Я давеча имел неосторожность послушать зама из госспецсвязи Потия. Про "подпись Байдена". До этого ДССЗЗІ рассказывали сказки про "дорогостоящие хакерские атаки", теперь Потий говорит о том, что некий пользователь "плохо хранил свои ключевые данные" и, что была "уязвимость", которая уже закрыта. Выскуб из МЦТ, как сельский дурачок бегает по комментариям и рассказывает, что на сайте петиций е-подписью ничего не подписывается (что даже отчасти верно). Давайте немного демистифицируем технологию.
Не будем отвлекаться на то, как должен работать PKI здорового человека, а сразу углубимся в отечественные цифровые джунгли. Я взял файл pb_РНОКПП.jks, это что-то вроде архива с паролем. В нем лежит закрытая часть ключа, сертификаты открытых ключей Приватбанка и сертификат моего открытого ключа (скриншот). Независимо от того плохо или хорошо я его храню, изменить CN (а там ФИО) нельзя. Все поля подписаны, это и делает подпись "моей". То есть Приватбанк свидетельствует о том, что открытый ключ принадлежит "мне" (на самом деле моему аккаунту в П24).
Когда вы "идентифицируетесь" с помощью подписи клиент посылает OCSP-запрос (в данном случае к Приватбанку) через сайт Минцифры и "Biden Joe" такую проверку прошел. Нельзя взять чей-то сертификат и поменять там имя, а вот взять "мастер-ключ" Приватбанка и выпустить левую подпись можно. Потом с помощью неё можно получить паспорт в Дие. Выписать мед. справку (сами знаете от чего). Взять кредит. Оформить сделку от имени нотариуса. Перевести деньги со счета. Подать левую отчетность, за которой придет проверка.
И цирковые трансформаторы, по-прежнему, не знают, как все это произошло. Когда Джо Байден переехал в Украину? Где была уязвимость и почему молчит разработчик софта ІІТ? Она же критическая, нужно обновляться. Скомпрометирован АЦСК Приватбанка, в котором выдано десять миллионов ключей. Их сейчас нужно отзывать и выдавать заново. Есть только непрерывные потоки лжи. "Хакеры", "уязвимости", "сами виноваты" - это все ложь. Я практически уверен в том, что кто-то (кто может прогнуть Приват) хотел выслужиться перед Ермаком, "помогая" отмазывать его зама Татарова.
А Госспецсвязь и Минцирк покрывают мошенников, которые по доброте душевной похоронили любую жижитализацию, вместе ДСТУ и прочими чудесами отечественной науки в принципе. Единственный способ защиты - юридически значимый запрет всем АЦСК и прочим злодиям выдавать любые е-документы на ваше имя. Бесполезно бороться со свиньей в грязи. Свиньям это нравится. Opt out. Отказ. Это - единственная и конечно же бумажная справка, которая мне по-настоящему нужна.
Не будем отвлекаться на то, как должен работать PKI здорового человека, а сразу углубимся в отечественные цифровые джунгли. Я взял файл pb_РНОКПП.jks, это что-то вроде архива с паролем. В нем лежит закрытая часть ключа, сертификаты открытых ключей Приватбанка и сертификат моего открытого ключа (скриншот). Независимо от того плохо или хорошо я его храню, изменить CN (а там ФИО) нельзя. Все поля подписаны, это и делает подпись "моей". То есть Приватбанк свидетельствует о том, что открытый ключ принадлежит "мне" (на самом деле моему аккаунту в П24).
Когда вы "идентифицируетесь" с помощью подписи клиент посылает OCSP-запрос (в данном случае к Приватбанку) через сайт Минцифры и "Biden Joe" такую проверку прошел. Нельзя взять чей-то сертификат и поменять там имя, а вот взять "мастер-ключ" Приватбанка и выпустить левую подпись можно. Потом с помощью неё можно получить паспорт в Дие. Выписать мед. справку (сами знаете от чего). Взять кредит. Оформить сделку от имени нотариуса. Перевести деньги со счета. Подать левую отчетность, за которой придет проверка.
И цирковые трансформаторы, по-прежнему, не знают, как все это произошло. Когда Джо Байден переехал в Украину? Где была уязвимость и почему молчит разработчик софта ІІТ? Она же критическая, нужно обновляться. Скомпрометирован АЦСК Приватбанка, в котором выдано десять миллионов ключей. Их сейчас нужно отзывать и выдавать заново. Есть только непрерывные потоки лжи. "Хакеры", "уязвимости", "сами виноваты" - это все ложь. Я практически уверен в том, что кто-то (кто может прогнуть Приват) хотел выслужиться перед Ермаком, "помогая" отмазывать его зама Татарова.
А Госспецсвязь и Минцирк покрывают мошенников, которые по доброте душевной похоронили любую жижитализацию, вместе ДСТУ и прочими чудесами отечественной науки в принципе. Единственный способ защиты - юридически значимый запрет всем АЦСК и прочим злодиям выдавать любые е-документы на ваше имя. Бесполезно бороться со свиньей в грязи. Свиньям это нравится. Opt out. Отказ. Это - единственная и конечно же бумажная справка, которая мне по-настоящему нужна.
"Безпека — супер. Це той документ, який точно відповідає сучасності. Людині треба лише бути уважною", рассказывает Мстислав Баник из МЦТ про ID-карты. Прелюбопытная скажу я вам технология. На самом деле legacy у этих чипов длиной в десятилетия. В той же Эстонии сменилось четыре поколения ID-карт Micardo, Multos, SLE76 и SLE78 (вот этот как раз стоит в украинских ID-картах).
