Category: it

Category was added automatically. Read all entries about "it".

moisha, liberman

IBM покупает RH.

Здорово, мальчики и девочки...

Ну всё, пиздец. Сгорела хата... Мне в Генточке православной пока как бы и похуй, но со временем, похоже, приснится пиздец ряду технологий которые RH двигала в массы. Причина в том, что в IBM заебись пишут стандарты но, как только начинают их реализовывать на практике такое дерьмо получается что хоть стой, хоть падай. Скорее можно ожидать сноса из разработки каких-нибудь трезвых вещей, которые ещё там остались, чем увольнения Лёньки Потного и свёртывания systemd, прости, Господи. Например.

Корпорастия победит в итоге.

Ну, за шапку. Стоя и не чокаясь...

P.S. Тред на ЛОРчике уже стал эпично-платиновым. Ну кто бы сомневался-то... =)))

moisha, liberman

Про конспирологию.

Здорово, мальчуки и девчуки...

Про конспирологию всё-таки. В предыдущих постах (список ниже) приведены ссылки. При желании можете по ним прогуляться. Там и на английском и на немецком. Если уж подмена сертификатов SSL/TLS производится на государственном уровне, если постоянно всплывают факты шпионажа производителей тх же мобильников за своими пользователями, блядь... Какая тут конспирология?

Ну вот про тот же ваш всеми любимый Apple, в дополнение ко всему выше приведённому. Ни на что не намекает фраза:
Cook, however, said that Apple did not break the encryption and instead used metadata information. Strong encryption “doesn’t mean no information. Metadata exists, and that’s very important for building a profile,” he said. So Apple could have told UK intelligence who’s talking to whom and where they are, without revealing the encrypted contents. А теперь прочтите следующие параграфы внимательно.

As recent as mid-May, a Russian security company that develops forensic software, discovered that deleted Apple Notes would still be retrievable from iCloud even after the 30 days period when they remain active in the Recently Deleted folder.

A The Wall Street Journal report in mid-March 2016 said that Apple is looking to improve iCloud encryption without harming users. At the time, Apple was able to decrypt information stored in iCloud.

Так чё там было про какого-то помершего террориста, чей смарт отказались взломать в Apple, не напомните? Они, часом, не сказали что ломать они отказываются просто потому, что во взломе смысла нет? Они и так могут сказать всё что нужно. Не ломая смарт. Или вы тут мне хотите рассказать что вот Notes они (Apple) читать могут, а остальное вот прямо ни как. Вас там часом не хуём ли контузило в таком случае, если именно это вы мне и хотите сказать? С чего вы вообще взяли что там нет бэкдоров? С того, что их ещё не нашли?

А вы вообще в курсе что мужики типа меня вообще считают что либо закладка, либо косяк есть и есть всегда? И что все эти нашумевшие взломы происходят тогда, когда толпа исследователей находит очередную «недокументированную возможность», которую производятел старается запихать как можно глубже, хоть на уровень проца или его микропрограммы в надежде что не найдут. И можно будет использовать при случае. Добро пожаловать в реальный мир, Нео и отъебись от ложки, сделай милость, один хуй она деревянная...

А уж про то, как оно происходит в реальном времени, там же в статье сказано:
And it felt incredibly safe. As I made my own way to the tram, I wrote in my Apple Notes app, ‘Helicopter hovering overhead,’ which to me signified that the fans were being watched over. Then two policemen stopped me and asked me who I was with and whether I’d written anything about a helicopter into my phone, without explaining the technology of how they’d read my Notes app. After a friendly back-and-forth, they looked through my bag, checked my ID and business card and determined I wasn’t a threat. ‘You have to understand, tensions are running high,’ one of the men said with a smile and a handshake, allowing me through the gate. Manchester was secure tonight.
В ссылке выше материал был взят из публикации в Rolling Stone под названием «Joy Conquers Fear at Emotional One Love Manchester Benefit». В самом конце, мотайте ниже. Вот вам и «Эшелон» в действии.

Про «Prism» и про сотрудничество гигантов IT-индустрии с силовиками я в прошлых постингах не писал. Ну чтож, исправляю упущение. Mea culpa, ёпт...
Top-secret Prism program claims direct access to servers of firms including Google, Apple and Facebook
The Guardian has verified the authenticity of the document, a 41-slide PowerPoint presentation – classified as top secret with no distribution to foreign allies – which was apparently used to train intelligence operatives on the capabilities of the program. The document claims "collection directly from the servers" of major US service providers.
Some of the world's largest internet brands are claimed to be part of the information-sharing program since its introduction in 2007. Microsoft – which is currently running an advertising campaign with the slogan "Your privacy is our priority" – was the first, with collection beginning in December 2007.

It was followed by Yahoo in 2008; Google, Facebook and PalTalk in 2009; YouTube in 2010; Skype and AOL in 2011; and finally Apple, which joined the program in 2012. The program is continuing to expand, with other providers due to come online.

Ну и так далее и тому подобное. Там, в принципе, всё можно на цитаты растащить. Мне просто картинка понравилась, пожалуй, оставлю её здесь:


Впрочем, хотите честно? Когда-то один мой добрый знакомый на вопрос типа «а как же винда?», ответил просто, чётко и незамысловато. Да всем похуй на чём быдло будет свои танки запускать. Если честно, то так и есть.

Я могу привести случай, описанный у Брюса Шнайера, когда при демонстрации работы AES, АНБшнику задали вопрос насколько алгоритм криптостоек. На что АНБшник, улыбнувшись, ответил что-то типа «А тебе не похуй? У вас пароли на мониторах на стикерах болтаются, их можно из памяти или из свопа сдёрнуть, а тебя ебёт криптостойкость алгоритма... Не, ну охуеть теперь...». В «Практической криптографии» можно уточнить что именно сказал АНБшник, но смысл я передаю точно.

Знаете в чём проблема оленей? Они не замечают анальных зондов до тех пор, пока те не начинают цепляться за офисную мебель. А потом внезапно выясняется что практически все крупные производители тех же мобил следят за пользователями их устройств. А китаефоны, которые наши дебилы радостно накупают на алиэкспрессе, считайте по умолчанию несут в себе... то что надо, то и несут. Вы же мне всё равно не поверите, кмк... =)))

Так что, пользуйтесь линём на десктопах/ноутах/серверах. В отличие от проприетарного говнища типа виндов и гей-оси, там хоть код много, часто и крайне внимательно изучается морем глаз по всему миру, а не только группы безопасности Excel-таблиц...

Почему тут ни слова про Дурова? Ааа... надо? Роскомнадзор классно взъебал идиотов, которые думали что они на этой полянке самые умные и могут на халяву подставлять своих же сограждан, ровным счётом ни хуя не делая и используя «готовые сервисы», которые любой бы адекватный реальности использовать бы поостерёгся. А Дуров... Да похуй как-то и был и есть. Тут весь кипеж не из-за него вовсе.

Собственно, думаю, данную тему можно закрывать ибо тут уже сказать больше нечего.

А, да! Артюх, ты там поминал своего тестя, который виндам почему-то не доверял... Ну, привет ему передавай. Скажи, Мойша Либерман всенепременно кланяться велел. Цитату про Некрософт сам найдёшь или тебе пальчиком ткнуть? =)))

Как-то вот так, в общем... Конспирология, говорите... Пропаганда...
Ннню-ню... Ню-ню... =)))
moisha, liberman

Потому что... Лавров прав. Вторая часть Марлезонского балета.

Здорово, мальчуки и девчуки...

Мысль о данном постинге бродила по закоулкам моей башки долго. Но вот сейчас, с последними событиями, как-то нашлись слова. И, как мне кажется, мне есть что сказать. Когда-то я хотел бы начать свой постинг со слов, которыми начну и этот. «Умер Мавроди. По сути, умерла целая эпоха, основанная на наебательстве и заведшая нас туда, где мы и пребываем. В полную жопу...». Но всё же, давайте на секундочку отвлечёмся и взглянем на некоторые интересные события, укладывающиеся в существующую парадигму народно-ориентированной жопы. Можно сказать, в апогей пиздеца в предтерминальной стадии. Хотя, Вам всё уже давно было говорено и вас же и предупреждали.
Collapse )


Завершение здесь => https://moisha-liberman.livejournal.com/73616.html Комменты там же.
moisha, liberman

Взъёб-тренаж. Про телеграмм.

Здорово, мальчуки и девчуки...

Короче, стремительным домкратом и стрелкой осциллографа влетела скорбная весть. Телеграмм решено заблокировать. Мне, правда, как-то и по хуй, я особо им не пользуюсь, просто потому, что тот же xmpp (jabber) является децентрализованной сетью и, если уж надо, то почему бы и нет? «Децентрализованной» в данном случае означает что у сети серверов jabber нет единого сервера или группы серверов, которые обслуживают данную сеть целиком и полностью. И сервер jabber, а их хоть жопой жуй по реализациям, будучи установлен, в зависимости от конфигурации может либо обслуживать группу людей (корпоративный или поселковый чатиг и только), либо может взаимодействовать с другими такими же серверами, при чём вне зависимости от версии протокола. Там можно что общаться нос к носу, что конференции организовать, в общем, не зря те же viber, whatapp, hangouts (в девичестве Google Talk) это сильно, практически до неузнаваемости переёбаный jabber. Точнее, xmpp как протокол. Боты, кстати, там тоже можно, равно как и одну запись для различных устройств одного пользователя. Но самое важное здесь в том, что ФСБ тогда бы точно озалупилось собирать ключи со всех серверов.

