https://motherboard.vice.com/read/exploit-company-exodus-sold-firefox-zero-day-earlier-this-year

One research company gave details of the exploit method used to a defensive cybersecurity firm last year so it could protect its own clients’ systems.

Дефенсивщики, которые год сидят на зиродее "для защиты своих клиентов".

Does not compute.
когда говорил, что разработчики "кибероружия" и шпионских программ для правительственных нужд ничем не отличаются от блэкхетов и не имеют ни малейшейшего права на какой-либо специальный статус как юридически, так и морально.

В действительности они гораздо хуже, так как используют государственные системы "доверия" для обеспечения длительной актуальности продукта и нечестной конкуренции, в том числе гарантируя, что их информация точно не попадет в "хорошие" руки иначе как случайно. Только в "плохие". Тогда как у обычного блэкхета этого механизма нет, кто деньги заплатил, тот и купил. Что, очевидно, несправедливо. Хотя способа отрегулировать это как-то в пользу общества, а не репрессивных режимов, в принципе не существует и поэтому я за развитие свободного рынка, это, видимо, неприятность с которой придется мириться: каждый вправе выбирать себе клиента.
ее недавно раздавали нахаляву, я скачал, прочитал и могу рекомендовать.

Несмотря на процитированную мной ранее смишную ересь и местами слишком подробное разжевывание того, как работают общеизвестные алгоритмы, это годное, подробное техническое описание, как сделан Bluecoat и подобные штуки и почему именно так.

https://drive.google.com/file/d/0B3GbRS09IiUtelFIY054a1dFWW8/view?usp=sharing

Алсо желающим поупражняться на тему реализуемости новых творений бешеного принтера могу посоветовать сразу читать восьмую главу "Ретроспективный анализ", там есть полезные циферки.
Tags:
И глаза мои кровоточат.

Securing the IoT is a complex problem. [..] Because it is embedded, the IoT device has limited computing power and resources, which limits the device’s ability to run sophisticated software such as a virus scanner. Such an embedded device
is typically powered by either a custom operating system (OS) or a special variant of a known OS. An embedded OS generally lacks security software that is commonly found in a desktop OS, for example, antivirus software. At the time of this writing, the popular Apple iOS has been on the market for over seven years, yet antivirus software for the iPhone and iPad is limited in both variety and functionality; more importantly, such antivirus software is rarely installed by iOS users.


Вон оно чо, Михалыч. Оказывается, проблема-то в том, что на антивирус ресурсов нехватает.
Tags:
Есть тенденция, которая мне очень не нравится.

Раньше, если ты говорил, что не очень рад необходимости доверять проприетарным компонентам и сторонним сервисам, будь то Intel, Apple, Microsoft, Google, Qualcomm и так далее и хотел бы ограничить поверхность атаки по этому вектору, над тобой безобидно гыгыкали и записывали в компанию фриков рядом со Столманом и предлагали закусить мозолью с ноги, купить "ноутбук на открытой архитектуре", который выглядит, как урод десятилетней давности и шапочку из фольги в комплект.

Это само по себе не очень хорошо. Не нужно доводить до абсурда. Те проблемы доверия, о которых проповедует Столман, остаются проблемами, даже если мы не готовы решать их так, как предлагает решать он.

Но теперь человека с подобными опасениями записывают в компанию с Ашмановым, предлагают навернуть говна с лопаты и купить себе "Эльбрус" и портрет Путина.

Это уже не смешно.
Tags:
1. Блаженное неведение. "Сейчас мы купим средства защиты нового поколения и нам будет безопасно".
2. Прозрение. "Серебряной пули нет, железо бессильно против изобретатального идиота, процессы и тренинги наше все".
3. Разочарование. "Люди тупые, тренинги не работают, комплаенс профанация и обман трудящихся, AI и ML рулит, сейчас мы купим средства защиты нового поколения и нам будет безопасно. Немношк.".
Tags:
SOLARIN-Flat-Front-with-UI-and-Notification

http://venturebeat.com/2016/05/31/sirin-labs-solarin/

Solarin promises “the most advanced privacy technology, currently unavailable outside the agency world,” and has partnered with KoolSpan to integrate chip-to-chip 256-bit AES encryption, similar to what the military uses to protect communications. It’s activated via a physical security switch on the back of the phone.

Ну и цена пятнашка баксов, само собой.

2016 год. Military-grade AES encryption, активируемое кнопкой на жопе. facepalm.jpg.

Вот что интересно:
идея "давайте сделаем Роллс-Ройс среди телефонов, а еще там должно быть крутое шифрование" она не то, чтобы новая или оригинальная.

