Category: wtf

Очень инте­рес­ная ста­тья для людей, инте­ре­су­ю­щих­ся крип­то­гра­фи­ей.

Крат­кий пере­сказ. Совре­мен­ная тай­но­пись зиждет­ся на несим­мет­рич­ной и сим­мет­рич­ной крип­то­гра­фии. Все дан­ные внут­ри уже уста­нов­лен­ной сес­сии шиф­ру­ют­ся сим­мет­рич­ной крип­то­гра­фи­ей — она быст­рее, ибо не так ресур­со­ём­ка. Обыч­но это AES. Ключ для AES шиф­ру­ет­ся уже несим­мет­рич­ной крип­то­гра­фи­ей, чаще все­го RSA, у кото­рой есть два клю­ча — один откры­тый (пуб­лич­ный), дру­гой закры­тый (при­ват­ный). То, что зашиф­ро­ва­но закры­тым клю­чом, может быть рас­шиф­ро­ва­но клю­чом откры­тым, и наобо­рот.

При уста­нов­ке сес­сии кли­ент и сер­вер дого­ва­ри­ва­ют­ся о клю­че для AES, и эти дого­во­ры шиф­ру­ет­ся RSA (курить Diffie–Hellman). Шту­ка в том, что RSA рабо­та­ет на осно­ве очень боль­ших про­стых чисел, вся его защи­щён­ность состо­ит в том, что надо подо­брать два мно­жи­те­ля из про­стых чисел, у кото­рых более тыся­чи цифр в каж­дом. Рабо­та с настоль­ко боль­ши­ми чис­ла­ми на ком­пью­те­ре ино­гда при­во­дит к мате­ма­ти­че­ским ошиб­кам, и может при­ве­сти к раз­гла­ше­нию закры­то­го клю­ча! Затро­ну­ты­ми ока­зы­ва­ют­ся реа­ли­за­ции RSA с закры­тым кодом, в том чис­ле устрой­ства Зик­сел (тот самый Зухель, ага) и Цис­ко (гы-гы-гы). Алго­ритм RSA в OpenSSH тако­му раз­гла­ше­нию, что инте­рес­но, не под­вер­жен — там зна­ют о том, что могут воз­ник­нуть ошиб­ки в рас­чё­тах, и от них предо­хра­ни­лись.

Очень, очень любо­пыт­но! Пока­мест прак­ти­че­ские про­бле­мы малы — даже RSA в тех же Цись­ках уяз­вим толь­ко в одном устрой­стве на тыся­чу, а реа­ли­за­ция экс­плой­та не видит­ся мне про­стой. Но учи­ты­вая, что таких устройств мил­ли­о­ны, и на кону могут сто­ять боль­шие баб­ки…

В‑общем, запа­са­ем­ся поп­кор­ном. Может быть исклю­чи­тель­но инте­рес­но.

Ста­тья в ArsTechnica:

https://arstechnica.com/security/2023/11/hackers-can-steal-ssh-cryptographic-keys-in-new-cutting-edge-attack/

Ссыл­ка на Cryptography ePrint:

https://eprint.iacr.org/2023/1711.pdf

А вот коз­лы-зако­но­да­те­ли в Нью-Йор­ке:

https://www.thecentersquare.com/new_york/article_56d16c26-7210–11ee-b9c1-1b3b7858c8f4.html

И в Кали­фор­нии:

https://bearingarms.com/camedwards/2023/02/17/new-california-gun-control-bill-aims-at-3^d-printers-and-code-n67480

Хотят запре­тить про­да­жу 3D прин­те­ров и/или тре­бо­вать полу­че­ние лицен­зии на про­из­вод­ство огне­стрель­но­го ору­жия (!) для их вла­дель­цев.

Иди­о­ты. Огне­стрель­ное ору­жие мож­но сде­лать из двух кус­ков сталь­ной тру­бы, шайб, гвоз­дя, и сва­роч­но­го аппа­ра­та. И купить всё для их изго­тов­ле­ния мож­но в бли­жай­шем стро­и­тель­ном мага­зине.

До коих пор эти при­дур­ки будут ста­рать­ся огра­ни­чить инстру­мент вме­сто того, что­бы огра­ни­чи­вать пре­ступ­ни­ков? Ну иди­о­тия же, при­чём оче­вид­ная иди­о­тия.