Про то как GCHQ и NSA потрошили Gemalto (Multos), то отдельная захваатывающая история, про ROCA (уязвимость при генерации ключей тоже уже говорили), но вернемся к "организационно-технической" части, на которою переключилась госспецсвязь после "дорогостоящих байденских атак".
О том, что в Украине используется Инфинеон я узнал из статьи на AIN, в домене "gov.ua" нет ни малейших зацепок. Ни стандартов, ни регламентов. Как всегда, "нужно просто верить". Когда в тот же чип начали пихать цифровую подпись я безуспешно пытался добиться от ДМС, хоть одного внятного слова о технической части процесса, и конечно же, получил порцию бессвязной копипасты с их сайта в ответ.
Между тем есть прехорошенькая статья на Usenix https://bit.ly/3i1eJdb, описывающая проблемы с чипами. Баник от ДМС недалеко ушел и даже не знает, что чип можно разблокировать сканированием MRZ (без ПИН-кода), называется BAC - базовая аутентификация. И я совершенно не удивлен тому, что ID никто не сканирует, хотя NFC-ридер есть в каждом втором телефоне.
Как зафиксировать факт проверки? Что будет, если документ откроется, но валидацию не пройдет? Что делать проверяемому и проверяющему? Не говоря уже о том, что без правильно реализованного AA (самих по себе механизмов активной аутентификации чипа недостаточно, нужна организационная составляющая, чтобы предотвратить replay-атаку) массовое считывание чипов приведет к торговле украденными дампами (полностью идентичных натуральным).
Внешняя генерация ключей за пределами чипа, просто прямое нарушение всех стандартов. Потому-то биометрические документы полноценно используются только в контролируемой среде - на пограничном контроле, с жестким физическим присутствием, доступом к базам и тренированным персоналом.
И вот эти люди, которые даже с технологиями двадцатилетней давности разобраться не могут, продолжают нас всех радовать своими цифровыми экскрементами
Про то как GCHQ и NSA потрошили Gemalto (Multos), то отдельная захваатывающая история, про ROCA (уязвимость при генерации ключей тоже уже говорили), но вернемся к "организационно-технической" части, на которою переключилась госспецсвязь после "дорогостоящих байденских атак".
О том, что в Украине используется Инфинеон я узнал из статьи на AIN, в домене "gov.ua" нет ни малейших зацепок. Ни стандартов, ни регламентов. Как всегда, "нужно просто верить". Когда в тот же чип начали пихать цифровую подпись я безуспешно пытался добиться от ДМС, хоть одного внятного слова о технической части процесса, и конечно же, получил порцию бессвязной копипасты с их сайта в ответ.
Между тем есть прехорошенькая статья на Usenix https://bit.ly/3i1eJdb, описывающая проблемы с чипами. Баник от ДМС недалеко ушел и даже не знает, что чип можно разблокировать сканированием MRZ (без ПИН-кода), называется BAC - базовая аутентификация. И я совершенно не удивлен тому, что ID никто не сканирует, хотя NFC-ридер есть в каждом втором телефоне.
Как зафиксировать факт проверки? Что будет, если документ откроется, но валидацию не пройдет? Что делать проверяемому и проверяющему? Не говоря уже о том, что без правильно реализованного AA (самих по себе механизмов активной аутентификации чипа недостаточно, нужна организационная составляющая, чтобы предотвратить replay-атаку) массовое считывание чипов приведет к торговле украденными дампами (полностью идентичных натуральным).
Внешняя генерация ключей за пределами чипа, просто прямое нарушение всех стандартов. Потому-то биометрические документы полноценно используются только в контролируемой среде - на пограничном контроле, с жестким физическим присутствием, доступом к базам и тренированным персоналом.
И вот эти люди, которые даже с технологиями двадцатилетней давности разобраться не могут, продолжают нас всех радовать своими цифровыми экскрементами
Кіберполіція скрывает от нас свои успехи. Кто-то спер у державы десять тысяч. Год спустя пилиция пришла к хостеру, где стоял сервер, адрес которого засветился в краже, и изъяли два сервера, принадлежащих канадскому VPN-провайдеру Windscribe. Наверное и спецназ присутствовал, вдруг дежурный администратор начнет отстреливаться из флешек? Естественно, компанию никто ни о чем не просил и ни о чем не предупреждал. Due diligence по-украински.
Что я могу сказать, такой способ действий очень положительно влияет на образ и инвестиционную привлекательность нашей страны, не говоря уже о международном сотрудничестве в правоохранительной деятельности. Вместо того, чтобы обратиться к самой компании или написать один запрос хостеру и поднять данные netflow - грабь, ломай, круши. Всё как они любят. Не удивлюсь, если вора тоже не поймали (Windscribe говорит, что логов на шлюзах не ведет) #ACAB
Что я могу сказать, такой способ действий очень положительно влияет на образ и инвестиционную привлекательность нашей страны, не говоря уже о международном сотрудничестве в правоохранительной деятельности. Вместо того, чтобы обратиться к самой компании или написать один запрос хостеру и поднять данные netflow - грабь, ломай, круши. Всё как они любят. Не удивлюсь, если вора тоже не поймали (Windscribe говорит, что логов на шлюзах не ведет) #ACAB
Яника Мерило меня забанила, и я чуть не пропустил пир духа, если бы на него не обратил внимание Кир Важницкий. У госпожи Мерило в комментариях собрались титаны цирковой трансформации - шпрехшталмейстер Выскуб и шапитмейстер Илья Родин (архитект Дии), который ничтоже сумняшеся заявил, что они руководствуются принципом "security through obscurity". Звучит солидно.
