платформы цензурой приводят к тому, что пользователи сбегают в телегу и на другие площадки.
P.S. Занятно еще, что попытки переформатировать инфо-платформы цензурой приводят к тому, что пользователи сбегают в телегу и на другие площадки.
А я смотрю, что говноеды не унимаются, госспецсвязь и ИИТ на основе "передовой" украинской науки настойчиво хотят выборы на блокчейне. Нашел статью "ПРОТОТИПУВАННЯ ДЕЦЕНТРАЛІЗОВАНОЇ СИСТЕМИ
ЕЛЕКТРОННОГО БЛОКЧЕЙН ГОЛОСУВАННЯ". Замечательный образчик того, что один мой знакомый называет "высшее без среднего".
Я уже не раз писал на эту тему, достаточно напомнить: блокчейн не решает ни одну из проблем, которые действительно возникают в ходе выборов, зато добавляет много новых. Включая скомпрометированные устройства пользователей, атаки на систему голосования, непроверяемость и непрозрачность системы, возможности для масштабного фрода и принуждения.
Я не знаю ни одного специалиста по безопасности (и информационной, и выборной), который бы поддерживал утопические проекты. Если хотите немного разобраться в теме, то рекомендую статью Rivest et al "Going from Bad to Worse: From Internet Voting to Blockchain Voting" ("От плохого к худшему: от интернет голосования к блокчейну")
ЕЛЕКТРОННОГО БЛОКЧЕЙН ГОЛОСУВАННЯ". Замечательный образчик того, что один мой знакомый называет "высшее без среднего".
Я уже не раз писал на эту тему, достаточно напомнить: блокчейн не решает ни одну из проблем, которые действительно возникают в ходе выборов, зато добавляет много новых. Включая скомпрометированные устройства пользователей, атаки на систему голосования, непроверяемость и непрозрачность системы, возможности для масштабного фрода и принуждения.
Я не знаю ни одного специалиста по безопасности (и информационной, и выборной), который бы поддерживал утопические проекты. Если хотите немного разобраться в теме, то рекомендую статью Rivest et al "Going from Bad to Worse: From Internet Voting to Blockchain Voting" ("От плохого к худшему: от интернет голосования к блокчейну")
👍2
Твиттер удалил учетку Трампа, а Apple поставил ультиматум Parler (или начинаете модерировать - или выносим из стора). И я не очень понимаю буйную радость в ленте по этому поводу. Глупцы, вас будут банить с удвоенной силой. Я не буду ссылаться на первую поправку (она тут совершенно не при чем), но деплатформинг - это не просто цензура, это можно сравнить с вырезанием страниц из энциклопедий и изъятием тиражей. Свободное слово может быть и наказуемым по закону, и иногда должно быть наказуемым, но если затыкать оппонентам рот, то странно называть его "свободным".
👍1
1/ Н-да. Почитал комментарии под разными постами, и меня растраивает, то что большая часть комментаторов вобще не понимает, в чем именно заключается срач. Прежде всего речь идет о дистрибуции контента и ответственности платформы за контент. Не о том, что является "защищенной (законом) свободой слова" (protected speech), а о том можно ли подать в суд на *Фейсбук*, если там написано "Вася дурак" и вы Вася. Как влияет на ситуацию первая поправка? Есть важный прецедент "Смит против Калифорнии". Дело было в конце пятидесятых. Смит торговец книжками семидесяти лет продал полицейскому книжку "Слаще жизни" ("... И когда Ним медленно склонилась перед ней, Линн начала тихонько всхлипывать и выгнулась в безумном экстазе. И тогда в офисе не было никаких звуков, кроме звуков любви.") Что в те годы считалось адской непристойностью и жестко каралось.
2/ В итоге дело дошло до верховного суда. И суд принял решение, что хотя порнография не защищена первой поправкой, торговец не может просматривать все книги. И если обязать дистрибуторов следить за контентом, то это ограничит распространение контента ЗАЩИЩЕННОГО первой поправкой. И появилось "правило Смита", если ты не знаешь о содержимом контента и не осуществляешь редакционный контроль, то не можешь нести ответственность за клевету и дефамацию. Потом были еще два дела "Дворкин против Флинта" (та самая Дворкин, и тот самый Флинт), поищите, там истерически смешное. Это то как первая поправка трактуется по отношению к ДИСТРИБУТОРУ.
