У Толера из Беллингкет продолжение про Thug Shaker Leaks. Фантастическая история. Капрал-малолетка выкладывает секретные документы в дискорд и они медленно и печально начинают бродить из рук в руки.

Потом доки попадают в лапы к проукраинским троллям и они придумывают дивный план по дискредитации Donbass Devúshka (пророссийский паблик: якобы девушка из Луганска, а на самом деле отставной старшина из DC).

Сперва закидывают оригинал в 4chan, перерисовывают цифры потерь и отправляют "девушке". Она их постит, откуда наживку растаскивает российская "сетка". И на следующий день вместо веселого смеха, важные дяди в Пентагоне взлетают над своими стульями на реактивной струе, компетентно (и анонимно) намекая на происки Москвы.

Россияне Ёбаная русня при этом (все без исключения от зрадоёбов до трупопатриотов) свято уверены в том, что это хитрый план американской военщины и ЦИПСО (или даже под руководством ЦИПСО) по заманиваю россоссии в подлую ловушку. И дальше свежеуволенный Такер брызгает слюнями, заявления разных стран, пересравшие малолетки, агенты ФБР...

Никакой "Burn after reading" конкурировать с таким задорным сеттингом не сможет. Любителям инфоопераций на заметку: если в вашем хитром плане есть пункт "2" и это не "PROFIT!", то это уже не план, а гарантированный факап.

Неумирающая классика. В этот раз попался TrustWallet (предыдущий победитель Kaspersky). Генераторы бывают криптостойкие, для моделирования (длинный период и всякие статистические плюшки) и для всего остального (LCG подойдёт). Понять и запомнить разницу погромисты не в состоянии уже сорок лет.

Медицина тут давно бессильна и нужно просто сделать криптостойкий random() по дефолту, fast_random() для ученых, и i_know_this_is_lcg_random_seeded_by_time_NULL() для тех, кто по ошибке прочитает документацию. Всё остальное объявить deprecated, PRNG перенести с программы первого курса института в третий, еще PRNG может брать у программиста информированное согласие в качестве параметра, с цифровой подписью.

Сидить вихрь Мереснна 32-битным значением тоже клиника.

Российские безопасники такая же вкусная еда для хакеров как и российские "гениальные" программисты и админы. Они умеют объяснять сложные вещи простым языком, умеют в комплаенс, установку всяких вундерваффе и тренинги. Единственное чего они не умеют - применять всё перечисленное на практике. В этот раз DumpForums попался Bi.Zone - четыреста "защищенных" клиентов (включая Сбер, Вконтакт и Норникель), "больше тысячи завершенных проектов", единственная неудача - их собственная компания https://t.iss.one/dumpforums/231

Очень смешная ошибка. В палате мер и весов идиотизма второе место (после srandom(time(NULL))

У меня часто спрашивают про безопасные мессенджеры и мне постоянно приходится напоминать, что безопасность - не функция мессенджера, и всё зависит от того, что и от кого вы хотите спрятать. Это всегда tradeoff, нельзя получить всё и сразу. И тут попался пост про божественно прекрасный мессенджер Converso "по сравнению с которым все остальные выглядят как подстава от АНБ". Мало того что все, что они говорят оказалось ложью от начала до конца, так потом еще выяснилось, что они оставили в паблике полную базу клиентов, полную базу ключей (зашифрованных юзернеймом) и полную базу всех когда либо посланных сообщений. Эталонный snake oil. Немного не хватает "military grade encryption", в остальном shit bingo. https://crnkovic.dev/testing-converso/

Техническая журналистика по-прежнему продолжает расстраивать. Если вы пишете новость о том что идёт дождь не нужно спрашивать мнение специалистов, достаточно посмотреть в окно. Так же и с последним "багом" в Телеграме. Есть две модели безопасности: в Unix и Windows права выдаются пользователю, а в Android, iOS и MacOS - отдельным приложениям. Приложение говорит: "Хочу камеру!", система ему в ответ: попизди мне тут, сейчас у хозяина спросим.

Apple требует, чтобы приложения в AppStore вели себя прилично. CVE-2023-26818, который по мнению местного Форбс, якобы позволяет "удаленно включать камеру", позволяет запустить левую библиотеку (она уже должна присутствовать в системе) от имени Телеграма, у которого права на камеру есть. Просто потому что Телеграму все равно. Но сперва нужно зайти в систему. Если хакер туда зашел, то Телеграм станет не самой главной проблемой.

Еще раз для особо непонятливых. DYLD_INSERT_LIBRARIES - тоже самое, что и LD_PRELOAD в Линуксе. И в винде, и в юниксах, если пользователь может запустить Телеграм с камерой, то он может включить камеру самостоятельно, ни у кого ничего не спрашивая. Как говорит Алан Кокс - normal Unix model. На маках это не так, и то что AppStore пропустил приложение, которое говорит "не хочу пользоваться вашей системой безопасности" как бы намекает нам на то, что проблема совсем не в Телеграме.

