Угу. А потом весь трафик прикажут распечатать в трёх экземплярах.

Незаметно прошел ГОД с момента вступления в силу закона, обязывающего иностранные и отечественные ИТ-компании перенести в Россию персональные данные российских пользователей, под угрозой штрафов, запретов, банов и прочих страшных кар.

Роскомнадзор и так пугал, и сяк пугал, и кнутом тряс, и в кулуарных беседах пряниками угощал.

Результат: некоторые (немногочисленные) компании выполнили требования закона чисто формально, на 1% — типа перенесли в Россию фронт, на котором происходит авторизация и логин (а дальше что там происходит — Роскомнадзор хрен проверит).
Большинство же компаний (в том числе все крупные, ради которых оно и затевалось) не перенесли ничего. Вот совсем: НИ-ЧЕ-ГО. И это отлично.

(Reply to this) (Thread)

я думаю что следующим шагом будет уголовная ответственность за невыполнение.

В результате провайдеры будут тупо блокировать весь шифрованный траффик у пользователей.

Пользователи будут довольствоваться Мэйл.ру и Одноглазниками (и жалкой кучкой других "православных" интернет-сервисов).

(Reply to this) (Parent) (Thread)

Упомянутые вами двое тоже используют https

(Reply to this) (Parent) (Thread)

так перестанут, делов-то. Пользователи и не заметят.

Ну или не перестанут - но все данные на их серверах будут доступны "кому надо". Уже доступны, надо полагать.

(Reply to this) (Parent)

Уголовная ответственность в России наступает в случае
а) политической неблагонадёжности
б) отжатия бизнеса
в) случайных сбоев системы в порядке выполнения плановой отчётности

Так что, это не более чем "ещё один повод".

(Reply to this) (Parent)

Трафик

(Reply to this) (Parent) (Thread)

OMG spelling police!

(Reply to this) (Parent)

Ваш бы оптимизьм да КПК (компартия кетая) в уши:))

(Reply to this) (Parent)

Что-то не пойму, конституцию уже вообще не принимают во внимание...

Статья 23
...
2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.

(Reply to this) (Thread)

Вы отстали от жизни. Чтение конституции - это нарушение порядка.

(Reply to this) (Parent) (Thread)

А цитирование - уголовка...

(Reply to this) (Parent)

Браво!! Супер!!! Читать только в сортире, а что б не замочили, сразу после прочтения - употребить.

(Reply to this) (Parent)

глас народа https://secure.avaaz.org/ru/petition/Sovet_Bezopasnosti_OON_Priznat_Prezidenta_RF_Putina_VV_voennym_prestupnikom/?pv=6&fb_action_ids=1816961028538993&fb_action_types=avaaz-org%3Apost

(Reply to this) (Parent) (Thread)

Ну, наберёте вы много голосов. Что дальше будет?

(Reply to this) (Parent)

Смешно. :) А они в курсе, что все эти мессенджеры давно протестированы на безопасность? При чём, лучшими специалистами. Забавный попил бабла.

(Reply to this) (Thread)

НИР как НИР, ничего особенного. Другое дело, что при двусторонней аутентификации MITM невозможен, но там же и написано: "Подготовить экспертное заключение по возможности перехвата чувствительных данных"

(Reply to this) (Parent) (Thread)

При использовании потокола Диффи — Хеллмана все эти усилия бесполезны, да.

(Reply to this) (Parent) (Thread)

чё, и терморектальный криптоанализ не канает? западло...

(Reply to this) (Parent) (Thread)

Терморектальный криптоанализ плохо масштабируется, и его трудно провести незаметным для всех участников образом.

(Reply to this) (Parent)

Какие именно? Диффи-Хеллман для MITM уязвим, как раз.

(Reply to this) (Parent)

Согласно описанию, пароли они собираются тащить прямо из телефонов и публичных сетей, а не мессенжеры ломать.

(Reply to this) (Parent)

Не смешно ни разу.
"протестированы на безопасность" - кем, когда и против каких атак ?

