Information Security
Cryptography
Open source
Software
Comments 359
+26

А мог бы получить 20 лет строгача "за хранение наркотиков".


P.S. Интересно, сколько АНБ заплатила копирайтеру за пиар "конторы".
Я даже укутался во флаг США и немножко поплакал:
— Ах, как жаль, что суровые парни не пригласили его работать в АНБ!..

0
Где гарантии, что ему звонил не террорист? Просто, выложить все исходники незнакомцу… Тупые «преступники»…
+5
Так пишут же, что специально предложили перезвонить на официальный номер базы. Если номер и правда публичный, это неплохое подтверждение, как мне кажется.
0
Можно договориться с девушкой в службе поддержки, или методом социальной инженерии дать ей новый номер, типа «запиши: секретная лаборатория это номер такой-то», это же просто телефонный номер, вряд ли их проверяют досконально.
0
Уверен, что в 2000 году у этого парня в доме была аналоговая линия и подключить к ней свою собственную АТС для фрода не представляло проблем.
0
его нашли в гостях, если они знают где он то на домашний телефон надеяться последнее дело, но когда адреналин играет мозг обычно не очень работает. нет нислова о самой передаче исходников, вот тут как раз таки самое интересное, как и кому передать чтоб не отдать кому попало
0
Ну найти человека за 3000 миль от дома, это не проблема, если ты заранее задумал провернуть какую-то афёру, например просто проследить за ним от работы.

Если это было на самом деле, кто знает кому он отдал исходники и одиннадцатое сентября не благодаря ли ему и произошло…
+8
Это был просто повод подарить чашку с закладкой. Такая обычная чашка «с ушами».
В АНБ их продают в сувенирном магазине на защищённом объекте в секции «для подарков».
0
Сколько она проработает? Там нет места для аккумулятора. Да и в те годы пошли сотовые телефоны, все методы прослушки устарели сразу, зачем ставить прослушку, если есть мобильные телефоны…
0
так ведь есть же пассивные устройства, которым аккумулятор не нужен в принципе.
+3
Да, и не так давно здесь же (на Хабре), описывалась старая история с деревянным подарком пионеров-рукодельников представителям Дяди Сэма.
+1
На случай если кружка используется по назначению можно встроить термоэлектрический генератор. Правда, тут автор истории нас с АНБ переиграл и чай из кружки пить не стал.
0
Она работает на энергии тепла рук и кинетической энергии жидкости внутри.
Ведь за чаем проходят самые интересные беседы.

А что телефон? Телефон пришёл и ушёл, а вот кружка от АНБ будет бережно стоять на полке.
+1

А ведь можно было всего лишь раз разогреть кофе в этой кружке в микроволновке убрав тем самым все "уши", и далее пусть стоит много лет глухим сувениром.

0
Интересно даже, как закладка переживёт обычную посудомойку.
0
Ну, она же внутри керамической стенки. Наверное, должна пережить. Мне больше интересно, не боятся ли они, что кто-то ее увидит, если чашку разобьет
+29
Вот именно поэтому не надо пользоваться условно-бесплатными программами для шифрования файлов.
UFO landed and left these words here
+5

Удобно, наверное, в быту шифровать полуторагигабайтный видосик полуторагигабайтным ключом.


В OS, библиотеках ЯП и файловых системах, думаете, меньше ловушек, чем в клиент-серверном взаимодействии?
Навскидку, при кривой реализации ключ может случайно остаться на FS и его можно будет найти побайтовым сканированием. Да, это очевидный косяк, но в самописной реализации на 100 существующих очевидных косяков один да будет допущен.

+4
удобно

Произведение безопасности на удобство есть величина постоянная. Никто не гарантировал, что абсолютно криптостойкий шифр будет удобным.


в быту шифровать полуторагигабайтный видосик

Это когда видео со свадьбы никому показывать не хочется? Ни разу настолько не пёкся о своих персональных видео. В моём мире утечка данных дебетовой карты несколько более чувствительна, чем того, что уже в меру успешно подделывают состязательные нейронные сети.


ключ может случайно остаться на FS

Если ключа вообще нигде не останется, то доступ к шифрованным файлам не сможет получить даже владелец. Если ключ существует хоть где-то (пусть даже в голове владельца), то для взломщика с паяльником преград нет. Всегда нужно чётко понимать, от каких типов атак мы защищаемся.


в самописной реализации на 100 существующих очевидных косяков один да будет допущен

Я полагаю, здесь апелляция к авторитету, довольно абстрактному. Ну ок, вот вам несколько моих авторитетов. Вернер Кох, кажется, написал довольно неплохую утилиту, сам. Брюс Шнайер говорит, что один человек может придумать криптосистему, которую сам не взломает. В конце концов, необязательно шифровать самописной утилитой — есть хорошее правило "открытая реализация, закрытый ключ".

0

Ну да, про то и был комментарий выше, что не надо изобретать руками криптографию, надо брать как можно лучше проверенную опенсорсную. Это не про авторитет, а про то, что если секретным знанием можно украсть миллиард, то вряд ли его запалят на вашей переписке.


Но всё же шифр Вернама совсем-совсем не применим в указанном в статье случае. Если у вас есть шифроблокнот или флешка с ключом, с ними вас и возьмут. А если ключ для данных заучивать, то проще заучить оригинальные данные той же длины.

0
В классических детективах для шифра обычно использовалась книга, которая была у всех дома (Библия там определенного издания или какой-то стандартный справочник). Мне кажется можно использовать какой-то файл, про который знаешь, что он есть в системе или его легко получить и который имеет версионность. Тот же текст MIT лицензии, бинарник библиотеки для определенной платформы определенной версии или что-то типа того. Тогда файл с собой носить не надо.
0
Осмысленный текст нельзя — он плохой ключ по определению.
0
Любой осмысленный текст содержит символы, которые распределены не случайным образом. И по определению не подпадает под описание хорошего ключа. Даже Библия, которую использовали в качестве ключа не являлась хорошим ключом.

Другими словами, random+text=random, text+text=text.

Или я заблуждаюсь?
0
Любой осмысленный текст содержит символы, которые распределены не случайным образом. И по определению не подпадает под описание хорошего ключа.

А MD5 от каждых (128/8=16) букв ключевого текста (в смысле каждые 128 бит текста заменяются на MD5 от них же) — попадает?

0
Ну, если текст не напрямую, а через хеш-функцию — то попадает, насколько я понимаю. Только MD5 не очень хорошо, надо бы функцию с бОльшим диапазоном значений. К MD5 уже есть претензии от криптографов, насколько я знаю.
+1
Низкая энтропия. Не должно быть зависимости любого бита ключа от любого другого бита. Для примера, в тексте на русском языке чаще всего встречается буква «е». После двух гласных чаще всего будет идти согласная или пробел, редко бывает 4 согласных подряд и т.д… Любая дополнительная информация, которая поможет определить следующий бит ключа ослабляет защиту.
0
В теории вы абсолютно правы, против энтропии не попрешь, но я плохо представляю, как это можно применить в конкретном примере, когда у вас есть файл зашифрованный тупым ксором через текст библии (и пусть вы даже это знаете). Плохо представляю, какой алгоритм я бы стал писать. Неужели есть тулы, которые могут прошарить что проксорено текстом и догадаться, что за текст, я, к сожалению, не очень хорошо шарю в криптографии.

В таком случае можно выбрать два стандартных файла и ключ приготовить, проксорив один файл другим. Мой поинт в том, что не надо с собой носить ключ на флешке, можно обойтись простым запоминанием стандартных файлов, которые вы применяете. Если вы знаете, как такое ломается, поделитесь.
0
Но еще раз, я то за использование стандартных тулов, ручное шифрование мне представляется очень суровым хобби, которое того не стоит, если вы серьезный шпион :)
+1
есть файл зашифрованный тупым ксором через текст библии (и пусть вы даже это знаете)
Вы даже не представляете насколько быстро это будет сделано. Для экономии времени достаточно взять первую строчку вашего зашифрованного контейнера и ксорить её с текстом из библии, смещаясь каждый раз на один символ. Как только в полученной строке появятся хотя бы несколько осмысленных слов, то это смещение — кандидат на ключ. В конце проверяем все смещения — кандидаты на всём контейнере и один из них полностью расшифрует ваши данные.
0
Смотря что за файл. Если исходный файл текстовый, а еще хуже картинка в формате BMP 8 бит и векторной графикой (99% информации один и тот же байт цвета фонового), то расшифровать очень просто.
А если этот же файл сжать архиватором с максимальной степенью сжатия, то после простейшего XOR, даже с текстом простейшим, при анализе не за что зацепиться будет. Просто шум, повторений и корреляций нет, все байты равномерно распределены.
0
Не, ну это читерство какое-то, конечно же если вы НЕ знаете что это зашифровано текстом из Библии, я плохо выразился. Это-то любому младенцу понятно, как расшифровать, если знаешь ключ (да еще и способ шифрования).

Еще раз, напомню, как разворачивлся диалог. Товарищу сильно сверху, который собирался использовать шифр Вернама, возразили, что ему тогда ключ придется с собой носить, мне вспомнились рассказы про Шерлока Холмса и я написал, что совсем необязательно — можно просто выбрать какой-то стандартный на любом компе доступный файл.

Игровая ситуация такая — вы Шерлок Холмс 21-го века. В ваши руки попадает компьютер преступника с зашифрованным файлом содержащем доказательства его вины. Стандартных средств шифрования нет, история bash вытерта, у вас подозрение, что товарищ (который не являет собой светоч интеллекта) наверняка просто поксорил свой архив каким-то стандартным файлом (я вот это имел в виду, когда писал «знаете», mea culpa). Ваши действия?

Я бы на месте Шерлока Холмса пошел бы домой, хрен его знает, какой именно файл человек выбрал.
+1
Ваши действия?
Ок, попробуем так. Атака заключается в том, что я могу попробовать предположить или угадать некоторую часть зашифрованного файла. Большинство файлов, которыми мы пользуемся имеют четкую структуру, заголовки, magic numbers. sim31r чуть выше предложил сжимать архиватором. Допустим, что это был rar-архив. Архив имеет в начале блок-маркер из 7 байт (0x52 0x61 0x72 0x21 0x1a 0x07 0x00). Таким образом у меня на руках первые 7 байт файла (гаммы), с которым ксорили данный архив. А дальше вы знаете. Хорошо, если поиск ограничится компьютером жертвы. Если же нет, то возможно это какая-то общеизвестная информация. Начало гаммы может дать подсказку.

Можно придумать ещё много «а если бы...», но суть в том, что у хорошего шифра сценариев атаки, кроме полного перебора быть не должно.
0
Здорово! Очевидно, я не гожусь ни в Шерлоки Холмсы, ни в Мориарти :)
0
Я бы на месте Шерлока Холмса пошел бы домой, хрен его знает, какой именно файл человек выбрал.

Ну например, самое распостраненное слово анлийского языка определенный артикаль the, то есть мы знаем слово из 5 букв (артикаль + пробелы), которое гарантировано встречается в тексте, пытаемся расшифровать текст ксоря его с разным смещением, если получили 5 английских букв, вероятно угадали, пробуем подобрать слова из словоря перед и после (иногда можно угадать типичные фразы аглийского). Потом зная части ключа и исходного текста можно попытаться найти текст в библиотеке (на компе преступника).
0
Врядли кто-то будет шифровать простой текстовый файл, наверняка будет архив. Но выше уже предложили подобное решение для этой ситуации, когда мы берем заголовок rar файла. В любом случае подход понятен — допетриваем до последовательности байтов, пытаемся получить часть ключа, а потом и сам ключ. Годится и будет работать.
0

Если вспомнить, что у нашего Шерлока есть ещё и собственный датацентр с дофига вычислительной мощностью, то можно даже вообще почти не думать: достаточно ввести функцию Likelihood(text) которая на вход берёт данные, а на выход говорит — на сколько это похоже на нечто осмысленное. Далее, пусть мы знаем, что расшифровка производится некоторым алгоритмом Decrypt(шифровка, ключ) (сам алгоритм можно найти на компе, или в худшем случае -перебрать все самые популярные). Далее достаём дискретный оптимизатор, и приказываем ему найти максимум у функции Likelihood(Decrypt(шифротекст, ключ)) по параметру "ключ". А дискретные оптимизаторы сейчас очень мощные — они сами и корреляции найдут и эвристик там масса уже готовых используется, и они сами где надо включат генетические, муравьиные, пчелиные и прочие оптимизации и SAT впридачу. В итоге сложность подбора ключа снизится с полного перебора, примерно до уровня теоретической энтропии ключа в случае хорошего шифра, и ещё ниже в случае плохого шифра. Теперь умножим это всё на мощьность нашего датацентра. И заметьте, во всём этом процессе мы ни разу не задумывались о уязвимостях шифре вообще.

