Обсуждение статьи:
Google, Победа, взломы

31 schmer друг	13.05.2017 15:00
к 30. +100500 викистатья о манускрипте Войнича содержит ссыль на "Кодекс Серафинианус".. пролистал его онлайн версию, теперь "меня терзают смутные сомнения"(с), но пазл неумолимо складывается..
+5

32 ZlydenGL знаток	15.05.2017 11:44
> Невозможна ситуация, когда я (программист с тридцатилетним стажем) написал свой шифровальщик? Сходу и без опыта непосредственно в этой области? Не, написать ты его напишешь, но будет выполнено одно из 3х условий: 1. Ты вбухаешь в это ОХРЕНЕННО много времени 2. Шифровальщик получится КРАЙНЕ неудобным для пользвателя 3. Шифровальщик будет крайне дырявым/ненадежным Возможна комбинация :) Пойми, это ОЧЕНЬ специфическая область, в которой иметь стаж программирования в десятки лет и знать принципы хеширования - этого СЛИШКОМ мало. Для первого класса начальной школы этого хватит, не спорю, но для написания надежного и удобного шифровальщика нужен как минимум ВУЗовский диплом соответствующей специальности. Естественно, это если не включать подход БолгенОСа, который, как я надеюсь, тебе в достаточной мере чужд ;) > Мы не говорим именно про почту Ну ОК, а как ко мне еще попал твой мегазашифрованный файл? :) Если в рамках форензика - я абсолютно точно знаю, от кого он, либо имею абсолютно предсказуемую цепочку вычисления. Если перехватом IP траффика - то тем более и получатель, и источник как на ладони ;) > Хотя и в случае с ней миллиард вариантов остаться анонимным. Миллиард... Ну давай хотя бы три варианта ;) Заметь, ПОЛНОЙ анонимности, предполагая, что атака MITM доступна. > какие-такие "устаревшие" технологии были применены в ЛаГГ'ах и Ла? Я здесь больше отталкивался от очерков типа ^{[ссылка, topwar.ru]} - если пишут, что были проблемы, в том числе технологического плана (например проблемы с шасси). > Какого АСА - в 41/42-ом? Я понимал под АСом не ДИПЛОМИРОВАННОГО специалиста, а специалиста высококлассного. Думаешь, Ла(ГГ)и вышедшие на фронт изучали в высших учебных заведениях? Или все-таки многое изучалось на ходу, методом проб и ошибок? > сколько бы он учился овладевать управлением более совершенной машиной? Ровно столько же, сколько "учился" бы овладевать АКПП/РКПП человек, который однажды овладел "ручкой" ;) Мы ведь говорим не про время, когда управление ЛА требует в том числе значительного образования в рамках управления ИС, мы говорим об эпохе, когда не было "сетевых" экскадрилий, управление осуществлялось фактически только голосом КА, а навигация - по бумажным картам. > САМ (САМ!) выходил из штопора! Откуда такие дровишки? Ты не путаешь Ла (марка самолета) с ЛА (Летательный Аппарат)? Плюс в те времена намного бОльшее значение ИМХО имели маневренность и форсаж - и по тому, и по другому критерию Мессеры имели преимущество, о чем пишут например здесь: ^{[ссылка, www.airpages.ru]} > Японцы, кстати, в подобной ситуации выбрали "хайтек" ("Зиро" из магниевых сплавов) и... проиграли! Японцы проиграли по причинам, коих сонм и маленькая тележка :) Хайтек там если и стоял в списке причин, то ближе к концу упомянутого сонма. > Теперь вот Вы Я так понимаю, что ТЫ так и не прочитал, что такое форензик, чем он занимается и какие у него области применения, да? > даже самый фиговый метод криптографии вскрыть И опять речь дилетанта... Skype, по крайней мере до недавнего времени, вовсю использовал шифрование RC4, про которую много кричали (и кричали правильно), что оно слабое и относительно легко ломается. Оно и ломается... Только вот Skype никто так и не сломал. А почему? Да потому что разработчики прекрасно понимали парадигму, что безопасность трафика - это КОМПЛЕКС процедур, что с кондачка, с пылу с жару и с прочих наскоков эту задачу не решить. Собственно поэтому вопросы про "декодировать и показать" не в тему вообще. Я уже писал: если не верите, это исключительно ВАШИ проблемы, не мои :) Я лишь указываю узкие места в рассуждениях на базе своего, тоже мягко говоря немалого опыта В СМЕЖНОЙ области. Только вот если будет интересно - посмотрите, кто на западных конференциях по форензику выступает. Если же настолько "уж замуж невтерпеж" - давай задачку, попробую ковырнуть по факту наличия свободного времени (да, для меня это тоже частенько определяющий фактор), только задачку не категории "вздыбившийся сферический конь в вакууме пронзает копьем пошлость", а вполне реальную ситуацию, когда человек пытается С НУЛЯ написать шифровальщик, пытается сделать его УДОБНЫМ для использования (пусть даже в консоли) и тратит на это хотя бы ОТНОСИТЕЛЬНО НЕМНОГО времени. И да, ситуация тоже нужна РЕАЛЬНАЯ - не от "вымышленных Васи с Машей". Будет такая - давайте все вместе поиграем. Если же будет выгрузка из /dev/urandom с комментарием "внутри фото безлимитной карты с CVV и PIN" - извините, опять мимо кассы. > Что по этому поводу Вам скажет социальная инженерия с "человеком посредине"? Если будет КОНКРЕТНЫЙ кейс, при котором зависимость самогона в твоем холодильнике будет ЗНАЧИМОЙ информацией, будет и осущствлена соответствующая информационная "разборка". А ты какого ответа ожидал? ;) > а почему бы не Эр, так тут речь не об АЛГОРИТМАХ, а об их РЕАЛЗИАЦИИ, да еще для УДОБНОГО ДВУХСТОРОННЕГО (как минимум) общения ;) Эту задачку силами одного, даже прошаренного в СМЕЖНЫХ областях, ИМХО выполнить нереально - иначе тот же Скайп уже неоднократно клонировани ;)
+0