Collapse )
Ну вот, как-то вот так. Шалость удалась, IMHO.

UPD. А, да. Забыл сказать. А нехуёво так Роскомнадзор пингует сервера-то... =))) Кто в теме, тот поймёт.

moisha, liberman

Да чудо-то какое! :)))

Опять я, мальчуки и девчуки...

Но промолчать не смог. Развитие Искусственного Интеллекта - хорошая новость для психологов.

Т.е., теперь можно ожидать съёба из топа ЖиЖи психолухов, которые начнут радостно ебать мозг теперь уже искусственному интеллекту своими ими же (психолухами) и придуманными проблемами? Ну, тогда не могу не выпить за это. Даёшь по резиновой бабе искусственному интеллекту каждому психолуху. Может, они от людей наконец отъебутся?

moisha, liberman

Винда и ебанутые.

Здорово, мальчуки и девчуки...

По мотивам общения у dim_va, да и так давно хотел написать, если честно, да случая не было.

Тут стремительным домкратом пронеслась весть о том, что де винда подвержена некоей заразе. Ну ничё, ничё... поболит и отпустит. Потому как ранее проносилась весть что винда 10 стучит на своих пользователей. Чё, думаете, перестала стучать? Да нет, в аквариуме у рыбок просто появились новые инфоповоды.

Как же быть-то? А просто. Посмотрите на любой андроид-смартфон и вспомните что там, унутре, всё-таки Linux. Ядро системы, весьма значимая часть системных библиотек и невидимых вам программ. Java там по сути это так... Крем сверху пирожка. Говорю как человек, которому доводилось и доводится собирать андроид для различных устройств из исходников.

Ну так чё делать-то? Мигрировать на Linux, вестимо. И здесь надо пару байт о некоторых тонких моментах.
0 Какой именно Linux, их до хуя?
Да, их до хуя, но наслуху у ширнармасс CentOS и Ubuntu. Первый дистрибутив это для кровавого ынтырпрайза, всё такое серверное и кондовое. Второй дистрибутив это больше для простых пользователей. Хотя, оба эти дистрибутива по сравнению с той же православной (здесь это слово применяется в контексте, принятом у линуксоидов) Gentoo или её более новой альтернативой funtoo, есть не более чем сборники тщательно отобранного древнего софтового говна. Но и Gentoo это не для всех, оставим в стороне этот выдающийся дистрибутив, он не всякому ойтишнегу под силу, а уж про человека обыкновенного и не говорим. Хотя, для программиста-разработчика, пишущего на С, это кайф на самом деле. Всё видно, просто, ясно как устроено. Понятно что делать.

Итак, если бы я выбирал для работы простого пользователя, то выбрал бы Ubuntu. Простой, ненапрягающий. Например, французская жандармерия то ли перевела, то ли вот-вот закончит работы по переводу порядка 90 тыс. своих компьютеров именно на убунту. Это не наша Федеральная Службы Судебных Приставов, которая зачем-то захуярила какой-то там свой дистрибутив. Наши да, суровы... :))) Менты вон, гордятся что всего-навсего 1% компов поразила зараза. А убрать жопу из под удара вообще мозг не позволяет, да и руки к мышке приросли. Понятно, хули...

Если железо типа дешёвского нетбука, то я бы посмотрел на xubuntu как на систему с относительно более легковесным окружением рабочего стола, нежели Unity (это ни как к играм) в стандартной Ubuntu.

По большому счёту с точки зрения простого пользюка, Linux от Linux'а ни хера ни чем не отличается. Для господ, ценителей тонких извращений, отличий море. Без сомнения. Но кто на память и без гугля скажет в какой версии ядра был впервые внедрён механизм epoll()? Похуй как-то в 90% случаев. Ну оно и правильно. Я ответ на этот вопрос знаю, а вам-то оно зойчемм?

1 Как использовать.
Да, всё зависит от решаемых задач. Ща всенепременно начнутся вопли про Solid Works, которого под Linux нет, хотя в принципе большинство задач вопящих про Solid Works (судя по нашей экономике) вполне можно было бы решить в AutoCAD WS. Для простых чертёжных задач солидворкс как-то ни как. И да, говно эта ваша винда, под неё аналогов CDMA Planner 2000 нет.

Но да ладно. Что нам по минимуму надо? Шнырять по интернетам безопасно более-менее, получать/писать почту. Использовать флеш в браузере, ну и редактировать/просматривать по временам документы и .pdf. Браузеры с флешем есть, пакет libreoffice есть, почтовиков хоть жопой жуй. Равно как и клиентов для всяких там сосальных сетей.

Игры. А как быть с танками? Нет, «игорей в Linux не завезли»©. Хотя, положение и меняется, но всем по большей части похуй, т.к. Linux это система для работы в общем и целом, поиграть и в виндах можно. Всё, точнее, почти всё остальное можно спокойно в Linux делать. Но игры на флеше в линукс в браузере так же пойдут как и в винде. Т.е., родная весёлая ферма без присмотра не останется. Все виртуальные огурцы собрать можно, не ссыте. :)))

Можно, правда, запустит любимые танки через wine, но это уже... На потом и как извращение. Проще сделать дуал-бут (см. ниже).

2 Как ставить-то?
И вот тут-то есть три варианта в зависимости от.

Для начала делаем флешку с Ubuntu. Скачиваем её (образ оси). Что качать? Либо версию 32бита (если комп старый или вообще нетбук какой-нибудь на атоме). Либо 64 бита, если комп более-менее современный. В любом случае смотрим на то, какой процессор и гуглим его характеристики и какую убунту на него запиливать. У вас должен быть получен файл с расширением .iso. Чего-нибудь там desktop. Сервер не берите, если только не хотите поднять сервак на домашнем десктопе.

Скачали. Теперь скачиваем что-нибудь типа RuFus или я бы рекомендовал Unetbootin. Дальше скачанный образ системы в виде .ISO файла нам надо закинуть на флешку и сделать её загрузочной. Флешка нужна на пару гигабайт минимум.

Вставляем флешку в комп, запускаем unetbootin, выбираем в качестве целевого диска (куда писать) свою флешку и указываем путь к .iso файлу. Кликаем Ok и сидим-курим пока сделается. Итак, флешка сделана.

Теперь нам надо понять что и как мы хотим поставить. Вариантов, как я и говорил, три. Можно просто загрузиться с данной флешки и работать с неё, не устанавливая на комп. Правда, результаты работы не сохранятся, да и подтормаживать всё-таки будет, но для ознакомления и чтобы ни чего не запортить, самое оно. Правда, юсб-свистки имеют свойство умирать без предупреждения, так что не айс этот вариант для регулярной работы.

Видос про этот вариант:

Правда, тут используется Universal USB Installer, но это не важно. Можно и его использовать.

Второй вариант это когда есть некий таскабельный нетбук и, чтобы не тупить в дороге (в автобусе или электричке), а посмотреть фильм, почитать, пошнырять по интернетам, можно на него вкрячить данную систему как единственную. Снеся предустановленную там винду под корень. Т.е., в итоге будет такая... мобильная-таскабельная машинка, которая помогает в пути. Если есть опасение за возможный проёб данных, то при установке просто скажите шифровать раздел. Там будет такой пункт в меню. Так что, если машинку неведомым способом проебёте, то даже сняв оттуда винчестер, супостаты и злодеи ни хера ни чего не получат кроме как от хуя уши.

Третий вариант. Хочется сохранить и винды и для работы в инторнетах (кстати, стек TCP/IP у Linux свой, поэтому сеть как таковая работает малость шустрее виндовой) получить Linux. Тогда дуал-бут это наш выбор. Перед установкой сохраняем свои данные на другой флеш-диск и ставим Ubuntu в параллель с виндами. Там, в меню установки, есть такой вариант.
Вот видос по теме:

Или вот ещё:


Чертвёртый вариант — можно поставить на винды виртуальную машину, а в неё засунуть линукс. Но тогда не будет элемента безопасности для работы в интернет. Точнее, он будет, но спорный. Пойдёт по пизде винда, пойдёт и виртуальная машина в ней, это очевидно. Так что, нет, этот вариант я не рассматриваю.

Короче, по сути, нам надо просто перезагрузиться (в BIOS укажите) со своего юсб-свистка, выбрать язык, на котором будет общаться система (русский) и вперёд и с песней.

В качестве домашней работы рекомендую прочесть:
http://startubuntu.ru/?p=104328
http://help.ubuntu.ru/wiki/%D1%80%D1%83%D0%BA%D0%BE%D0%B2%D0%BE%D0%B4%D1%81%D1%82%D0%B2%D0%BE_%D0%BF%D0%BE_ubuntu_desktop_14_04/%D1%83%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0
http://help.ubuntu.ru/wiki/%D0%BF%D0%B5%D1%80%D0%B5%D1%85%D0%BE%D0%B4%D0%B8%D0%BC_%D0%BD%D0%B0_ubuntu-linux_-_%D0%B8%D0%BD%D1%81%D1%82p%D1%83%D0%BA%D1%86%D0%B8%D1%8F_%D0%B4%D0%BB%D1%8F_%D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D1%82%D0%B5%D0%BB%D1%8F_windows

Побродить там по ссылкам. Желательно перед установкой системы. Чтобы понимать хоть примерно что от вас система просит.