0
Очень красиво все звучит, мне кажется, такое девушке можно говорить на свидании.

Я понял, чо есть какая-то волшебная вещь под названием дискретный оптимизатор, в принципе я знаю что такое дискретная математика и что такое оптимизация, решил погуглить и не нашел ничего стоящего, непонятно, что это за штука. Был бы рад, если бы вы пояснили. Мое понимание, что все эти прозрения про сам алгоритм Decrypt(шифровка, ключ) нужно сидеть и программировать руками, чтобы свои гипотезы можно было бы проверять, как вот выше писали очень красиво. Неужели есть волшебные устройства, которые это все автоматически проделывают?
0
Я не знаю конкретных примеров дискретных оптимизаторов, которые могут прям сами, в общем виде, всё так как я рассказал. Я лишь хочу обратить внимание, что существуют очень мощные инструменты, и если кто-то вообще не представляет как можно нечто взломать, это ещё совсем не означает, что это взламывается сложно.

Вот несколько пунктов, чтобы подкрепить мои слова:
1. Дискретные оптимизаторы существуют. Например MiniZinc. Я не знаю, есть ли они в настолько общем виде, чтобы на вход им подавалась программа, а на выходе — входные данные дающие максимальный ответ, но
2. В настолько общем виде существуют обёртки для SAT решателей. SAT отличается от дискретной оптимизации лишь в том, что вместо поиска аргумента, для которого функция максимальна он находит аргумент, на котором булева формула принимает значение «истина». В целом это почти эквивалентные задачи. Как использовать SAT решатель для взлома защиты StarCraft, например, показано в этом видео https://www.youtube.com/watch?v=b92CW-NZ3l0
Автор видео ссылается на фреймворк angr.io который насколько я понял автоматизирует весь процесс настолько, что кидаешь ему исполняемый файл и говоришь, через какую ветку должно прийти исполнение программы, и этот фреймворк сам рассчитает какие данные надо отправить в программу, используя SAT решатель Z3 под капотом.
3. SAT-решатели мало того что очень круты, так ещё и становятся в разы мощнее с каждым годом. Вот, например взгляните на график на слайде 11 http://satsmt2014.forsyte.at/files/2014/07/SAT-introduction.pdf (Evolution of the performance of some SAT solvers). Обратите внимание например на то, что те вещи которые решатели решали в 2009 за 1000 секунд, в 2012 уже решались за 200 секунд (на том же оборудовании). Я не нашёл более новых графиков, но полагаю что темп развития в целом сохраняется.
4. Задачи SAT и дискретной оптимизации очень схожи. Кроме того, дискретная оптимизация обычно проще в плане вычислительных затрат, потому что там сразу понятно, стало ли лучше или хуже при изменении аргумента, в отличие от SAT, где ясно только является ли аргумент решением, или нет.

Ну, и все эти слова про SAT это так, по сути только для того чтобы показать, что методы могут быть самыми неожиданными. Я не эксперт, я так, немного изучал вопрос, но для себя я точно понял, что современные методы криптоанализа очень и очень крутые, их много, и некоторые из них почти волшебные, поэтому сделать шифр на основе «как-нибудь чё-то накрутить, так чтобы самые очевидные методы не сработали» — это не вариант ну вот вообще никак.
0
Против доморощенных Шерлоков Холмсов — берётся не i-й, а ((a + (b*i)) MOD key_file_length)-й байт ключевого файла. Злоумышленнику надо, кроме имени файла, помнить всего 2 числа — а и b, а задача поиска «с чем ксорили» сильно усложняется.
0
Этак мы придём к полноценному криптографическому решению на идее «короткий секретный пароль, не стойкий к брутфорсу + большой несекретный файл».

А именно, выбрать любой большой файл, например, дистрибутив любой игры из своей библиотеки GOG (или VOB файл с DVD-диска с фильмом в шкафу), зашифровать его коротким паролем алгоритмом AES-CBC, и этим файлом ксорить защищаемый файл.
0
Если брать буквы не подряд, а, например, с номерами, соответствующими числам фибоначчи по модулю размера текста, вряд ли получится расшифровать.
+1
как ключ хранить BD + энкодер. настройки, как пароль, хранить в голове.
-1
Можно взять за ключ любой массив информации, не вызывающий подозрения в том, что это ключ — 256ю страницу «Войны и мира» или старый компакт-диск с виндой.
+3

Ну вот и ещё одна иллюстрация к статье "Вы опасно некомпетентны в криптографии". Вы вот таким способом делаете у себя на компьютере шифрованный раздельчик. И считаете что у вас непобедимый Шифр Вернама.


На самом же деле, если как-то прознают, что ключ в войне и мире, останется только её побайтово перебрать, чтобы найти смещение старта ключа — секунда на современных компьютерах.


Если неизвестно, где именно ключ, смотрим дальше: сколько у вас на себе (на HDD, на флэшках, на CD) файлов, размер которых больше размера вашего криптоконтейнера? Умножаем условную секунду на это число, получаем время взлома. Всякие хитрости типа склейки файлов, прочтения задом наперёд и т.д. добавляют по мизеру энтропии к ключу.


Думали, что у нас абсолютная криптографическая стойкость, а оказалось задача на перебор готовой базы паролей.


Шифр Вернама требует истинно случайную последовательность для правильной работы — тогда перебором вы равновероятно можете зашифрованное сообщение расшифровать в любое сообщение той же длины. А вот такую последовательность уже хрен где спрячешь. Потому что этот шифр не предназначен для случая возможного перехвата блокнотов.

0
можно просто слоями шифрование накладывать.
Если используются множество алгоритмов аля свои + опенсурсные, то энтропия растёт порядками
0
Файлы могут быть и в интернете. Статья в вики, файл с гитхаба, в конце концов jpeg с большим разрешением.
Кусочки файла можно еще хэшить и от хеша брать уже байты.
+1

А спецслужбы никак не узнают, что это за один и тот же файл вы скачиваете и удаляете каждый день. А чем больше действий вы делаете для расшифровки, тем больше шансов наследить в ОС подробностями этих действий.


Что только не сделают, чтобы человеческие криптоконтейнеры не использовать :)

0
Заходите на сайт и тянете с него jpeg? Его даже удалять не надо. Лежит себе в кеше браузера.

Так то я согласен, что opensource лучше, но с незнанием схемы шифрования можно помучаться.
0
Что только не сделают, чтобы человеческие криптоконтейнеры не использовать :)
Насколько я знаю, TrueCrypt в режиме ключевой файл + пароль генерирует ключ фиксированной длины (256 бит, например) и им шифрует каждый сектор диска. То есть, от всех ключей остаётся 256 бит, и если в AES есть бэкдор, то криптоконтейнер оказывается слабее, чем схема, которую я описал в комментарии выше.
0

Про это вкратце писал выше. Не касаясь даже того что TrueCrypt настраивается.
Вот в мире достаточно всякого зашифровано в AES256. И, в принципе, можно представить сценарий кражи этак $10 млрд с этим знанием.
В таком случае, если у вас в этом контейнере нету чего-то на миллиард, то нет никакого смысла даже тайком применять этот бэкдор (если вдруг он есть), имея пусть даже мизерный шанс его запалить.
Для спецслужб замените суммы на эквивалентные угрозы.

0
Вы писали выше про сценарий использования только файла. Файлы легко перебрать. Тут сценарий — файл + несложный пароль (40 бит энтропии).

Аргумент о TrueCrypt — это отсылка к неуловимому Джо? Мол, кому вы нужны, чтобы что-то там ломать… Бекдор может быть и в криптоконтейнере, а не в алгоритме.
+3
И это будет плохой ключ с низкой энтропией. Вот если использовать его для инициализации генератора псевослучайных последовательностей, то будет уже намного лучше.
0
Видео очень хорошо сжато, думаю там данные, кроме заголовка по сути шум на 99.9%. Думаю можно делать XOR не по принципу одноразового блокнота, а ключом в сотни раз меньше, потом повторять циклически. Опять же кроме заголовка, с заголовком отдельно нужно поработать, так как есть открытый текст стандартный. На выходе все равно будут данные не отличимые от шума, зацепиться при анализе будет не за что.
По самописной реализации в статье есть намек, если была бы самописная реализация 40-битного шифрования, без исходников, АНБ бы разбиралось намного дольше, без гарантии успешного расшифрования. Там тоже живые люди, ну попробовали — не получилось, без исходного алгоритма.
+1

Спрашивается, вот зачем все это велосипеды с XOR-ом? В сети полно хороших библиотек проверенных (сам недавно начал использовать bouncy castle для одного своего проекта). Если уж тааак хочется XOR-ить, то берем AES-CTR и вперёд.

-1
Практической значимости нет, а теоретически интересно же.
+1

Куда интереснее нормальную криптографию делать, а городить то, что потом стыдно на github выложить

-1
Не всё на гитхабе для практического применения, могут быть просто теоретические исследования.
Вот пример со сжатой информацией. Сжимаем текстовый документ так что в нем не остается ни одного бита избыточной информации неким идеальным алгоритмом. И случайно изменяем 1 бит информации, это и есть наш «ключ». Есть ли теоретическая возможность восстановить информацию?
+1
Ясен пень, есть.
Просто флипаем по очереди биты и проверяем, разжимается или нет. При длине сжатого сообщения в 1 кб перебрать придется всего 8 тыщ вариантов — т.е. ниачом.
0
Все 8000 вариантов будут разжиматься в некий файл, без контрольной суммы или известного ключевого слова правильный файл не выделить из остальных.
0
Ошибаетесь.
У текстового документа очень специфичные статистические закономерности, а раскодированный с ошибками файл будет содержать в себе бинарный мусор. Даже простенькая программа-фильтр без труда отсеет 90% мусорных файлов, если не больше. Остальное прекрасно отсеется глазами.
+1

Если знать, каким именно алгоритмом было сделано, то даже для сжатого текста размером 1Mb (после сжатия, те такой приличный текстище на десятки тысяч страниц) потребуется перебрать всего 8M вариантов "ключей" — это хуже, чем словарный пароль к архиву. Так что да, восстановить можно и очень просто.


Впрочем играйтесь сколько хотите, только не утверждайте что это хоть на 1% безопасное "шифрование". :-)

0
автор из кружки пьет уже 18 лет. даже если исключить что математики это время были в спячке, то как минимум производительность немного скакнула вперед.
0
Хммм, не спорю, в криптографии некомпетентен (скорее 2я стадия), но я подразумевал написать свою реализацию некоего алгоритма и не афишировать ни софт, ни алгоритм (для узкого круга лиц или личных файлов).
+1
знание принципа шифрования как минимум приближает к разгадке, так что верно.
0
Не особо данном случае, хотя тоже верно — просто не зная конкретный алгоритм и его реализацию (косяки и баги у всех бывают) больше времени на анализ уйдет и «ручной» перебор. Но опять же, я могу ошибаться т.к не криптограф.
0
Раз речь идет про экспортные ограничения в 40 бит, то дело было в 90-х — PGP уже был, но все это было еще бесконечно далеко от возможностей обычного человека (точнее, тупого преступника)
+16
Шароварные программы тут абсолютно не причём.

Просто надо всегда читать, что за ограничения идут на демо-период, да и вообще читать лицензию.
Тем более если ты — террорист :)
+4

Мне показалось, что автор намекает, дескать вообще не надо пользоваться чужими программами для шифрования. Потому, что авторы под колпаком у спецслужб. Вежливо попросят исходники среди ночи — не откажут. А потребуют встроить бекдор или ослабить шифрование, кто будет рисковать и ради кого?