33 SaAnVi tzar	15.05.2017 11:54
> Не, написать ты его напишешь Я и написал, когда мне было 23 года. > Пойми, это ОЧЕНЬ специфическая область Ничего там специфического нет, есть только предел личной креативности. > ПОЛНОЙ анонимности, предполагая, что атака MITM доступна С MITM - это "на тебе ключи от моего автомобиля", проходили уже.
+2

34 ZlydenGL знаток	15.05.2017 12:00
> Я и написал, когда мне было 23 года. И она была УДОБНОЙ, в том числе для ОБЩЕНИЯ, и предполагала хотя бы ПРИЕМЛЕМЫЙ уровень защищенности в случае интереса "заинтересованных" трехбуквенных? Станиславского процитировать? ;) > Ничего там специфического нет Твое право так считать - так же, как предполагать, что к примеру в ядерном синтезе нет "специфики". Но от этого твое мнение не станет верным, а попытки реализации задачи - удачными... Толь, вот серьезно, твои рассуждения сейчас ОЧЕНЬ сильно напоминают приснопамятного Обитуару, который был абсолютно уверен, что в синтезаторах ничего специфического нет, поэтому цифра суть суксь и треш. Только вот неужели ты уверен, что хочешь быть похожим на сего товарисча? > проходили уже Неа, не проходили. Вот Скайп - тот проходил, и прошел :) А ты еще даже не в начале пути.
+0

35 SaAnVi tzar	15.05.2017 12:15
> И она была УДОБНОЙ Там был мелкий ГУЙ с парой кнопок (шифровать-дешифровать). Ребёнок бы справился. Алгоритм сейчас не вспомню, исходники потерял. Вот, кстати, про алгоритм. Смотри, тебе попался файл и ты знаешь, по какому алгоритму он закодирован. Ты врубаешь брутфорс на супер-компе, и, допустим, ломаешь хучь тридцатизначный пароль (теоретически возможно - значит, ломаешь). А теперь представь себе, что ты не знаешь, по какому алгоритму он закодирован. А теперь представь себе, что перед кодированием части файла можно было переставить. По какому-нибудь алгоритму, которого ты тоже не знаешь. А теперь представь себе, что это мог быть файл неведомого формата. Допустим, аудио, но не WAV, не MP3 - какой-нибудь лысый чёрт, которого я сам придумал (а я могу). Твои действия по скорейшему взлому? По длиннейшему взлому? По хоть какому-нибудь теоретически возможному взлому? > вот серьезно, твои рассуждения сейчас ОЧЕНЬ сильно напоминают приснопамятного Обитуару Ненене, это ты не представляешь, с кем связался. Я помалкивал в темах про электронику, аккумуляторы и это всё, потому что слабо помню матчасть, да и не нужна она мне. А тут ты в лапы злодея попал, можно сказать. Давай, отбивайся.
+2