3 Ну поставил, чё дальше? Чё ещё ставить и как?
Дальше, после перезагрузки в Ubuntu и выхода в инторнеты, когда наиграетесь и освоитесь, захочется поставить себе ещё софтов. Тот же libreoffice. Начинающему я бы не рекомендовал сразу в apt-get'ы лезть. Есть Центр приложений Ubuntu, там ни чего сложного. Кликай мышкой да кликай. Говорю же — система упрощена до немогусеньки.

Единственное что надо понимать, так это то, что вариантов одних и тех же программ несколько. Например, для просмотра PDF можно использовать Evince, которая позволяет и DJVU просматривать и Qpdf. Но тут ещё вопрос используемых программных библиотек. Кто-то помирает по GTK+/GNOME, кто-то по Qt/KDE. В линукс можно и то и другое использовать, не винда чай какая-нибудь, но чтобы облегчить системе жизнь, всё-таки лучше что-то одно. Т.е. если это GTK+, то Firefox, libreoffice, evince, это всё с этим набором библиотек писано и логичнее подбирать остальной софт с минимумом зависимостей от других библиотек. Но, повторю, это в принципе не критично.

Короче, как-то вот так.

А. Чуть не забыл. Про вирусы. Есть утверждение что дескать, вирусы под Linux не пишут, потому что мало распространена. Ну да. И тут все посмотрели на андроид-смартфоны, которые по сути Linux. Да, мало распространена, ага...

Тут в другом проблема. Если учесть что Linux это Open Source, т.е., программы с открытым исходным кодом, то для распространения вируса его надо как-то куда-то засунуть или предложить пользователю его загрузить, скомпилировать и... запустить? Ну и нахуя мне эти приключения? Неслучайно на ЛОРе, когда выходит информация о какой либо уязвимости, народ бойко отписывается в треде типа «система такая-то, ядро такое-то, версии пакетов такие-то, не работает», либо «работает, пошёл патчить». Это другой мир, да и другое отношение.

Ну и совсем-совсем да. Поверьте, мальчуки и девчуки, информбезопасность это не состояние. Это... процесс.

UPD 2. Ну и прилетевшее от доброго знакомого, можно сказать коллеги, с которым мы частенько стоим по разные стороны баррикады информбезопасности буквально вчера. Согласен, я вот тоже так думаю... :)))
actually_yes
moisha, liberman

Хуёво не знать латынь... :)))

Здорово, мальчуки и девчуки...

Я просто оставлю данный постинг здесь. И, что для меня странно, но закрою комментарии. На всё это есть свои причины,которые я обсуждать не буду.
https://news.mail.ru/economics/27326844/?frommail=1
Текст оттуда:
Шифрофрения

Российские компании приступили к решению задачи по получению доступа к переписке пользователей WhatsApp, Viber, Facebook Messenger, Telegram и Skype. Это необходимо для реализации «закона Яровой», в рамках которого для борьбы с терроризмом власти намерены осуществлять перехват и полную дешифровку трафика россиян. О том, что такое требование может оказаться технически неосуществимым, эксперты предупреждали еще на стадии обсуждения закона. Особенно в том случае, если в мессенджерах используется end-to-end-шифрование, то есть когда ключ от переписки формируется на конечном устройстве, например смартфоне пользователя.

Con Certeza, которая разрабатывает системы технических средств для обеспечения функций оперативно-разыскных мероприятий (СОРМ) на сетях операторов связи, ищет подрядчика для проведения исследования по возможности перехвата и расшифровки трафика популярных мессенджеров: WhatsApp, Viber, Facebook Messenger, Telegram, Skype. Это следует из переписки (копия есть у «Ъ») сотрудника Con Certeza с техническим специалистом одной из российских компаний в сфере информационной безопасности (ИБ).

Подлинность данной переписки подтвердили технический специалист и гендиректор этой ИБ-компании, сотрудник Con Certeza не ответил на вопросы «Ъ», но пообещал переслать их «тем, кто в курсе ситуации».

«Примерный состав работ такой. Рассмотреть основные мессенджеры — WhatsApp, Viber, Facebook Messenger, Telegram, Skype для платформ iOS и Android. Подготовить экспертное заключение по возможности перехвата чувствительных данных, то есть идентификаторов сторон общения, паролей, сообщений, при работе с копией трафика, и продемонстрировать прототип, если есть возможность.

Сделать то же самое, но с MITM (атака Man-In-The-Middle.— «Ъ») и, если возможность есть, продемонстрировать прототип на локальном стенде", — говорится в письме сотрудника Con Certeza.
Согласно переписке, на исследование одного мессенджера дается два месяца, начать работы предлагается с Viber.

Оплата работ по каждому мессенджеру составляет 130 тыс. руб. за выполнение основной части исследования и 230 тыс. руб. бонуса «в случае получения идентификаторов сторон либо текста при использовании MITM».

Цель исследования — «реализация или аргументация о невозможности реализации (данных функций.— “Ъ”) в системах СОРМ согласно нормативным требованиям к операторам сотовой связи», пишет сотрудник Con Certeza. «Я был готов взяться за работу, если по окончании ее результат будет выложен публично, на что получил отказ», — рассказал «Ъ» специалист ИБ-компании, с которым вели переписку из Con Certeza.

По данным kartoteka.ru, 76% ООО «Кон Цертеза» принадлежит Михаилу Лемешеву, а 24% — ООО «НЛП Груп», владельцами которого также являются Михаил Лемешев и ООО «Кон Цертеза».

На сайте «НЛП Груп» указаны ряд проектов с МТС, двое собеседников «Ъ» на рынке телекоммуникаций утверждают, что группа создана людьми из числа бывших сотрудников МТС и в основном обслуживает этого оператора. Глава Con Certeza Андрей Лемешев упоминался в закупочной документации МТС в 2007 году как сотрудник оператора. В МТС от комментариев отказались.

«Исходя из описания, исследование Con Certeza будет сосредоточено на возможности получения информации о самом факте общения идентифицируемых пользователей, их переписки и в случае успешной реализации MITM подмены ее содержания», — отмечает гендиректор Qrator Labs Александр Лямин. Для реализации положений «закона Яровой» ФСБ, Минкомсвязь и Минпромторг обсуждают набор технических решений, которые позволят реализовать доступ ко всему интернет-трафику россиян, включая перехват и дешифровку трафика с помощью MITM-атак (когда для пользователя это оборудование притворяется запрошенным сайтом, а для сайта — пользователем).

Однако собеседники «Ъ» еще на стадии обсуждения закона ставили под сомнение возможность этого применительно к мессенджерам, использующим end-to-end шифрование.

«Теоретически перехватывать зашифрованный трафик, в том числе и от мессенджеров, использующих end-to-end-шифрование, осуществимая задача. Мессенджеры обмениваются публичными частями криптографических ключей перед началом переписки, которые можно подменить, что позволит расшифровать. Есть технологии, нацеленные на защиту от такого типа атак, — Key Pinning, то есть привязка конкретных сертификатов к конкретному веб-сайту или приложению. Мессенджеры, как и другие приложения, например банковские клиенты, использующие Key Pinning, откажутся работать в случае подмены сертификата для защиты пользователя», — поясняют в Digital Security.

Представители Viber, Telegram, WhatsApp и Facebook Messenger не ответили на запросы «Ъ», в Microsoft, владеющем Skype, отказались от комментариев. «Цена мутная. Примерно столько стоит взлом WhatsApp конкретного человека с полным доступом к переписке. Но это неофициальные расценки, и на поток они не ставятся», — отмечает консультант по интернет-безопасности Cisco Алексей Лукацкий.

Он утверждает, что до сих пор не удавалось организовать массовый доступ к переписке в мессенджерах, «поэтому заключение о возможности перехвата, скорее всего, будет отрицательным и никакого прототипа тут быть не может».

Господин Лямин добавляет, что уязвимость к перехвату топовых мессенджеров может стоить десятки тысяч долларов на «черном рынке уязвимостей».

Мария Коломыченко


Не, я всё понимаю... Журнализды, они такие... журнализды. Особенно в «Коммерсанте». Специалисты, блядь, ну просто по всему. Впрочем, в ЖиЖе, где специалисты по всему, начиная с тактики снайпера в ходе городских боёв и кончая внешней политикой, включая применения ядерного оружия и такую сущую хуету как информбезопасность, они (специалисты) не переводятся даже после первого сентября, когда всем спецам надо на учёбу...

Но здесь требуется дать несколько пояснений для неспециалистов.
Оплата работ по каждому мессенджеру составляет 130 тыс. руб. за выполнение основной части исследования и 230 тыс. руб. бонуса
Ну, скажем так, и не дорого. Цена, на мой взгляд как ни хуя не специалиста, связана с тем, что протоколы исследовать не нужно. Как правило, все современные мессейнджеры строятся на модификациях протокола XMPP (Jabber), которы, в свою очередь, основан на XML. Т.е., сообщения имеют свою, чётко выраженную структуру. Секретного здесь ноль целых, хер десятых. Всё описано в RFC и нет нужды в длительных выебонах.