0
Ну хз, хз. Я бы отказал, особенно если это заказная разработка. Терморектальный криптоанализ, конечно, никто не отменял. Но это по другой статье проходит.
+2

В 2018 несложно возбудить дело по подозрению в пособничестве терроризму и отмыванию. На основании этого заморозить счета, ограничить перемещения и связь, изъять оборудование. Текущий работодатель расстается на раз, вариантов нового трудоустройства практически ни каких. Как долго готовы существовать в таком режиме: неделю, месяц, год? Вопрос-то пустяк на пять минут, если решать по-хорошему.

+1
Все так, вот до последней запятой. Причем не только в РФ так, но и в большинстве (если не во всех) странах ЕС.

Конкретно я, когда беру сомнительный заказ — рассуждаю и устанавливаю цену опираясь и на эти моменты в том числе. Особенно, если понимаю что утиль может быть использован в европе.

А за заказы, котрые потенциально могут быть использованы в РФ, типа создания ботнета на портале госуслуг, не берусь в принципе (да я в курсе, что для окончания регистрации надо с паспортом ножками пройти в центр обслуживания, но это не единственный способ, что дает уязвимость для системы в целом), — ищите других дураков, тут выбор простой — бабло или своя шкура. Ответ, как правило, очевиден.

PS: и тем не менее, если мне заказали софт и используют его неблагонадежным способом, то это проблема тех кто его использует и тех кто им противостоит. Это не моя война. Если что-то написано мной, то как минимум, с совестью удалось договориться.
+2
Выскажу непопулярную мысль, на первый взгляд отдающюю юношеским максимализмом: принципы могут быть выше заблокированных счетов. Хотя, соглашусь, вопрос абсолютно неоднозначный и с материальной, и с моральной стороны (особенно, если пользователь этой программы — террорист).
0
Выскажу еще более непопулярную мысль про то что не бывает атеистов в окопах под огнем
Достаточно легко говорить о своих принципах сидя в теплом кресле и с какой-никакой уверенностью в завтрашнем дне. Куда сложнее оставаться верным им когда твоей семье есть нечего.
0
Автор ж говорит что АНБшник был готов к отказу.
Про законность требования — вообще не упомянуто.
Автора именно убедили что надо помочь, не шантажом а словами. Он просто — доверяет как минимум АНБ. Ну да — патриотизм такой.
+4

Да, пользуйтесь open source. Тогда никто ради вашей персоны не потревожит сонного программиста в полночь накануне 4 июля на западном побережии сша — все исходники уже лежат на гитхабе. А криптоустойчивость не зависит от obscurity

0
А криптоустойчивость не зависит от obscurity
Лишь с математической точки зрения на отдельно взятый аспект. Безопасность данных это комплексная проблема, где результат зависит от разных факторов.
+1

Да, история крутая, только ни одна история не обязана быть правдой.


  • АНБ, думаю, может заполучить всё, что им требуется так, что человек просто об этом никогда не узнает.
  • История с цепочкой звонков… ну просто мало похожа на правду. Не станет агент выдавать кучу служебной информации просто так. Да и секретного для защищённой линии там по факту ничего не было, просто просили исходники. Разве что для убедительности всё было. А всё, что по военной базе, — выдал на незащищённой линии.
  • Какая это защищённая линия, если разговор идёт по обычному телефону?

Но есть кое-что, что похоже на правду, — невероятная вежливость и убедительность звонящего. А если история правдива, то никакой секретной информации, от которой зависят жизни, могло и не быть (нужны были лишь исходники), да и даже исходники могли быть и не нужны, возможно цель была совсем в другом.

+1
Но SafeHouse всё-таки существует, и там даже есть платная pro-версия.
Если это и реклама, то реклама странная.
0
Вы никогда не слышали, как человек, который Вам рассказывал много интересных случаев, разговаривая по телефону описывает только что произошедшую смешную ситуацию, свидетелем которой Вы стали? Я один раз услышал такое преувеличение, что хотелось спросить: «Ну что ты врёшь-то при мне?» А слова ещё одного товарища приходилось пропускать через жёсткий фильтр, чтобы понять, чему можно вообще верить, хотя у мало знакомых людей он вызывал впечатление умного и интересного человека.

Так или иначе, ко всей информации должен применяться научный скептицизм.
0
Вы никогда не слышали, как человек, который Вам рассказывал много интересных случаев, разговаривая по телефону описывает только что произошедшую смешную ситуацию, свидетелем которой Вы стали?


Эээ, что что?
0
имеется в виду ситуация, когда два человека наблюдают ситуацию, после чего один из них звонит по телефону и рассказывает, что только что произошло
+4
«Да и секретного для защищённой линии там по факту ничего не было, просто просили исходники. Разве что для убедительности всё было» — именно. Ну действительно, вот вы, допустим автор к-л проги и вот вам звонит непойми кто и просит выслать исходники (а так же номер и CVV кредитки))) — ваши действия?
Т.е. этот хоровод с перезвонами именно убедить, что это официальная просьба правительственной организации а не мошенник или пранкер-стажёр.
+3

Гм, а мне пришло в голову, что звонок АНБ может быть настоящим, сотрудник тоже настоящий, а действует он в личных целях.

0
Статья так написана, у меня это тоже вертелось на уме во время чтения.
Намёки были настолько очевидными, что это было самое настоящее ружьё, висящее на стене в первом акте. Но внезапно — оно так и не выстрелило.
0
ну прямо сейчас может и нет того, кто все это проанализирует всю накопившуюся инфу, но в будущем возможно может быть. Не просто так же все таки всякие ИИ мусолят.
+2
в тексте не говорится о защищенной линии, это «соломенное чучело» (aka «подмена тезиса»).

Не станет агент выдавать кучу служебной информации просто так.

— 1) выдачи «служебной информации» описано так же не было (не считать же такой «способ дозвониться до Дейва»),
2) нулевая гипотеза (хотя бы потому, что об этом заявлял Дейв (как заявляет автор текста)) — в том, что это вовсе не «просто так» было.
+3
Не знаю, как в АНБ, а в СССР такая система дозвона присутствовала, в 93м пользовался. Звонишь на городской номер, там «фаланга, слушаю», ты ему «дайте трещётку» -«переключаю», следующему «дайте дельфина», последнему-«дайте город, номер 23-32-23». Вуаля, бесплатный межгород с мамой пообщаться из армии. Никто никаких вопросов не задаёт, главное знать всю цепочку.
+1
Я вам больше скажу, как минимум до начала 2010-х ручные телефонные коммутаторы 60-х годов прошлого века ещё были в строю. В 2007-м я ещё служил начальником телеграфно-телефонного отделения, которое этим и занималось.
+2
а потом счет из доминиканской республики приходит в штаб )
0
В тот момент как-раз стали появляться мобильные телефоны, стоили не гуманно, особенно обслуживание, до 1.5 баксов минута. И так-же стали появляться носимые рации, воки-токи. И была у нас такая, кажется Ericson, которая работала на частоте сотовых сетей. Можно было подключится, оп, разговаривает кто-то, на другой канал-там тишина, набираешь номер и разговариваешь, только что с таргентой, типа «приём», собеседники офигевали. Там счета должны были выходить покруче, чем с Доминиканой. Но счетов, конечно, никто не видел.
+1
Можно было подключится, оп, разговаривает кто-то, на другой канал-там тишина, набираешь номер и разговариваешь


Без идентификации, без установления соединения. Просто в радиоканал номер набрать? Да еще и с рации, которая о том, что такое DTMF, понятия не имеет в принципе? Равно как не имеет понятия и о сотовых протоколах?
Как-то… малоправдоподобно, если честно.
0
Я не могу сказать, что там было с идентификацией и на каких протоколах она устанавливала соединение. Абсолютно точно, что ничего не шифровалось, так как с разговорами ничего не приукрашено. Рация была рассчитана на такую работ, на ней была клавиатура. Ещё вроде требовалась перезаливка стандартной прошивки, но это по слухам, мне она попала в руки уже в том виде, что говорил выше. Но я прям ручаюсь, так и работала, без симки, без собственного номера. Как? Без понятия! Может тут объяснят специалисты-некрофилы?
0
Может там не сотовая связь была, а транковая?
Подробностей уже не помню за давностью, но там вроде все проще с протоколами было.
0
да, NMT-450 слушать на рации точно можно было, как насчет звонить — не знаю
+1
Скорее это все-таки были не сотовые сети в общепринятом понимании, а что-то типа транкинговых.
Потому что аналоговые стандарты мобильной связи, в которых можно вызвать абонента простым DTMF-набором в эфир мне неизвестны, даже старые протоколы устроены гораздо сложнее. А вот «радиоудлинители» ТфОП до сих пор существуют, и номер там набирается часто именно таким образом :)
+1
Скорее это все-таки были не сотовые сети в общепринятом понимании, а что-то типа транкинговых.


Вот о чем и я. Это не сотовые сети были, а транкинг какой-нибудь, типа Алтая.
0
NMT-450 — аналоговый, но там с рации еще в сетку каналов надо попасть.
Маловероятно, но возможно.
0
В NMT так-то регистрация есть. И я оооочень сомневаюсь, что БСка распознает DTMF в радиоканале и отправит их на MSC.
0
Насколько я помню, в NMT как раз регистрации в классическом понимании с двунаправленным обменом нет — телефон просто слушает пилот-тон.
У NMT-трубок часто даже индикатор сигнала — это простой S-meter, показывающий уровень всего, что слышит в соответствующем диапазоне частот в эфире.

Вот тут маньяки попробовали сделать свою NMT-450 сеть с помощью переносимых LPD-радиостанций и MP3-плеера с заранее сгенерированными пакетами, вполне получилось: vk.com/topic-80678313_31106722?post=9

А вот с распознаванием DTMF не прокатит, там протокол вызова гораздо сложнее:
nmt450kkz.narod.ru/4.4.htm
0
Да, по поводу регистрации, возможно я был неправ. Преданья старины глубокой, что уж :)
А вот про маньяков интересно, спасибо!
+2
История с цепочкой звонков как раз добавляет правдоподобности.
Вы удостоверение АНБ видели когда-нибудь? А кто сказал, что вам показывают настоящее, а не поддельное?
В США сотрудники ФБР и АНБ в трудный случаях для подтверждения своих полномочий действительное просят позвонить по общеизвестному номеру (который можно получить независимо) и подтвердить, что они те, за кого себя выдают.
ФБР, например, имеет для этого сменные код для всей операции и каждого сотрудника. Звонишь на номер любого управления ФБР, диктуешь оператору код и он тебе говорит подтверждающую информацию. И в любом случае можно продиктовать номер удостоверения, имя и описание внешности и получить ответ да/нет.
А как иначе можно проверить настоящий перед тобой сотрудник или злоумышленник? Особенно, если сотрудник хочет чего-то большого. Кавалькаду с мигалками по каждому чиху только в кино высылают.
0
Вы удостоверение АНБ видели когда-нибудь?

Я видел. В X-files его на заставке перед каждой серией показывали, если я правильно помню :)
+1
АНБ, думаю, может заполучить всё, что им требуется так, что человек просто об этом никогда не узнает.
Не преувеличивайте возможности спецслужб. Там обычные люди работают. Не надо представлять их волшебниками. Они стараются выбирать наименее затратные методы получения информации.
+1
Шпионские гаджеты от АНБ
АНБ следит за теми, кто интересуется Linux и информационной безопасностью
АНБ в реальном времени контролирует каналы между дата-центрами Yahoo! и Google
АНБ не справляется с объёмами трафика
Правда Сноудена

Ну и почему-то не смог найти статью, где хакеры увели у АНБ их архив наработок для взлома. Там рассказывалось про виртуализованную ОС, крутящуюся параллельно основной ОС, взлом через doc-файлы и прочее.

Так что не стоит недооценивать технические возможности обычных людей при наличии прекрасного финансирования и почти абсолютной власти.
+1
как, чёрт возьми, Дэйв выследил меня за 3000 миль от дома посреди ночи в тот жаркий летний вечер в Бристоле, штат Коннектикут?

Ха, я знаю и сорт кофе, какой пьет автор:-)
0
вы думаете, что знаете его. Возможно, после того случая автор стал искусным конспиратором, и фотает кружку на фоне совершенно левого пакета с кофе.
+1

А мне кажется, это как раз не сложно. Пара звонков в контору, там можно узнать, что автор в отпуске и, возможно, куда хотел поехать. Наведение справок о родственниках (наверняка есть какая-то база, типа нашего загс). Звонок на вокзал/аэропорт и бинго.

