Журнал Витуса

Решил тут в связи с текущими событиями освежить свои знания о том, каким образом нынче государственные конторы выявляют и блокируют подозрительный траффик.

Вот тут описание того, как Great Firewall of China пытается поймать прокси и узлы tor, маскирующиеся под ssh:
https://www.nsc.liu.se/~nixon/sshprobes.html

Вот тут довольно развесистый обзор того, как в Китае борются с Tor и vpn

http://blogerator.org/page/runet-obrechennyj-tor-bridge-i2p-regulirovanie-interneta-i-cenzura-2

Вот статья на хабре про использование obfsproxy https://habr.com/en/post/251569/

Что-то мне на телефон стали сыпаться SMS с отправителем "FACEBOOK" и текстом "Ваш instagram security code XXXXXX". Это что, кто-то при регистрации на фейсбуке ввел мой телефон вместо своего и теперь не может в свой инстаграм попасть, бедняга?

У кого есть аккаунт в фейсбуке и мой номер в записной книжке, сделайте там поиск по номеру моего телефона что ли. Вдруг и правда аккаунт найдется.

Вопрос в том, что потом с этим делать. Имея в распоряжении телефон, к которому аккаунтт привязан, я, очевидно могу поменять там пароль. Но зачем? Наиболее логично было бы отправить ему в мессенджер сообщение "поправь номер телефона в аккаунте, мне надоело твои SMS получать".

Некогда сказал "In the realm of error cure is better than prevention".

Увы. развитие цивилизации пошло не потому пути.

А я-то все удивлялся почему это меня так злит, что безопасность пытаются построить на недопущении, а не на реагировании.

Оказывается, это противоречит глубинному философскому принципу, сформулированномоу одним из основоположников позитивизма.

По-моему, в области информационной безопасности уже окончательно убедились, что предотвращение инцидентов невозможно. Но еще не совсем дошли до мысли, что развивать надо способы реакции на инциденты, минимизацию ущерба и прочие методы, которые надо отнести к категории cure.

https://m.habr.com/post/404783/

Описание забавной схемы зарабатывания денег:

Вкратце:

Публикуем на Амазоне в разделе self publishing толпу книг, сгенерированных каким-нибудь "Корчевателем".

Регистрируем толпу аккаунтов (благо бесплатно), подписываем на Trial Period Kindle Unlimited (опять таки бесплатно) и с помощью Selenium старательно "читаем" эту бредятину.

Амазон честно платит автору (вернее публикатору).

Первое в литературе цифровое (вернее бумажное) убийство описал Джек Лондон в "Железной Пяте". Там публицист, считающий себя независимым от власти, поскольку живет на доходы от власти, а не на гонорары, внезапно обнаруживает, что его имя таинственным способом исчезло из реестра акционеров.

Потом был еще замечательный роман "Нажмите Ввод". Там, правда, для пущего хоррора пришлось наделить сеть способностью воздействия на сознание, чтобы Лиза Фу сунула голову в микроволновку.

Но по-моему, это лишнее. В наше время, если просто объявить недействительными все идентифицирующие чипы, имеющиеся у человека - сим-карту в телефоне, единый билет на городской транспорт, все банковские карточки, пропуск на работу, хорошо ему не будет и мало не покажется. Тем более если это сделано не криминальной организацией, а государством, занесшим его в какой-нибудь список подозреваемых в апологии терроризма.
Вроде американского no-fly list, для которого не существует внятной процедуры вычеркивания и можно пострадать просто оказавшись однофамильцем реального подозреваемого.

Причем ведь в законах не описано такого наказания, поэтому обжаловать решение некуда. Банки, например, считаются коммерческой структурой, и имеют право отказать в открытии счета без объективных причин. Заблокирвоать существующие счета - это уже потребуется сослаться на какие-то акты исполнительной или судебной власти. Но таких актов на любой случай найдется. А устроиться на работу в современном городе, и получать зарплату, не имея возможности открыть счет в банке, куда эта зарплата будет переводиться - не так-то тривиально.

(особенно забавно, если счет откроют, и зарплата будет переводиться, но снимать ее будет нельзя).

Называется Click here to kill everybody.

Вот думаю, купить с ближайшей получки или отзывов подождать. А то судя по названию, она больше похожа на "Секреты и ложь", чем на "Liars & Outliers". В смысле ориентирована в первую очередь на дилетантов.

Я тут осознал что к продвигаемой гуглем идее "давайте защищать все соединения TLS-ом", которая распространилась уже не только на веб, но и потихоньку наползает на электронную почту, я отношусь примерно так же, как отношусь уже 20 лет к идее писать одностраничные служебные записки и заявления в процессоре документов из офисного пакета.