У любой компании помимо желания заработать денег, и необходимости выполнять законы разных стран (иногда взаимоисключающие) бывает собственная политика. И они её иногда продвигают открыто, как Фейсбук с его человеконенавистническим "сообществом" рака и щуки. А Телеграм пытается проскочить между капелек, и кому и что он покажет и отдаст большой вопрос. Их политика - скрывать от посторонних цели и методы. Вот это проблема, а не загрузка сторонней библиотеки.

Наконец-то появился текст многострадального "порядка поиска уязвимостей". Суть в чем. Вы заходите в какую-нибудь гос. систему, и видите, что у неё из ушей вываливается собственное говно, что отнюдь не редкость.

Вы как добрый самаритянин пишете администратору, что вот тут дыра, а вот тут, например, крокодилы ебались. Как правило, всем похуй и никто вам не ответит. Вы рассказываете об этом публично, и тут внутри чиновника что-то щелкает и приходит озарение, вот этот вот дрыщ компьютерный он же хочет лично его подсидеть, нагадить, а то и занять тепленькое местечко заместителя залуподрищенского управления, департамента не ваших собачьих дел, и пишет заявление в полицию. А вобще полиции даже заявление не нужно, могут возбуждаться по факту.

Со временем возникла идея, а давайте не будем пиздить безопасников? Российские хакеры никуда не делись, дыры тоже. Давайте сделаем так, чтобы сообщать о дырах в безопасности стало безопасно? Для этого статья 361 ККУ не должна быть фактовой, и нужен хоть какой-нибудь ущерб, чтобы взлом не был victimless crime. Что мы получили в итоге? Срока по статье увеличили до 15 лет, а в порядке прописали, что поиск уязвимостей в системе проводит её владелец. Как будто бы раньше ему что-то мешало.

Так что, если вы занимаетесь поиском уязвимостей, советую держаться как можно дальше от украинских систем. А дыры найдут российские хакеры. Если люди необучаемые, то их обучением займётся враг.

Мне удавалось годами прятаться в газетах, на радио и телевидении, но наконец-то "расследователи" из "Цифровой Армии России" на пару с интернет-милиционером Бедеровым вывели меня на чистую воду! Бедеров просто обиделся на то, что DF и CAS взломали его компанию по информационной безопасности T.Hunter, а на него самого выложили форму 1П (что говорит не о том, что нам интересен адрес господина Бедерова, а о том, что украинские хакеры чувствуют себя как дома в картотеке федеральной миграционной службы). Я думаю, что большую часть времени е-пинкертоны потратили на пролистывание таблиц юникода в поисках букв "i" и "є". Очень сложно набрать "реєстр громадських організацій". Колоссальная проделана работа. 🙂

Смотрю на творчество коллег и пытаюсь понять смысл акции, её так сказать логику, а на самом деле полное её отсутствие. Если "данные слиты в сеть", то где они? Свои угрозы всегда нужно выполнять. Не очень понятно как эта унылая херь поможет свергать диктатора. Да, и если вы хотите обратиться к людям, обращайтесь к ним, напишите манифест, поспамьте в конце концов. Зачем портить хорошие таргеты?

На один из них я сегодня зашел, нет, не через битрикс и, да, с правами администратора. Почистил от листовок и оценил "ущерб". База на месте, гит на месте, бэкапы на месте. Знаете, ребята, это больше похоже на спланированную акцию по повышению уровня сознательности среди российских администраторов.

Единственный светлый момент - можно смотреть на то как Евгения Марковна Альбац всем с гордостью показывает свой ошейник иноагента и рассказывает сколько денег она перечислила в российскую армию, которую якобы дискредитирует. Комментарии тоже прекрасны, и раскрывают внутренний мир россиян во всей его чуланной полноте. Только никакой заслуги "IT Армии" в этом к сожалению нет. Так что занимайтесь дудосом, а не войной.

Я скептически всегда относился к CI/CD, но подход неплох. Continuous Intelligence / Continuous Disruption.