0
Сразу видно, что фильм «Сноуден» не смотрели. Там скорее всего большая база знаний по всем гражданам и иностранным лицам. Им не особо требуется куда-то звонить и что-то узнавать. Поиск по базе — должно быть что-то вроде внутреннего Гугла. На самом деле было бы удивительно, если б у них подобного не было.
0
о да, база знаний… там одного поиска по whitepages из которых фиг уберёшься достаточно, чтобы найти по фамилии родственников, к примеру.
пример поиска
-16

Ну то есть автор программы по шифрованию без вопросов передал исходники какому-то дядьке, который звонил по телефону. Теперь этот дядька может расшифровать не только тот ноутбук, но и все компы, которые используют эту прогу. Нет, не такой безопасности хотел добиться Сноуден.

UFO landed and left these words here
+1
Не только спецслужбам. Например в НТЦ Атлас передают :)
Вообще мало кто в последнее время делает тайну из исходников.
+21
Security through obscurity не имеет никакого смысла, это базовый принцип.

А какой-то дядька был очень вежлив и даже не стал давать номер телефона, а попросил сделать все через справочную.
+2
Есть предположение, что на дядькин номер просто так не дозвониться, только через цепочку операторов.
+11
только через цепочку операторов.


Прокси-серверов.
+6

Либо, как в фильме "Враг государства", исходящий звонок перехвачен и направлен в "справочную", где дают нужен номера и сидят правильные операторы.

+2

Осталось только подключиться к этой линии и начать выдавать себя за справочную и так далее ;)

0
Например вот этим)image
Дома лежит такой агрегат с прошлого места работы. И чего только он не умеет) Даже оператором может представится при желании)))
+2
Фото не прикрепилось. Как хоть называется, погуглим? :)

P.S. Прошу прощения, через исходный код страницы нашел ссылку на страницу с картинкой. Но изображение вы все равно вставили неверно. Необходимо прямую ссылку на него указывать.
0
Вообще, в источнике автор ответил на вопросы про раскрытие исходников, что ничего существенного не дал, просто были небольшие пояснения и все такое
+9
А вас не пугает, что исходники какого-нибудь openssl даже и просить у авторов не нужно, они на гитхабе лежат?
+12

Это не должно пугать, даже наоборот. Это гарантия того, что алгоритмы будут перепроверены большим числом профессионалов. Без ключей, алгоритмы — это просто алгоритмы.

-1
Это гарантия того, что алгоритмы будут перепроверены большим числом профессионалов.

Да-да, миллионы пользователей опенсорца каждый день делают его лучше…

1. Не гарантия, а некоторая вероятность.
2. Не большим числом профессионалов, а хотя бы одним.

И вишенкой:
3. Профессионалов недостаточно. Нужны именно профессиональные криптографы.
+6
> Это гарантия того, что алгоритмы будут перепроверены большим числом профессионалов

Ага, случай с Heartbleed подтверждает
+6
Но ведь действительно подтверждает. Уязвимость-то нашли. А сколько таких хатблидов в проприетарных реализациях?
+2

Ну как нашли. Подтвердили факт наличия после того как информация об уязвимости была слита. Опенсорс тут не при чем. История появления мутного кода с ошибкой тоже выглядит странно.

+2

Не "ну", а именно нашли за счет того, что код был OpenSource:

Название Heartbleed было придумано инженером финской компании Codenomicon, занимающейся информационной безопасностью. Они же придумали логотип в виде кровоточащего сердца и создали сайт heartbleed.com, чтобы рассказать об уязвимости сообществу. Codenomicon объявила 3 апреля 2014 датой обнаружения бага и датой сообщения об этом Национальному Центру Компьютерной Безопасности Финляндии для отслеживания уязвимости.
А теперь догадайтесь с 3-х раз, если мутные дяди умудряются пихнуть дырявый код в OpenSource, то что они делают с закрытым кодом?!..

OpenSource, слава Б-гу, пусть через год-два, но позволяет обнаружить и устранить баги, а не слушать десятилетиями "честные истории" корпораций и шароварщиков, млеющих от кружки с логотипом "АНБ".

0

Там не говорится, что они нашли уязвимость, копаясь в исходниках. Секъюрити обычно имеют дело с инцедентами, когда замечают необычное поведение системы. Т.е кто то нашел раньше и использовал для атаки, а безопасники обнаружили и слили инфу в паблик (совершенно не факт, что вот прямо так сразу — как гласит легенда некоторые компании обнаружили и закрыли дырку даже раньше, а значит их сотрудники наверняка пытались гуглить по признакам инцедента, и гугл на момент принятия решения о публикации был в курсе, что они не единственные кто обнаружил). Разобрались в коде и выпустили заплатку лишь через неделю после официального анонса дыры.

+3
Нужно отправить SHH-серверу сообщение SSH2_MSG_USERAUTH_SUCCESS вместо ожидаемого им SSH2_MSG_USERAUTH_REQUEST. Из-за бага сервер, получивший такое сообщение, просто поверит атакующему, что тот залогинен и верификация не нужна.

4 года смотрели, благо, что эта библиотека практически не используется для развёртывания серверов, а то было бы намного болезненнее.
+1
Немного кривите не упоминая, что её использовал гитхаб в режиме сервера как раз, а уязвимости не было потому что у них авторизация по ключу «SSH2_MSG_USERAUTH_SUCCESS with libssh server is not relied upon for pubkey-based auth». А кто в наши дни использует ssh с авторизацией по паролю… ну все наверное поняли. Авторизация по ключу не была затронута.
+15
Ну не знаю…
Пока читал во мне все сильнее зрели подозрения что автора развели. Возможно методами социальной инженерии из него выманили всю необходимую информацию для расшифровки
Скорее всего это даже не АНБ. Тоже странная история с посылкой. Ведь нужно было не просто обмануть а сделать так что даже спустя 18 лет никто не подумал об этом. Тем более автор сам сказал что такую кружку можно купить в сувенирном магазине.
+3
предполагаете, что справочная сотрудничала с теоретическим мошенником?
+27
Полагать можно что скомпрометирована телефонная сеть, а злоумышленник сидит под ближайшим телефонным столбом.
0
Как человек, который немножко знает, как устроена телефония, спрошу так — «как вы себе представляете такой механизм компрометации сети?»
Ну нашли вы телефонный столб — дальше что?
+11
Ну как… вы лезете на столб (или в люк) и ищите там пару которая уходит в конкретный дом. Режете ее, и встаете в разрыв, изображая станцию. Никакого ни мультиплексора ни шифрования же между абонентом и АТС нет вроде бы?
+1
Это может сработать только при условии, что автор статьи жил в отдельно стоящем доме, куда уходит своя пара медных проводов. Ну хорошо, встали мы на пару… или на кросс. Как сделать так, чтобы при наборе 411 звонок не ушел куда не надо? Оторвать городское плечо? Напруга из сети пропадет, вообще ничего работать не будет.
Хотя если заморочиться, и, скажем, встать на пару не простой трубкой, а кое-чем похитрее… чтобы атакуемый думал, что звонит в город, а на самом деле — нет… мороки больно много. Имитировать разные голоса «операторов», проключающих звонок дальше…
Скажу так — не нереально, но возни много. И все ради исходников шароварной проги, с заведомо не очень надежным шифрованием?
+6
Вы так говорите, будто это устройство придется разработать лично вам, а потом собственноручно спаять.
А на деле, если кому-то нужно, он может купить готовое устройство чуть ли не в супермаркете. Готовая поддельная базовая станция для GSM стоит менее $1500, а для проводных телефонов хватит мини-АТС из магазина оргтехники!
+1
Вы так говорите, будто это устройство придется разработать лично вам, а потом собственноручно спаять.


Ума не приложу, где вы умудрились это увидеть.
+6
Любой шлюз с fxs за 500 руб с авито и ноутбук с астериском и заготовленными «репликами» операторов. Не благодарите :)

А если же серьёзно — всё это такая ерунда, на фоне задержания пограничника с друзьями, продавшего анкеты «туристов» англичанам, по делу солсбери…
Раньше вроде погранцы это ФСБ были, сейчас не знаю, но именно так всё и происходит. Сливы любых документов «сотрудниками» это признак какой-то системной неадекватности силовиков. Похоже даже спецслужбы Зимбабве могут запросто прийти и за бабло под коньячок завладеть любым документом в России. Что это — не понимание своей ответственности или заведомо избыточный сбор данных специально предназначенный к продаже. Какой-то «день опричника» во всей своей красе «гусеницы».

Без законодательного запрета на сбор данных иного и не будет. Охранники, бесконечные анкетеры, фальшивые работодатели и кадровые агентства, даже в библиотеке у детей ксерокопию паспорта требуют… Все же понимают, куда весь этот поток копий документов идёт. Ну не можете избавиться от идиотов на службе, избавьтесь от документов — избыток документов ведет к избытку собираемых сведений и злоупотреблений ими. Государство могло избавится от паспорта, оставив лишь загран и водительские права, могло отказаться от десятка удостоверений личности, но оно даже трудовые книжки отменить не смогло, зато дополнительно ввело уэк и его клоны в регионах.
+2
А про какое задержание вы говорите? Я тут читаю фейсбук журналиста Сергея Канева, который из ЦУРа и который как раз копал солсберийских товарищей и он написал вчера вроде, что был вброс ФСБ об аресте пограничника и еще кого-то, чтобы выяснить реальные источники данных. Сказал всем сидеть спокойно. Это не одно и то же?
0
А как этот «вброс» поможет выяснить реальные источники? Кто-то поднимет руку и скажет «вы не тех задержали, это сделал я»?
+1
Ну его версия, что их коммуникации отслеживают и когда они попытаются связаться с настоящими чуваками (там же не сказали, кого взяли), чтобы проверить что свои в порядке, тут-то их и перехватят. Мопед не мой, просто забавно, что совершенно независимо (я его читаю, потому что он из моего родного города, я еще мальчишкой его местное телевидение смотрел) всплыла одна и та же новость.
+2
А, теперь понял, про кого вы. Сергей Канев — это же один из авторов расследования Bellingcat. Пойду почитаю.
0
Сорокин написал это в 2006 году. Видимо о чем-то догадывался. Или прям точно знал, как все там э… обстоит.
+1
Государство могло избавится от паспорта, оставив лишь загран и водительские права

А тех, у кого нет машины и кто не ездит заграницу оставим без документов?
0
Пора сделать загран-паспорт обязательным. Полезная вещь в этой стране, полезнее паспорта практически.
0
Ну есть же куча других удостоверений личности. Если человек не участвует вообще ни в чем и ни одного удостоверения личности не имеет, скорее всего, ему и паспорт не понадобится. Ну, если вдруг зачем-то нужен, они могут его получить. Просто сделать его не обязательным.
0
скорее всего, ему и паспорт не понадобится.

Конечно конечно, а квартира, машина и наследства у таких людей заберем в пользу государства. Да, не забудьте таких людей при встрече с полицейскими отправлять на принудительные работы до выяснения личности. [/sarcasm]

куча других удостоверений личности

да да, разумеется нужно дать возможность продавать квартиры, дома и бизнесы при предъявлении читательсткого билета деревни Кукуево. Кстати, тогда и библиотекорям в этой деревне платит зар.плату не нужно будет. Двойная польза. [/sarcasm]
0
Не знаю как у вас, но у меня фотографии нет ни на СНИЛС, ни на ИНН. Или у нас в стране все резко стали джентельменами и верят друг другу на слово, что он это он?
0
У меня тоже нет. Но, возможно, стоит добавить? Сейчас-то это совершенно бесполезные бюрократические бумажки. Ну или, наоборот, убрать СНИЛС и ИНН, оставить паспорт — суть одна и та же: сейчас есть множество идентификаторов, каждым из которых пользуется большинство населения. Унификация способна упростить структуру.
0
Насколько я помню, ИНН это публичный идентификатор, который частный предприниматель обязан сообщать любому заинтересованному. Уверены, что хотите раздавать номер паспорта всем подряд взамен ИНН?

Большинство идентификаторов — мед.полис, ИНН, СНИЛС нужны, чтобы не светить всем номер паспорта, так как знаю номер паспорта уже относительно просто сделать поделку. Учитывая, что к номеру мед.полиса есть доступ почти у всех мед.работников, а ИНН вообще публичный — довольно опрометчиво заменять их номером паспорта.