Рассмотреть основные мессенджеры — WhatsApp, Viber, Facebook Messenger, Telegram, Skype для платформ iOS и Android.
Принадлежность к той или иной платформе до пизды. Есть мессейнджер, есть его протокол... Всё. Остался MITM, но о нём чуток ниже. Из этого ряда выпадает самый сложный вариант — Skype. Но о нём в самом низу.

Вопрос дальнейшего применения разработанного программного кода или программно-аппаратной реализации лежит вне плоскости конкретного оператора (здесь непонятен доёб до многострадального, которого только ленивый не пинал на просторах ЖиЖи, МТС). Есть канал связи, значит сообщение или поток сообщений может быть перехвачен и к содержимому сообщений может быть организован доступ. Причём, сука,что самое смешное, реализации уже есть и в Open Source в том числе. И не только для текстовых мессейнджеров. Для того же VoIP уже который год используется «тошнота» (vomit http://vomit.xtdnet.nl/, хотя вомит и не является сниффером, она использует уже готовые файлы перехвата трафика, полученные с tcpdump или иного ПО, поддерживающего формат pcap). Но... простейший сниффер реализуется в Linux как нехуй на хуй. Формально, для перевода сетевой карты в неразборчивый режим, с тем чтобы просто и тупо карта получала бы все пакеты, которые прутся в данном домене коллизий по проводам, нужно просто сделать ifconfig eth_какой_у_вас_там_сетевой_интерфейс promisc. Сетевой сниффер пишется на тех же сях... Ох, блядь... Да ни хуя военного, ровным счётом... Перехватывай на здоровье...

и в случае успешной реализации MITM подмены ее содержания
Успешная реализация MITM... Успешная реализация MITM... Постойте, я уже где-то эти видел? Как же мне примеры на С найти? Вот же оно! Т.е., вот уже сколько лет MITM проводится знающими ребятами и вовсе не икспердами, а мужики-то и не знают?

А почему MITM? Да потому что все протоколы мессейнджеров, как ни крути, а закрыты по OpenSSL/TLS. Иных и альтернативных реализаций науке неизвестно. Впрочем, возможно генеральные дирехтора и знают нечто такое, неизвестное нам, простым неспециалистам? Хорошая попытка, но нет... Альтернатив SSL/TLS для широкого применения не существует. Случаи спецсредств не рассматриваются, т.к. они на то и есть спецсредства. Может вам ещё аппаратную реализацию присунуть? Такие есть. Но не для простого блондинко-шмарофона. Т.е., если у нас есть некий протокол мессейнджера, есть его шифрация на транспортном уровне, то... То шифрацию можно немножечко снять?

Ну да. Например, если мы умираем по графическому интерфейсу, то берём тот же Burp (тулзень типа прокси и не только на Java), берём некий мессейнджер, ставим его в эмулятор Android (входит в состав Android SDK) и спокойно перехватываем через burp трафик. Если надо подменить сертификат (без такой подмены не получится MITM), то... разберитесь с burp, сделайте милость? :))) Но это решение для анализа трафика приложения Android «на колене». Для малосведущих замечу что порядка 90% приложений (не важно для iOS или Android) имеют ломаные аналоги и, я всерьёз огорчу, но порядка 66% приложений такого рода умеют пиздить ваши деньги. Т.е., уже подверглись не то чтобы вскрытию протокола, а несут в себе дополнительный и явно недоброкачественный функционал. Не ставьте из недостоверных источников программы себе на мобилы, уж сколько раз твердили миру.

При таких раскладах, имея на руках учётные данные пользователя сети, умея перехватывать протокол мессейнджера и дешифровать его, подменить сообщение или группу сообщений, это уже раз плюнуть. Ну, может, два.

Есть технологии, нацеленные на защиту от такого типа атак, — Key Pinning, то есть привязка конкретных сертификатов к конкретному веб-сайту или приложению. Мессенджеры, как и другие приложения, например банковские клиенты, использующие Key Pinning, откажутся работать в случае подмены сертификата для защиты пользователя
Есть! Точно есть, бля буду! Вот только самым надёжным было бы каким-то колдовским образом на стороне сервера сгенерировать для клиента его персональный ключ. И передать каким-либо способом с почтовыми голубями например, данный ключ клиенту. Насчёт TCP/IP через почтовых голубей это не шутка. Это RFC 1149 от 1.04.1990 Ну, то есть, если мы передаём секретный ключ нашему клиенту по сети, то где гарантия что не будет перехвачен и он? Дальше данный ключ для данного сервиса (полученный не по сети!) должен быть как-то интегрирован в программное обеспечение клиента и как-то там использован для шифрации трафика, например, или шифрации учётных данных/контактов/логов чата.

Можно было бы для процесса аутентификации задействовать ОТР, а уж потом генерировать на устройстве-клиенте сеансовый ключ, конечно, но как известно из более ранней моей же публикации, Dolboeb, Вам telegram! :))), существующий метод ОТР, в частости, использование SMS, признаны несколько небезопасными. Цитата прямо из того постинга:
Ну и коль скоро пошла такая пьянка, то я могу сказать почему для меня стало возможным написать данный постинг. Проблема в том, что организация, в соответствии с рекоммендациями которой в тех же США строят сети и гос.учреждения и те, кому мозг не замкнуло, такая как NIST, опубликовала черновик (draft) стандарта
Digtial Authentication Guideline, где представители этого ведомства указывают, что «[внеполосная аутентификация] с помощью SMS будет запрещена стандартом и не будет допускаться в его последующих изданиях». https://pages.nist.gov/800-63-3/sp800-63b.html

Ну а как вы собираетесь на мобильном устройстве, блядь, проводить аутентификацию пользователя и последующую генерацию сеансового ключа шифрования, которым будете закрывать трафик от данного устройства до сервера, для меня остаётся тайной, покрытой мраком.

«Я был готов взяться за работу, если по окончании ее результат будет выложен публично, на что получил отказ»
Бггг... Т.е., если за работу заплатили хоть копейку, то её результаты не могут быть опубликованы в публичном вид без согласия правообладателя (заказчика, заплатившего денег и которому принадлежат имущественные права на данное программное обеспечение). Всё верно.

Теоретически перехватывать зашифрованный трафик, в том числе и от мессенджеров, использующих end-to-end-шифрование, осуществимая задача
Единственное что могу сказать по поводу данного предложения, так это «ыыыыыыбллляяяя...». Эти странные люди не знаю что сообщения ломались, ломаются и я там выше например кинул приблизительное описание процесса исследование протокола для Android? Серьёзно? Это иксперды «Коммерсанта»? Ну это пиздец вообще-то...

Согласно переписке, на исследование одного мессенджера дается два месяца, начать работы предлагается с Viber.
Согласно какой переписке? Т.е., специалист некой компании, к которой обратилась другая компания за определённой помощью, внезапно решил пойти в раскол до задницы? Да они охуели! Читаем внимательно:
рассказал «Ъ» специалист ИБ-компании, с которым вели переписку из Con Certeza
Подлинность данной переписки подтвердили технический специалист и гендиректор этой ИБ-компании
А вот это уже грубо... Не, ребят, на этой компании можно ставить крест, т.к. такого рода косяки, связанные с разглашением коммерческой тайны, это уже пиздец просто космических масштабов.

Про Skype отдельно. В своё время со скайпом проблем хапнули при анализе. В 2004-2005г. такой анализ протокола проводился, с тех пор мне лично скайп не интересен, а после покупки скайпа микрософтом не интересен в квадрате. Но тем не менее, для любопытных. Ну и вот ещё, апдейтом. С месяц назад было, читал про то, что https://xakep.ru/2016/09/05/skype-open-source/ простой российский программист Ефим Бушманов опубликовал открытую версию клиента Skype, писанную на С и с простым GUI на .Net. Сейчас проект закрыт, т.к. автор хочет получить $6000. Но исходники покамест доступны. Так что, работы ведутся и, боюсь, Ефим не единственный кто их ведёт. Скорее всего, другие просто не палятся.

При чём здесь латынь-то, ты заебал? А, да, точно. Я и забыл. Я не имею чести знать господ Лемешевых и не в курсе почему компания названа именно так, но Con Certeza можно было бы перевести как «так точно»... :))) Спасибо, я поржал... :)))

UPD. Реакция топа ЖиЖи на данную новость пока не просматривается, но ждём... ждём... Предвижу праздничный салют из сдетонировавших пуканов. :))) Стадо перепуганных на хуй евреев это всегда... бодрит, скажем так. :)))

Ну и да. Цена в 130 т.р. за протокол представляется вполне себе такой адекватной...

UPD 2. Чисто на поржать. Для полностью пиздец непонятливых и мозгом незамутнённых, а так же не погружённых в информбезопасность ни на пол-шишечки.

Существовало, существует и будет существовать одно правило, сформулированное ещё для e-mail. Никогда, ни чего не пиши по e-mail того, чего бы ты не мог написать на простой почтовой открытке..
Я отдаю себе отчёт в том, что по малолетству своему многие уже не помнят как выглядели почтовые открытки (погуглите картиночки), но на место e-mail подставьте самостоятельно используемый вами протокол мессейнджера. И пусть тихая радость озарит ваше лицо... :)))

UPD 3. Первый пошёл... http://svobodaradio.livejournal.com/2076548.html Чёт поздно подтягиваются.
Пишет Официальный блог Радио Свобода (svobodaradio)
2016-10-04 10:43:00

По методичке наверное искали как критиковать... :)))

moisha, liberman

Dolboeb, Вам telegram! :)))

Здорово, мальчуки и девчуки...

