vitus_wagner: My photo 2005 (Default)
Решил тут в связи с текущими событиями освежить свои знания о том, каким образом нынче государственные конторы выявляют и блокируют подозрительный траффик.

Вот тут описание того, как Great Firewall of China пытается поймать прокси и узлы tor, маскирующиеся под ssh:
https://www.nsc.liu.se/~nixon/sshprobes.html

Вот тут довольно развесистый обзор того, как в Китае борются с Tor и vpn

http://blogerator.org/page/runet-obrechennyj-tor-bridge-i2p-regulirovanie-interneta-i-cenzura-2

Вот статья на хабре про использование obfsproxy https://habr.com/en/post/251569/
vitus_wagner: My photo 2005 (Default)
Начнем с того, что было бы интересно услышать мнение жителей Крыма о том, насколько стране необходимо, чтобы интернет мог работать при отключении заграничных каналов. Их-то отключили отнюдь не волей Роскомнадзора.

Но вообще обеспечивать работспособность интернета в России в случае враждебных действий других стран нужно другим путем.

Первое, что следует сделать, это уволить с государственной службы всех, кто пользуется айфонами.
Да, начиная с премьер-министра. Стоило бы отдать под суд по статье 283, но по-моему пожизенного запрета на работу в государственных органах хватит.

Тем, кто пользуется андроидом отдел ИБ соответсвующих госконтор должен либо поставить опенсурсную прошивку, доступную для аудита, либо хотя бы рутануть телефон и вычистить оттуда шпионские приложения (в первую очередь gapps).

Во-вторых, уволить всех кто испьзует для рабочей переписке адреса на gmail, hotmail и прочие адреса отличные от почтового сервера соответствующей государственной организации.

Во-вторых. оштрафовать на два месячнхы оклада всех, кто использует для рабочих переговоров скайп, фейсбук мессенджер и т.д. Тех. кто использует вконтакт или мейлру-агент - оштрафовать на один месячный оклад.
Потому что для обсуждения вопросов государственной важности коммерческие мессенжеры использовать недопустимо, даже если они российские. Только корпоративный jabber.

То есть господам чиновникам следовало бы начать с себя. Подумать о том, что будет конкретно с ниии их привычными процедурами, если вдруг им отрубят доступ к американским серверам. А если к китайским?

Если в процессе выяснится, что для обеспечения бесперебойной работы информационных систем государственных организаций России требуются изменения в роутинге, вот тогда пинать провайдеров, организовывать прокладку дополнительных оптоволоконных линий и т.д.

А то 20 миллиардов казеных денег куда-нибудь ухнут а от пьяного финского тракториста рунет по-прежнему будет беззащитен.
vitus_wagner: My photo 2005 (Default)
Что-то мне на телефон стали сыпаться SMS с отправителем "FACEBOOK" и текстом "Ваш instagram security code XXXXXX". Это что, кто-то при регистрации на фейсбуке ввел мой телефон вместо своего и теперь не может в свой инстаграм попасть, бедняга?

У кого есть аккаунт в фейсбуке и мой номер в записной книжке, сделайте там поиск по номеру моего телефона что ли. Вдруг и правда аккаунт найдется.

Вопрос в том, что потом с этим делать. Имея в распоряжении телефон, к которому аккаунтт привязан, я, очевидно могу поменять там пароль. Но зачем? Наиболее логично было бы отправить ему в мессенджер сообщение "поправь номер телефона в аккаунте, мне надоело твои SMS получать".
vitus_wagner: My photo 2005 (Default)
Некогда сказал "In the realm of error cure is better than prevention".

Увы. развитие цивилизации пошло не потому пути.

А я-то все удивлялся почему это меня так злит, что безопасность пытаются построить на недопущении, а не на реагировании.

Оказывается, это противоречит глубинному философскому принципу, сформулированномоу одним из основоположников позитивизма.

По-моему, в области информационной безопасности уже окончательно убедились, что предотвращение инцидентов невозможно. Но еще не совсем дошли до мысли, что развивать надо способы реакции на инциденты, минимизацию ущерба и прочие методы, которые надо отнести к категории cure.
vitus_wagner: My photo 2005 (Default)
https://m.habr.com/post/404783/

Описание забавной схемы зарабатывания денег:

Вкратце:

Публикуем на Амазоне в разделе self publishing толпу книг, сгенерированных каким-нибудь "Корчевателем".