Смотрите, и программы и результат их работы - просто числа. Строку "Hell" можно представить, как последовательность байт в кодировке ASCII: 48 65 6c 6c, как целое число 1819043144, или число с плавающей точкой 1.1431391224375825e+27, изменить кодировку на base64: SGVsbA== его можно разложить на множители 2 * 2 * 2 * 227380393, или слагаемые. Суть от этого не меняется. Существует бесконечное множество эквивалентных программ, которые выводят строку "Hell".
Единственное место, где обфускация по-прежнему широко используется - мальварь. Авторы вредоносного ПО пытаются обойти автоматику и выиграть несколько часов (не лет), пока аналитик слой за слоем снимает с кода шелуху, чтобы понять как он работает. Никогда отсутствие чертежей замка не останавливало взломщиков.
В 1883 году Кергоффс сформулировал несколько принципов, в том числе один из основных - безопасность системы не должна опираться на секретность. Исходить нужно из того, что противник получил копию системы, разобрал её по винтику и точно знает, как она работает.
Для важных государственных систем такой подход не годится. И своим "security by obscurity" диевые прямо нам заявляют, что они на деньги налогоплательщика пытаются вводить нас в заблуждение, запутывать и врать в глаза.
Смотрите, и программы и результат их работы - просто числа. Строку "Hell" можно представить, как последовательность байт в кодировке ASCII: 48 65 6c 6c, как целое число 1819043144, или число с плавающей точкой 1.1431391224375825e+27, изменить кодировку на base64: SGVsbA== его можно разложить на множители 2 * 2 * 2 * 227380393, или слагаемые. Суть от этого не меняется. Существует бесконечное множество эквивалентных программ, которые выводят строку "Hell".
Единственное место, где обфускация по-прежнему широко используется - мальварь. Авторы вредоносного ПО пытаются обойти автоматику и выиграть несколько часов (не лет), пока аналитик слой за слоем снимает с кода шелуху, чтобы понять как он работает. Никогда отсутствие чертежей замка не останавливало взломщиков.
В 1883 году Кергоффс сформулировал несколько принципов, в том числе один из основных - безопасность системы не должна опираться на секретность. Исходить нужно из того, что противник получил копию системы, разобрал её по винтику и точно знает, как она работает.
Для важных государственных систем такой подход не годится. И своим "security by obscurity" диевые прямо нам заявляют, что они на деньги налогоплательщика пытаются вводить нас в заблуждение, запутывать и врать в глаза.
Между тем киберпартизаны в Беларуси отжали автоматизированную систему "Паспорт". << Если атака подтверждается, то это крупнейший и наиболее успешный взлом государственных систем с 2015 года, когда китайские хакеры взломали сервера Управления кадровой службы в США https://www.currenttime.tv/a/hakery-vzlomali-pasporta/31385554.html
Настоящее Время
Противостоящие Лукашенко "Киберпартизаны" получили паспортные данные и фото ВСЕХ белорусов. Фактчек Настоящего Времени и интервью…
Анонимная группа белорусских "Киберпартизан" (часть движения "Супраціў" – "Сопротивление") утверждает, что взломала паспортную систему страны. В распоряжении хакеров оказались данные миллионов белорусов, включая "скрытые записи" о руководстве силовых структур…
Еще не успела как следует разгореться новость о взломе АИС "Паспорт" в Беларуси, как подоспели новости из мекки цифровизации - безоблачной Эстонии.
Riigi Infosüsteemi Amet, которые отвечают за электронную идентификацию проморгали баг на портале, любой залогиненый пользователь мог просматривать данные всех остальных.
Никто и не думал фиксить багу, даже после того, как об этом стало известно. Пока некий хакер не начал качать все подряд, и получил триста тысяч наборов ФИО+номер+фото.
Полиция и министерство подгорают, просят денег на обновление legacy-систем, хакера арестовали и обещают уведомить каждого гражданина, чьи данные потекли.
В это время архитект Дии рассказывает, что они не выкладывают код и документацию, потому что не знают кто будет отвечать за возможную утечку или мошенничество.
Простая мысль о том, что за уже известные косяки Федоров, Щиголь и вся их лживая пиздобратия уже должна отправиться на мороз, до них пока не доходит.
Riigi Infosüsteemi Amet, которые отвечают за электронную идентификацию проморгали баг на портале, любой залогиненый пользователь мог просматривать данные всех остальных.
Никто и не думал фиксить багу, даже после того, как об этом стало известно. Пока некий хакер не начал качать все подряд, и получил триста тысяч наборов ФИО+номер+фото.
Полиция и министерство подгорают, просят денег на обновление legacy-систем, хакера арестовали и обещают уведомить каждого гражданина, чьи данные потекли.
В это время архитект Дии рассказывает, что они не выкладывают код и документацию, потому что не знают кто будет отвечать за возможную утечку или мошенничество.
Простая мысль о том, что за уже известные косяки Федоров, Щиголь и вся их лживая пиздобратия уже должна отправиться на мороз, до них пока не доходит.
Прекрасное от ІСЕІ (ДП Дія). По старой доброй традиции они перечислили всех получателей в CC вместо BCC и получился отличный список целей для российских хакеров. ІСЕІ - точка аутентификации, на которую сейчас завязаны гос. услуги, а в карбонке осел список людей, которые отвечают за системы, которые к ней подключены.