Но, возможно, стоит добавить?

Не стоит, зачем вместо одного паспорта иметь десять «паспортов»? Хауса и подделок сразу станет в десять раз больше.

Заменить все ИНН, СНИЛСЫ и мед.полисы одним номером — в теории вполне можно, у нас в Люксембурге так и сделали, проблема тут с обратной совместимостью, в России море баз данных и документов завязано на эти номера (просто потому что физически не было Интернета и одной общей базы) и сейчас поменять ОЧЕНЬ дорого.
+1
Уверены, что хотите раздавать номер паспорта всем подряд взамен ИНН?
А в чем проблема?
зачем вместо одного паспорта иметь десять «паспортов»?
Вот, именно об этом я и пишу! Сейчас у нас множество различных документов, а было бы здорово иметь меньшее их количество, и не все из них иметь обязательными. Например, совершенно непонятно, почему паспортов два — внутренний и заграничный, почему нельзя оставить один из них, выдаваемый всем желающим, по которому можно ездить за границу?
0
И штрихкод на лоб, на случай выхода чипа из строя.
0
Например, совершенно непонятно, почему паспортов два — внутренний и заграничный, почему нельзя оставить один из них, выдаваемый всем желающим, по которому можно ездить за границу?


Потому что:
1. Загранпаспорт, насколько я знаю, по международным законам нужно менять с течении 10-15 лет, обычный паспорт меняют один раз в жизни (не считая браков),

2. Загранпаспорт с биометрией, как я понимаю, значительно дороже обычного в изготовлении,

3. Сейчас загранпаспортов нет у больше чем половины населения, то есть изготовления заграна для всех значит повышения налогов для всех, чтобы дать их каждому пенсионеру и бомжу,

4. В обычном паспорте куча страниц с пропиской, семейным положением, детьми и прочим, на них уже завязаны разные процессы, в загранпаспорте куча страниц с визами, то есть общий паспорт будет в два раза тольще (и дороже),

5. При получении многих долгосрочных виз требуется сертифицированная копия всех страниц заграна, стоимость таких копий будет существенно дороже, особенно если потребуется перевод всех страниц на русском,

6. При потере заграна, человек за границей вообще становится букашкой без всяких документов, что он вообще гражданин,

7. У часто ездящих людей, все страницы заграна заканчиваются за год, то есть ему придется постоянно менять этот документ, без паспорта невозможно заключать никакие сделки, никуда ездить, то есть на время замены он оказывается совсем ограниченным,

8. Не каждый гражданин России имеет право уехать за границу (например кто имеет допуск к гостайне), сейчас его завернут еще на этапе оформления паспорта,

9. Странные страницы с русским текстом (прописка, дети, военообязаность) могут вызывать вопросы у таможеников других стран, то есть возможно их тоже потребуется переводить на английский, что увеличивает кол-во страницы,

10. Для оформления визы часто забирают загранпаспорт в посольство страны, при универсальном паспорте человек на время оформления (иногда месяцы) становится непонятно кем, без возможности купить спиртное, заключить любую сделку, поменять товар и даже доехать до другого города (так как на поезда, самолеты, международные автобусы требуют паспорт), так же его может забрать любой патруль до выяснения личности (а без всяких документов — долго)
Причем в отличии от остальных процессов, посольства вряд ли будут менять свои процессы для одной странной страны.

11. При оформлении визы отдавать свой главный документ агенту на недели и месяцы — весьма большой риск получить потом кредит на свое имя.

Достаточно?
0
обычный паспорт меняют один раз в жизни (не считая браков),


В РФ дважды, по нонешним законам. В 20 и 45 годиков.
0
В Белоруссии небогатой даже относительно России и не являющейся флагманом тотальной свободы, а скорее имеющей некоторый имидж полицейского государства, уже много много лет просто паспорт без всяких там разделений загран/внутренний. И ничего — всё как то нормально так себе работает.

И по поводу п. 10: а из чего, собственно, подразумевается, что паспорт должен быть только один (С. McCloud)? На пример один мой знакомый англичанин (ну он реально очень много ездиет причём далеко не всегда в образцовые страны) имеет постоянно от 3х до 4х паспортов (в некоторых посольствах и 2 месяца может паспорт лежать на оформлении визы)
+1
уже много много лет просто паспорт без всяких там разделений загран/внутренний
Скоро это изменится. Будет внутренняя ID-карта и загран с биометрией.
0
а из чего, собственно, подразумевается, что паспорт должен быть только один

А тогда какой смысл иметь один универсальный паспорт, если для нормального использования их все равно нужно несколько?
Англоязычным проще, им не нужно переводить свой язык на английский.

И ничего — всё как то нормально так себе работает.

Никто не говорит, что это невозможно. Речь только о том, что у текущей модели двух паспортов тоже есть вполне очевидные плюсы. Насколько удобно в Беларуссии нужно мнение самих Белоруссов.
0
А тогда какой смысл иметь один универсальный паспорт, если для нормального использования их все равно нужно несколько?
Англоязычным проще, им не нужно переводить свой язык на английский.


Несколько из разных типов, из каждого один или несколько из одного типа — нет разницы?
Про англоязычных вообще к чему?

Речь только о том, что у текущей модели двух паспортов тоже есть вполне очевидные плюсы. Насколько удобно в Беларуссии нужно мнение самих Белоруссов


Ещё более некорректный аргумент не смогли привести? Насколько Пол Пот плохой лидер нужно мнение самих камбоджийцев, а вы тут не смейте, так? Есть жеж вполне себе однозначные мнения по к-л вопросом у белорусов, россиян, австралийцев и землян в конце концов, так?

А мужики то и не знали, что в практически любой системе/структуре/ситуации есть ряд плюсов и минусов. Про теории оптимизации слыхом не слыхивали.

Ну да ладно — я там (в РБ) периодически живу. Устроит так?
-1
Пять баллов вам, уважаемый vedenin1980. так держать — нет аргументов, сел в лужу в дискуссии — универсальный высокоэтичный рецепт — ставь минус.

Вообще, в порядке офтопа, в плане повышения уровня корректности дискуссии, возможно было бы ввести м.б. запрет ставить оценки оппоненту, с которым вступил в спор (ибо весьма часто — чисто эмоционально, а вовсе не объективно), м.б. «цену оценки» (по типу поставил 10 -20 минусов — у самого на 1 пункт меньше, в самом деле — если столько много минусов приходиться ставить — все вокруг дураки? если так, то не центральный ли вы?)
+1
1. Про минусы: Да, вы правы, минусы поставил вам я, но, разумеется, не потому что вы мне возражали. Минусы я всегда ставлю тем пользователям, чье поведение похоже на троллинг (переход на личности, негативные язвительные комментарии, использование приблатненной лексики и т.п.), они только что зарегистрировались и не имеют никого вклада в виде самой завалящей статьи, потому что см. пункт 2.

2. Проблема хабра в том, что после разрешения комментировать всем, на хабре появилось море троддей без всяких статьей, который сначала пишут нормальные комментарии, а потом начинают троллить. Чем быстрее такие товарищи уйдут в глубокий минус тем лучше.

3. Про изменения системы минусов и кармы: опять-таки, почему-то почти все стенания о том какая плохая система на хабре от только зарегестрированых пользователей с десятком комментариев, нулем статей и глубоким минусов в карме (интересно почему?),

4. По сути вопроса: alexeykuzmin0 сказал, что ему совершенно непонятно зачем нужно два паспорта (подразумевая, что один паспорт лучше во всех случаях), я привел причины по которым, иногда два паспорта предпочтительнее одного. Я не собираюсь спорить, какой вариант идеальнее и лучше в условиях России (это тянет на полноценное научное исследование), я просто написал, что вариант двух паспорта имеет свои плюсы. С кем и о чем вы там спорите совершенно непонятно.
-2
«Похоже..» ну ну, желаю и дальше и во всём, и в отношениях между людьми и в работе поступать руководствуясь не логикой и здравым смыслом, а эмоциями (как я постом ранее и указал, что ещё раз повторюсь — соответствующе вас характеризует) и революционным правосознанием.

"… переход на личности..." — обвинять в этом, в том же посте, где сам признался, что тихо заминусил вовсе не по сути поста — это пять)))

"… и не имеют никого вклада в виде самой завалящей статьи..." — наличие статей даёт +100500 или хотя бы чуть более нуля к силе и корректности аргументов? Не знал.

"… я просто написал, что вариант двух паспорта имеет свои плюсы..." (я просто разместил объяву, мопед не мой) — уже же указал на то, что " в практически любой системе/структуре/ситуации есть ряд плюсов и минусов" — это банальность, тогда по любому вопросу можно написать 152 экрана постов. Лавры КО не дают покоя? Иначе, отбрасывая вариант графомании, совершенно непонятно для кого и для чего вы это указали.

Будьте послушным юношей: Минус — пли!
+1
Знакомо, я когда только пришел на хабр так же злился из-за минусов, поэтому и потратил время на написание комментария выше (хотя и не обязан был), адекватный человек потом остынет и подумает, что его манера общения и дискуссий может вызывать негатив и новые минусы в будущем, тролль и неадеквата, конечно, ничего не исправит.

Удачи!
-1
И вам в развитии навыка и получения удовольствия (хотя куда уже больше) от избивания ногами связанного. Причём за то, что делаете сами и не делает ваш оппонент. Смешно.
0
Загранпаспорт, насколько я знаю, по международным законам нужно менять с течении 10-15 лет
Если вы о правиле ICAO, то в нем написано, что оно «рекомендуется к исполнению», а не обязательно.
Загранпаспорт с биометрией, как я понимаю, значительно дороже обычного в изготовлении
Уж точно не дороже, чем пара загранпаспорт с биометрией + внутренний паспорт.
Сейчас загранпаспортов нет у больше чем половины населения, то есть изготовления заграна для всех значит повышения налогов для всех, чтобы дать их каждому пенсионеру и бомжу,
Вовсе не обязательно. Просто выдаем вместо всех новых внутренних и заграничных паспортов эти новые «универсальные» паспорта, лет через 20 у +-всех они будут.
При получении многих долгосрочных виз требуется сертифицированная копия всех страниц заграна, стоимость таких копий будет существенно дороже, особенно если потребуется перевод всех страниц на русском
Всех страниц с визами и главной страницы обычно, а не вообще всех. Количество этих страниц никак не меняется при переходе на универсальный паспорт.
При потере заграна, человек за границей вообще становится букашкой без всяких документов, что он вообще гражданин
Вывоз внутреннего паспорта за пределы РФ запрещен законом. Собственно, а что происходит при потере человеком внутреннего паспорта сейчас? Казалось бы, при потере «универсального» можно делать то же самое.
У часто ездящих людей, все страницы заграна заканчиваются за год, то есть ему придется постоянно менять этот документ, без паспорта невозможно заключать никакие сделки, никуда ездить, то есть на время замены он оказывается совсем ограниченным
При смене паспорта можно отдать старый в день получения нового.
Не каждый гражданин России имеет право уехать за границу (например кто имеет допуск к гостайне), сейчас его завернут еще на этапе оформления паспорта
Не вижу необходимости в запрете на выдачу загранов невыездным.
Странные страницы с русским текстом (прописка, дети, военообязаность) могут вызывать вопросы у таможеников других стран, то есть возможно их тоже потребуется переводить на английский, что увеличивает кол-во страницы
Вы загран видели когда-нибудь? На странице с фото все надписи дублированы: русский и английский. Насчет же «избыточных» данных — ну вот я сейчас живу в Лондоне, так тут на каждый чих нужен proof of address. Мне было бы очень удобно, если бы в моем загране была прописка, которая им подходила. В сто раз удобнее, чем искать счета за ЖКХ и ходить с ними. Опять же, данные о военнообязанности, семейном положении и детях мне потребовались для визы — было бы лишь удобнее, если бы они были прямо в паспорте.
Для оформления визы часто забирают загранпаспорт в посольство страны
Обычно можно сдать паспорт уже после получения решения о визе, чисто для вклейки. То же самое происходит, например, в ЗАГСах при регистрации брака без смены фамилии. Опять же, если уж очень надо — пусть те, кому надо, получат второй загран. Зачем обязывать к этому всех?
При оформлении визы отдавать свой главный документ агенту на недели и месяцы — весьма большой риск получить потом кредит на свое имя.
Прямо большой? Сомневаюсь, ведь не слышно о массовых случаях получения кредитов на чужие имена сотрудниками паспортных столов.
Достаточно?
С некоторой натяжкой относящимся к реальному миру можно считать только пункт 11. На мой взгляд, он не перевешивает плюсов от уменьшения бюрократии.
0
Оригинальная история произошла 18 лет назад. Стоимость GSM-станции на тот момент была на 2 порядка выше 1500 баксов :)
0
Да причем здесь «GSM-станция»?! Речь об аналоговом телефоне у бабушки на кухне. Даже 18 лет назад можно было купить по «авито» мини-АТС Panasonic за 500 баксов и штатными средствами настроить перехват 411.