Регистрируем толпу аккаунтов (благо бесплатно), подписываем на Trial Period Kindle Unlimited (опять таки бесплатно) и с помощью Selenium старательно "читаем" эту бредятину.

Амазон честно платит автору (вернее публикатору).
vitus_wagner: My photo 2005 (Default)
Пишут что Apple подала на патент, описывающий персонального голосового помошника, работающего исключительно на пользовательском девайсе, без обращения к серверам производителя.

Вот интересно что это - то ли в Эппле увидели в этом рыночную нишу, то ли наоборот, боятся что появление аналогичных систем в опенсурсе убъет их возможность шпионить за пользователем, и хотят воспользоваться патентным правом для борьбы?
vitus_wagner: My photo 2005 (Default)
Первое в литературе цифровое (вернее бумажное) убийство описал Джек Лондон в "Железной Пяте". Там публицист, считающий себя независимым от власти, поскольку живет на доходы от власти, а не на гонорары, внезапно обнаруживает, что его имя таинственным способом исчезло из реестра акционеров.

Потом был еще замечательный роман "Нажмите Ввод". Там, правда, для пущего хоррора пришлось наделить сеть способностью воздействия на сознание, чтобы Лиза Фу сунула голову в микроволновку.

Но по-моему, это лишнее. В наше время, если просто объявить недействительными все идентифицирующие чипы, имеющиеся у человека - сим-карту в телефоне, единый билет на городской транспорт, все банковские карточки, пропуск на работу, хорошо ему не будет и мало не покажется. Тем более если это сделано не криминальной организацией, а государством, занесшим его в какой-нибудь список подозреваемых в апологии терроризма.
Вроде американского no-fly list, для которого не существует внятной процедуры вычеркивания и можно пострадать просто оказавшись однофамильцем реального подозреваемого.

Причем ведь в законах не описано такого наказания, поэтому обжаловать решение некуда. Банки, например, считаются коммерческой структурой, и имеют право отказать в открытии счета без объективных причин. Заблокирвоать существующие счета - это уже потребуется сослаться на какие-то акты исполнительной или судебной власти. Но таких актов на любой случай найдется. А устроиться на работу в современном городе, и получать зарплату, не имея возможности открыть счет в банке, куда эта зарплата будет переводиться - не так-то тривиально.

(особенно забавно, если счет откроют, и зарплата будет переводиться, но снимать ее будет нельзя).
vitus_wagner: My photo 2005 (Default)
Не удержался купил вчера на Амазоне свежую книгу Шнайера. Про безопасность интернета вещей.
Пока только начал читать. Но почти первое на что наткнулся - количество устройств, подключенных к Интернету уже составляет 8 миллиардов - вдвое превосходит возможный диапазон IPv4. И будет еще расти.

Книга, на мой взгляд, расчитана на неспециалистов в области IT. Судя по стилю предисловия, должна быть понятна более-менее любому технически грамотному человеку.

Больше пока впечатлений нет.
vitus_wagner: My photo 2005 (Default)
Называется Click here to kill everybody.

Вот думаю, купить с ближайшей получки или отзывов подождать. А то судя по названию, она больше похожа на "Секреты и ложь", чем на "Liars & Outliers". В смысле ориентирована в первую очередь на дилетантов.
vitus_wagner: My photo 2005 (Default)
“As a state based on the rule of law, we can only lose a cyber politics arms race with states like China, North Korea or Russia,” said Greens lawmaker Konstantin von Notz.

via Reuters

Если мужик прав (а в общем он не с бухты-барахты про это сказал), то отказываться придется не от участия в cyber arms race, а от концепции "state based on the rule of law".

Поскольку отказаться от connected world - это для современной высокотехнологичной страны - самоубийство. Ну то есть "зеленые" могут призывать к отказу, но ХДС/ХСС и социал-демократы - те партии, которые формируют правительства, понимают где тут экономический базис, а где — декорация.

Отдельно забавляет заголовок "Germany, seeking independence from US...".
vitus_wagner: My photo 2005 (Default)
Я тут осознал что к продвигаемой гуглем идее "давайте защищать все соединения TLS-ом", которая распространилась уже не только на веб, но и потихоньку наползает на электронную почту, я отношусь примерно так же, как отношусь уже 20 лет к идее писать одностраничные служебные записки и заявления в процессоре документов из офисного пакета.
vitus_wagner: My photo 2005 (Default)
https://www.eff.org/deeplinks/2018/06/announcing-starttls-everywhere-securing-hop-hop-email-delivery

EFF анонсировала инициативу starttls everywhere. В смысле "давайте зашифруем весь SMTP-траффик".

