вторник, 22 декабря 2015 г.

Кто устережет сторожей?

Когда вот с такими инициативами:

http://lenta.ru/news/2015/12/22/protectinfo/

выступают представители власти - это, по меньшей мере, понятно - представители власти по определению имеют лица, не изуродованные интеллектом.

Но когда подобные заявления делают так называемые "представители IT-индустрии" - а Касперская наверняка считает себя таковой - возникают сомнения в их профессиональной пригодности и компетентности.

Я объясню на пальцах тем, кто не врубается.

Представьте себе, что в вашей стране - исключительно в целях безопасности! - приняли следующий закон:

При покупке любым гражданином любого замка в любых целях этот любой гражданин обязан в срок 24 часа сдать один из ключей своему участковому по месту своей прописки с ярлыком, на котором указан точный адрес квартиры и место замка, где он будет установлен. Исключительно в целях безопасности!

Вы - лично вы! - готовы - исключительно в целях безопасности! - подчиниться подобному закону? Вам ведь абсолютно нечего скрывать от власти, которая действует исключительно в целях безопасности и ко всеобщему благу?

Впрочем, теперь ведь вам всем -даже самым тупым - наверняка понятно, кто такие чета Касперских? И что надо делать с одноименными продуктами, не правда ли?

воскресенье, 20 декабря 2015 г.

Вы не лучше

Знаете, мальчики и девочки, что я заметил?

Что прыщиксы, которые так любят кричать "Вендекапец" и "Фак животворящий" и онанирующие на исходники, ничем не лучше виндузятников.

Я уже несколько лет наблюдаю, как зачуханные техно-снобы-гики-типа-одмины, гнущие пальцы на форумах, в рассылках и приватных гадюшниках демонстрируют щенячью беспомощность в элементарных вопросах.

Показываю пруф:


Перевожу на русский: человек, называющий себя системным администратором Линукс, устанавливает софт из репозитория (использование репозиториев подобными особями homo само по себе отдельная песня), спотыкается о тривиальный - о, нет, даже не скрипт! - о тривиальный файл сервиса, который пишется за 30 секунд одной рукой, и даже нагуглить руководство не способен.

К слову, файл, о котором идет речь:

 [Unit]  
 Description=Squid Cache Service  
 After=syslog.target  
   
 [Service]  
 ExecStart=/usr/lib/systemd/scripts/init.squid start  
 ExecStop=/usr/lib/systemd/scripts/init.squid stop  
 Restart=on-abort  
   
 [Install]  
 WantedBy=multi-user.target  

Хочется спросить - вам, с*ки, не стыдно гнуть пальцы перед виндузятниками, которых вы обвиняете в установке софта по принципу Next->Next->Next->Next, если вы сами не способны не то, чтобы простенький скрипт на шелле написать, а ставите софт по принципу yum install и не в состоянии простейшие проблемки на своей, как вы восторженно говорите, оси решить, не задавая идиотских вопросов себе подобным? Вы вообще уверены, что вы - IT-специалисты?

Я уже молчу, как я однажды лично был свидетелем организации групповой работы линуксятниками. Открытый блокнот, запущенный тимвьювер, и совместный доступ к этому самому блокноту. 21 век!

Как я вижу, интеллектуальная деградация уже не только пользователей захлестнула. Но и тех, кто по роду деятельности обязаны быть оборудованы функционирующим головным мозгом.

среда, 2 декабря 2015 г.

Здравствуй, Северная Корея

Забавную новость я сегодня узнал:

http://www.computerworld.kz/news/9466/

На случай, чтобы были записаны все ходы, я просто оставлю это здесь:



Перевожу заголовок на обычный русский для тех, кто не понимает и не хочет понимать технических деталей:

С 1 января 2016 года весь шифрованный трафик в Казахстане будет расшифровываться и перлюстрироваться

Это не только прямо противоречит конституции, но и приведет к масштабным утечкам якобы зашифрованных соединений и, как следствие, содержащейся в них информации.

Если, конечно, это правда - так как в казастанских новостях нет абсолютно ни звука, равно как и на сайте Казахтелекома. Закон приняли абсолютно втихую.

Вы готовы поделиться абсолютно всей информацией, включая детали транзакций интернет-банкингов, приватной перепиской, приватными чатами, и другими деталями своей приватной жизни - с АиС и КНБ, причем безо всяких санкций суда?

Я - не готов. Помимо того, что это приведет к масштабным техническим проблемам и может прикончить интернет в Казахстане как таковой - черт бы с ним, с интернетом - это прямое нарушение прав граждан. Вообще, правительства после такого обычно в полном составе уходят в отставку и назначаются досрочные перевыборы. Ну так, между нами говоря. В порядке бреда.