Но мне больше видится другая история: хакер действительно говорил с сотрудником АНБ (но не за кружку, конечно, а за неплохое «вознаграждение» и возможность «сотрудничать в будущем»).

С возрастом левая дурь у чувака из башки выветрилась, он позвонил по известной схеме (агент не просто так засветил канал) и попросился на работу с окладом $10000 чистыми в месяц в непыльном кабинете с неглупыми вежливыми дяденьками.

Ну а плаксивая история с кружкой — это PR-HR-отделы АНБ попросили уже проверенного штатного (внештаного?) сотрудника за премию в $20000 накалякать PR-статью, чтоб привлечь молодняк в агенство и заодно поумерить прыть юных борцунов с системой.
+1
Ну так по поводу пиара — этим все занимаются. Вон, трансформеров, оказывается, министерство энергетики США спонсировало. Для повышения боевого духа у подрастающего поколения. Этим все страны балуются :)
0
На предпоследнем мейджоре по CS:GO было очень удивительно видеть US Air Force, как одного из титульных спонсоров)
+1
. Ну хорошо, встали мы на пару… или на кросс. Как сделать так, чтобы при наборе 411 звонок не ушел куда не надо?

Отдельная АТС, специализированная под такие перехваты?
0
Так их же полно готовых — для тестовых целей… 20000р новая вот например — Fluke Networks TS25D, а с ебея вдвое дешевле.

Весь вопрос в том кому реально может быть нужен исходный код и зачем. Если исключить анекдот про «спасающего мир» АНБшника, и вопрос жизни и смерти, который разрешает нарушать процедуру, но запрещает привлечь автора как эксперта?
+2
но запрещает привлечь автора как эксперта?

Может дело в «ошибке выжившего»? Есть сотни таких же людей, но которых официально привлекли как эксперта и они не могут рассказать эту историю из-за соглашения о неразглашении. И мы узнали только ту странную историю, где автора привлекли без такого соглашения
+4
Это может сработать только при условии, что автор статьи жил в отдельно стоящем доме, куда уходит своя пара медных проводов

В США, Коннектикут разве это может быть не отдельно стоящий дом на одну семью?

0
Это может сработать только при условии, что автор статьи жил в отдельно стоящем доме, куда уходит своя пара медных проводов.


90% американцев так и живут
0
У вас есть официальная статистика, или цифра «с потолка»?
0
Вот есть статистика по Калифорнии (я так понял, автор статьи из нее). 56.4% живут в отдельных домах. 12% живут в домах на 20 или более домохозяйств.
+23
Ну нашли вы телефонный столб — дальше что?


Дальше поднимаем глаза вверх и видим сидящего в когтях и наушниках на столбе злоумышленника.
0
Полагать можно что скомпрометирована телефонная сеть, а злоумышленник сидит под ближайшим телефонным столбом.
Хз что там было на самом деле, но можно придумать 100500 способов верификации при которых этот трюк не пройдёт. Да и, вероятно, не стоило оно того.
+6
Я просто пытаюсь посмотреть на ситуацию критически. То чему нас учет сообщество хабр.
Никому не доверять.
Вот представьте вам в 2 часа ночи, позвонит незнакомый представится агентом ФСБ, ГРУ, и вежливо попросит вас исходники вашей программы, помощь в анализе данных этой программе. В целях национальной безопасности и все такое…
Что бы будете делать?
+29
почему-то кажется, что эти товарищи будут просить лично, а не по телефону
+7
В прошлый раз я послал его нахер. Потому что 4 утра, суббота, и я хочу выспаться. Больше не звонил.
+1
Спасибо, но у меня уже есть. Стальная. С фирменной геофизической гравировкой. Она прожила уже десять лет и ещё сто проживет. Зачем мне какой-то АНБ?
0
Привет Я.Таксисту (для верности профиль глянул хотя было не обязательно ))
0
Прошу прощения, просто «на бутылки» родилось у нас в продуктовой команде Я.Т а я спутал в профиле подписку с компанией.
+1
Полагаю вы не поняли отсылку к истории, ставшей мемом, о том, как полицейские сажали подозреваемого на бутылку
UFO landed and left these words here
+1
Тогда придётся говорить в синем фургоне в лесополосе с шокером подмышкой.
Недавно вон питерские «анархисты» много чего рассказали, даже о чем ранее не помышляли.
+1
в аналогичном случае (и тоже 18 лет назад, правда речь шла не о моей программе и вообще не об исходниках) мне предъявили удостоверение :)

черт, не догадался попросить кружку, а сами не дали!
0
Нам Сысоев выдавал исходники nginx'а под windows, когда они еще не были выложены для применения в гос. контракте. Так что не вижу проблем.
-3
Увидел фамилию, подумал про нашего препода в универе, который нам про Python читал и анализ биомед. данных.
UFO landed and left these words here
+6
Попробую ответить. Уж очень зацепила меня эта статья.
Вероятно злоумышленниками были нелегально получены(финансовые, технические, корпоративные и т. д.) очень важные данные зашифрованные этой программой. Код был получен из открытых источников. От автора планировалось получить дополнительную информацию и консультацию по расшифровке. Но необходимо это сделать это незаметно для всех, не скомпромитировать себя. Нужно сделать так чтобы автор до последнего думал что это спец службы и он помогает Родине.

Дальше жуткий офтоп, заранее прошу прощения.
Я не могу понять зачем была написана эта статья? Автор похвастался как помог АНБ получить нелегальный доступ к чужим данным. Причем насколько я заметил он сам сомневался в том что это АНБ.

Вообще это отличный кейс пример на курсе информационная безопасность как делать нельзя. И автор написавший не абы какую программу, а программу шифрования не мог этого не понимать.
+4
И еще.
Но одна вещь сидит у меня в голове все эти годы: как, чёрт возьми, Дэйв выследил меня за 3000 миль от дома посреди ночи в тот жаркий летний вечер в Бристоле, штат Коннектикут?

Для поддержания правдоподобности истории необходимо было продемонстрировать возможности спецслужб по розыску людей.
Очень просто. 4 июля — день независимости, национальный праздник. Предполагается что автор встречать его будет в кругу семьи. Где семья? Где родители? в Коннектикуте. Скорей всего атака планировалась заранее.
+7
Сначала развели на исходники. А потом прислали кружку.
+1
Отвечает Александр Друздь

(TL;DR:
1) бессмысленно, он им размеры некоторых заголовков только дал, прога не скомпроментирована
2) «But I know it was real [АНБ, А.Г.]» он с ними встречался несколько месяцев спустя (по не связанному с этим делу), и они его накормили бесплатным обедом, что, с учетом отсутствия угрозы проге — оверкилл в «заговороделанье»).
+24
Очень уважаю таких профессионалов которые даже будучи у власти все еще вежливы и учтивы. Особенно впечатлил момент про подтверждение личности.

Однако, про сам факт помощи тут есть нюанс: ровно с такой же вероятностью это мог быть ноутбук орнитолога-любителя, случайно заснявшего как условный сенатор делает нечто весьма нехорошее.
+1
В чем, для спецслужб, смысл расшифровки данных с ноутбука орнитолога-любителя? Ну заснял он что-то такое, а спецслужбы как то об этом узнали. Но в этом случае достаточно уничтожить данные, зачем их расшифровывать то?
+5
Общался с нашими чекистами, тоже пугающе вежливые люди. Пока не начнёшь отказывать, я думаю.
0

Подтверждаю ) обращались как то за помощью. Мог бы отказать, но было жутко интересно. Но никакую кружку не подарили...

+1
И будут вежливы и ласковы настолько — Предложат жизнь счастливую на блюде.
Но мы откажемся… И бьют они жестоко,
Люди, люди, люди…
В.С. Высоцкий, «Песня Бродского»
+11
Прекрасная история, а где-то на том конце провода орал в секретной тюрьме осведомитель Сноудена под ударами шокера.
-6
Пройдет немного больше 434 дня и первый самолет врежется в первую башню и никакой Дэйв, Майкл или еще какой урод из АНБ не сделает ничего, что бы это предотвратить.
0
Это мог быть вполне отдельный случай, который если бы могли предотвратить — обязательно бы предотвратили (по крайней мере я в это верю). Мы не можем этого знать, увы. Как и предотвратить каждую трагедию.
-6
Немного лень гуглить: почему самолеты не взорвали еще на подлете? Или они до самого конца выглядели для диспетчеров нормально и поменяли курс когда уже было поздно?
+9
Почему их должны быть взрывать? Какими правилами гражданской авиации предусмотрен подрыв пассажирских самолетов? Ей-богу, вы какой-то бред пишете.
0
Если он угнан террористами, то почему нет? Угнанный летательный аппарат летит в густонаселенный регион и не отвечает на позывные. Не вижу причин дать ему в принципе до населенного пункта долететь. А более эффективного способа, чем подорвать его, я не вижу.
+1
Если он угнан террористами, то почему нет?


Представьте, что вы сами находитесь в таком самолете — и вы найдете ответ на свой вопрос.
+2
Так мне в любом случае хана в такой ситуации. Либо во что-то влетим, либо при попытке угона свалимся без топлива, либо нас довезут куда надо, а там либо прирежут, либо идите куда хотите, но посадят в такой дыре, что там ни еды, ни жизни на километры вокруг. Спецназ загнать на самолет нереально, договариваться уже поздно, так что любые варианты со спасением отпадают.
0
Если самолёт не в воздухе, то еще как возможно загнать спецназ.
Для примера: Операция «Энтеббе». Из 105 заложников — 102 выжили.
0
Во-первых, где гарантия, что самолет угнан, а произошел технический сбой, из-за которого накрылись средства связи и навигации?

Во-вторых, самолеты угоняли до этого десятки и, может быть, сотни раз, они пролетали разные густонаселенные районы, но никто из угонщиков в здания самолеты не направлял. А сбить угнанный летательный аппарат это гарантированная гибель сотен пассажиров.
0
Это только над Москвой полеты запрещены, над другими городами самолеты летают постоянно — всех сбивать?
0
Ну чтобы долго не гуглить, вот вам, например, свидетельство очевидца из первого ряда партера (с которым я лично знаком).

Нахожусь уже над Holland Tunnel, на траверзе Canal Street, как вижу с противоположной стороны, где-то метрах на 500 идёт «737» (на первый взгляд), впринципе там он и ожидался, т.к. визуальный заход в Ла Гвардию проходит как раз по реке и сам факт нахождения авиалайнера там совершенно не ставился под сомнение, ну может чуть ниже чем обычно, тоже небось поглазеть хотел, но никаких подозрений он не вызывал.

www.maxho.com/index.php/maxhocom/8-main/479-wtc.html
0
Если бы предотвратили мы бы сейчас, через овер 10 лет даже не вспомнили об этом.
+3
в аэропорту синая (египет) мы с сынишкой в зале отлета, после регистрации, немного расшалились. внезапно подошел человек в строгом костюме с бейджем и по-русски спросил меня, обратившись по имени, как у меня дела. меня удивило это, как и зачем он узнал мое имя? никто в слух его не произносил, этот случай произвел на меня впечатление…

а пройдет пару лет и охрана этого эропорта ничего не сделает для предотвращения взрыва нашего самолета
+8
как он узнал мое имя?

Открыть базе билетов (доступ есть, раз сотрудник с бейджем), и найти русских (шалили, небость, с криками на русском языке) с одним ребёнком мужского пола, вылетающих в Россию рейсом, регистрация которого начнётся через час (обычно сильно заранее не приезжают), так неимоверно сложно?