Сегодня постинг будет опять про секьюрность в мудильных сетях и начнём мы с Антона Борисовича dolboeb. Глядя на нашего героя в попе с дырою, я ни как не могу распрощаться с мыслю что здесь суть и никнейм на редкость не противоречат друг-другу.

Дело в том, что не столь давно сей техно-клоун и, по совместительству кетаминовый наркоман (а хулиб его так пёрло-то?) напейсал постинг, более чем до хуя посвящённый такому проекту как Telegram. Там было довольно много всякой неведомой нормальному технарю хуйни, я даже в начале комментировать не хотел. Но обстоятельства немного изменились. И стало можно. Я ещё раз подчёркиваю и напоминаю — я пишу что думаю, но думаю что пишу.

Итак, борзый и задорный пиздёж нашего, как его называют, за малым делом не «отец всея рунета» был как обычно бесподобен. Насчёт отца всея рунета я незнаю. Но теперь, почитав эти фантазмы, я понимаю почему компании «Рамблер» пиздец приснился окончательно и бесповоротно. Кулстори тут.

Итак, про что речь. Вообще, надо начать с того, что когда мистер Сноуден называл Telegram самым секьюрным мессейнджером, я всякий раз всхохатывал. Проблема в том, что ни один публичный продукт не являлся, не является и не будет являться действительно безопасным. Только долбоёб, рассуждающий обо всякой хуйне не понимает прописной истины что информбезопасность, блядь, это не состояние, это процесс (вот, сука, распечатайте эту фразу и медитируйте над нею по сорок минут перед сном). И процесс непрерывный, т.к. напрямую с другим процессом связан. С программированием, которое как всем известно, есть процесс исправления одних ошибок и внесения новых. Причём, не только программистами вашей компании, а программистами вообще со стороны,которые пишут код библиотек, которые ваши программисты используют. Т.е., в случае, если косяк есть, то не факт что накосячили именно ваши.

Так что, для простоты, считайте что ошибки есть и ошибки есть всегда. Но ошибки могут быть, если по большому счёту, как ошибками реализации (так или иначе уязвимый код), так и ошибками проектирования (это отладчиком вообще не ловится, это уровень архитектуры системы, например, хуёво выбранный и хуёво используемый протокол, как это будет ниже рассказано).

Т.е., если ошибки реализации лечатся тотальной, жёсткой, вдумчивой и бескомпромиссной еблей личного состава, то ошибки проектирования не лечатся без расстрела архитектора системы. Это крайне дорогое удовольствие, т.к. кодерасов найти можно всегда, а вот хороший архитектор это даже по нашим временам редкость. Так что, ещё раз. Считайте что ошибки есть всегда, вопрос только как быстро их вскроют и как быстро об этом станет известно. Передавайте привет паранойе... ;)))

Но дальше всё веселее. Что было написано. Прямые цитаты и комментарии к ним.
Прямо сходу так. Бдынц:
Телеграм Сергея Пархоменко вчера взломали при деятельном содействии оператора МТС. Перехватили СМС-сообщение, необходимое для авторизации, потом залогинились и обнулили его историю. Глубже забраться не смогли, потому что Telegram ввёл такую систему авторизации, что просто по СМС её не поломать. Есть дополнительный шифр, который без владельца аккаунта не узнаётся. Этот шифр в МТС не знали, облом.

Далее. Заявления и звон мудями громче:
Там просто сидит специалист из ФСБ, которому для чтения чужих сообщений не нужно ни судебных решений, ни санкций прокуратуры. Он отслеживает СМС-переписку, иногда перехватывает управление номерами, иногда просто сливает сообщения в СМИ для публикации.

Понятно, что в теории, с точки зрения уязвимости и подконтрольности спецслужбам, все российские операторы в принципе одинаково уязвимы. Но так же понятно, что риски пользователей БиЛайна и МегаФона являются теоретическими, а переписку абонентов МТС спецслужбы сегодня получают и изучают раньше конечных адресатов. По-моему, это достаточно уважительная причина, чтобы перестать пользоваться сервисом МТС, если вы не хотите видеть свою переписку опубликованной ни у Габрелянова, ни у Доброхотова.

Я хуй его знает кто эти Манюня с Тимоней (Габрилян с Доброхотовым), я не филолух. Но продолжаем читать (звон мудей практически стал крещендо!):
Конечно, жаль Павла Валерьевича Дурова, которому из-за этих проделок ФСБ приходится непрерывно патчить глобальную систему, где российские пользователи составляют от силы 2%. Одно утешение — что эти проделки МТС и чекистов способствуют совершенствованию алгоритмов защиты, которые потом пригодятся и турецким, и венесуэльским и сирийским пользователям Telegram. А однажды, не приведи Господь, помогут американцам, британцам и европейцам избежать неуместного интереса властей к их переписке.

Как же мне жаль Павла Василича! Как жаль! Но ещё больше жаль Антона Борисыча, которого опять, сука, подставили. Но уже не его родственники по семитской языковой группе, а персы. Тут два долбоёба, на самом деле. АнтонБорисыч и ПалВасилич. Проблема в том, что в Иране поломали telegram, причём, блядь, в настолько изысканно-извращённой форме, что аж:
- Смогли поиметь не один-единственный аккаунт хуй знает кого (который, как утверждалось, был последним из поломанных через SMS), а не менее чем 15 миллионов, блядь, аккаунтов. Махом и за один раз.

- Более того! Они смогли построить карту пользователей telegram в Иране. Тут, видимо, им помогли геотеги и знание номеров телефонов, т.е., они получили связку телефонный номер-координаты. Дальше закинуть из в kml и выкинуть на Google Map, или присунуть в Google Earth, это дело пары-тройки минут на написание скрипта и хуй знает сколько на его отработку.
Ну вот так, чисто по мелочи.

Дальше веселее. Дело в том, что отвественностьза всё это безобразие несёт, якобы некая группировка «Rocket Kitten», якобы близкая к правительству Ирана и проводившая атаки на Ближнем Востоке. Саудитам перепало, немного израИлю, и т.д. и т.п. Казалось бы, ага, вот он след ФСБ или аналогичной структуры Ирана. Вот только хуль агакать, мне не ясно в принципе.

По факту, там использовалась технология перехвата SMS. Казалось бы что? Казалось бы, надо брать оператора связи за жабры и волочь на правёж. Да вот хуюшки, как метко заметили заюшки. Проблема здесь в том, что описывается двумя ключевыми словами «протокол smpp». И незнание долбоёбами того, как работает данный протокол, но сование его как, блядь, безопасного в процесс аутентификации пользюка.

Поясняю на пальцах. На минимальном уровне понимания хватило бы прочтения книги «Мобильные сообщения. Службы и технологии SMS, EMS и MMS» Гвинель Ле-Бодик, русский перевод вышел в «КУДИЦ-ОБРАЗ», Москва, 2005г. Но понимаю-понимаю... Чукча ни хуя не читатель, чукча сразу прямо писатель.

Итак. Есть SMS. На всех гипнозом действует то, что эти сообщения прилетают-улетают на мобильник. Охуенно, да, я знаю что иной раз технология выглядит как магия, но для понимания физики процесса нам по хую телефон. Проблема в том, что на уровне операторов нет понятий телефон-мобильныйтерминал-мобила. Точнее, есть но в данном случае они по хуй. Не по хуй другое.

Вот представьте себе что есть три оператора. А, Б, В. Они передают-принимают SMS внутри своих сетей. Всё хорошо? Всё. Теперь нужно передавать SMS из сети в сеть. Как? По радиоканалу? Да ну на хуй! И тут на сцену выходит он самый. Протокол SMPP, Вы знали! Вы знали! Это он!

Что это такое? В «контроллере сотовой сети», который обеспечивает технологию данной сети и прочие чудеса, есть такая сущность как «Центр SMS», он же SMSC. Т.е., именно здесь обрабатываются все SMS. Таких центров в каждой сети может быть не один и не два, но пусть нас это не ебёт.

Ну так как только мы начинаем кидаться SMS между операторами то возникает вопрос передачи потока SMS от оператора к оператору. Т.е., SMSC одного оператора как-то связывается с SMSC остальных операторов. Всё правильно, в мире сетей прочно и уверенно живёт семейство протоколов TCP/IP. Придумывать ни чего не нужно, нужно только как-то поверх него передать поток SMS. Вот этим протокол SMPP и занимается. На практике, есть две версии протокола. 3.4 и 5.х (какая-то, не помню). Я не уверен сейчас, но пацаны у ОпСоСов ленивые и менять софт для перехода на версию 5.х надо до хуя где, так что, скорее всего, и сейчас по старинке используется версия 3.4. Вам спеку на него, на этот протокол найти? Или сами погуглите? Ну, хорошо, уговорили. Вот прямо на русском, первая ссыль в гугле.