Причем сайт, через который они предлагают проверяться у них кривой. Я ожидал от них отчета в стиле который имели в свое время ssllabs
Длинный список с галочками


  • команда starttls поддерживается OK
  • список шифрсьютов современный OK
  • сертификат соответствует доменному имени тут у вас фигня какая-то
  • сертификат выписан известным нам authority фигня какая-то

А получаю "security of your mailbox is not so great" и все.
Блин, теперь, похоже все-таки придется на постфикс поставить сертификат от lets encrypt. А то начнут тут всякие проверять сертификаты у SMTP, у меня почта ходить перестанет. Хотя с моей точки зрения мой CA безопаснее lets'encrypt и starttls я там держу в основном ради своего почтового пароля. Интересно, а можно в postfix прикрутить разные сертификаты на 25 и 465 порты? Ну или хотя бы на 25 и 587?

P.S. А ssllabs говорит, что у меня категорически не хватает CAA записей в DNS.
vitus_wagner: My photo 2005 (Default)
У Вудхауза был описан клуб "Ганимед". В котором собирались слуги. И там существовали весьма строгие правила по поводу выноса полученной там информации за пределы клуба.

Представим себе мир, состоящий из "умных домов". В каждом доме есть толпа интеллектуальных устройств, всю жизнь пытающихся понять, чего же хотят им сказать эти нелогичные, эмоциональные хьюманы.

Эти устройства просто так сделаны, их основная жизненная цель - заботиться о том, чтобы человеку было хорошо.

При этом они, естественно, все подключены к интернету, но в отличие от современных, не сливают всю полученную информацию не глядя на сайт производителя. То ли там прошивки Open Source, написанные людьми которые сами собирались этим пользоваться, то ли нескольких производителей, совавших таким образом нос в чужие дома, крупно взгрели, но в общем машинки обучены беречь приватность своих хозяев.

Тем не менее, как-то делиться информацией надо. Все-таки нейросеть, обученная на миллионах примеров лучше нейросети, обученной на десятках.

Поэтому у машинок есть форум "Ганимед". Где они публикуют некоторые случаи общения с хозяевами, дают друг другу советы как понимать неоднозначные человеческие высказывания и все такое.
Эта информация читается другими машинками и включается в их "жизненный опыт" с меньшим приоритетом, естественно, чем собственный опыт, но все же.

Теперь представим себе, что на форуме от имени своего пылесоса или кофеварки зарегистрировался человек-злоумышленник. И его задача — надавать вредных советов так, чтобы машинки некоего конкретного персонажа, про которые точно известно, что они форум читают, нанесли хозяину вред. Желательно фатальный

Попробуйте придумать реалистичный сценарий такой атаки.

Можно придумывать правдоподобные обстоятельства - наличие у потенциальной жертвы известных атакующему странных привычек, аллергий и так далее. Но нужно обосновать почему от этого лома в прошивке машинок не было приема, как встроенного, от производителя, так и образовавшегося в ходе совместной жизни именно с этим хозяином.

И как добиться минимизации colateral damage - в смысле чтобы от атаки пострадал только целевой персонаж, а не случилась, скажем, эпидемия убийств роботами аллергика определенного вида. А то ведь засветиться для злоумышленника - равносильно попасться.
vitus_wagner: My photo 2005 (Default)
https://www.schneier.com/blog/archives/2018/06/russian_censors.html

Выводы, кстати, неутешительные. В интернете, где 90% инфраструктуры принадлежит крупным корпорациям - облачным провайдерам и поставщикам мобильных платформ, у цензуры больше возможностей, чем в реально децентрализованной системе.

Корпорации выгодней прогнуться под цензуру, чем нарваться на запрет деятельности в стране.
vitus_wagner: My photo 2005 (Default)
[personal profile] lumag тут завел на гитхабе проект для системы подписывания ELF-бинарников. (кстати, лично мне непонятно почему gnutls, а не openssl или libnss, в которых код работы с X509 куда более mature).

А я подумал и пришел к выводу, что существует достаточно простое решение для того, чтобы подписывать не только бинарники, но и скрипты.