Как показывает практика, если в списке рассылки есть хотя бы человек 10, то кто-нибудь обязательно поведется на фиш. Я так как-то наблюдал за страданиями ОД "Донецкая республика". Их дрючили, проводили инструктажи, они устанавливали замысловатые пароли и двуфактор. Им это не помогло. Любая система надежна настолько, насколько надежно самое слабое её звено.
Как показывает практика, если в списке рассылки есть хотя бы человек 10, то кто-нибудь обязательно поведется на фиш. Я так как-то наблюдал за страданиями ОД "Донецкая республика". Их дрючили, проводили инструктажи, они устанавливали замысловатые пароли и двуфактор. Им это не помогло. Любая система надежна настолько, насколько надежно самое слабое её звено.
У американцев есть занятная теория по поводу иностранных хакеров. Если хакеров ни при каких условиях нельзя арестовать, то можно вычислить и опубликовать обвинительный акт, и это приведет к сдерживанию. Пока это привело только к тому, что СВР (в тоже время что и SolarWinds) принялись за министерство юстиции, и взломали двадцать семь округов, видимо, чтобы быть в курсе, что успел накопать противник.
Мне кажется, что больнее чем огласка (и последующие санкции) по россии могут ударить грязные деньги, а сильнее, чем грязные деньги (надо же и разведке что-то кушать, все все понимают) - нелояльность, рекция будет молниеносной и беспощадной (Такие мелочи как нарушение прав человека, и прочая народно-освободительная риторика не работают от слова совсем, а оглаской они иногда даже гордятся, а иногда огласка - необходимая часть более размашистых операций)
Такое вот "сдерживание"
Мне кажется, что больнее чем огласка (и последующие санкции) по россии могут ударить грязные деньги, а сильнее, чем грязные деньги (надо же и разведке что-то кушать, все все понимают) - нелояльность, рекция будет молниеносной и беспощадной (Такие мелочи как нарушение прав человека, и прочая народно-освободительная риторика не работают от слова совсем, а оглаской они иногда даже гордятся, а иногда огласка - необходимая часть более размашистых операций)
Такое вот "сдерживание"
С приходом Влада Стырана в минцифросрач, техно-политический скандал приобрел интеллектуальный лоск и философскую глубину. Влад рассматривает его, как идеологическую и даже религиозную стычку между дейтаистами или даже дейтеистами (постгуманистическое течение, рассматривающее любой процесс как информационный и придающий ценность информации как таковой) и "ретроградами"-либералами (скорее гуманистами), защищаюими традиционные человеческие ценности.
Когда дейтаизм хотя бы отчасти станет реальностью, и он ей станет, то homo sapiens sapiens перестанет существовать как биологический вид. Изменятся не только отдельные паттерны мышления, поменяется все и подобные споры потеряют всякий смысл. "Живые ливни брызнут нам в глаза. Земные боги выйдут нам навстречу" А пока выйти за рамки той или иной идеологии довольно сложно, потому что это та часть проблемы сознания, которую дейтаизм обходит стороной, подменяя её китайской комнатой искусственного интеллекта
Настаивая на своем праве не исповедовать ни одну из религий, Влад незаметно угодил в логическую ловушку, оказавшись в одном лагере с ретроградами, потому что дейтеизм освобождает информацию, а не людей и подобные права уважает не больше, чем радикальный ислам. Что касается наших жижитализаторов, то у меня есть большие сомнения в том, что они руководствуются идеями Брукса или Харари, но тем не менее они инстинктивно понимают, что знание суть власть, хотя едва ли это можно приписать неортодоксальному прочтению Гоббса.
Проблема в том, что Федоров и Ко и рядом не стояли с дейтеизмом они его непримиримые враги, они пытаются присвоить информацию, подчинить её, замкнуть все информационные потоки на себя в пародии на гипер-централизованный цифровой коммунизм. В отличии от Китая наши комиссары с пыльными смартфонами вместо наганов, наблюдают за тяжелой поступью прогресса из тьмы беспросветного невежества, что придает их версии культа "больших данных" непередаваемый вкус соломенных самолетов Меланезии, приправленный юсейдовской тушонкой.
Когда дейтаизм хотя бы отчасти станет реальностью, и он ей станет, то homo sapiens sapiens перестанет существовать как биологический вид. Изменятся не только отдельные паттерны мышления, поменяется все и подобные споры потеряют всякий смысл. "Живые ливни брызнут нам в глаза. Земные боги выйдут нам навстречу" А пока выйти за рамки той или иной идеологии довольно сложно, потому что это та часть проблемы сознания, которую дейтаизм обходит стороной, подменяя её китайской комнатой искусственного интеллекта
Настаивая на своем праве не исповедовать ни одну из религий, Влад незаметно угодил в логическую ловушку, оказавшись в одном лагере с ретроградами, потому что дейтеизм освобождает информацию, а не людей и подобные права уважает не больше, чем радикальный ислам. Что касается наших жижитализаторов, то у меня есть большие сомнения в том, что они руководствуются идеями Брукса или Харари, но тем не менее они инстинктивно понимают, что знание суть власть, хотя едва ли это можно приписать неортодоксальному прочтению Гоббса.
Проблема в том, что Федоров и Ко и рядом не стояли с дейтеизмом они его непримиримые враги, они пытаются присвоить информацию, подчинить её, замкнуть все информационные потоки на себя в пародии на гипер-централизованный цифровой коммунизм. В отличии от Китая наши комиссары с пыльными смартфонами вместо наганов, наблюдают за тяжелой поступью прогресса из тьмы беспросветного невежества, что придает их версии культа "больших данных" непередаваемый вкус соломенных самолетов Меланезии, приправленный юсейдовской тушонкой.