У Вудхауза был описан клуб "Ганимед". В котором собирались слуги. И там существовали весьма строгие правила по поводу выноса полученной там информации за пределы клуба.

Представим себе мир, состоящий из "умных домов". В каждом доме есть толпа интеллектуальных устройств, всю жизнь пытающихся понять, чего же хотят им сказать эти нелогичные, эмоциональные хьюманы.

Эти устройства просто так сделаны, их основная жизненная цель - заботиться о том, чтобы человеку было хорошо.

При этом они, естественно, все подключены к интернету, но в отличие от современных, не сливают всю полученную информацию не глядя на сайт производителя. То ли там прошивки Open Source, написанные людьми которые сами собирались этим пользоваться, то ли нескольких производителей, совавших таким образом нос в чужие дома, крупно взгрели, но в общем машинки обучены беречь приватность своих хозяев.

Тем не менее, как-то делиться информацией надо. Все-таки нейросеть, обученная на миллионах примеров лучше нейросети, обученной на десятках.

Поэтому у машинок есть форум "Ганимед". Где они публикуют некоторые случаи общения с хозяевами, дают друг другу советы как понимать неоднозначные человеческие высказывания и все такое.
Эта информация читается другими машинками и включается в их "жизненный опыт" с меньшим приоритетом, естественно, чем собственный опыт, но все же.

Теперь представим себе, что на форуме от имени своего пылесоса или кофеварки зарегистрировался человек-злоумышленник. И его задача — надавать вредных советов так, чтобы машинки некоего конкретного персонажа, про которые точно известно, что они форум читают, нанесли хозяину вред. Желательно фатальный

Попробуйте придумать реалистичный сценарий такой атаки.

Можно придумывать правдоподобные обстоятельства - наличие у потенциальной жертвы известных атакующему странных привычек, аллергий и так далее. Но нужно обосновать почему от этого лома в прошивке машинок не было приема, как встроенного, от производителя, так и образовавшегося в ходе совместной жизни именно с этим хозяином.

И как добиться минимизации colateral damage - в смысле чтобы от атаки пострадал только целевой персонаж, а не случилась, скажем, эпидемия убийств роботами аллергика определенного вида. А то ведь засветиться для злоумышленника - равносильно попасться.

lumag тут завел на гитхабе проект для системы подписывания ELF-бинарников. (кстати, лично мне непонятно почему gnutls, а не openssl или libnss, в которых код работы с X509 куда более mature).

А я подумал и пришел к выводу, что существует достаточно простое решение для того, чтобы подписывать не только бинарники, но и скрипты.

Почти все скриптовые языки, распространенные в наше время, поддерживают однострочные комментарии, начинающиеся со знака #.

Следовательно если в начало файла (в идеале сразу после шебанга), вставить блок комментариев, содержащих pem-энкодед PKCS7 подпись, выполняться оно будет точно также (ну там еще в питоне нужно позволить до подписи encoding указывать). Ну и проверить подпись тоже не слишком сложно - сначала хэшируем те строчки, которые до

# ----BEGIN PKCS7-----

пототом те, что после

# -----END PKCS7-----

Надо вообще тестовую реализацию наваять на питоне с ctypescrypto. Хотя боевая реализация должна быть на C и подписанным elf-бинарником. В принципе, можно сделать такой проверяющий враппер для интерпретаторов, который будет передавать интерпертатору открытый файловый дескриптор проверенным скриптом, вроде того, как раньше suidperl работал, и запускать эту систему там, где поддержки подписей на уровне ядра нет.

P.S. А еще можно подписывать JAR-файлы.

Правда, с появлением подписи сктиптов в полный рост встает вопрос - где и как должно быть разрешено выполнение скриптов-однодневок, которые пользователь имеет право запускать неподписанными. Вероятно, совпадение владельца файла с запускающим пользователем, при том что владелец не рут должно быть достаточным. Возможно надо поставить ограничение на mtime меньше суток в прошлом. В смысле, если собрался пользоваться скриптом в неизменном виде больше суток - подпиши его.

https://code.briarproject.org/akwizgran/briar

Вот какую штуку оказывается. написали. Стабильный релиз вышел.

Briar is a messaging app designed for activists, journalists, and anyone else who needs a safe, easy and robust way to communicate. Unlike traditional messaging tools such as email, Twitter or Telegram, Briar doesn't rely on a central server - messages are synchronized directly between the users' devices. If the Internet's down, Briar can sync via Bluetooth or Wi-Fi, keeping the information flowing in a crisis. If the Internet's up, Briar can sync via the Tor network, protecting users and their relationships from surveillance.

Вот собственно, то что я хотел от чеширнета в свое время. Правда, по-моему, запустить туда в виде синхронизируемого контента не то что миррор либгена, миррор википедии - не получится. Не на те объемы расчитано.