Мало того, это самая первая очевидная идиотская бизнес-идея, которая приходит в голову человеку, далекому от мобильных телефонов или защищенных коммуникаций, но которому очень хочется что-то придумать и освоить чужих денег под это.

Но денег не дают. По ряду очевидных причин. R&D это дорого. Дорого независимо от того, сделал ты сто телефонов или десять миллионов. Покупателей полтора человека. Компетенций у тебя нет. В технической части ты обосрешься: обклеить поделие дядюшки Ляо платиной, титаном, сапфиром и стразиками дело нехитрое, но работать будет плохо и эргономика окажется на уровне дядюшки Ляо, даже хуже. Что касается "безопасности", то сразу забудь. Плюс на каждом твоем клиенте будет висеть мишень "я богатый, но не очень умный человек, и у меня есть, чем поживиться". Поддержка кастомного софта и железа влетит тебе в такую копеечку, что лучше бы ты там внутри ничего не трогал.

Ну то есть на выходе получится сугубо "имиджевый" продукт и конкурировать придется с другими "имиджевыми" продуктами. А их много и они разные.

Мало того, чувак, который закажет у ювелира кастомный мод Blackphone, выиграет и по имиджу и по функциональности.

Blackphone стоит $800. И это недорогая, простая и массовая штука, казалось бы. Но не лишенная проблем. И все его проблемы от того, что он недостаточно недорогой, простой и массовый. GSMK Cryptophone стоит $4K и его популярность уже несравнимо меньше (как мне кажется, статистики я не нашел), хотя он был первым, неплохо взлетел на Сноуденовской волне -- мне кажется, сейчас он переживает не лучшие времена, и сделан на обычном generic самсунге, а не каком-нибудь Верту, и тому были вполне конкретные причины.

Или эти люди знают что-то, чего не знаю я?

UPD: картинка сложилась:

According to Sirin Lab’s mythology, the idea for the project came after Rakishev’s phone was hacked, kicking off their hunt to create the dream phone without pesky concerns like costs getting in the way of perfection.

карманный проект богатого казаха
+

первый seed round в 2014, на пике пост-сноуденовской истерии
+

китайские деньги в качестве основной инвестиции.

Ну отлично работают товарищи евреи, могу позавидовать.
Tags:
интересно, материала накопилось уже, наверное, на приличную монографию.

Почему не было реального спроса до Сноудена, хотя "ничего нового не рассказали".
Почему "андерграундные" сообщества до поры до времени предпочитали какое-то колхозное говнище типа "супершифрованной аски от хакира Васи, которого мы все знаем, а в этом вашем OTR сплошные бэкдоры от АНБ", а потом как-то бодрячком переключились на Tox или Threema.
Почему после Сноудена не взлетела популярность ни одного из существующих решений, Adium/Pidgin продолжал проваливаться в старперское небытие, зато внезапно оказался востребованным Telegram.
Почему то же самое продолжается с PGP, причем существующие плагины постепенно теряют совместимость с актуальными версиями клиентов, а замены нет вообще, то есть юзабилити не улучшается, а портится.
Почему ничего лучше PGP так и не придумали, несмотря на его очевидные недостатки.
Почему s/mime это такой кошмар и ничего не сделано, чтобы это исправить и хотя бы сделать его пригодным для использования вне корпоративной среды.
Почему по-прежнему так все плохо с голосом.
Почему когда я пришел на конференцию опенсорсных мобильных разработчиков и сказал "чуваки, вы тут все равно пилите всякое считай за спасибо, сделайте нормальный zRTP на платформе, где уже все есть, ЗА ДЕНЬГИ, есть спонсор, результат отдам в паблик", никто даже не почесался.
Почему рынок "защищенных телефонов за большие деньги" есть, причем по-прежнему очень сомнительный с точки зрения доверия к производителю и способности покупателя удержаться "ниже радара", а рынка "удобного и безопасного voip для народа" нет, при том что все продолжают ныть про прослушку.
Ну и так далее.

Неужели никто до сих пор не написал? Я -- не буду, хочется, чтобы автор не был дилетантом как в инженерной психологии, так и в социальной.
Tags:

ох щи

May. 9th, 2016 06:10 pm
arkenoi: (default)
moxie: "I understand that federation and defined protocols that third parties can develop clients for are great and important ideas, but unfortunately they no longer have a place in the modern world."

https://github.com/LibreSignal/LibreSignal/issues/37
Tags:
..лучше всего иллюстрируется "предупреждением об использвании cookies" на сайтах.