и зачем

А товарищу майору ваша шутка понравилась ©

-1
А всё потому, что они купили полную версию программы SafeHouse. Отличный рекламных ход!
+2
Чекисты всех стран всегда хорошие психологи, напустить туману, дать возможность почувствовать себя спасителем мира, а по факту в лучшем случае взламывали какого-нибудь нарика.
-5
ЧКисты (точнее, их наследники) есть только в одной стране. Не совсем корректно их обобщать со спецслужбами других стран, хоть это и всего лишь придирка к терминологии.
-10
Интересно, когда речь идет о том, что АНБ должна иметь доступ к переписке, все на этом ресурсе только за. А когда идет речь о том что аналогичный доступ должна иметь ФСБ, слышен только недовольный протест. Вы что, совсем умом тронулись?
+20
Не бойся чужих, бойся своих.
Это правило жизни в нашей стране постигается не сразу и не всеми. Но тем не менее, да — АНБ не представляет угрозы для меня, даже гипотетической. А вот ФСБ в любой момент способна растоптать всю жизнь по любому непредсказуемому предлогу, даже самому нелепому. Хотя бы за пост в соцсетях.
+1
Поедете вы на конференцию по формату PDF, и прямо в аэропорту вас возьмут и отведут на несколько суток непонятно куда. После поднятые на уши адвокаты и детективы найдут вас и после шума вам предъявят обвинение.
Реальная история.
0
Просто интересно — вы ведь не верите в то, что американские спецслужбы (ФБР, АНБ) могут арестовать вас лично в любое время в любой зарубежной стране? Даже гипотетически? И, вероятно, полностью верите в то, что именно русские хакеры повлияли на предыдущие выборы в США и что это именно их, «злобных русских хакеров», а не российских программистов, в последние годы отлавливает ФБР в разных странах? Вы в курсе сколько российских программистов (выехавших на отдых в туристические страны) уже успели арестовать по этому делу?
+17
может дело в том, что АНБ не ловит диванных оппозиционеров?
+3
У них всё хуже — у них право свергнуть правительство с оружием в руках закреплено в Конституции. Дикари-с :)
+3
А кто здесь «за»? Никто просто особо не возмущается, т.к. это далекая от нас проблема.
+8
История в стиле исследований природы власти и авторитета Филиппа Зимбардо. Человек на 95% был уверен в серьезности происходящего только потому, что «никто не знал, что он у брата дома». Да существует куча способов, от GPS-трекера до преследования на машине, чтобы узнать, что он дома у брата. Я не говорю, что это был пранкер Вася, но вполне могли быть военные без такого уровня допуска, чтобы просто так просить исходники под предлогом государственной важности, а вовсе и не АНБ.
+1
А какой уровень допуска должен быть, чтобы попросить исходники? Любой человек может это сделать.
+1
Но законно получить под предлогом важного расследования — не каждый.
Думаю, будь это и правда АНБ, к человеку пришли бы лично, показали бы удостоверение и заставили подписать всяких конфиденциалок и неразглашений, и нехило взгрели бы уже за эту статью, которую нам тут перевели.
+1
Попросить может каждый. А предлог, он от точных формулировок зависит. Проблема была бы разве что из-за того что вояка представился АНБшником, но опять же, это если бы было какое-то расследование по этому поводу.

А по поводу пришли бы лично, я думаю, вы плохо понимаете как работают спец. службы. Там тоже люди, они ценят свое время, не умеют телепортироваться и в целом ресурсы у них могут быть хоть и большие, но не бесконечные. Если можно решить вопрос быстро и без шума, то его так и будут решать. Далеко не каждый аспект там супер-секретный, чтобы ради него спец. операцию организовывать.

А взгревать за статью о неком Дейве который позвонил почти 20 лет назад, это особенно странно. Что такого в статье? Люди из АНБ умеют звонить другим людям и о чем-то с ними говорить? ужас какой, все покровы сорвали.
+2
> Думаю, будь это и правда АНБ, к человеку пришли бы лично

Не. Эти с людьми общаются крайне редко и никогда лично ( кроме шишек, но шишки не знают ничего существенного ). Шуточная расшифровка NSA — No Such Agency.
+16
Я бы не удержался и сказал бы ровным голосом: «I'm sorry, Dave. I'm afraid I can't do that.»
0
Многие говорят что им наплевать на то какие данные о них есть в сети,
но любой может совершенно просто найти почти любого человека в инстаграме, фейсбуке и т.п. и чучуть напрягшись составить вполне себе реальный профиль — поездки, интересы, внешность. Сейчас это намного проще чем в те года, но и тогда достаточно было позвонить на работу, чтоб узнать где отдыхает человек.
0
Не все же отчитываются перед руководством о своих передвижениях
+3
Да, только теперь мало кого удивит, если ему позвонят и скажут, где он.
Даже тем, кто не сильно в теме, СМИ довольно доходчиво доносят, что через соц. сети весьма просто «спалить» свое местоположение (регулярно публикуя фейлы от политиков и чиновников, которые рассказывают как они напряженно работают, а в тегах светится очередная Ницца).

Недавно со мной курьезный случай произошел. Внедорожная экспедиция в горах, целых день пилили, доехали до какого-то хутора, где даже моб связь не ловит, на ночевку. При чем, планы поменял в самый последний момент, должен был останавливаться в 15 километрах севернее.
Садимся ужинать, подходит «официант» (паренек помогал хозяйке на стол накрывать). Говорят, вас к телефону, из СБУ. Я удивился, но попросил уточнить кого конкретно ищут. Уже представлял доблестного сотрудника, глядящего на меня прямо через спутник и вспоминал, что такого от меня могло понадобиться СБУ.

Оказалось, что ищут некого Валентина, с нами в группе такого не было. И вообще походу номером ошиблись. А возьми я трубку сходу, гляди и тоже какие-то исходники бы попросили))
+34
«Зашифровал я как-то раз диск с домашним порно, а пароль забыл...»
+7
Есть предположение, что текст является выдумкой маркетолога, ну или даже самого автора программы с целью раскрутки своего продукта. А что? Все слагаемые рекламного текста на месте: наименование продукта, цена, предполагаемая выгода для потребителя.

А был ли Дэйв? Ведь кружку можно просто купить в сувенирном магазине.
0
Или как в фильме «Игры разума», фантазии неотличимые от реальности.
Или розыгрыш друзей, чтобы вывести автора из депрессии. Предварительно позвонили в справочную и попросили девушку дать номер «секретной лаборатории» когда спросят. Вроде она не нарушила устава, спросили телефон, продиктовала телефон, что и требуется по работе. Кружка как-раз дружеский признак, по работе, за типовую помощь маловероятно чтобы заморачивались с подарком.
+16
Человек с гордостью рассказывает как помог получить нелегальный доступ к чужим данным. Он был легальным? Может быть, судебное постановление или два чуть-чуть улучшат легитимность произошедшего? Но нет, звонки, секретные кружки, социальная инженерия для получения доступа к сырцам.
+4
Так дело-то не в том. Если бы софт был написан добротно, то и исходники бы ничем не помогли. Так что помог он задолго до этой истории и непреднамеренно (что нисколько не умаляет его вины).
+2
Вообще не вижу проблем. Полноценная версия и шифровала сильным ключом. А то что в бесплатной слабый ключ использовался — ну так все логично, хотите большей надежности — платите, а если достаточно бесплатной версии от родителей порнушку прятать — так прячьте на здоровье, и такого хватит, может когда потребуется более качественная защита такие прятальщики о софтинке вспомнят.
+1
А в чем нелегальность? Позвонил и попросил. Не угрожал, не ссылался на нормы закона, реальные и мнимые.
0
Нелегальным был доступ АНБ к чужим данным. Если бы он был легальным, они бы могли использовать более открытые и оставляющие следы методы. Например, официальное письмо. Такое же вежливое, но дающее что-то, кроме сувенирной кружки в финале в качестве доказательства.
+5
Интересная культурная особенность: человек сразу без разговоров доверился своим спецслужбам, поверил в их благие намерения (родина опасносте сынок) и пошел на сотрудничество. Интересно — произойди такая история у нас — как бы человек реагировал? А главное — как бы на его согласие реагировали окружающие. Сдается мне, комментарии на Хабре были бы заполнены огульным неодобрением.
+8
Наши спецслужбы в основном занимаются поиском инакомыслящих и охраной трона, оттого к ним такое отношение.
-5
Простите, у вас есть какие-то фактологические (желательно в виде числовых данных) подтверждения «наши спецслужбы в-основном занимаются поиском инакомыслящих»? Или это просто ваше ощущение, ошибка выжившего и пр.?
-6
И инакомыслием не назовёшь

Тут скоре инако… гребля (на байдарках и каноэ).

+1
Ответ на вопрос будет? Какие спецслужбы занимаются не преследованием инакомыслящих и не охраной власти?
0
У партии и правительства не было хороших пиарщиков. Да и сейчас нет.
+3
Да ну? Посмотрите на результаты выборов — сейчас. И оглянитесь назад — на СССР, который как-то просуществовал 70 лет. Вы считаете, что не было хороших пиарщиков?!
+5
Проблема в том что про наши регулярно слышишь всякую хрень, плюс либо сталкивался сам, либо сталкивался один из знакомых или родственников. Причем если про спецслужбы еще куда ни шло отзывы, про МВД вообще швах. В случае же с ФБР, АНБ и иже с ними репутация даже несмотря на сноуденов и гуантанамо всяких заметно лучше (у полиции опять же репутация получше чем у нашей). Да к тому же их спецслужбы меньше бредовой законодательной инициативы проявляют, хоть и не безгрешны. И самое главное — родное ФСБ на меня куда больше повлиять может, и я ему скорее всего больше интересен чем какому то АНБ, для АНБ я всего лишь статистика в их анализах данных, а для ФСБ скорее конкретное лицо.
+1
Получается, все сводится к тому, что о деятельности, условно, ФСБ мы знаем много — втч и о плохих сторонах их работы, а о АНБ не знаем ничего. И если кто-то кого-то держит в тюрьме незаконно, пытает в каком-то Гуантанамо, то это далеко, не у нас, вообще давно и неправда. Как верно выше сказали — пиарщики у «партии и правительства» так себе.
+3
Отличные у них пиарщики, одни из лучших в мире. Большая часть страны считает что Путин молодец, не имея на это объективных причин.
0
Любые пытки — это отвратительно и с ними надо бороться. Но нам в России то, что делают наши спецслужбы, ближе.

А российское ФСБ пытает задержанных программистов током. Мы с вами вряд ли в Гуантанамо попадем, а вот в ФСБ — вполне реально, особенно в случае неосторожных высказываний в Интернете.

Ну и убийство нашими спецслужбами своих граждан за рубежом, да еще и с применением химоружия — тоже некрасивая страница истории.
0
Пендосы — в основной массе уникальные патриоты до мозга костей, в отличии от нас априори ненавидящих любую власть и органы
-1

У меня была история, когда обращались за кое какой помощью ФСБ. Нормально среагировал. И нормально реагировали те, кому об этом рассказывал. До сих пор по некоторым вопросам общаемся, вполне себе вежливые и адекватные люди.

0
«Пожалуйста, слушайте внимательно и не вешайте трубку»

Нормальный человек послал бы мусоров за ордером и спать пошёл. Но не этот чуви.
+2
Может не было никакого звонка, а чувак все придумал чтобы пропиарить свою прогу. Получилось вирально, разошлось по всем профильным ресурсам, а проверить все равно невозможно. Чувак молодец, не зря в профайле написал про себя «Serial Founder».
0
Не думаю. Эффект тут слабый. Вряд ли после прочтения всей этой истории кого-то озарит, что ему нужно шифрование файлов.
+1
А что он должен был написать у себя в профайле, чтобы вы сказали «действительно какая интересная история, скорее всего так и было, не зря в профайле написал про себя...» Приведите пожалуйста примеры.
0

А может и не было вообще ничего? А это все такая нативная реклама софта

0
Если бы ФСБ высылало всем кружки, то их продажа в магазинах была бы не нужна.
+11
Случай из моей практики.
~ 2001-2 год. Суббота, 07:30 утра. Звонок в дверь, супруга пошла открывать. Испуганная приходит в спальню, говорит, что это ко мне. Надеваю шорты/футболку выхожу в коридор и удивляюсь: стоит полковник милиции и два ОМОНовца в брониках, касках и с автоматами. Да, мы с женой такого не ожидали!
Полковник очень вежливо просил перезвонить директору компании, в которой я работал. Ребёнок был маленький и звук моб телефона на ночь я отключал. Как выяснилось, из нашей телефонной сети был совершен вызов о минировании городских объектов, Ростелеком не мог знать, где установлены телефоны нашей сети небольшого регионального оператора и сообщил контакт нашего директора, который названивал уже мне.
Быстро одевшись, поехали с мигалками на работу. Место установки телефона по данным техотдела определили, CDR отгрузили на диск.
К счастью, сообщение оказалось ложным. Абонент бухал с вечера пятницы всю ночь с друзьями и под утро решили развлечься… выходные были сорваны.
Благодарственное письмо на компанию от УВД за содействие при проведении ОРМ и воспоминания до сих пор.