Где-то в расшарах поста Стырана про экономический ущерб от кражи торговых секретов меня спросили не хватит ли меня кондратий от его трактовки "роль кибербезопасности преувеличена?" Нет, не хватит. Тем более, что мы сходимя в том, что вице-премьер Федоров сказал редкостную глупость. Просто Влад отметил то место, которое в очень узком контексте можно назвать верным, а я считаю, что цифровой трансформатор ошибся два раза, и в первый раз, и когда сменил свое мнение на полностью противоположное.
Охранник в супермаркете и начальник службы безопасности могут сказать одно и тоже слово "безопасность" и подразумевать очень разные вещи, не говоря уже о мнении таксистов, жижитализаторов и курьеров по доставке пиццы. Помимо "Cybersecurity is not very important" Одлыжко, чье название буквально совпадает со знаменитой цитатой, мне еще очень нравится "This world of ours" Джеймса Микенса. Там много забавного, мне понравилось про статьи по безопасности, в которых модель угроз выглядит как теленовелла написананная параноидальным шизофреником.
И пока вы читаете про билинейные спаривания в группах ежей и ужей, к вам в аккаунт может залезть бывшая (и достаточно поставить сильный пароль), может мошенник, и вдобавок к паролю желательно не кликать на подозрительную хрень, а может и Моссад и тогда не поможет ничего, но им неинтересно. Не знаю как у вас, но после того как ФБР изъяло содержимое моего почтового ящика, СБУ отжало компьютеры, а ФСБ набрасывает в эфире "Россия 24" я бы уже не был так уверен. И у меня нет иллюзий по поводу собственной значимости, в Украине есть цели и поинтереснее, в том числе и для Моссада.
Нет одной для всех "кибербезопасности" их десятки и сотни, и все они отличаются ответами на вопросы: для кого? от кого? и что, бля, если нет? Ущерб от инцидентов составляет 1-5% мирового ВВП (смотря как считать и то и другое), примерно столько же тратят на безопасность крупные компании. Кража интеллектуальной собственности, отнюдь, не единственный риск. Понятно, что землетрясеня, цунами, экономические кризисы и твиты Илона Маска могут тряхнуть сильнее, но с ними (кроме Маска) люди привыкли жить со времен неолита, а с компьютерными угрозами не очень.
Если бы Федоров, Выскуб и подозрительно молчаливый CISO МЦТ дочитали бы статью Одлыжко до конца, включая контекст, то они начали бы вести логи в ІСЕІ, чтобы найти ответственного за цифровую подпись "Biden Joe", не устраивали бы короткое замыкание в реестрах, а их архитект Родин не полагался бы на security through obscurity, тем более, что в obscurity тоже нужно уметь, если об obscurity говорит доктор наук, то он имеет в виду совсем не рассылку битых файлов вместо документации и не липовые сертификаты КСЗІ.
МЦТ представляет себе кибербезопасность как будто бы они стартап, который собирается выпустить новую версию тетриса, а не государственную систему, построенную на доверии и взаимодействии миллионов людей, а не серверов с телефонами. И что даже явные (пока) преувеличения вроде "цифрового Перл Харбора" не только возможны, но и рано или поздно произойдут, пока минцифра пытается обезопасить от возгорания собственный зад (единственный вид безопасности, который их по-настоящему интересует).
Сейчас минцифра с бездумной "диджитализацией", слабоумным оптимизмом и отрицательной эффективностью сама по себе угроза национальной безопасности
Охранник в супермаркете и начальник службы безопасности могут сказать одно и тоже слово "безопасность" и подразумевать очень разные вещи, не говоря уже о мнении таксистов, жижитализаторов и курьеров по доставке пиццы. Помимо "Cybersecurity is not very important" Одлыжко, чье название буквально совпадает со знаменитой цитатой, мне еще очень нравится "This world of ours" Джеймса Микенса. Там много забавного, мне понравилось про статьи по безопасности, в которых модель угроз выглядит как теленовелла написананная параноидальным шизофреником.
И пока вы читаете про билинейные спаривания в группах ежей и ужей, к вам в аккаунт может залезть бывшая (и достаточно поставить сильный пароль), может мошенник, и вдобавок к паролю желательно не кликать на подозрительную хрень, а может и Моссад и тогда не поможет ничего, но им неинтересно. Не знаю как у вас, но после того как ФБР изъяло содержимое моего почтового ящика, СБУ отжало компьютеры, а ФСБ набрасывает в эфире "Россия 24" я бы уже не был так уверен. И у меня нет иллюзий по поводу собственной значимости, в Украине есть цели и поинтереснее, в том числе и для Моссада.
Нет одной для всех "кибербезопасности" их десятки и сотни, и все они отличаются ответами на вопросы: для кого? от кого? и что, бля, если нет? Ущерб от инцидентов составляет 1-5% мирового ВВП (смотря как считать и то и другое), примерно столько же тратят на безопасность крупные компании. Кража интеллектуальной собственности, отнюдь, не единственный риск. Понятно, что землетрясеня, цунами, экономические кризисы и твиты Илона Маска могут тряхнуть сильнее, но с ними (кроме Маска) люди привыкли жить со времен неолита, а с компьютерными угрозами не очень.