36 ZlydenGL знаток	15.05.2017 12:32
> мелкий ГУЙ с парой кнопок Т.е. общение заключается в: 1. Написать сообщение в ГУЕ 2. Нажать "закодировать" 3. Скопипастиить в почтовик/IM 4. Полученный ответ скопипастить опять в ГУЙ 5. Нажать "раскодировать" и прочитать наконец-то ответ Это по-твоему удобный алгоритм? ;) > А теперь представь себе, что ты не знаешь, по какому алгоритму он закодирован Если я не знаю алгоритма - я банально дизассемблирую утилиту (эн)кодера ;) Если мне лениво будет дизассемблить - я посмотрю, что и куда пишется в RAM в момент активности софтины. Если у меня нет софтины - я найду ее (социнженерией, перетряхиванием носителей респондентов - в зависимости от ситуации в общем). В общем в который раз повторяю - ты не с той стороны планируешь свои действия, забывая, что защита информации - это КОМПЛЕКС процедур. И здесь произрастает твоя основная ошибка. Защититься от меня как от физлица несложно, я сам это первый признаю. Защититься от меня как от работника по контракту даже у CEO/CIO - уже шансов очень мало. Защититься от меня - работника по контракту трехбуквенной структуры (а бывало и такое) - шансов не просто исчезающе мало, это величина со слишком большим числом нулей между запятой и значащими цифрами ;) > тут ты в лапы злодея попал, можно сказать Да нет, ровно тот же Обитуара, который возможно даже сам лабал что-то на синтезаторах, и вполне возможно что и не только трехаккордовое ;) Вполне возможно, что этими самыми лабаниями он и доказывал "неоспоримое" преимущество винила перед цифрой :)
+0

37 SaAnVi tzar	15.05.2017 12:38
> Это по-твоему удобный алгоритм? А почему он должен быть удобным? Это ты придумал себе какое-то удобство, я о нём даже и не заикался. ;) > Если я не знаю алгоритма - я банально дизассемблирую утилиту (эн)кодера У тебя её не будет. > Если мне лениво будет дизассемблить - я посмотрю, что и куда пишется в RAM в момент активности софтины Не будет её у тебя. :) > Если у меня нет софтины - я найду ее Не найдёшь. :)))
+2

38 ZlydenGL знаток	15.05.2017 15:51
> я о нём даже и не заикался. ;) А вот и зря! Ибо среднестатическая вероятность, что твой респондент плюнет на твой шифровальщик и пошлет sencitive data открытым текстом ой как велика ;) > У тебя её не будет. Опять же, зависит от условий задачи. И опять же в условиях среднестатической вероятности, с учетом того, что вторая часть софтины ОБЯЗАНА быть на стороне респондента, особой проблемы здесь тоже не возникнет ;) О! Придумал, с чем можно сравнить. Представь себе этакого матерого мастера автомобильного СЦ, который уже 30 лет ремонтирует мафынки, и даже что-то там иногда кустарит сам, причем кустарит от неплохо до откровенно здорово. Доверишь ты ему спроектировать автомобиль целиком? Или разработать альтернативную ABS/ESP? Почти наверняка нет, поскольку для проектирования этих объектов совершенно недостаточно тех знаний, которые в практике получает даже самый рукастый ремонтник. В твоем случае ситуация та же самая. Ты даже про MITM атаки узнал совсем недавно, признайся :) Иначе бы не писал ранее, что одним "госсертификатом" можно весь HTTPS траффик парсить ^{[локальная ссылка]} ;)
+0