3/ И тут появился Интернет. И было два важных дела - против КомпьюСерв и против Продиджи. (Компьюсерв выиграл, потому что выдавал контент как есть). А вот Продиджи проиграли, потому что они позиционировали себя как "услуги для всей семьи" и осуществляли в начале ручную, а затем автоматическую модерацию. И получается, что первая поправка подталкивает дистрибуторов к тому, чтобы ничего не знать о контенте, который они распространяют. Это ОК для ISP, но совсем не ОК, для комментариев в газете, где редакциях ХОЧЕТ поддерживать порядок и правила. Иначе, как показывает нам тот же "Цензор", комментарии превращаются в потоки говна, не представляющие никакой ценности. И это плохо сказывается на определенных моделях ведения бизнеса.
4/ В 1995 году в США пересматривали закон о телекоммуникациях 1934 года. Это тоже очень интересная история (про прослушку например можно книгу написать), но вернемся к нашим Интернетам. Под шумок сенатор Экзон, распечатал из интернетов самого дикого прона, и тыкал эту "синюю книгу" всем в лицо. И написал, в качестве дополнения к новому закону о телекоммуникациях "Акт о благопристойности в коммуникациях". И это была бы катастрофа, потому что за отсылку дикпика или сисек несовершеннолетнему, оператор мог бы получить штраф га сотни тысяч и до двух лет тюрьмы. (Я, кстати, напомню, что в богоспасаемой Украине, за ксерокопию карикатуры Флинта на Дворкин можно получить ТРИ года тюрьмы по 301. Даже если вы не знаете, кто это такие. Украина - страна дикарей и людоедов, не забывайте об этом пока читаете про США).
5/ В тоже время Кокс и Вайден, предложили альтернативу. Провайдер не несет ответственности за пользовательский контент. И. При этом, как "добрый самаритянин" может осуществлять фильтрацию, контента нежелательного. Это и есть CDA 230. Без этого закона Фейсбуко-Твиттеры просто не могут существовать иначе их бы просто завалили исками. И у "правила Смита", есть неприятное исключение - если поступает жалоба, то провайдер не может сказать о том, что он не знал о содержимом поста, а значит теряет защиту по первой поправке и становится соответчиком (по гражданскому иску, не по криминальному).
2/ В итоге дело дошло до верховного суда. И суд принял решение, что хотя порнография не защищена первой поправкой, торговец не может просматривать все книги. И если обязать дистрибуторов следить за контентом, то это ограничит распространение контента ЗАЩИЩЕННОГО первой поправкой. И появилось "правило Смита", если ты не знаешь о содержимом контента и не осуществляешь редакционный контроль, то не можешь нести ответственность за клевету и дефамацию. Потом были еще два дела "Дворкин против Флинта" (та самая Дворкин, и тот самый Флинт), поищите, там истерически смешное. Это то как первая поправка трактуется по отношению к ДИСТРИБУТОРУ.
3/ И тут появился Интернет. И было два важных дела - против КомпьюСерв и против Продиджи. (Компьюсерв выиграл, потому что выдавал контент как есть). А вот Продиджи проиграли, потому что они позиционировали себя как "услуги для всей семьи" и осуществляли в начале ручную, а затем автоматическую модерацию. И получается, что первая поправка подталкивает дистрибуторов к тому, чтобы ничего не знать о контенте, который они распространяют. Это ОК для ISP, но совсем не ОК, для комментариев в газете, где редакциях ХОЧЕТ поддерживать порядок и правила. Иначе, как показывает нам тот же "Цензор", комментарии превращаются в потоки говна, не представляющие никакой ценности. И это плохо сказывается на определенных моделях ведения бизнеса.
4/ В 1995 году в США пересматривали закон о телекоммуникациях 1934 года. Это тоже очень интересная история (про прослушку например можно книгу написать), но вернемся к нашим Интернетам. Под шумок сенатор Экзон, распечатал из интернетов самого дикого прона, и тыкал эту "синюю книгу" всем в лицо. И написал, в качестве дополнения к новому закону о телекоммуникациях "Акт о благопристойности в коммуникациях". И это была бы катастрофа, потому что за отсылку дикпика или сисек несовершеннолетнему, оператор мог бы получить штраф га сотни тысяч и до двух лет тюрьмы. (Я, кстати, напомню, что в богоспасаемой Украине, за ксерокопию карикатуры Флинта на Дворкин можно получить ТРИ года тюрьмы по 301. Даже если вы не знаете, кто это такие. Украина - страна дикарей и людоедов, не забывайте об этом пока читаете про США).