Если бы Федоров, Выскуб и подозрительно молчаливый CISO МЦТ дочитали бы статью Одлыжко до конца, включая контекст, то они начали бы вести логи в ІСЕІ, чтобы найти ответственного за цифровую подпись "Biden Joe", не устраивали бы короткое замыкание в реестрах, а их архитект Родин не полагался бы на security through obscurity, тем более, что в obscurity тоже нужно уметь, если об obscurity говорит доктор наук, то он имеет в виду совсем не рассылку битых файлов вместо документации и не липовые сертификаты КСЗІ.
МЦТ представляет себе кибербезопасность как будто бы они стартап, который собирается выпустить новую версию тетриса, а не государственную систему, построенную на доверии и взаимодействии миллионов людей, а не серверов с телефонами. И что даже явные (пока) преувеличения вроде "цифрового Перл Харбора" не только возможны, но и рано или поздно произойдут, пока минцифра пытается обезопасить от возгорания собственный зад (единственный вид безопасности, который их по-настоящему интересует).
Сейчас минцифра с бездумной "диджитализацией", слабоумным оптимизмом и отрицательной эффективностью сама по себе угроза национальной безопасности
Как только кто-то начинает вам рассказывать про очередную чудесную технологию для защиты детей - не цельтесь даже, ориентируйтесь на звук. Криптовойна никогда не меняется. С конца восьмидесятых шифрование используется все чаще и чаще, и с завидным упрямством правительства скулят, что им кровь из носу нужен черный ход для прослушки. Во-первых, для защиты детей, во-вторых, для анти-террора, потом для всего подряд. Если есть молоток, то все вокруг гвозди. Практически во всех конституциях такая "защита" называется иначе - необоснованный, несанкционированный обыск.
У повсеместного использования криптографии есть заметный эффект, раз нельзя перехватить data at motion, можно получить те же данные at rest - с устройств пользователей. И банковские трояны и Пегас от NSO все они нацелены на конечное устройство.
Так как технокомпании не хотят портить шифрование, то очередной "компромисс" заключается в том, чтобы сканировать данные до отправки (точно так же как работают спам-фильтры и антивирусы). Apple собирается добавить такой фильтр в телефоны, чтобы искать детскую порнографию.
И никакая это не "скользская дорожка", мы уже кубарем скатились с горы в яму массовой прослушки. Никакой machine learning не даст точного результата, а затейники с adversarial ML или просто коллекцией CP пришлют вам такие картинки, что полиция вышибет вам двери тараном прежде, чем вы поймете что вобще произошло (такое уже было и до Apple).
Не говоря уже о том, что тот же самый поисковый алгоритм можно натреннировать на что угодно, на шутки про величайших лидеров современности и китайского "виннипуха". Сейчас китайцы иногда пытаются устанавливать spyware на границе, репрессивные режимы используют софт вроде того, который делает NSO. И тут Apple открывает им прямой доступ к устройствам пользователей.
Вчера еще потекла внутрення записка Apple о том, что все, кто противится разрушению тайны личной жизни "скрипящий голос меньшинства", и что "их голос громче". Не понимаю как они собираются обеспечить безопасность системы массовой слежки, если не могут защитить даже внутреннюю переписку. Сири и iCloud я уже отключил, надеюсь, что и планы по сканированию устройств получится сорвать или испортить каким-нибудь другим образом. Потому что так быть не должно.
У повсеместного использования криптографии есть заметный эффект, раз нельзя перехватить data at motion, можно получить те же данные at rest - с устройств пользователей. И банковские трояны и Пегас от NSO все они нацелены на конечное устройство.
Так как технокомпании не хотят портить шифрование, то очередной "компромисс" заключается в том, чтобы сканировать данные до отправки (точно так же как работают спам-фильтры и антивирусы). Apple собирается добавить такой фильтр в телефоны, чтобы искать детскую порнографию.
И никакая это не "скользская дорожка", мы уже кубарем скатились с горы в яму массовой прослушки. Никакой machine learning не даст точного результата, а затейники с adversarial ML или просто коллекцией CP пришлют вам такие картинки, что полиция вышибет вам двери тараном прежде, чем вы поймете что вобще произошло (такое уже было и до Apple).
Не говоря уже о том, что тот же самый поисковый алгоритм можно натреннировать на что угодно, на шутки про величайших лидеров современности и китайского "виннипуха". Сейчас китайцы иногда пытаются устанавливать spyware на границе, репрессивные режимы используют софт вроде того, который делает NSO. И тут Apple открывает им прямой доступ к устройствам пользователей.
Вчера еще потекла внутрення записка Apple о том, что все, кто противится разрушению тайны личной жизни "скрипящий голос меньшинства", и что "их голос громче". Не понимаю как они собираются обеспечить безопасность системы массовой слежки, если не могут защитить даже внутреннюю переписку. Сири и iCloud я уже отключил, надеюсь, что и планы по сканированию устройств получится сорвать или испортить каким-нибудь другим образом. Потому что так быть не должно.