Захо­те­лось узнать, как у нас нын­че день­га­ми меж­ду кон­ти­нен­та­ми обме­ни­ва­ют­ся в свя­зи со Спе­ци­аль­ной Вол­шеб­ной Опе­ра­ци­ей. Пей­пел же кука­ре­ку, и запад­ные кре­дит­ки не рабо­та­ют. Начи­наю печа­тать запрос «как послать», и доб­рый бра­у­зер Брейв под­со­вы­ва­ет вари­ан­ты допи­сы­ва­ния фра­зы.

Зана­вес.

Да, кста­ти, а дей­стви­тель­но — как у нас нын­че день­га­ми меж­ду кон­ти­нен­та­ми обме­ни­ва­ют­ся? Если толь­ко с крип­той не свя­зы­вать­ся? Рань­ше было про­сто…

Или доб­рый бра­у­зер Брейв мне отве­тил пра­виль­но?

Без­опас­ность какой-либо плат­фор­мы не опре­де­ля­ет­ся нали­чи­ем в плат­фор­ме багов. Баги есть и будут все­гда, даже на солид­ных плат­фор­мах типа FreeBSD. Без­опас­ность опре­де­ля­ет­ся тем, как опе­ра­тив­но выпус­ка­ют­ся обнов­ле­ния, закры­ва­ю­щие дыры. И обыч­но чем хуже дыра — тем быст­рее выхо­дят обнов­ле­ния.

ДЫРЕНЬ раз­ме­ром с дуп­ло фили­на, куда оный зале­та­ет, не скла­ды­вая кры­льев, суще­ству­ю­щая на дан­ный момент на ВСЕХ ком­му­та­то­рах фир­мы Цис­ко с вклю­чён­ным веб-интер­фей­сом, в нали­чии с кон­ца сен­тяб­ря. Обнов­ле­ния IOS XE нет до сих пор. Реко­мен­ду­ют толь­ко отклю­чить веб-интер­фейс и при­нять меры.

Да, мож­но дол­го гово­рить о том, что админ, оста­вив­ший веб-интер­фейс, тор­ча­щий нару­жу — дол­ба­ный дятел. И он да, таки дол­ба­ный дятел. Но ино­гда по-дру­го­му не полу­ча­ет­ся, осо­бен­но если ста­вишь обо­ру­до­ва­ние в чьей-то чужой песоч­ни­це, а кана­ла для OOBM в этой песоч­ни­це тебе не оста­ви­ли. Ничуть не изви­няя дол­бо­дя­те­ла-адми­на, на сове­сти Цис­ки на дан­ный момент — свы­ше 10,000 (деся­ти тысяч) устройств, взло­ман­ных хаке­ра­ми.

Мы в кон­то­ре пере­клю­чи­лись на Ару­бу, если чо. Цис­ка бук­валь­но лет десять-пят­на­дцать назад была — уууу, а сей­час — гов­но. При­мер­но когда они вме­сто того, что­бы про­дол­жать раз­ра­ба­ты­вать свои про­дук­ты, ста­ли ску­пать чужие кон­то­ры (Мера­ки и Файр­пау­эр, напри­мер), тогда она в гов­но и ста­ла ска­ты­вать­ся.

Хоро­шо, всё же, что у нас капи­та­лизм. Даже такие сло­ны как Цись­ка не могут спо­кой­но почи­вать на лав­рах. Надо сорев­но­вать­ся. Надо инно­ва­ции. И не надо сидеть, засу­нув палец в зад­ни­цу, надо в тем­пе валь­са раз­ра­ба­ты­вать обнов­ле­ния. Если не совать сво­бод­но­му рын­ку пал­ки в колё­са Оба­ма-стайл, too big to fail, делая из капи­та­лиз­ма кор­по­ра­тизм, от дур­ных про­дук­тов и заброн­зо­вев­ших ком­па­ний этот сво­бод­ный рынок избав­ля­ет­ся сам собой. См. Novell.

В свя­зи с обостре­ни­ем кон­флик­та на Ближ­нем Восто­ке, оче­вид­но, заод­но обост­рил­ся зуд в одном месте у Рос­ком­Ге­ста­по и про­чих сочув­ству­ю­щих.