Технические детали

Следует иметь в виду следующее. Речь идет о технологии SSL Bump, которая прозрачным для пользователя образом позволяет дешифровать большинство SSL-туннелей (следует читать TLS, конечно), перлюстрировать их содержимое, и зашифровывать обратно. Особенно уязвимы системы с однослойным шифрованием, т.е. большинство социальных сетей, часть IM, все интернет-банкинги с веб-доступом, и тому подобное. Системы с многослойным шифрованием, с высокой вероятностью, будут просто блокироваться. Отдельный вопрос заключается в возможности использования VPN и SSH. Данная технология не позволяет расшифровывать данные туннели, а блокирование подобного трафика может оказаться фатальным для бизнеса и безопасности администрирования.

Не следует считать, что АиС затевает все это из человеколюбия и для безопасности граждан. Нет. Прежде всего это решение нацелено на тотальную прослушку и слив плюс масштабное накопление критичных данных граждан в Big Data.

Однако есть и хорошие новости.
  1. При правильной реализации TLS выполнение SSL Bump невозможно в принципе
  2. Соединения с certificate pinning взломать нельзя, они будут просто рваться
  3. OCSP-stapling будет невозможен
И я бы очень хотел посмотреть, что эта фигня будет делать с HTTP/2.

Даже в масштабах мало-мальски крупной локальной сети внедрение подобной технологии вызывает ураганные проблемы. В масштабах же всей страны......трудно сказать. Пробуйте.

UPDATE

Коллеги мне подсказывают, что господа из АиС, проживая в собственном мирке розовых пони и радуги по укурке, как-то упустили из виду, что существует в мире не только Андроиды и айфончики. А также огромное количество устройств, которые по своей природе не предусматривают установок каких-либо корневых сертификатов. От слова "совсем".  И которые никто, по вашему желанию, выкидывать или заменять на милый вашему сердцу Андроид, просто не станет. Также в мире, кроме Windows, существуют и другие системы. Ну и, наконец, есть большое количество реально применяемого ПО, которые не используют системных хранилищ сертификатов. Например, Java - да-да, та самая, которая повсеместно нужна для eGovernment, налоговых, всевозможных банкингов. Тоже пошаговые инструкции напишете? Касательно Андроидов - господа из АиС вообще в курсе, что очень многие версии требуют ввода пароля при каждом использовании самодельных сертификатов? Кто-нибудь вообще проводил натурный эксперимент хотя бы в масштабах мало-мальски большой и гибридной локальной сети, прежде, чем пилить и откатывать замахиваться на такую, прямо скажем, технически нереальную и противозаконную деятельность? Вы хотя бы ознакомились с идущей уже два года перепиской профессионалов, которые пытались нечто подобное реализовывать в собственных локальных сетях? Ну так, чтобы прочухать, чем пахнут спелые фиги? А пахнут они фигово. Причем это еще крошечные масштабы. А в рамках страны...

Вы хотя бы на минутку подумали, к каким последствиям приведет утечка - намеренная или по вашей технической безграмотности - приватного ключа вашего национального сертификата после того, как он встанет в каждое устройство? Ибо в вашу техническую компетентность и чистоту помыслов я ни на одну секунду не поверю. Вы потом будете затыкать дыры собственными частями тела, выплачивать прямой и косвенный ущерб - в масшабах страны, отвечать на чертовски неудобные вопросы избирателей? Вы уже определились, кто будет козлом отпущения в результате весьма вероятных и очень неприятных последствий?

UPDATE 2

Гениям с обратным знаком, желающим, несмотря ни на что, вытереть ноги об статью 18 параграф 2 Конституции РК (ну, кстати, и аналогичных статей некоторых других конституций) рекомендую прочесть пару ссылок (надеюсь, вы читать еще умеете?), где умные люди - не чета вам, кстати - все уже сказали:

http://lenta.ru/articles/2015/12/09/ogo/

http://www.gazeta.ru/comments/2015/12/09_e_7945307.shtml

http://www.gazeta.ru/tech/2015/12/09/7945475/you-shall-not-block-messengers.shtml

http://www.gazeta.ru/tech/2015/11/19/7902119/terrorists-vs-cryptography.shtml

Для тех, кто совсем тупой и еще тупее тупого, объясняю на пальцах. Такая ситуация уже была - в области владения граждан огнестрельным оружием. Ограничения преступников не остановили ни на секунду ни в одной стране, но обезоружили граждан в области защиты. В точности то же самое произойдет и с криптографией. Но история - она ведь учит ровно трижды, третий раз для особенно тупых - контрольный в башку. Жаль, что на четвертый дебилов естественный отбор не забирает.