👍1
Что меня безмерно раздражает в министерстве цифровой трансформации, так это то, что они отказываются понимать простые вещи, например то, что Дія - не про приложения, а про отношения. Когда я разговариваю с журналистом, то я отвечаю на вопросы, а не работаю с его диктофоном, и диктофон не может гарантировать, что я говорю правду. Когда я кликаю в Убере "домой", я не играюсь с приложением, а вступаю в трехсторонние договорные отношения с компанией и водителем. В каждом случае есть ответственность сторон, гарантии, свои риски, и способы защиты от них. Даже последнему шмыгалю должно быть понятно, что если есть возможность записать фуру с сигаретами, как бытовые отходы, то не важно куда будет сделана запись "бытовые отходы" в электронный реестр или в бумажный. Таким образом коррупцию не победить. Коррупция возникает там, где нужно принимать решения, если решения принимать не нужно, то не нужен ни чиновник, ни его компьютерный аналог. В случае с Дией МЦТ открыло дополнительные способы мошенничества. Раньше их было, к примеру, двадцать, а теперь их двадцать один. Пока каждое ведомство отвечало за свои реестры, то была хотя бы тень надежды, на то что тех кто ими злоупотребляет можно найти и привлечь к ответственности за подлог. И "ответственность" - очень непонятное для МЦТ слово, они не готовы нести ответственность даже за приложение, не говоря уже об отношениях, которые возникают в результате его использования. И закономерный результат: с участием ІСЕІ МЦТ, при помощи поддельной цифровой подписи, была полностью скомпрометирована инфраструктура ключей. Раз господа Федоров и Щиголь построили систему, в которой нет крайних, то и в отставку должны уйти именно они.
Kostiantyn Korsun уже написал подробно, и я тоже послушал совместную пресс-конференцию киберполиции, министерства цифровой трансформации и национального банка о "кредите через Дию".
И этот, казалось бы вполне заурядный (и давно ожидаемый) случай мошенничества обрастает все новыми и дикими деталями. Оказывается, что SIM-карту пострадавшей никто не перевыпускал. Что и не удивительно, номер корпоративный (привет Федиенко) Тогда что еще было у мошенников? E-mail адрес не привязанный к банковскому счету (у нее не было счета в этом банке) и, скорее всего, сканы документов.
Мне очень интересно, в каком именно банке у нас в Украине можно открыть счет на e-mail и скан? И зачем угонять мейл, если можно зарегистрировать новый, который не отличается ничем?
То о чем министерство цифровой трансформации предпочитает не думать в математике называется транзитивность отношений. Для примера. Если у Вани из киберполиции есть доступ к данным Леши из Минцифры, а у Леши из минцифры есть доступ к данным Леши из нацбанка, то следовательно у полиции есть доступ к нацбанку
∀ a,b,c ∊ X, aRb ⋀ bRc ⇒ aRc
В обратную сторону тоже работает. Мошенники с помощью скана и имейла открыли счет и получили действующий паспорт в Дие полностью идентичный натуральному, и уже на него взяли кредит в МФО.
О чем остался соответствующий след, который и помог Дие триумфально ускорить расследование. То есть Дия таки кое-что хранит раз уж она так помогла полиции. Помимо прочего, это еще и гос. троян, который связывает IP, телефон, мейл и паспортные данные. Мечта для незаконной слежки
И этот, казалось бы вполне заурядный (и давно ожидаемый) случай мошенничества обрастает все новыми и дикими деталями. Оказывается, что SIM-карту пострадавшей никто не перевыпускал. Что и не удивительно, номер корпоративный (привет Федиенко) Тогда что еще было у мошенников? E-mail адрес не привязанный к банковскому счету (у нее не было счета в этом банке) и, скорее всего, сканы документов.
Мне очень интересно, в каком именно банке у нас в Украине можно открыть счет на e-mail и скан? И зачем угонять мейл, если можно зарегистрировать новый, который не отличается ничем?
То о чем министерство цифровой трансформации предпочитает не думать в математике называется транзитивность отношений. Для примера. Если у Вани из киберполиции есть доступ к данным Леши из Минцифры, а у Леши из минцифры есть доступ к данным Леши из нацбанка, то следовательно у полиции есть доступ к нацбанку
∀ a,b,c ∊ X, aRb ⋀ bRc ⇒ aRc
В обратную сторону тоже работает. Мошенники с помощью скана и имейла открыли счет и получили действующий паспорт в Дие полностью идентичный натуральному, и уже на него взяли кредит в МФО.
О чем остался соответствующий след, который и помог Дие триумфально ускорить расследование. То есть Дия таки кое-что хранит раз уж она так помогла полиции. Помимо прочего, это еще и гос. троян, который связывает IP, телефон, мейл и паспортные данные. Мечта для незаконной слежки
В Украине есть традиции. Каждый год жадные двадцатиевровые шлюхи, обслуживающие крупный ритейл и примкнувшие к ним мусора пытаются ввести SIM-ки по паспорту, реестры IMEI и прочий гулаг, по передовому опыту Пакистана и Эрефии. Янукович со своим "16 января" просто плачет в Ростове от зависти, и спрашивает: а что так можно было? А все почему? Потому что у него комитета по цирковой трансформации не было. Опять нас пытаются насильно осчастливить. А насильно мил не будешь, не так ли? Это даже до Януковича дошло.
Яблосрач между тем не утихает, и можно к нему вернуться еще разок. Как вы помните, Apple собирается искать CSAM (материалы сексуального насилия над детьми) прямо на устройствах пользователей. Каждый человек имеет право скрыть тот факт, что он стал жертвой преступления (особенно сексуального), и распространение детской порнографии приводит к ревиктимизации жертв насилия. Почему-то при слове "дети" многие сразу забывают о том, что распространение и хранение CP - преступление против прайвеси, а не против личности. За растление полагаются совсем другие статьи.