(Reply to this) (Parent) (Thread)

Всеми самозванцами мира протестированы. Вот сейчас ещё один самозванец протестирует. Результат может быть либо 1. найдут дырку либо 2. не найдут дырку. В первом случае инфу про дырку сольют сотрудники компании-взломщика за енбольшую сумму разрабам мэссенджера, после чего разрабы дырку эту закроют в слудующем патче. Во втором случае просто все поржут.

(Reply to this) (Parent) (Thread)

вариант 3 - дырку не найдут, но в телевизоре раструбят, что нашли и не одну.

(Reply to this) (Parent)

уже справедливо заметили (тут даже из порядка цен ясно) -- это про то, чтобы кто-то написал аналитическую записку "ничего сделать нельзя". потом, наверное, будут показывать важным эмтээсовским топменеджерам

(Reply to this)

но цены-то какие смешные!

(Reply to this) (Thread)

?!? За отписку в один абзац очень даже неплохие цены. Я за 10% готов написать "аргументацию о невозможности реализации" так, что хрен кто подкопается.

(Reply to this) (Parent) (Thread)

Демпингуете? Подрываете экономику?

(Reply to this) (Parent) (Thread)

Я не демпингую, я предлагаю профильным Комитетам привычный для них процент отката. Или вы полагаете, что по таким статьям конечному исполнителю перепадает больше 10%?

(Reply to this) (Parent)

«Пикет Яровой»: Кремль испугался эры спутникового «Интернета в любой точке земли»
Глобальный проект спутникового Интернета угрожает разрушить систему блокировок, выстраиваемую Роскомнадзором, поскольку предоставит российским пользователям полную свободу доступа к Всемирной сети. Ситуация, при которой Кремль утратит контроль за виртуальной "паутиной", всерьез обеспокоила "Ростелеком". Его представитель заявил об угрозе "суверенитету" в связи с близящейся эрой "Интернета в любой точке земли", говорится в материале Life .ru
"Компания OneWeb планирует обеспечить доступ в Интернет в любой точке земли, есть такие планы у Samsung и других. У наземных операторов могут появиться проблемы. Если здесь выиграют иностранные игроки, будут вопросы с суверенитетом.
Российские власти уже готовятся противостоять новой технологии на всех уровнях — техническом и законодательном. Минобороны сейчас испытывает оборудование для глушения спутниковых сигналов от OneWeb и обещает сбивать аэростаты, пересекающие границы РФ без разрешения. Юристы со своей стороны говорят о наказании за раздачу сигнала без лицензии и незаконное использование частот, напоминая о ряде статей в КоАП и УК, запрещающих, в частности, заниматься незаконным предпринимательством.
newsader .com/30566-piket-yarovoy-kreml-ispugalsya-yery-sp/

(Reply to this) (Thread)

А пошли они в жопу! Кто их спрашивает? Глушить заебутся.

(Reply to this) (Parent) (Thread)

их надо знать в лицо http://v-n-zb.livejournal.com/7896883.html#/7896883.html

(Reply to this) (Parent)

Можно законодательно запретить пользоваться левым интернетом. А разрешить только правильный, в общественных клубах по предъявлению паспорта. В случае нарушения - Колыма и поражение в правах.
Правда, при этом нужно будет изъять у народа все телефоны, планшеты и прочие девайсы и разрешить к продаже только расово правильные, с предустановленным чебурнетом и заблокированной возможностью вайфая или его будущего аналога.

(Reply to this) (Parent) (Thread)

При этом 86% верит, что РФ развивается, Карл. Попробуй скажи, что руководство РФ, во главе с великим!, тормозит прогресс.