+1

Дейв оказался не очень щедр. Такая чашка продается в сувенирном магазине при музее АНБ за десять баксов.

-1
О, я знаю похожую историю про того самого Дэйва в России. Звонок разбудил ночью сотрудника погранслужбы Северо-Западного региона… Далее, от первого лица:

Звонивший извинился за поздний звонок и сказал, что его зовут Дэйв. Он попросил взять ручку и бумагу, потому что собирался дать несколько важных инструкций, которые позволят подтвердить его личность. И тогда ошеломил меня фразой: «Это вопрос национальной безопасности».

Некоторые из моих родных начали собираться рядом с кухней, где я стоял у стены с телефоном. Чёрт возьми, что происходит? Я посигналил брату принести ручку.

Я пытался осмыслить происходящее. Как ни странно, даже не догадался спросить у Дэйва, как он получил этот номер. Мужчина казался серьёзным и говорил авторитетным голосом; думаю, я уже поверил, что он имеет на это право.

Оказалось, что сотрудникам безопасности необходим доступ к файлам по выездам двух граждан РФ.

У них ситуация с национальной безопасностью, требующая немедленного доступа к этим файлам, и им нужна моя помощь. А конкретно, если я им помогу, возможно, они получат доступ к файлам быстрее, чем без моей помощи. Время имело существенное значение: отсюда и звонок посреди ночи.

Если АНБ не получит доступа к файлам, случатся неприятности. Может, умрут люди

Я упоминаю вежливость Дэйва, потому что она казалась необычной и особенно странной — он был слишком приятным. Казалось, что он предполагает или готов принять отказ. И если бы на его месте был кто-то иной в другой ситуации, так бы и произошло. Но здесь казалось, что дело важное, и просто нет времени на обсуждение.

Через несколько дней я вернулся на службу, и в моём офисе стояла коробка без опознавательных знаков, с указанием моего имени. Внутри, завёрнутая в белую папиросную бумагу, лежала синяя чашка для кофе АНБ с рукописной запиской на обычной белой бумаге: «Спасибо. Дэйв».

P.S.
ФСБ РФ провела массовые мероприятия в отношении частных сыщиков и просто лиц, занимающихся продажей выписок из «закрытых» баз данных, в первую очередь, предоставлявших информацию о перемещении граждан через границу, а также из базы «Роспаспорт» и из базы ФНС об имуществе россиян.

«По моим данным, прямо на рабочем месте были задержаны сотрудник погранслужбы в Северо-Западном регионе и сотрудник одного из подразделений ФНС. Первый, как полагают, продал информацию о перемещении за границу Петрова, Боширова и ряда других лиц», — рассказал источник агентства.
+1
Выше уже писал, читаю журналиста Сергея Канева из ЦУРа, который как по Солсбери работал и личности Петрова и Боширова выяснил, он утверждает, что это слив ФСБ, чтобы заставить их связаться с реальными источниками, говорит, что все в порядке и никого не брали.
0
Теплый-ламповый рассказ. И не менее теплый happy end. Спасибо.
-1
развели как лоха, очевидно и время звонка и ситуация наиграна. Зато все довольны. NSA выдумали историю и важность и получили исходники и облегчили свои усилия по расшифровке файлов на будущее а наивный СТО кружку с которой пылинки сдувает и гордится непонятно чем?
0
АНБ пишет же инструментарий для взлома всего подряд. Вот и дали этому Дейву задание написать соответствующую утилиту. Но ведь всё проще, когда у тебя есть исходник. Ночь, начальство спит в кресле, почему бы не позвонить.

Кстати, взлом слабостойкой защиты должен выполняться на суперкомпьютерах, а не путём выпрашивания исходников, особенно будь реально речь о «родина опасносте». Даже сам автор говорит, что хакер на одной машине вскроет за два дня. Масштабировав же на 10 тысяч высокопроизводительных машин, получат результат моментально.
+2
Чтобы ломать слабостойкую защиту перебором на суперкомпьютерах нужно знать, каким алгоритмом произведено шифрование. Причем знать именно конкретный вариант, т.к. даже стандартный общеизвестный алгоритм может быть как-то модифицирован разработчиком или содержать ошибки в реализации, из-за чего поменяется выходной результат. Именно поэтому, подозреваю, им могут быть нужны именно эти исходники, а иначе это будет тыкание пальцем в небо без какого-либо эффекта.
-1
-Джони! -помой мою кружку, надо сделать презент одному пэээтриоту

+3
Bethesda, MD — это густонаселённая пешеходная часть столичного Вашингтона. Для «базы» NSA место неподходящее, да нет там её. Штаб-квартира NSA находится в Fort Meade, MD. Это недалеко, но таки за городом, там люди пешком не ходят. Географически они как Мытищи супротив Речного в Москве, перепутать невозможно. В Bethesda, MD есть «NSA», только это «Naval Support Activity», госпиталь для военных моряков в орбите NIH.

Опять-таки, зачем звонящему раскрывать своё местоположение, оно же не было использовано для верификации, да и судя по рассказу, звонивший был не склонен раскрывать лишние детали.

Моё мнение: захватывающая история придумана рассказчиком для рекламы своей программы. Но история хороша.
+1
Меня одного смущает возможность (at least, не опровергнутая) АНБ уже в начале нулевых взломать 256-битное шифрование?
0
Про возможность взлома 256-битного ключа нигде не сказано. На все вопросы об этом незнакомец хранил молчание :)
И вот тогда Дэйв признался, что у чувака на ноутбуке shareware-версия. Что, серьёзно? Это всё меняет. Условно-бесплатная версия поддерживала только слабенькое 40-битное шифрование.
0
Вывод: террористам еще и зачет по криптографии нужно сдавать.
-1
Как всё же отличается менталитет. Даже если бы ФСБшник сделал всё точно так же, как в рассказе, то сейчас тут был бы пост, про кровавую гебню, которая забрала угрозами исходники.
+2
Так мы же не знаем, для чего ФСБ будет использовать. Может для расшифровки переговоров оппозиции Императору.
+1
Кстати, очень показательный случай. Президент ничего не смог в итоге предпринять против расследование. Мыслимо такое в России?
+1
Да уж, у нас бы не стали мучиться со сложной системы звонков. Повязали бы притащили в отделение. И потом бы уже «убедили» бы выдать код.
0
Одно не пойму, вне зависимости от исходников все равно ломать ключ надо. То есть достаточно было сказать какой алгоритм и длина ключа, не?
+1
Нужно знать именно конкретный вариант, т.к. даже стандартный общеизвестный алгоритм может быть как-то модифицирован разработчиком или содержать ошибки в реализации, из-за чего поменяется результат его работы.
0
Понимание того, что именно перебирать сильно ускорит процесс. Например, как в Truecrypt или Veracrypt, если предположить, что контейнер шифруется 256 битным ключом, а сам этот ключ хранится в заголовке в зашифрованном виде с помощью 40-битного ключа, то атака на контейнер ничего не даст. Потому, что сначала надо быстро атаковать заголовок зашифрованный 40-битным ключом, а после этого, получив 256-битный ключ контейнера, получить доступ к данным.
0
еще, как вариант, сама программа может иметь неоптимальную для перебора архитектуру. знание же алгоритма позволит собрать более оптимальное средство для взлома.
0
если алгоритмы шифрования общедоступные и их реализовать можно на любом языке, то какой толк в исходниках? есть ключ и есть алгоритм на выходе всегда одинаковый кусок независимо в какой программе всё шифровалось, разве нет?
0
Даже стандартный алгоритм может быть модицирован автором программы или содержать ошибки в реализации.
0
трудно себе это представляю, ведь обычно всё тестируется как минимум, тоесть надо же потом это всё расшифровать и вот тут всё сломается если зашифровано не так, а сломать одинакого и шифрацию и дешифрацию случайно довольно сложно, а с модификацией понятно, но непонятно зачем, вот в ключ вставить чтото своё это другое дело
0
Почитайте книжки про криптографию (того же Шнайера) — там обычно в красках расписывается, где и как может облажаться автор софта. И никакое тестирование ему не поможет.
У Шнайера есть хорошая аналогия: криптография — это офигенно прочная дверь сейфового типа. Чтобы ее взломать, нужно потратить очень много усилий. Вот только если вы вставите эту дверь в стену из говна и палок, то вор даже не будет пытаться взломать дверь — он может просто ударить ногой по стене и войти рядом с дверью.
Аналогично, если ключик от двери лежит под ковриком — то тоже не обязательно дверь ломать. Ее можно просто открыть ключом. :)

Возвращаясь к криптографии: автор мог неудачно применить криптографическую функцию, в результате чего ее взлом займет не сотни лет, а несколько минут. Например, использовать слабый ключ (аналог стены из говна и палок: слабые ключи ломать легче, чем перебирать все возможное пространство ключей). Или вообще пароль положить рядом с зашифрованной информацией, слегка прикрыв его от любопытных глаз (аналог ключа под ковриком).

а с модификацией понятно, но непонятно зачем,

«PS: Маша, срочно тащи чемоданчик с документами к проходной — там будет ждать курьер с балаклавой на морде».
0
сломать одинакого и шифрацию и дешифрацию случайно довольно сложно

Сеть Фейстеля достаточно похожа в работе как на шифрование, так и дешифрование, порядок действий только обратный.
0
Чашечка-то может быть необычной, заряжаться от разницы температур и записывать сигналы клавиатуры или излучение дисплея, в общем лучше б он ее выкинул.
0
Всё было хорошо, пока не дочитал до вопроса — «Как же они меня нашли???» Это из какой газеты статья-то?
-1
Лучшая реакция человека на сообщение по телефону «Слушайте внимательно и не вешайте трубку» в сочетании с кучей инструкций, которые он обязан почему-то немедленно выполнить — … немедленно повесить трубку, а если будет звонить опять — сообщить в полицию о хулиганстве. Если АНБ все-таки достучится и «подтвердит свою личность» — требовать своего адвоката, и если точно не хотите дальнейшего общения на коммерческой основе (см. ниже) — вообще стараться включать в этот процесс максимум друзей и знакомых (твиты, блоги и т.д.). Это вполне законно: я не являюсь сотрудником АНБ, доступа к секретной информации у меня нет, он мне ее сообщить не вправе (следовательно, все, что я разглашаю — не секретно).

А если все же есть желание общаться с Дейвом — в такой ситуации логично было бы потребовать оплату передаваемых исходных кодов. АНБ запрашивает или нет, а данный сорс — это коммерческий продукт, плод труда программистов, и если кто-то хочет получить его — он должен быть оплачен.
Если бы Дейв начал кочевряжиться насчет оплаты — поинтересоваться у него, действительно реальна ли угроза взрыва или чего-то подобного (раз у него есть возможность тянуть время и торговаться), или он просто словил свою жену с любовником, и хочет расшифровать ее ноут, чтобы иметь компромат при разводе.
0
На самом деле, статья навеяла отличный use case для социальной инженерии, использования злоумышленниками.
0
Не могу отделаться от мысли, что наверняка это был какой-то местный оппозиционер (которого преследовала АНБ), у которого был добротный компромат на местного Пу на то время, и надо было на него срочно что-то накопать, чтобы «закрыть рот», а этот добренький разработчик проприетарщины им ковровую дорожку выстелил. Как в совке, и стукач, и жертва, и палач.
Only those users with full accounts are able to leave comments. , please.