В Штатах поиском цопе занимается NCMEC (национальный центр по проблемам пропаших детей и детей подвергшихся эксплуатации), это не правительственная организация, с которой сотрудничают в том числе технологические компании. Как любезно мне подсказывает пенетенциарная служба США, в год выносится около полутора тысяч приговоров, связанных с детской порнографией (0.0004% к населению), ~10% - получение цопе, 45% - хранение, остальное - траффикинг. Найти количество настоящих педофилов мне к сожалению не удалось. Фейсбук в своем отчете добавляет, что в трех четвертях случаев речь идет о нормальных отношениях среди подростков, о шутниках, о людях, у которых цопе вызывает отвращение, включая и тех, кто жалуется на цопе. Оставшаяся четверть тоже весьма неоднородна. Тем не менее, каждый случай отправляется в NCMEC независимо от намерений или контекста.
Вернемся к Apple. Несмотря на заявления компании "все что есть в вашем айфоне - остается в вашем айфоне", Apple не считает "чувствительной" информацией: бэкапы, контакты, "find my device", iCloud-диск, сообщения, заметки без паролей, фотографии, голосовые заметки и почту. Под давлением ФБР Apple отказались от сквозного шифрования в iCloud и ослабил механизмы приватности для пользователей в России и Китае. Так же они участвовали в секретной программе АНБ PRISM. Поэтому я пользуюсь паролями вместо биометрии и сразу отключаю iCloud. В iCloud и в Фейсбуке сканирование контента уже работает и уже отправляется в NCMEC, но теперь они перенесли проверку на устройства пользователей, и единственная тому причина - посмотреть, что происходит с того конца, при шифровании "из конца в конец" (E2E). Свое облако они уже сканируют.
Как точно сформулировала Сара Льюис, любое шифрование задумывалось как сквозное, от меня к вам, а не от меня к вам и сотрудникам Apple, NCMEC, ФБР и АНБ. Даже сама возможность слежки заставляет людей менять свое поведение (хорошо изученный chilling effect). Я как-то сел в поезд на маленькой станции посреди Европы с полностью разряженным телефоном и только тогда почувствовал себя по-настоящему спокойно, когда никто не знает где я, кто я, и никому кроме кондуктора до меня нет дела. Оплата наличными. Очень яркое чувство.
Как Apple собирается сканировать пользовательский контент и сохранять иллюзию приватности? NCMEC из своей базы детской порнографии (представляете, что будет если туда заберутся вымогатели из REvil или ГРУ РФ?) генерирует перцептивные хеши. В отличии от криптографических хеш-функций они специально сделаны так, чтобы получались коллизии, когда у двух картинок одинаковый хеш (своего рода "отпечаток картинки") Похожие картинки должны быть похожи. Чтобы пользователь не узнал какой из хешей совпал с его фотоальбомом, база распространяется в виде фильтра Блума. "Программисты любят такие структуры, не зная где их применить, все остальное - ложно-позитивное срабатывание" (с) М. Грин
В Штатах поиском цопе занимается NCMEC (национальный центр по проблемам пропаших детей и детей подвергшихся эксплуатации), это не правительственная организация, с которой сотрудничают в том числе технологические компании. Как любезно мне подсказывает пенетенциарная служба США, в год выносится около полутора тысяч приговоров, связанных с детской порнографией (0.0004% к населению), ~10% - получение цопе, 45% - хранение, остальное - траффикинг. Найти количество настоящих педофилов мне к сожалению не удалось. Фейсбук в своем отчете добавляет, что в трех четвертях случаев речь идет о нормальных отношениях среди подростков, о шутниках, о людях, у которых цопе вызывает отвращение, включая и тех, кто жалуется на цопе. Оставшаяся четверть тоже весьма неоднородна. Тем не менее, каждый случай отправляется в NCMEC независимо от намерений или контекста.
Вернемся к Apple. Несмотря на заявления компании "все что есть в вашем айфоне - остается в вашем айфоне", Apple не считает "чувствительной" информацией: бэкапы, контакты, "find my device", iCloud-диск, сообщения, заметки без паролей, фотографии, голосовые заметки и почту. Под давлением ФБР Apple отказались от сквозного шифрования в iCloud и ослабил механизмы приватности для пользователей в России и Китае. Так же они участвовали в секретной программе АНБ PRISM. Поэтому я пользуюсь паролями вместо биометрии и сразу отключаю iCloud. В iCloud и в Фейсбуке сканирование контента уже работает и уже отправляется в NCMEC, но теперь они перенесли проверку на устройства пользователей, и единственная тому причина - посмотреть, что происходит с того конца, при шифровании "из конца в конец" (E2E). Свое облако они уже сканируют.
Как точно сформулировала Сара Льюис, любое шифрование задумывалось как сквозное, от меня к вам, а не от меня к вам и сотрудникам Apple, NCMEC, ФБР и АНБ. Даже сама возможность слежки заставляет людей менять свое поведение (хорошо изученный chilling effect). Я как-то сел в поезд на маленькой станции посреди Европы с полностью разряженным телефоном и только тогда почувствовал себя по-настоящему спокойно, когда никто не знает где я, кто я, и никому кроме кондуктора до меня нет дела. Оплата наличными. Очень яркое чувство.
Как Apple собирается сканировать пользовательский контент и сохранять иллюзию приватности? NCMEC из своей базы детской порнографии (представляете, что будет если туда заберутся вымогатели из REvil или ГРУ РФ?) генерирует перцептивные хеши. В отличии от криптографических хеш-функций они специально сделаны так, чтобы получались коллизии, когда у двух картинок одинаковый хеш (своего рода "отпечаток картинки") Похожие картинки должны быть похожи. Чтобы пользователь не узнал какой из хешей совпал с его фотоальбомом, база распространяется в виде фильтра Блума. "Программисты любят такие структуры, не зная где их применить, все остальное - ложно-позитивное срабатывание" (с) М. Грин