Т.е., данный протокол изучен будем считать и ни какого колдунства тут нет ни хуя. Т.е., вывод здесь простой. Есть TCP/IP, есть живущий поверх него протокол и можно через него гонять SMS. Но тут возникает следующий вопрос. Хорошо, это ОпСоСы. А как быть простым смертным? Ну точно так же. Только например, если мне понадобится с перепою сделать OTP (one-time password) авторизацию,то я как юр. лицо подпишу договор с каким-нибудь ОпСоСосом и поставляю свой »сервер SMS».

Т.е., техпроцесс будет выглядеть следующим образом. Пользователь при авторизации на ресурсе получает окно «Ведите регистрационные данные» с полями User name, Password, Phone, OTP. Пока юзер тупит в окно, ему на моём сервере генерируется некий код, который передаётся на указанный юзером телефон через мой шлюз SMS. Засекается некоторое разумное время в течении которого юзер должен ввести присланный ему код. Если не успел, то заново. Если успел считать код из SMS и ввести, то молоток. Точно такая же хуйня есть у Cisco, да до хуя где.

«Шлюз SMS» как-раз и занимается тем, что полученный код пуляет в сеть ОпСоСа и как-раз по протоколу SMPP. Т.е., формирует некий пакет с неким содержимым, который передаётся через сеть на SMSC ОпСоСа. И нехуй мне рассказывать что ОпСоСы не подпишут такого рода договор. Вот отсылка на опыт работы с МТС, вот отсылка на опыт работы с Мегафон в регионе. Короче, если ваш проект будет интересен ОпСоСу, то договорится сможете. Всякие SMS-голосования и прочая поебень именно так и реализована. Telegram, сюрприз-сюрприз, то же и так же. Т.е., SMS over TCP/IP.

Здесь замечание по опыту работы. Во-первых, реализации есть в открытом доступе. Гляньте тот же kannel, реализующий и шлюз SMS и шлюз MMS. В открытых исходниках. Можете поднять для собственных нужд при желании. Во-вторых, в реализации SMPP нет ровным счётом ни хуя военного и в принципе, есть и свои реализации. Т.е., можно создать экономичную, обрабатывающую именно то, что нужно, а не всё подряд систему. Ну и в-третьих, перед тем, как лезть к ОпСоСу, проверьте свой канал в Интернет. ОпСоСы пиздец как не любят когда соединение рвётся и SMSC дёргается на логин с вашей стороны. Не нужно так делать. Впрочем, похуй, это всё лирика.

Таким образом, мы установили что SMS могут передаваться и передаются по TCP/IP и юр. лицо может заключить договор с ОпСоСом на обработку SMS-трафика. А дальше всё просто. Только полный и хронический долбоёб не понимает что трафик TCP/IP уже более как до хуя лет и перехватывается и анализируется и подменяется. И даже защита протокола посредством ssl не является полной и надёжной гарантией того, что трафик не будет перехвачен и дешифрован. См. например, вот тут пример. Т.е., заявы долбоёба про протекающий в сторону ФСБ МТС предсказуемо и вполне кагэбично прямой и откровенный пиздёж. Таким же точно образом ебанули и в Иране 15 млн. долбоёбов, уверовавших в полную секьюрность. Да хуль там... Восток это логово долбоёбов. Что персы, что семиты... Немудаков там нет. Всё дело только в длине и форме причёски-бороды.

Я, конечно, не подстрекатель, но на месте МТС я бы не потерпел. Я бы подал в суд за такой необоснованный пиздёж и выеб бы дебила до суха с треском и подзвоном, настоящим хуём. Чтобы этому долбоёбу, не понимающему как работает, блядь, банальный GPS в его iPhone, до конца жизни отбить охоту пиздаболить на околотехнические темы. Раз и на всегда. Чтоб как только пасть открывалась сморозить какую-нибудь хуйню, так в межушном ганглии зажигался бы красинький такой светодиод с подписью «бля, закрой еблет, ща как сраного кота выебут».

Ну и чтобы закрыть с много и глубоко уважаемым господином Антоном Борисовичем Долбоёбом тему, вот одна из последних ньюсов. Киевстар штормит. Хакеры научились отключать мобильную связь. Ни кто там ни хуя не «отключает». Если крупными мазками и не вдаваясь сильно в детали, то картинка будет простая.

Чтобы понять физику процесса, просто возьмите и поставьте Asterisk. Это у нас будет контроллер сотовой сети. Да, можете рядом поставить тот же kannel, будет здорово похоже. А теперь просто устройте DDoS на этот ебучий Asterisk и перегрузите его запросами на соединение. При чём, осуществив запрос на соединение, сразу же «кладите трубку» или отбивайте вызов. Пока контроллер вкурит что отбой, пока внутренние процессы в нём, пока то-сё, пройдут миллисекунды. Но беда в том, что таких запросов в параллель не один и не два и даже не три. Их там хуячит тысячи в секунду и десятки тысяч. Контроллер сети просто захлёбывается и не успевает отработать полезные и вполне легитимные соединения.

Так что, взъебать ОпСоСа вполне можно. Хохлов в данном случае подводит жадность. Уже давно каждый второй звонок в Хохлорейх (если не больше) проходил по каналам даже не «связным», а именно посредством VoIP. Это позволяет экономить на связи и всячески её удешевлять, например, подрезать качество за счёт кодеков, при этом не уведомляя ебонента ни как и беря с него деньги из расчёта типа как положено у связистов. Напомню что один ISDN PRI это 30+1, т.е., 30 BRI или, грубо, голосовых трактов, они же ТП. Здесь ТП это не тупая пизда, а точка подключения и расчёт этих самых потребных для присоединения по какому-либо из направлений (например, с общегородской сетью или ТфОП) ТП производится в эрлангах, грубо говоря один эрланг это один ебонент пиздит по телефону один час, нормы в инете найти можно, сколько ТП надо при какой нагрузке, но не суть. Посчитать ожидаемую нагрузку и прикинуть число линий, необходимых в направлении на москву или на город или на другого ОпСоСа вполне можно. Плюс, в ISDN PRI ещё один D-канал для управления, но это уже по хуй.

Так вот, при применении VoIP это уже не 30 ТП. Это зависит от применяемого кодека или кодеков, но здесь используются не связистские технологии ужо, а интернетные. Ну и присоединение проще. Вот за это Кыювстар сейчас и хлебает говно ложками. Нехуй крысить было.

Понятно что процесс по Кыювстару описан весьма крупными мазками и довольно приблизительно, но для понимания, надеюсь, хватит. Как только увидите что Антон Борисович Долбоёб пиздит на околотехнические темы, гоните его на хуй ссыными тапками. И к техническим конторам на дальность прямого выстрела из калаша, блядь, я запрещаю подпускать. От него оборудование выходит из строя на хуй.

Ну вот, как-то так...

UPD. Поправка. Я неправильно выразился, спасибо al3x. Я написал:
Вообще, надо начать с того, что когда мистер Сноуден называл Telegram самым секьюрным мессейнджером, я всякий раз всхохатывал.
Здесь я неправильно сформулировал данный постулат отчасти сознательно. Да, Сноуден сам сидит на Signal. Но мне не хотелось вот так прямо и сразу начинать с приснопамятного спора Дурова и Сноудена. Сноуден, на самом деле, критиковал Telegram за хранение информации на своих серверах. Позже к их спору подключился создатель Signal, до того работавший шефом службы безопасности Twitter, Moxie Marlinspike (псевдоним), который указал на то, что Telegram не является тем, чем он себя позиционирует. Ну например, можно почитать обо всём этом вот прямо здесь.

Ну и коль скоро пошла такая пьянка, то я могу сказать почему для меня стало возможным написать данный постинг. Проблема в том, что организация, в соответствии с рекоммендациями которой в тех же США строят сети и гос.учреждения и те, кому мозг не замкнуло, такая как NIST, опубликовала черновик (draft) стандарта
Digtial Authentication Guideline, где представители этого ведомства указывают, что «[внеполосная аутентификация] с помощью SMS будет запрещена стандартом и не будет допускаться в его последующих изданиях». https://pages.nist.gov/800-63-3/sp800-63b.html

Так что, ловить тут уже нехуй, но спасибо, было весело... :))) Банки да, теперь озалупятся менять свою OTP. :)))

moisha, liberman

Рефлекс журналтерьера...

Здорово, мальчуки и девчуки...

Вот что на себя обращает внимание, так ставшая уже ежегодной истерика под лозунгом «Куда пропал Путин?!?». Косвенно она, конечно, подтверждает мой постулат о том, что когда он говорит, то можно заслушаться, но вот когда молчит... то можно и обосраться. Это всё понятно.

Самое прикольное что жертвы ЕГЭ, которые хуёво пишут диктанты, но которых зачем-то называют журнализдами (или они себя таковыми возомнили, уже не важно) тоже заёрзали. Дескать где Путин? Где Он? Куда делся? А? Что? Никто не видел? Вот только что тут же был и тут хоппа, нету! Этим, видно, из Уошингтонгского обкома мозг начали головной через спинной рушить, типа куда там ваш тиран делася, хуль вы ушами хлопаете, за что мы вам денег платим, уроды?

Ну у жертв ЕГЭ конечно и свой рефлекс журналтерьера есть. Вот только что безгранично хуёво, так это мозги, блядь, в полтора грамма как у канарейки. И память как у золотой рыбки в аквариуме. Пять минут и всё снова и заново. Почти год назад была точно та же нездоровая хуйня. И даже два года назад...