39 ZlydenGL знаток	15.05.2017 16:02
Ну да ОК, софтины у меня нету, зато есть неким образом идентифицированная машинка Толи как источник подозрительного траффика :) Поскольку Толя не ставит апдейты на ОС - любым способом ставим ему на комп контрольную софтину, и в момент появления "странного" траффика банально пересылаем ВЕСЬ дамп RAM "куда надо" и там его уже раскручиваем :) К примеру, Толь, ты в курсе, что ЛЮБОЙ текст, введенный в текстбокс, отражается в RAM? Т.е. если у твоей софтины 2 текстбокса, в одном исходный текст, в другом зашифрованный - то найти в RAM исходный текст это задача даже не как два пальца об сам знаешь что. Если ты где-то в коде напишешь a=b b=super_puper_encode(b) то у тебя в памяти исходный текст будет висеть МИНИМУМ три раза: переменная а, переменная б (историческая, а некоторые компиляторы такое хранят), и - тадамммм!!! - переменная а в теле процедуры! Да, это будет ОТДЕЛЬНАЯ переменная, хранящаяся в ОТДЕЛЬНОЙ ячейке памяти! Поскольку нет указания, что значение а надо отдать именно как УКАЗАТЕЛЬ, а не как переменную. Или ты думаешь, что тебя сможет защитить от таких "косяков" программирование на ассемблере? И снова нет - наоборот, на ассемблере как раз подобные ошибки допускаются на раз-два. Причем зубрами в части ИТ безопасности, и сами зубры это признают! А теперь контрольный, с двумя - хотя, чего мелочиться! с ПЯТЬЮ звездочками :D - ты думаешь, я перечислил все нюансы? Хехе, я не описал даже снежинку на верхушке айсберга! То, что здесь описано - это такие мелочи, которые любой ИТ безопасник знает как аз есмь - и перечислено, по понятным причинам, далеко не все ;)
+0

40 SaAnVi tzar	15.05.2017 16:46
> Поскольку Толя не ставит апдейты на ОС - любым способом ставим ему на комп Любой из способов фстудию.
+2

41 ZlydenGL знаток	15.05.2017 16:55
Погугли про недавно рассекреченный "инструментарий АНБ" ;) Ради интереса можешь даже погонять на виртуалках.
+0

42 SaAnVi tzar	15.05.2017 17:13
Ненене. Давай. Взламывай меня. Сим ты докажешь, насколько крут! Даже Хуйдадода тебе сразу позабудут.
+4

43 ZlydenGL знаток	15.05.2017 17:22
Тогда определяй пределы ТЗ + пришли мне оригинал отказа от претензий и согласие на обработку персональных данных :) Именно оригиналы, в бумажной форме, с "живой" подписью! Причем желательно нотариально заверенные. Поскольку если я тебе случайно уроню систему, которая отвечает за тот же forex, а ты пойдешь на меня маляву в суд писать (ибо будешь иметь полное право) - мне будет чем прикрыться. Рисковать же своей зарплатой, тем паче свободой ради понтов - ищите дураков в другом месте :) А Худайдода мне забывать не надо - мне наоборот будет профитнее, если вы его историю хорошо помнить будете ;) Кстати, насчет "крутости" я писал выше, в 36 ;) Прошу составить ТЗ с учетом этого момента.
+0

44 SaAnVi tzar	15.05.2017 17:30
> Поскольку если я тебе случайно уроню систему, которая отвечает за тот же forex Не роняй. Урони прямо тот комп, с которого я сейчас пишу. Хотя смысл что-то ронять? Закинь трояна и продемонстрируй. Никаких хуйней я присылать не буду бумажных, просто закинь мне трояна.
+6

45 ZlydenGL знаток	15.05.2017 17:33
> присылать не буду бумажных Тогда RML: > Рисковать же своей зарплатой, тем паче свободой ради понтов - ищите дураков в другом месте :) Напоминаю, что по нашему законодательству "просто закинуть трояна" - уже нарушение, причем отнюдь не административное. А если учесть то, что как раз в прцоессе "закидона" можно какую-то железку "уронить", именно что случайно... Я же выше писал: свободного времени у меня сейчас не так много, поэтому любые эксперименты оказываются очень сильно растянуты по календарной шкале. И если какой-то шайтан с твоей техникой произойдет по моей вине, но в тот момент, когда ты не можешь отреагировать... А я не могу тем паче - "опрокинутое" по удаленке "лечится" только физическим доступом. У тебя ж на железе вряд ли iLO или аналог развернут?
+0