Все мы любим весёлые дефейсы, жирные базы, обман и шпионаж, но очень не хватает диверсий. И тут как раз хорошие новости. АО "Инфотел" - мягкая волосатая подмышка между банком россии и девяносто девятью другими банками, включая Ситибанк, ВЭБ, Тинькофф, МТС-Банк, Промсвязьбанк и даже JP Morgan. И вот этому маленькому инфотельчику пришла полная пизда. AS8299 просто вышибло из сети, и думаю, что на склеивание обломков файловых систем и поиск прошивок для роутеров (компания Cisco больше не работает на россии) у них уйдёт какое-то время. А автоматизированная система документооброта с центробанком немного полежит. После 2014 года, а особенно после прошлого февраля такие странные совпадения будут происходить чаще, гуще и злее.

https://t.iss.one/anarchy_squad/819

Не знаю зачем депутат Федиенко ходит на заседания верховной рады в бронежилете. Если это настолько опасно, то прошу приставить к нему государственную охрану. Отрадно слышать, что ему нравится наш мерч, но как общественная организация мы должны действовать прозрачно и открыто. Ничего не имею против публичных обсуждений. И скажу вам честно, затеи господина депутата лично мне по большей части не нравятся.

На днях исполнилось десять лет с того момента, как Сноуден передал украденные у АНБ файлы журналистам. Что гораздо интереснее общемировых последствий, так это вскукареки из постсоветских стран. То есть люди, за которыми ведётся круглосуточная слежка (мета-информация голосовых и интернет соединений, прослушка телефонов, пересечение границы, билеты на поезд и самолет, и "документы предъявите" на каждом углу) очень переживают по поводу Америки. Смешные. Есть и практические результаты: СОРМ - первейшая цель для хакеров

Свой сорок пятый день рождения я начал встречать на самой лучшей работе, от которой за поребриком постоянно что-то течет и ломается, потому пока с соком 🙂

Так а что случилось-то, россияне? 🙂

Разговаривал на днях с AJ из Cyberscoop о российских хакерах, и вот что ещё я хочу отметить, так это чудовищную деградацию российских спецслужб (так бывает когда у страны слабая армия и президент клоун). В шизофренической и безнадежной попытке отрицать реальность и не способности признать факт, что россия ведёт грязную колониальную войну, они уже перестали быть разведкой, и даже самые лучшие источники и вороха current intelligence без анализа теряют всякий смысл. Они уже свою медийную активность не способны полностью скоординировать (хоть и пытаются) и не те данные выходят не на том канале не с той подводкой. Rogue intelligence agency, одичалая, сорвавшаяся с поводка спецслужба, которая сама ставит себе цели, сама их пытается выполнять и сама же оценивает их успешность. (Очень жаль, что у меня нет медицинского образования, историей ГРУ должны заниматься психиатры, а не хакеры)

На россии лег спутниковый провайдер с боевитым названием ДоZор-Телепорт, который подключает клиентов через спутники "Экспресс" и "Ямал". Как и в случае с атакой на Viasat в день вторжения, хакеры возможно повредили клиентское оборудование и ядро сети. Найти прошивку к спутниковым модемам и коммутаторам, когда ты плывешь на газпромовском танкере посреди льдов будет нелегко. Клиенты спутникового интернета (включая МО, ФСБ, Росатом, Газпром, Россети) обычно находятся в такой жопе мира, что там можно разве что медведя позвать в качестве консультанта. Полагаю, что для того чтобы восстановить ядро сети уйдет от нескольких дней до нескольких недель, а на восстановление терминалов уйдут месяцы. Даже жаль, что такой прекрасный провайдер достался пригожинским бандитам. С другой стороны, спутниковые провайдеры не закончатся никогда, да и смотреть как россияне бомбят Воронеж можно вечно 🙂

АО "Амтел-Связь: "Компания подтверждает факт кибератаки. ...И отдельно отметим, что в сети распространяется информация о том, что атака была направлена на оператора связи, предоставляющего услуги для Минобороны. Скорее всего, данный вывод связан с историческим логотипом компании...

Ага, ага, никаких министерств одни детские садики. У этой "жертвы буквы Z" не только МО, но и станции на оккупированных территориях, включая Запорожскую АЭС. Я бы на их месте подумал о том, а что еще могло произойти хорошего (плохого) с их клиентами, а не только с оборудованием ;-)

По поводу 8087 (расширение полномочий госспецсвязи), у меня есть очень простая мысль. Для того чтобы что-то регулировать, вам нужен объект регулуляции. Вы можете регулировать банки, потому что у вас есть банки. Вы можете менять правила дорожного движения, потому что ими пользуются. Информационную безопасность в Украине отрегулировать нельзя, потому что её нет. То что есть построено (как и Интернет), вопреки государству, и для защиты от государства в первую очередь (точно так же, как в оффенсиве госуха - цель и потерпевший номер один, а не тихая гавань компьютерной благодати и мудрой экспертизы) Любые попытки сделать центральное ведомство всего, только усугубляют ситуацию. Прежде чем бездари вроде Федиенко устроят фестиваль карго-культа, хотелось бы послушать как "будка" справляется со своими предыдущими 93-мя функциями.