Путин взял и... пропал. Мне аж вспомнилось вот это вот, ставшее уже классикой:


Но в качестве предупреждения «наших западных партнёров», как их называет Владимир Владимирович (не не пидорасами же называть, в самом-то деле, зачем же так палить-то?), я могу напомнить и то, что Путин никогда не спит:


Бздите!

Но всё бы было хорошо, еслиб не было так плохо. В прошлой теме про секьюрность и СОРМ, который мы там немного потрогали, не было ссылок на нормативные акты. В частности на то, что подписал этот самый пропавший Путин. Журнализдам, понятн, было хуёво, т.к. вектор истерики был им не ясен. Куда истерить, с какой силой руки заламывать? Это нам быдло-ватникам всё просто и понятно. А у тонко устроенных и неравнодушных людей всё прекрасно. Ахеджакова не знает перед кем ещё извиняться, она не уверена дошли ли её предыдущие извинения,но на всякий случай готова ещё разок по кругу просить прощения. Шендерович не знает ебать ли ему матрас протеста ради или подождать более приличного случая. Орлуша косится на Зильбертруда, простите, Быкова, тот на него и они вместе не знают какие хуи, простите стихи плести. Короче, полный пиздец, разброд и шатания. А тут ещё медведь гебни кровавой высунулся из треножника и показывает козью морду, более почему-то похожую на хуй...

Но прочь сомнения! Таки.... пропавший подписал. Эпохально, блядь! Свершилось! Копирую целиком из http://kremlin.ru/events/president/news/52486
Перечень поручений по вопросам отдельных мер государственного регулирования в сфере противодействия терроризму и обеспечения общественной безопасности

Президент утвердил перечень поручений по вопросам отдельных мер государственного регулирования в сфере противодействия терроризму и обеспечения общественной безопасности.
7 июля 2016 года
13:15

1. Правительству Российской Федерации с участием ФСБ России подготовить проекты необходимых нормативных правовых актов, направленных на минимизацию возможных рисков, связанных с применением положений Федерального закона «О внесении изменений в Федеральный закон «О противодействии терроризму» и отдельные законодательные акты Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности» (далее – Федеральный закон), обратив особое внимание на:

уточнение этапов применения норм, требующих существенных финансовых ресурсов и модернизации технических средств хозяйствующих субъектов, подпадающих под действие Федерального закона, с учётом необходимости использования отечественного оборудования;

уточнение полномочий Правительства Российской Федерации и федеральных органов исполнительной власти в связи с применением положений Федерального закона;

применение норм Федерального закона об ответственности за использование на сетях связи и (или) при передаче сообщений в информационно-телекоммуникационной сети Интернет несертифицированных средств кодирования (шифрования);

разработку и ведение уполномоченным органом в области обеспечения безопасности Российской Федерации реестра организаторов распространения информации в сети Интернет, предоставляющих по запросу уполномоченных ведомств информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений в случае их дополнительного кодирования;

применение норм Федерального закона о прекращении оказания услуг связи в случае неподтверждения соответствия персональных данных фактических пользователей услуг связи сведениям, указанным в абонентских договорах.
Срок – до 1 ноября 2016 года.
Ответственные: Медведев Д.А., Бортников А.В.

2. Минпромторгу России совместно с Минкомсвязи России провести анализ и представить предложения в части возможности, сроков и объёмов финансовых затрат в целях организации производства отечественного оборудования и создания отечественного программного обеспечения, необходимого для хранения и обработки голосовой информации, письменного текста, изображений, звуков, видео- или иных электронных сообщений пользователей сети Интернет и информации об этих пользователях, с указанием конкретных производственных площадок в Российской Федерации.
Доклад – до 1 сентября 2016 года.
Ответственные: Мантуров Д.В., Никифоров Н.А.

3. ФСБ России утвердить порядок сертификации средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети Интернет, определив перечень средств, подлежащих сертификации, а также порядок передачи ключей шифрования в адрес уполномоченного органа в области обеспечения безопасности Российской Федерации.
Срок – 20 июля 2016 года.
Ответственный: Бортников А.В.


Ну и хули истерили?
- Пиздёж о том, что дескать все деньги на оборудование пойдут нашим «зарубежным партнёрам» и будут работать на их экономику, а не на нашу, так и остался пиздежом ибо чётко сказано — делать будем своё железо и свой софт. И для обработки голосового трафика в том числе. Но посчитать надо. Это типа инвистиций в свои «производственные мощности» если кто-то ещё не заметил.

- Пиздёж о том, что ФСБ собирает все ключи шифрования... Что, вообще, блядь, все? Да ну на хуй, вы себе хоть объёмы такого рода информации представляете? И как их применять, что эти самые все ключи линейным перебором применять? Ну, короче, пиздёж пиздежом. Да, необходимы средства для шифрования. Да, их будут сертифицировать. Да, вот от них-то необходимая информация будет передана в ФСБ. Но касается это кого? Неких организаторов распространения информации в сети Интернет, предоставляющих по запросу уполномоченных ведомств информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений в случае их дополнительного кодирования;. Т.е., мы говорим о сайтах, применяющих ssl для шифрации трафика, например? Я правильно понимаю? Да вот ни хуя.

Во-первых, реестра таких сайтов пока нет. Во-вторых, вот прямо сейчас я сижу в ЖиЖе без ssl и не чувствую себя обойдённым. В третьих, а что означает здесь «дополнительное кодирование»? Ну чёт какт явно на применение ssl не тянет. Это если я кроме ssl буду ещё сообщения как-то криптовать, вот тогда да. Потянет. Потому как для простого ssl, если я могу тупо зайти на сайт по https и посмотреть сообщения, оставленные другими пользователями в публичном пространстве сайта, это ни хуя ни как не тянет. Тут в таком случае нет ни какого дополнительного кодирования, тут просто сертификат ssl. А вот если сайт позволяет обмениваться некой чувствительной и критичной к перехвату или модификации информацией, то тогда да. Будьте любезны. Но перехватить или модифицировать передаваемую информацию можно рядом методов и по ряду причин, если что. И на одной причины из добрых, мне почему-то в голову не приходит.

Дальше. Допустим, я обмениваюсь почтой. Пишу e-mail, подписываю и шифрую через PGP то... что? То да ни хуя. Я не являюсь сервером, организующим распространение информации в сети Интернет. Я даже сервером не являюсь в таком случае. Т.е., как физлица меня это не касается? Не касается.

- И вообще по применению этого закона ещё будут определяться как я понимаю. Так что, слухи о смерти Конституции под действием данного закона, оказались несколько преждевременными. Но одно могу сказать точно — у отдельных индивидуумов словесная диарея скоро сменится словесным запором. Ибо не устаю повторять — меньше пизди, целее будешь.

Тут в принципе, много вырисовывается из данного распоряжения по действию того закона. Но и этого хватит.
В общем, хули истерили, не ясно... Ну, не догнали так хоть согрелись.

moisha, liberman

Про секьюрность.

Здорово, мальчуки и девчуки...

Сразу про аватарку. Чтоб снять все вопросы. Вот это вот моё нечестивое «здорово, мальчуки и девчуки» изначально было содрано у перса, изображённого на моей автарке. Только у него была половина рода человеческого и здоровкался он «здорово, мальчуки». Это Кроули, вполне себе вменяемый Король Ада из сериала, ежели кто смотрел, «Сверхестественное». Только я Вас, %username%, умоляю! Не нужно путать этот сериал, «Сверхестественное», с сериалом «Противоестественное», который был снят, но не показан в широком прокате из-за событий на бывшей Окраине, ныне Хохлорейхе. Если в первом сериале речь идёт о двух братьях, борцах с паранормальным, то во втором — о двух опидоревших в конец братанах. Из-за настолько толстого, что даже и тонкого намёка на братанов Кличко, по понятным причинам...

Впрочем, мы отвлеклись. Лулзогенерирующим фактором для нашей либералистичной и охуенно во всём разбирающейся обчественности намедни был объявлен выход смартфона «Ермак», дескать цена в две штуки долляров не соответствует начинке. «Ахахаха... давайте подождём навигаторов Иван Сусанин». Мде... Хули ржут, если дураками выросли мне не ясно. Рискну подумать над тем, что к чему на трезвую голову.

А вот кому надо прочесть, тот прочтёт, я в курсе что меня читают те, кому это надо. ;)

Итак. «Ермак».
Впрочем, давайте с начала? Если кто помнит, то были такие аппараты как Nokia N900. https://ru.wikipedia.org/wiki/Nokia_N900 У меня, кстати, такой полу-дохлый на полке пылится. Чем интересен данный аппарат? А тем, что его софт был создан на базе операционной системы Linux. Операционная система, используемая в данном аппарате, называлась Maemo. Что было под капотом? Практически полная установка Linux (на основе Debian), графическая оболочка hildon от создателей Ubuntu, Canonical, основанная на GTK+.

Да, туда ставился gcc и было проведено немало интересных экспериментов со свеженаписанным софтом, т.к. и Wi-Fi и... впрочем, мы опять отвлеклись.