46 R666 свой человек	15.05.2017 21:50
к 36: >..Если у меня нет софтины - я найду ее (социнженерией.. ..ну зачем так тускло-то? Идем сюда ^{[ссылка, cryptome.org]} ,качаем в свое удовольствие, применяем. Сие было фактически подарено всем желающим. Более того, этим пользуются некоторые банки. Да-да, и даже в триальной версии. Кстати, где-то были исходники этой проги. Только их потрошение абсолютно ничего не принесет. Код этой штуки можно поломать. Но только если есть желание ковырять гамму (ЕВПОЧЯ)в 16к (!) и технические средства для реализации этой задумки в разумное время. Хотя.. "..к черту кактус!!" - пискнула мышь и начала грызть грабли.. >..это будет ОТДЕЛЬНАЯ переменная, хранящаяся в ОТДЕЛЬНОЙ.. ..садись, два! Не будет, потому что таким макаром уже давно никто ничего серьезного не делает. Кстати, рабочая область подготавливается (криптуется) еще ДО ввода в нее чего-либо. И после занесения там уже каша. Да, сразу: в сообразии с последним абзацем из #39 больше развернутых комментов на эту тему от меня НЕ будет. Без обид.
+3

47 ZlydenGL знаток	15.05.2017 22:08
> Идем сюда Какбэ выше идет разговор о самописных решениях, а не выложенном опенсорсе/триале, над которым априори работала команда... > садись, два! Не будет, потому что таким макаром уже давно никто ничего серьезного не делает. Ох сколько тебя открытий чудных еще ждет! Эта шняга все еще прекрасно работает, причем у чудо-криворучек даже спокойно содержимое из password-type полей читать позволяет на раз-два ;) Не веришь? Почитай абилки того же Belkasoft или его конкурента IEF по парсингу дампов RAM. Восхитись, что и как они умеют тащить в АВТОМАТИЧЕСКОМ режиме. Автоматическом, Карл! А после этого сможем продолжить разговор, делает "так" кто-то "сурьезный" или не делает ;)
+0

48 R666 свой человек	15.05.2017 22:24
>..содержимое из password-type полей.. ..уже тогда (это было в 90-х) и там полей открытым текстом там не было. Сама PGP5 совершенно открыта, так же как и приснопамятный "Хагелин". И таки да - и то и другое присутствует на обоих концах канала. Разговор, насколько помнится, изначально был о раскодировании текста из файла, не так ли? Если бы все было так просто с белками, то с той (конкретной)монеткой спецслужбы не трахались бы в течение 7 лет.. а ведь там имелся вполне себе конкретный текст на материальном носителе.
+0

49 chel-forum свой человек	16.05.2017 05:00
Ломай меня полностью.))) Злыдень жжот как всегда...
+2

50 Генрих_Лиговский tramvision.ru	16.05.2017 05:24
О, вы тут хуями начали мериться. ЛОЛ.
+0

51 SaAnVi tzar	16.05.2017 05:33
Генрих, ну до твоих-то нам ой как далече. :)
+0

52 Соловей бывший придворный клован	16.05.2017 06:46
К 50. "Взломай меня":) В натуре LOL... Спасибо Генрих, вот он смысл жизни, у кого хер длинней, ебать. Главное, что бы длина хуя соответствовала пожеланиям почтенной публики.
+0

53 Соловей бывший придворный клован	16.05.2017 07:37
К Злыдню. Взламывай его, взламывай:) Ты дурачок, это будешь делать вечно:). Повеселил, Гуру...
+0

54 ZlydenGL знаток	16.05.2017 10:20
> PGP5 совершенно открыта Эр, я еще раз напоминаю, что мы говорим не о коллективном труде ДЕСЯТКОВ людей в рамках далеко не одного ГОДА, а про то, что может написать ОДИН человек, ранее с этой областью не сталкивавшийся от слова ВООБЩЕ! При чем тут PGP, Хагелин и прочее? Ты б еще в беседе про самостоятельную сборку велосипеда начал рассказывать, что чертежи Бурана давно уже в открытом доступе :))) > Если бы все было так просто А никто и не говорит, что все так просто, и сделав шаг-два можно легко и от Белки, и от IEF защититься - только и останется, что EnCase/FTK/Х-Ways вручную юзать. Именно поэтому Белка и IEF используются для rapid или low-cost проектов; все, что подозрительней и дороже - только хардкор. > Злыдень жжот как всегда Ну я по крайней мере не заявляю, что ру-поисковик появился только в 2000 году, верно? ;) > К Злыдню. О, аццкий птЫц вернулся? :)))
+0