Обратите внимание, что это a) функциональность, которая изначально была во всех браузерах и b) никем никогда не использовалась по причине полной практической бесполезности. Ну а теперь "мельтешит". Миллионы долларов в унитаз для того, чтобы эту бессмысленную херню везде развесить.

Зато заседали, постановили.

Что отдельно интересно, при этом ни один закон, реально регламентирующий прозрачность использования трекинговых данных, принят не был. Спасение утопающих по-прежнему дело самих утопающих, ghostery и privacy badger ваши друзья, а не евросоюз. Впрочем, к ghostery и к самим-то вопросы есть.

(дополнительное чтиво: https://en.wikipedia.org/wiki/Do_Not_Track_legislation )
NIST выпустил отчет по post-quantum crypto (коротенький и без новых откровений)
http://nvlpubs.nist.gov/nistpubs/ir/2016/NIST.IR.8105.pdf
TL;DR:

заменить на раз старые алгоритмы на новые заморочно (размер ключа обычно сильно больше), гарантированной устойчивости к квантовым вычислениям нет ни у какого шифрования, прочем, это ничем не лучше сегодняшней ситуации с существующими криптосистемами с открытым ключом. А вот с подписью на основе хэша все ок.

It seems improbable that any of the currently known algorithms can serve as a drop-in replacement for what is in use today. One challenge that will likely need to be overcome is that most of the quantum-resistant algorithms have larger key sizes than the algorithms they will replace. This may result in needing to change various Internet protocols, such as the Transport Layer Security (TLS) protocol, or the Internet Key Exchange (IKE). The ways in which this should be done must be carefully considered.
We note that none of the above proposals have been shown to guarantee security against all quantum attacks. A new quantum algorithm may be discovered which breaks some of these schemes. However, this is similar to the state today. Although most public key cryptosystems come with a security proof, these proofs are based on unproven assumptions. Thus the lack of known attacks is used to justify the security of public key cryptography currently in use. Nonetheless, NIST believes that more research and analysis are needed before any of the above proposed post-quantum algorithms could be recommended for use today. They have not received nearly as much scrutiny from the cryptographic community as the currently deployed algorithms. One exception is hash-based signatures, whose security is well-understood. For certain specific applications, such as digital code signing, hash-based signatures could potentially be standardized in the next few years.


DJB пинает QKD
https://sidechannels.cr.yp.to/qkd/holographic-20160326.pdf
(плюс у него развеселый срачик в твитере)
Как вы наверное знаете, я последнее время слегка упарываюсь по этой теме (больше в инфраструктурном аспекте, но и про безопасную разработку тоже интересуюсь)

Ситуация интересная: моновендорские решения говно. Полностью опенсорсные решения совсем говно. Но при желании и наличии некоторого количества ресурсов можно сколхозить некоторый кастомный вариант, который всех порвет. Ну и как водится, у меня есть своя idee fixe, как за малые деньги сделать то, что вендоры и интеграторы не дадут за большие в аспекте достоверности результатов, анализа рисков и превращения всего этого в actionable items.

Но я старый пионэр, много знаю. Поэтому не могу не вспомнить, что еще лет десять (скорее пятнадцать-двадцать, но десять все еще да) не менее неистово и не более продуктивно упарывался по теме фаерволов. И то же самое вроде было: моновендорские решения говно, позиционирование невнятное, хочешь хорошо -- собирай из зоопарка и костылей.

Что я упустил тогда в более крупной картинке? Коммодитизацию и место фаервола в общей картине безопасности сети. Да, я оказался прав в том смысле, что фаервол никуда не делся и все пророки его смерти несли какую-то лажу. Что я не понял -- это то, что коммодитизация привела к тому, что в общем случае тебе настолько не до того, какой у тебя фаервол, что забивать голову деталями технической реализации уже нет никакого смысла -- особенно, если ты за регулярно упоминаемой мной "чертой бедности" инфобеза, т.е. не в fortune 1000 и не в банкинге/финтеке/других отраслях с аномально высоким бюджетом на безопасность. У тебя есть слишком много другой головной боли. Бери с полки любой продукт, если там нет очевидных факапов (привет, Palo Alto) и он будет работать. Нужна дополнительная функциональность -- опять же, она есть у любого крупного вендора. Что твои админы знают, то и сгодится. А у кого внутри asic быстрее или стейт-машина корректнее -- да б-же упаси вникать в такую ерунду.