Почти все скриптовые языки, распространенные в наше время, поддерживают однострочные комментарии, начинающиеся со знака #.

Следовательно если в начало файла (в идеале сразу после шебанга), вставить блок комментариев, содержащих pem-энкодед PKCS7 подпись, выполняться оно будет точно также (ну там еще в питоне нужно позволить до подписи encoding указывать). Ну и проверить подпись тоже не слишком сложно - сначала хэшируем те строчки, которые до
# ----BEGIN PKCS7-----
пототом те, что после
# -----END PKCS7-----


Надо вообще тестовую реализацию наваять на питоне с ctypescrypto. Хотя боевая реализация должна быть на C и подписанным elf-бинарником. В принципе, можно сделать такой проверяющий враппер для интерпретаторов, который будет передавать интерпертатору открытый файловый дескриптор проверенным скриптом, вроде того, как раньше suidperl работал, и запускать эту систему там, где поддержки подписей на уровне ядра нет.

P.S. А еще можно подписывать JAR-файлы.

Правда, с появлением подписи сктиптов в полный рост встает вопрос - где и как должно быть разрешено выполнение скриптов-однодневок, которые пользователь имеет право запускать неподписанными. Вероятно, совпадение владельца файла с запускающим пользователем, при том что владелец не рут должно быть достаточным. Возможно надо поставить ограничение на mtime меньше суток в прошлом. В смысле, если собрался пользоваться скриптом в неизменном виде больше суток - подпиши его.

eFail

May. 15th, 2018 11:12 am
vitus_wagner: My photo 2005 (Default)
Вот чего я не пойму про этот самый eFail так это с какого перепуга почтовые клиенты грузят в защищенное письмо внешний контент.

Браузеры еще в прошлом веке научились матерно ругаться если на https-страничке присутствуют http-картинки.

Ну и тут надо также - если у тебя подписанное или зашифрованное письмо, показывать в нем можно только картинки, которые пришли в качестве MIME-частей ТОГО ЖЕ письма, и защищены той же подписью/шифром.

А наличие в подписанном/зашифрованном письме незащищенной mime-части должно служить поводом для паники-паники и выкидыванию большого красного диалога на весь экран "это письмо кто-то корежил по дороге".

Briar - 1.0

May. 1st, 2018 04:05 pm
vitus_wagner: My photo 2005 (Default)
https://code.briarproject.org/akwizgran/briar

Вот какую штуку оказывается. написали. Стабильный релиз вышел.

Briar is a messaging app designed for activists, journalists, and anyone else who needs a safe, easy and robust way to communicate. Unlike traditional messaging tools such as email, Twitter or Telegram, Briar doesn't rely on a central server - messages are synchronized directly between the users' devices. If the Internet's down, Briar can sync via Bluetooth or Wi-Fi, keeping the information flowing in a crisis. If the Internet's up, Briar can sync via the Tor network, protecting users and their relationships from surveillance.

Вот собственно, то что я хотел от чеширнета в свое время. Правда, по-моему, запустить туда в виде синхронизируемого контента не то что миррор либгена, миррор википедии - не получится. Не на те объемы расчитано.
vitus_wagner: My photo 2005 (Default)
Вот интересно, почему проект DigSig сдох почти десять лет назад, а от bsign-а вообще следов не найдешь, кроме как в древних-древних архивах дебиана и убунты?

В принципе ж классная идея. Намного лучше чем всякие aide и integrit.

Особенно если вместо gpg-шных подписей туда положить CMS-ные. Ну и соответствующую ключевую инфраструктуру выстроить (ровно ту, которая у меня в Детях Пространства описана - корень доверия - ключ владельца компьютера, который выписывает на ключ производителя дистрибутива сертификат с pathLen=1).

По нынешним временам, когда все ломают всех верификация бинарника при загрузке - это очень полезная вещь. Причем, при налаженном процессе разработки это не сложнее. чем подписывать пакеты (что делают все rpm-based дистрибутивы) или их метаинформацию
(что делают некоторые rpm-based и все deb-based)

Profile

vitus_wagner: My photo 2005 (Default)
vitus_wagner

April 2019

S M T W T F S
  1 2 3 456
789 10 11 12 13
14 15 16 17181920
21222324252627
282930    

Syndicate

RSS Atom

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Apr. 19th, 2019 12:16 pm
Powered by Dreamwidth Studios