55 Соловей бывший придворный клован	16.05.2017 10:51
#взломайтоляна
+0

56 ZlydenGL знаток	16.05.2017 10:52
Намочи манту :)))
+0

57 Соловей бывший придворный клован	16.05.2017 10:55
#облейзеленкойгенриха
+7

58 R666 свой человек	16.05.2017 22:10
к 54: >..я еще раз напоминаю, что мы.. не о коллективном.. Минхерц, здесь как раз дело-то в том, что PGP - продукт, изначально написанный одиночкой. Идея возникла после офигенного скандала с комплектами скремблеров для беспроводных телефонов. Тогда всплыло, что "запасные ключи" от каждого такого комплекта преспокойно имелись в ФБР. Мужик обозлился, почесал репу и (отомстил)придумал. Уже дальше всякие свистелки-перделки были допилены до кошерного вида таки помошниками.. ну а там пошло-поехало. Где-то в интернетах вся эта опупея была даже расписана подробно. Хотя поиск всей этой ботвы прямщасс даже не таращит. Тут вот поинтереснее кое-что: прохождение открывается и соседи уже спать собираются. Может удастся часиков до двух посидеть невозбранно.. Да, просто вот интересно - белка существует только баксовая? Или нежадная тоже есть?
+0

59 ZlydenGL знаток	17.05.2017 10:05
> PGP - продукт, изначально написанный одиночкой Только вот напомни, пжлста, что это за одиночка такой был? Какие у него даже на начало написания библиотеки были навыки/бэкграунд? ОК, отвечу сам - на момент написания первой версии у мужика был 20летний (ДВАДЦАТИЛЕТНИЙ) опыт, со специализацией на криптографии и безопасности данных. Ну и для комплекту напомни, сколько ЛЕТ потребовалось спецу такого класса на разработку? Здесь уже сам. И завязывай все-таки с "минхерцевством", пжлста. Голландских корней у меня, насколько мне известно, нет, да и знакомы с тобой мы не настолько близко :)
+2

60 schmer друг	17.05.2017 19:45
Злыдень, Вы категорически отказываетесь понимать, что я пытался донести до Вас в №28. Попробую еще раз. Сам этот мой 28-й коммент (или этот, почему бы и нет?) Вы кинулись бы проверять на наличие "написанного между строк"? Думаю - нет. И СЕО эти Ваши, и трехбуквенные, и даже однобуквенные организации, и вся королевская рать этого делать не стали бы. Столько самогона у меня нет. И в данном случае, да отправитель (Вам) известен, с респондентом труба. А где остальные части сообщения искать, без которых декодировка тупо невозможна? Можно вон у Генриха посмотреть в комментах так же, с тем же результатом. Или вна форуме (я там под каким ником?) клуба конотопских мастеров макраме. Вот сферический респондент в вакууме - знает. И что Вам даст дамп рамы или анализ тома хоть Белкой, хоть чертом лысым? Кстати, когда пошел (куда пошел?) странный трафик, дамп рамы поздно делать, не? утилита-то закрыта давно) много значений а=б Вы там наловите? И для этого даже не нужно быть программистом с 30-и летним стажем, это тупо ребус из Веселых Картинок. Хочешь что-то спрятать - положи на самое видное место)
+2

↑ к началу комментариев ↑↑ к началу страницы

Вы не зарегистрированы. Зарегистрируйтесь или войдите в систему, чтобы не набирать каждый раз проверочный код (и иметь другие приятные функции на сайте). Действует суточный лимит анонимных комментариев для защиты от троллей, школоло-хакеров и спам-ботов. На текущий момент осталось комментариев: 10.

Добавить комментарий

Фулюганствовать не надо: соблюдайте правила приличия. Я не люблю комментариев не по делу типа "Оццтой!" и им подобных. Если хотите что-то покритиковать или поучить кого-то жизни - делайте это с чувством, с толком и с расстановкой.

Обсуждение статьи:Google, Победа, взломы

Добавить комментарий

Обсуждение статьи:
Google, Победа, взломы