Основная заслуга данной ОС была в том, что миру было показано то, что Linux для мобильных платформ это именно то, что прописано доктором. Подходя формально, в принципе и android это так же Linux, в особенности если учесть инициативу AOSP (https://source.android.com/) оно же Android Open Source Project. Т.е., да, чисто теоретически любой, кто мал-мала понимает что такое Linux и как и что в нём, опять-таки чисто теоретически может собрать себе свою версию прошивки для своего ненаглядного девайса. Как делавший это, не могу не заметить что хорошо, что мало кто понимает что и как в Linux. Иначе прошивки плодились бы как ежи в Подмосковье. И творился бы просто адский пиздец в и без того изрядно фрагментированной экосистеме android. Но да Бог бы с ним...

Итак, мы подошли к очень важному моменту. Как все в курсе, в один прекрасный день все выяснили что Microsoft купил Nokia. Надо заметить что у M$ был комплекс неполноценности из-за того, что их ебанина есть практически везде, но вот на мобильники её как-то не особо рвутся ставить. Эпические проёбы в части Pocket PC и, далее WinMobile это подтверждают. А тут хоба-хоба и есть готовенький производитель и железа и софта.

Работа в корпорации зла привлекла не всех, так что появились беглецы из курятника. Одни из таких беглецов и организовали компанию Jolla в Финляндии. Основной продукт данной компании это операционная система Sailfish Mobile OS. Т.е., это логическое продолжение всё той же Meego, которая была в своё время, правда не для всех, но прорывом.

Теперь о «Ермаке» всё-таки. Сам по себе смартфон по железу имеет процессор Qualcomm Snapdragon MSM 8960 с тактовой частотой 1.5 ГГц, 1 Гб «оперативки» и постоянную память 8 Гб, которую можно увеличить до 32 Гб флэш-картой, дисплей диагональю 4.5 дюйма и разрешением 1280х720 пикселей, а также 8-мегапиксельную камеру с автофокусом и вспышкой. Смартфон оборудован модулем связи 3G/4G LTE на 2 сим-картах и навигационным блоком GPS/ГЛОНАСС.

В принципе, по железу, казалось бы, скромненько. Но на мой взгляд, тут куда как интереснее навесные модули. Там предполагается оснащение модулем RFID для работы с бесконтактными метками, сканером отпечатков пальцев и даже такой экзотическим устройством, как считыватель машиночитаемой зоны паспортов и акцизных марок.

Т.е., предполагается что получится такая рабочая лошадка для различных областей применения прежде всего госструктурами. Если сюда добавить то, что смартфон должен выдерживать порядка 30 падений с высоты полтора метра и он защищён по IP65, то получается ни хуя не ахахазвонилка. Тут можно пристегнуть любые базы. Например, считать данные паспорта и пробить по спецбазе. Не сходя с места.

А при чём здесь Jolla? При том, что ОС, на которой работает данный смартфон, это Sailfish Mobile OS RUS, т.е., ОС, которая полностью открыта и может быть подвержена, точнее, и была подвергнута анализу и расширена рядом специфичных программных расширений. Прежде всего это касается крипты. По софту, со слов представителей Jolla, их ОС позволяет использовать как родной софт, так и софт из android. Это и хорошо и плохо. Нативный код для Sailfish пишется на С++, использующие QtCreator найдут много знакомого. В принципе, если что-то не особо критичное, то на JavaScript + QML. Но вот Java-код от android, в режиме эмуляции, в общем, я х.з. Хотя, почему и нет, если dalvik или более новая ART перенесены и работают корректно... В общем, тут есть в чём поколупаться.

Что касаемо цены. Данный смартфон будет полностью производиться на территории РФ. Понятно, что чем больше партия, тем ниже цена, да и начинка здесь крайне интересная получается, не скрою. Но за две штуки баксов? С такой... специфичной начинкой? Странно, но почему-то, ни кого не смущает наличие в руках у нашего недофутболиста аппарата Vertu по цене в 624 000руб., но вызывает смех телефон, по сути дела, переносной терминал для обработки данных для силовых структур. Само собой что данный аппарат имеет все лицензии-сертификаты ФСТЭК/ФСБ/МВД и прочая-прочая. Всегда знал что креаклы ебануты, т.к. они сравнивают свой говноайфон, произведённый безвестными китайцами-героями капиталистического труда и, как ни крути, а промышленный смартфон. Рекомендую не смотреть цены на серьёзные машинки этого касса, расстроитесь. Причём, на андроиде и не имеющих серьёзной защиты данных в общем и целом. Не то, чтобы Google Play был проходным двором, но требования к софту по доступу таки читать надо и там. Иначе будете долго удивляться нахера фонарику, который установлен в Вашем смарте, доступ к геолокации.

Вообще, на данной ОС к продаже готовится три модели. Это сам по себе «Ермак», Jolla JP-1301 и смартфон Oysters. Что там и как, короче, будем посмотреть.

Вторая новость. Это мы обсуждали в своё время с homo_nesapiens. Компания Samsung наконец-то довезла до российского рынка, или вот-вот довезёт, т.к. открыт предзаказ, такой свой аппарат как Samsung Z3. Он, по странному совпадению, так же построен на базе открытой ОС, но уже Tizen. Это другая ОС, но так же на базе Linux и линуксячьих библиотек. Так же имеет все потребные сертификаты-лицензии для применения в гсструктурах и силовых ведомствах.

Предзаказ здесь — http://www.linuxcenter.ru/tizen/samsung-z3 Со скидкой в 15% он стоит 16100р. В Индии цена без LTE была в районе $200. Но брать где-то там не стоит. За серый мобильник сейчас можно подзалететь на штраф. Да и без LTE как-то некузяво, если честно.

По железу.
Дисплей 5.0” HD (720x1280) sAMOLED
Чипсет MSM8916 (Quad A53 1.2 GHz)
Диапазоны LTE Cat.4 800/850/900/1800/2100/2600
HSPA+ 42/5.76 850/900/1900/2100
GSM/GPRS/EDGE 850/900/1800/1900
Поддержка LTE Cat.4, VoLTE Capable
Память 1 GB (RAM) + 8 GB (eMMC) microSD до 128 GB
Камера 8 MP(F2.2) +5 MP(F2.2) w/ Flash
Разъемы MicroUSB, USB 2.0, 3.5mm
Датчики Акселерометр, расстояние
Беспроводные соединения BT 4.1, WiFi b/g/n, Wi-Fi Direct
Навигация GPS, Глонасс
Габариты, Вес 141.5 X 69.9 X 7.9 mm, TBD
Емкость батареи 2600 mAh
Версия ОС Tizen 2.4
Графический интерфейс Tizen UX 2015
Сервисы Samsung
Приложения Доступ к глобальным сервисам закрыт
Установка приложения через доверенную MDM-систему
Синхронизация SmartSwitchPC
Радио FM Radio / RDS
Видео Запись: FHD @30fps
Воспроизведение: FHD @30fps
Другое Поддержка двух SIM-карт


По софту. Да, язык написания здесь так же С++, но более широкая поддержка С. Хотя, Tizen позволяет писать и на HTML5 + JavaScript. Пользовательский интерфейс здесь свой. Сделан неплохо, жрёт ресурсов мало. Отладка возможна и через GDB и в Valgrind, впрочем, это уже программерские тонкости. Может ли запускать андроид-прилады? Я не знаю. Я знаю только то, что софта под Tizen пока весьма мало, но софт писать довольно просто, там API неплохой. Устанавливаться данный софт будет через инфраструктуру Samsung. Хотя, сейчас создан консорциум Tizen.ru, в который входит и Samsung в том числе.

Ну и третий момент. Никогда не понимал людей, которых хлебом не корми, дай свои данные в облако засунуть. Здесь я говорю о том, что всё дерьмо лучше, всё-таки, носить с собой. Правда, надо так же заметить что стоимость средств по защите информации определяется её ценностью. И здесь я должен повинится перед одним своим добрым знакомым.

Я говорю о том, случае, когда я рекомендовал ему использовать Iron Key. Я спросил насколько там сурьёзные люди? Он сказал что весьма-весьма. Я и порекомендовал. Вот только забыл сказать что данные флешки не переносят десятикратного ошибочного ввода пароля. На 11 раз производится физическое разрушение носителя. Оно так же производится если разобрать такую флешку, отколупать компаунд и попробовать припаяться напрямую на ножки микрухи памяти.

Флешка может работать во всех современных осях, просто выскакивает 10 раз окошко для ввода пароля и на 11-й, если пароль неверен, то всё. Пиздарики. То ли дитёнку флешка в руки попала, да он там папанькину порнушку поискать возжелала, то ли с бухих глаз кто пароль вводил, короче. несмотря на высокую стоимость этих флешек да, механизм работает... :)))

Для шифрации там используется AES с длиной ключа в 256 бит, плюс может быть установлен софт для работы в сети «Tor». Весчь. Рекомендую, если оно того требует. ;)

UPD. Я только добавлю что если учесть наличие списка в Росреестре и если эти мобильники туда попадут, то для нужд госструктур будет прекращен закуп всякого маловразумительного говна с такими анальными зондами, что они за малым делом за мебель не цепляются.

Заодно внутренним разработчикам будет чем заняться. ЕМНИП,у Jolla задняя крышка аппаратов позволяла создавать аппаратные модификации.

Вот как-то вот так, короче. Но, чую, пуканы не хило кое у кого сдетонируют. ;)))