(Reply to this) (Parent)

> "Примерный состав работ такой. Рассмотреть основные мессенджеры — WhatsApp, Viber, Facebook Messenger, Telegram, Skype для платформ iOS и Android. Подготовить экспертное заключение по возможности перехвата чувствительных данных, то есть идентификаторов сторон общения, паролей, сообщений, при работе с копией трафика, и продемонстрировать прототип, если есть возможность. Сделать то же самое, но с MITM (атака Man-In-The-Middle.— "Ъ") и, если возможность есть, продемонстрировать прототип на локальном стенде",— говорится в письме сотрудника Con Certeza.

Мораль: не пользуйтесь мессенджерами на телефоне и с открытым (публичным) вайфаем.

Вообще, вроде как хакерство уголовно наказуемо, а они тут предлагают.

(Reply to this) (Thread)

Мораль: ну почему же, пользоваться как раз и можно публичным, просто гнать весь трафик через впн, используя вай-фай только как средство для установки защищенного тоннеля к правильному впн-серверу.

(Reply to this) (Parent)

Лично я полностью согласен на открытую публикацию свей переписки. И вот почему. Бывая на конференциях, делая письменные записи, диктофонные, набор визитных карточек - через три дня мне трудно разобраться что и кто. Повторю - это с личным присутствием с гуще событий и имея специальную подготовку по теме.
Если мне скажут, что кто-то ломая мессенджеры и слушая разговоры хоть что-то поймёт и сведёт этот объём информации в стройную систему - я плюну ему в лицо. Для анализа двух источников понадобится четыре человека с высоким Айкю - где взять эту армию?

(Reply to this) (Parent) (Thread)

люди, знаете ли, разные. Кто-то способен на то, чтобы связать три слова, а кто-то нет :)

(Reply to this) (Parent) (Thread)

Да-да, расскажите это аналитикам, которые прохлопали 11 сентября.

Что-то ломать хорошо для слежения за любовницами или леваками типа Развожжаева, серьёзную информацию необходимо АНАЛИЗИРОВАТЬ имея СПЕЦИАЛЬНУЮ подготовку по теме.
Я могу прислать свой доклад по энергетике горения взрыва, кроме союзов и цифр вы ничего не поймёте.

(Reply to this) (Parent) (Thread)

А вы ничего не понимаете в том, зачем они хотят прослушивать трафик и получать доступ :)

Совсем не для того, чтобы анализировать ваши доклады по энергетике взрывов - да вы и сами не станете докладывать, к примеру, любимой жене по вотсапу особенности горения пироксилиновых шашек в замкнутом объеме.

Зато вот факт отправки доклада, содержащего гостайну, неустановленному лицу на сервер, находящийся в Калифорнии, вполне может стать основанием для привлечения к ответственности. Как-то так, примерно.

(Reply to this) (Parent) (Thread)

Зачем они собираются прослушивать трафик я хорошо понимаю. И что без ОГРОМНОГО аналитического аппарата это бессмысленно.
Заговорщик Мальцев обо всех своих планах рассказывает на Ютубе, а украинского журналиста без аккредитации объявляют шпионом. Прослушка явно избыточное звено при желании кого-то посадить.

Никуда ничего в наше время посылать не надо, достаточно поделиться паролем к почте, журналу или облаку. Я не специалист в IT, но уверен, если кому-то понадобится что-то незаметно передать, то для этого существует десятки способов.

(Reply to this) (Parent) (Thread)

Передать - конечно можно, никто и не поймет даже. Вон, стеганография в картинках, например. Котики, девочки, крутые тачки - а внутри секретные планы встреч :)

Не говоря уже о типично военных штуках, типа кодов "три голые тетки - сигнал к началу". И если именно этого кода не знать - то сколько хочешь расшифровывай, внутри трафика ничего нет, важен сам факт наличия.

(Reply to this) (Parent)

Ну, допустим, отправят этот доклад в запароленном архиве и чем перехват трафика поможет?

(Reply to this) (Parent) (Thread)

Если вы, работник военного предприятия, отправляете некий зашифрованный доклад гражданину Америки - товарищу майору необязательно самому читать этот доклад, да ему и не положено - достаточно того что отправляли.