5/ В тоже время Кокс и Вайден, предложили альтернативу. Провайдер не несет ответственности за пользовательский контент. И. При этом, как "добрый самаритянин" может осуществлять фильтрацию, контента нежелательного. Это и есть CDA 230. Без этого закона Фейсбуко-Твиттеры просто не могут существовать иначе их бы просто завалили исками. И у "правила Смита", есть неприятное исключение - если поступает жалоба, то провайдер не может сказать о том, что он не знал о содержимом поста, а значит теряет защиту по первой поправке и становится соответчиком (по гражданскому иску, не по криминальному).
6/ Сейчас CDA 230 критикуют и демократы, и республиканцы. Байден: «Я, например, считаю, что нам следует подумать об отмене исключения для Facebook, согласно с которым они не могут быть привлечены к ответственности за сознательное участие в продвижении чего-то, что не соответствует действительности». Тед Круз: "230 работала, когда компании только зарождались и эти времена давно прошли. Сейчас это - самые влиятельные компании на Земле, и они не чувствуют никакой ответственности перед избранными чиновниками. Это должно сильно беспокоить всех нас, кому небезразлична свобода слова". Республиканцы хотят отменить 230, потому что видят в онлайн-платформах цензуру и демократическую пропаганду, а демократы считают Интернет рассадником лжи и ненависти.
7/7 При этом. Google, Facebook, Amazon, Apple, Cloudflare - это не просто чатный бизнес, "кому хочу тому и продаю". Если вас, как Parler, одновременно банят Google и Apple, контролирующие 99% телефонной экосистемы, это - картельный сговор с целью ограничить ваш доступ к рынку. Если те же самые навязывают вам правила, как именно нужно модерировать контент, и сами при этом хотят сохранить себе защиту по 230, то это весьма спорная трактовка закона. Однако, если бипартизаны из конгресса родорвут секцию 230, то большая часть компаний просто не сможет существовать в таких условиях, потому что каждый пост "Вася - дурак" будет грозить затяжными, многомиллиоными исками, а техно-гиганты смогут потянуть регулирование, но перейдут при этом к еще более агрессивной цензуре и пострадают не только Q-аноны, но и законные интересы граждан.
Да, демократы правы, Интернеты можно использовать для пропаганды, да, правы республиканцы, "олигархи" из долины получили беспрецедентную власть и злоупотребляют ей прикрываясь законом 1996 года. Выход из этого конфликта, я лично, вижу в применении антимонопольного законодательства к биг-теку, и сохранения 230-й для всех остальных.
P.S. За комментарий номер четыре я тут же получил 30-суточный бан, за "разжигание ненависти", что наглядно иллюстрирует тезисы из поста. Скажите там в Фейсбуке, что меня забанили за обсуждение первой поправки.
7/7 При этом. Google, Facebook, Amazon, Apple, Cloudflare - это не просто чатный бизнес, "кому хочу тому и продаю". Если вас, как Parler, одновременно банят Google и Apple, контролирующие 99% телефонной экосистемы, это - картельный сговор с целью ограничить ваш доступ к рынку. Если те же самые навязывают вам правила, как именно нужно модерировать контент, и сами при этом хотят сохранить себе защиту по 230, то это весьма спорная трактовка закона. Однако, если бипартизаны из конгресса родорвут секцию 230, то большая часть компаний просто не сможет существовать в таких условиях, потому что каждый пост "Вася - дурак" будет грозить затяжными, многомиллиоными исками, а техно-гиганты смогут потянуть регулирование, но перейдут при этом к еще более агрессивной цензуре и пострадают не только Q-аноны, но и законные интересы граждан.
Да, демократы правы, Интернеты можно использовать для пропаганды, да, правы республиканцы, "олигархи" из долины получили беспрецедентную власть и злоупотребляют ей прикрываясь законом 1996 года. Выход из этого конфликта, я лично, вижу в применении антимонопольного законодательства к биг-теку, и сохранения 230-й для всех остальных.
P.S. За комментарий номер четыре я тут же получил 30-суточный бан, за "разжигание ненависти", что наглядно иллюстрирует тезисы из поста. Скажите там в Фейсбуке, что меня забанили за обсуждение первой поправки.
Вчера весь день распространялись дикие слухи, про "отлетевшую аутентификацию" Парлера. "Миллионы админских аккаунтов" и 70 терабайт, выкачанных на флешку омномнимными хакерами. На самом деле это были не хакеры, а Archive Team. Получили урли через API, написали код для выкачки (лежит на гитхабе) и запрягли волонтеров, чтобы ускорить процесс. Библиотекари - страшные люди 😊