Я делал тогда много прогнозов, большая часть сбылась, некоторые нет. Например, я пророчил большое будущее XML-фаерволам, потому что считал, что это важно. Я до сих пор считаю, что это крутая недооцененная технология, но дорогая, заморочная, требующая иных подходов при проектировании и самое главное -- я не вижу в типовой организации "покупателя", готового драйвить ее внедрение. Просто разработать детальную модель рисков, которая оправдает ее применение уже для большинства слишком дорого. Помогла бы она предотвратить хоть один из громких инцидентов последних лет? Сомневаюсь. Ну и чорт тогда с ней. Может, военным пригодится. У них уже есть хорошее кладбище на заднем дворе, начиная с десктопов с мандатным контролем доступа.

Да, так вот, возвращаясь к continuous vulnerability management -- не ждет ли и тут нас коммодитизация? Нужно ли мне пилить очередной простиг-ди openfwtk (кто помнит), если в ближайшее время вендорские решения станут достаточно хороши, финансово доступны и значительно более функциональны, чем очередной конструктор от команды энтузиастов?

P.S. комментируйте лучше здесь, на комментарии в фейсбуке я отвечу не раньше, чем завтра.
если кто пропустил,

http://pastebin.com/raw/0SNSvyjJ

очень олдскульно.

Напомню, кстати, параноику на заметку: когда рисуете модель угроз, настоящую, а не на "отъебись", следует помнить об одной вещи: серьезный оппонент ВСЕГДА сломает ваш домен в первую очередь. Причем начиная с определенного масштаба организации вы НИЧЕГО не сможете с этим поделать (сейчас придет Лукацкий и начнет рассказывать, что это не так, а вы его не слушайте). Если хотите, чтобы до чего-то было добраться сложнее, отсекайте весь участок графа атаки, завязанный на домен, доменную почту, введенные в домен рабочие станции, бэкапы и так далее.
Tags:
http://finance.yahoo.com/news/execs-not-responsible-cybersecurity-132538945.html

90% топ-менеджеров не в состоянии прочитать отчет о кибербезопасности.
Это нормально, это означает, что ИБ ниасилили родить такой отчет, в котором было бы написано то, что им интересно прочитать. Примерно ожидаемо.

Но 40% считают, что вообще не отвечают ни за безопасность организации, ни за сохранность данных клиентов. "Не ощущают ответственности".

Да охуеть теперь. Этим блядям платят охулионы долларов за то, что они как кокеточка теперь расскажут, что я не я, лошадь не моя?

Поясняю: менеджер -- это такой чувак, который отвечает за то, что у него происходит. В том числе за вещи, в которых он нихуя не понимает: его, блядь, годами учили, как обращаться с тем, чего не понимаешь, чтобы оно работало и приносило деньги. Если ты так не умеешь, ты не менеджер, а говно.

У меня есть пример родной сестры -- она финансист и нихуя не знает про IT от слова совсем. Но когда у них в компании IT начало хуевничать и ссать всем в уши на своем птичьем языке, она просто пошла и стала задавать вопросы. В основном всего три: "почему?" "что из этого получится?" и "сколько денег стоит это исправить?". Если ответ был на technobabble, она опять просила объяснить те аспекты, которые интересуют бизнес, а не техников. И нормально, выяснилось, что никаких пиздецовых неразрешимых проблем нет, а есть долбоебы, которые не хотят работать.

Вот она -- хороший менеджер.

А этим мудилам за что деньги дают?
http://www.rayzoneg.com/brochures/en.brochure_interapp.pdf

где-нибудь есть подробности, как этот предмет работает, и вообще работает ли он, как заявлено?

TL:DR -- универсальная якобы штука для тейковера любых смартфонов over wifi. Да лааадно?
Tags:

Blackberry

Nov. 30th, 2015 10:41 pm
arkenoi: (default)
Если в парижскую палату мер и весов понадобится эталонный мудак с интеллектом платиново-иридиевой табуретки высотой один метр, можно смело пойти в руководство компании Blackberry и взять там, считай, любого.

В последний раз такое завораживающее зрелище людей, методично уничтожающих свою компанию, доставил Элоп в Нокле, и что интересно -- тогда толпы анальных итиков рассказывали о том, что он все делает правильно, просто у него хитрый план! Хитрый план у него действительно, по совести говоря, был, просто спасение компании в него не входило, но в это почему-то многие не верили.

Ну, кстати, все еще есть реликтовые дебилы, которые уверены, что "блэкбери это безопасно" на уровне религии. Но их все меньше и меньше.

Ну и вот теперь. Посудите сами:

"As Kleidermacher notes, there are lots of small companies offering hardened Android implementations including the already mentioned Copperhead through their CopperheadOS but it really does come down to whom users trust and BlackBerry has been in this game for well over fifteen years with their security and privacy focus being a key part of the company".