В источнике новости это называется "чувствительная информация". Кто, кому, с кем, когда, примерно что.
А детали выяснят в застенках, терморектальным криптоанализатором.

(Reply to this) (Parent)

Так им не нужно строить полную картину всего трафика. Им нужно взять за жопу либо конкретного пользователя - по каким-то их личным причинам - либо вообще кого угодно, неважно, кого, просто чтобы проявить служебную активность (и поэтому под 282 статью идут, как правило, пользователи вконтакте, а не фейсбука: их всего лишь проще деанонимизировать, и вот вам результат).

Так что вы можете соглашаться на что угодно, а я, пожалуй, предпочту остаться на шифрованном канале. Как говорилось в том анекдоте: "Мне не нужно обгонять медведя. Мне вполне достаточно обогнать тебя."

(Reply to this) (Parent)

Забавно, даже если найдут одну возможность взлома, буквально же первый легкий патч порушит все нафиг. Хороша песня - запевай сначала. Так что суммы небольшие, зато можно под каждый патч вытребовать :)

(Reply to this)

инфа к размышлению http://v-n-zb.livejournal.com/7896883.html#/7896883.html

(Reply to this) (Thread)

Да ну его нафиг, этот фейсбук.

(Reply to this) (Parent)

«Белые хакеры» СФО соберутся в Томске на соревнования по компьютерной безопасности
«В ходе SibirCTF командам предстоит отыскать уязвимости, обеспечив защиту системы, и в то же самое время попытаться «взломать» систему соперников.
Как отмечают организаторы CTF-турнира, эта задача аналогична задаче специалиста по информационной безопасности, приступившего к работе в новой организации», — говорится в сообщении.

(Reply to this) (Thread)

>Как отмечают организаторы CTF-турнира, эта задача аналогична задаче специалиста по информационной безопасности, приступившего к работе в новой организации», — говорится в сообщении.

Бред. Ни разу не аналогична.

COBIT 5, ISO/IEC 15408 и иже с ними.

(Reply to this) (Parent)

(Reply to this)

Я конечно может и туповат ,но по компу перестукиваться тоже можно . Вопрос : Зачем деньги тратить ?

(Reply to this) (Thread)

Перестукивание даже через стенку в камере нельзя расшифровать. Ну, только если в пытошной вас не спросить о чем вы с подельниками либералами проклятыми перестукивались.

(Reply to this) (Parent)

Помню некий Павел Дуров предлагал 300 тыс. $ за то же самое, только с меньшим объёмом работ, объявил публичный международный конкурс и никто его не выиграл...

(Reply to this) (Thread)

В этом и есть суть бизнес идеи. За 2К найти дыру, за 300К продать. Почему бы и не попробовать, если попытка оплачивается из бюджета?

(Reply to this) (Parent) (Thread)

Стартап по распилу?

(Reply to this) (Parent)

...они забыли, что на всякую ж есть нечто с винтом. А посему... Да ничего у них не получится! Дебилы, бл....

(Reply to this)

/Илья Вайцман пишет в Facebook:
Что, напугались, страшно? :D
Спокойно!! Только без паники. :) Судя по суммам и срокам, которые выделяются на разработку методики взлома каждого мессенджера (два месяца и 130 тысяч рублей), - ни о каких реальных попытках разработать способы взлома речь даже не идет. Прекрасно понимающие бессмысленность попыток сломать современное шифрование "силовики" просто прикрывают свои задницы на тот случай, если их царь-государь спросят, "почему до сих пор не взломано, холопы?" Тут-то они бумажку и подсунут, дескать "вот, надежа-государь, никак. Даже деньги плочены - не получается, не вели казнить, потому что математика, паскуда! Всякие односторонние функции и прочие алгоритмы. Не слушаются!"
Современные системы шифрования в реально озабоченных безопасностью мессенджерах заведомо устойчивы как к прямому взлому, так и к попыткам атаки типа MITM. Потому что end-to-end шифрование не позволяет расшифровать закриптованный открытым ключом адресата блок данных, не имея доступа к закрытой части пары. Никак. В ближайшие 10000 лет точно.
P.S. А вот забывать телефоны где попало, записывать пароли на бумажках и переписываться SMSками - реально плохие привычки. Гораздо вреднее курения. ;)
P.P.S. TOR наши умельцы ломать уже пробовали. Обломались. (успешная атака специалистами университета Карнеги-Меллон позволила прочитать трафик, но не идентифицировать стороны обмена, насколько я знаю).