Ох, лопни мои долбаные глаза. Еще их спрашивали про биометрию -- нет, в биометрию мы тоже не умеем. В сухом остатке:

Baseband firewall? Нет, не слышали.

zRTP и защита голоса? Нет, не слышали.

Биометрическая аутентикация? Нет, не слышали.

App permissions firewall? О, да это НАШЕ ИЗОБРЕТЕНИЕ, ни у кого такого нет! Как уже два года есть в цианогене? Да лааадно!

Незаткнутые дыры в firmware, например Stagefright? Ну, с кем не бывает.

P2P шифрование сообщений? Только наших собственных, по проприетарному алгоритму. OTR? Textsecure? Нет, не слышали.

Бэкдоры для спецслужб? Ну это же ТРЕБОВАНИЕ, это всякие несознательные эпплы и гуглы сопротивляются, а мы люди законопослушные, отказать не можем.

Full storage encryption? Нет, не слышали.

Зато НАМ ДОВЕРЯЮТ! Это ничего, что мы уже обосрались с шифрованием, проделывали дырки в клиентские сети, позволяли напихать шпионские апдейты каким-то арабам, раздвигали булки перед ФСБ и даже не собираемся фиксить критические по безопасности баги в актуальной прошивке для флагманского устройства, все же знают, что у нас отличная репутация!

А мне-то нужен просто телефон с кнопочками..
У меня есть вопрос, который я в т.ч. задавал известному в определенных кругах Windows-евангелисту в каком-то трояносраче ("а вот теперь и под ваш Linux есть трояны-шифровальщики"), а он мне ничего не ответил и почему-то потер все мои комменты в этой ветке.

Вопрос этот простой: зачем СЕЙЧАС, в 2015 году, операционная система Windows по-прежнему имеет в качестве действия по умолчанию на произвольный исполняемый файл в случайном месте по дабл-клику -- запустить его? Если бы этого не было, проблема с троянами и малварью волшебным образом бы урезалась на десятичный порядок, как мне кажется.

Я примерно понимаю, зачем это БЫЛО сделано. В ранних версиях Windows постоянный запуск чорт знает чего чорт знает откуда был базовым рутинным процессом, вмешиваться в который было смертельно с точки зрения UX. Но сейчас-то!

Why?

Aug. 1st, 2015 10:27 am
arkenoi: (default)
Есть два момента на рынке мобильных устройств, которые меня сильно озадачили.

-- Когда стало понятно, что Blackberry сейчас накроется, а Microsoft купил Ноклу, у Микрософта был идеальный момент стать ультрамонополистом на рынке бизнес-телефонов. Вместо этого все силы были брошены на потребительский рынок без остатка. Почему?

-- Когда с подачи Сноудена говно ударило в вентилятор и люди достоверно узнали то, что другие люди давно уже считали очевидным, у Blackbery был идеальный момент вернуть себе долю рынка за счет так любимой ими "защищенности". Потому что репутация брэнда уже была, нужно было просто сделать несколько новых потребительских функций для криптозащиты и правильно их подать. Как Blackphone, только без дырок. Вместо этого Blackberry продолжает густо смазывать бычье дерьмо змеиным маслом и бодро шагать к банкротству. Почему?

Cui prodest?

Jul. 30th, 2015 11:57 am
arkenoi: (underground)
Забавно, последнее время по социальным сетям активно постят FUD на тему "не покупайте сим-карты у чорний жепа на улице". Так активно, что мне кажется, что вполне возможно, что небесплатно. Страшилки варьируются от "а потом с нее спишут все ваши миллионы, которыми вы пополнили счот" до..

Отдаю сим-карту хорошему знакомому программисту на изучение. Через два часа получаю звонок: " Прикинь, 3G, 4G летает изумительно. Смартфон грузит страницы со скоростью оптоволокна. Но симка уже произведена с очень классным вирусом". Опа, вот это меня заинтересовало. А так как я сам не программист, то передам сие русским языком, как он рассказал мне. "Этот вирус сразу после установки в смартфон внедряется в него. даже если ты потом вбросишь симку за ненадобностью, вирус будет прекрасно существовать в смартфоне. Вирус создает допуск из вне к аккаунтов социальных сетей, во-вторых, если через заражённый смартфон осуществлять финансовые операции и оплаты, то прощевайте денежки в неизвестном направлении".

Программисту на изучение Карл!

Profile

arkenoi: (Default)
arkenoi

January 2017

S M T W T F S
1234567
891011121314
1516 1718192021
22232425262728
293031    

Syndicate

RSS Atom

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Sep. 23rd, 2017 03:49 am
Powered by Dreamwidth Studios