(Reply to this) (Thread)

Вайцман. Вайцманы все умные. Все что пишет так и есть. Если кодирование - декодирование происходит на компе у тебя и у меня, то майор наш трафик хоть и перехватит, но подполковник его за это не похвалит, а скажет ему слова про половые сношения.

(Reply to this) (Parent)

Закон Яровой нужен, чтоб у любого оператора можно было без суда любые данные получить, под страхом проверки на выполнение закона Яровой. Или целиком бизнес отжать. Техническая невыполнимость требований туда намеренно заложена.

(Reply to this)

why it's so cheap? Оплата работ по каждому мессенджеру составляет 130 тыс. руб. за выполнение основной части исследования и 230 тыс. руб. бонуса "в случае получения идентификаторов сторон либо текста при использовании MITM"

(Reply to this) (Thread)

Вайцман и про это правильно написал.

(Reply to this) (Parent)

Будем пользоваться более сильной криптографией.
Право частного лица.

(Reply to this) (Parent)

Родина слышит, родина чует,
как ее сын в интернете серфует...

(Reply to this)

Где-то есть более лучшая картинка, лень искать, с надписью Родина слышит, что в комментах пишут.

(Reply to this)

Явно "для галочки", чтобы отчитаться о принятых мерах.
Нормальную криптозащиту так не ломают. Однако все это может заставить людей применять еще более навороченные схемы шифрования, просто из чувства противоречия: зашифровать все, вплоть до дисков в домашнем компьютере любой домохозяйки.
Ибо нефиг.

(Reply to this)

Фигня какая-то…
130 килорублей за взлом вайбера!?!
2 килодоллара за кряк воцапа?!
И на это всерьёз ведуться переговоры?!!!

(Reply to this) (Thread)

1-я часть задания - идентификация абонента, потенциально выполнима.
Расшифровка записаного трафика - нереальна. Но реальна возможность, при реализации первой части, сделать дубликат абонента и получить расшифрованый архив. По-крайней мере, в части мессенджеров.
Деньги, конечно, смешные. Я так понимаю, что это только за исследования возможностей.

(Reply to this) (Parent)

Если трафик будет шифроваться, каким образом они собираются его расшифровывать? Да еще и на лету )))
Это просто распил бабла, ведь задача не решаема, пусть книжки про шифрование почитают

(Reply to this)

130 тысяч рублей хахаха.

(Reply to this)

Люди хотят просто дать заработать кому то социально близкому 130 тыс. руб.

(Reply to this)

а хули толку?(С)

(Reply to this)

пропускаться будут слова люблю Путина, на крайняк - маму, изредка - тебя. со всем остальным - бороться и перебороть!

(Reply to this)

С ног на голову, или двойные стандарты? ( Интересно мнение "нач. транспортного цеха")
По писаным и НЕ писаным Законам, правительство и руководство страны подотчётны населению, а не наоборот.
Тем не менее часто слышно, например, если Навальный выдаст очередное разоблачение, очередного чиновника:
- Не хорошо... считать чужие деньги...в чужом кармане...
При этом карманы населения вывернуты, перевёрнуты, просмотрены, разве что не под рентгеном. Ну, эт нормааально - демократия же).
МАло этого(, теперь ( спс яровой) и разговорчики им захотелось послушать. Логины, пароли подавай. Ну честнейшие, млять, порядочнейшие люди.
Что дальше? Дна-то нету.

(Reply to this)