Через RSS-читал­ку неко­то­рые посты из ЖЖ чита­ют­ся, а вот при попыт­ке перей­ти по ссыл­ке на сам пост начи­на­ет выле­тать уже зна­ко­мая (увы да, уже зна­ко­мая) ошиб­ка HTTP 451.

Сколь­ко ору про эту самую фуку­сим­скую воду — рех­нуть­ся. Гром­че всех вопят китай­цы, кото­рые запре­ти­ли даже импорт япон­ской рыбы. Ага, те же самые китай­цы, кото­рые мела­мин в молоч­ную смесь для мла­ден­цев добав­ля­ли. А теперь они гро­мят япон­ские биз­не­сы в Китае, молод­цы. Как буд­то эти самые япон­цы за это и ответ­ствен­ны. Чо? Груп­по­вая ответ­ствен­ность? Мы эти сло­ва уже слы­ша­ли, прав­да, от дру­гих немно­го граж­дан, кото­рым не надо упо­доб­лять­ся.

Ну и зелё­ные под­тя­ну­лись, куда же без бра­тьев наших мень­ших по разу­му.

А самое глав­ное, чего там в этой воде-то? Неужто цезий-137? Радио­ак­тив­ный йод-131? Строн­ций-90? Нет. Един­ствен­ный кон­та­ми­нант этой воды, уже сто раз про­пу­щен­ной через филь­тры — три­тий. Ага, три­тий. Кото­рый в самом пико­вом слу­чае «све­тит» бетой при рас­па­де в гелий‑3, а ника­кой не гам­мой, или дру­гим жёст­ким излу­че­ни­ем. Его даже не любой детек­тор ради­а­ции «берёт». Этот самый три­тий в верх­них сло­ях атмо­сфе­ры кос­ми­че­ски­ми луча­ми про­из­во­дит­ся, его каж­дый день с дождём на нашу пла­не­ту боль­ше выли­ва­ет­ся, чем сум­мар­ный объ­ём «радио­ак­тив­ной» воды, кото­рую соби­ра­ют­ся поти­хонь­ку выпу­стить в оке­ан япон­цы.

А раз­ве­ли тут, пони­ма­ешь, бала­ган на ров­ном месте.

До нача­ла лок­дау­нов, бун­тов чёр­но­ко­жих раси­стов, и после­ду­ю­ще­го при­хо­да к вла­сти это­го фиг­ля­ра БэДэ короб­ка таких патро­нов сто­и­ла 17 руб­лей с копей­ка­ми. А теперь — здрас­ь­те:

А вот эти одно­лит­ро­вые бал­ло­ны с про­па­ном для пор­та­тив­ных пли­ток охот­ни­ков и тури­стов — сто­и­ли шестёр­ку:

Мои люби­мые обрез­ные дос­ки два на четы­ре взад на два руб­ля за штуч­ку так и не вер­ну­лись:

А ещё я не могу не отме­тить ухуд­ше­ние каче­ства еды и обслу­жи­ва­ния. В отдель­ных про­дук­тах изго­то­ви­те­ли оче­вид­но нача­ли хими­чить, менять постав­щи­ков, исполь­зо­вать дру­гое сырьё, види­мо, поде­шев­ле и поху­же, и так далее. Во мно­гих сете­вых ресто­ра­нах окон­ча­тель­но испор­ти­лась жрат­ва. А уж хоро­ше­го офи­ци­ан­та най­ти теперь вооб­ще нере­аль­но, ни за какие чае­вые (хотя я и так нико­гда менее два­дца­ти про­цен­тов не давал).

Но «офи­ци­аль­ная» инфля­ция, конеч­но, три с неболь­шим прО­цен­та.

Хотя как они счи­та­ют инфля­цию, мы, конеч­но, в кур­се — ибо даже цена про­дук­тов пита­ния или энер­гии в отдель­ные осо­бо хит­ро­жо­пые спо­со­бы рас­чё­та инфля­ции, напри­мер, не вхо­дит. Хотя это имен­но те день­ги, кото­рые боль­шин­ство людей видят сво­и­ми гла­за­ми. Я в кур­се про вола­тиль­ность, в кур­се. Толь­ко моло­ко и мас­ло (а ино­гда и патро­ны) я поку­паю каж­дую неде­лю, а вот то, по чьим пара­мет­рам счи­та­ет­ся эта самая «офи­ци­аль­ная инфля­ция» без еды и энер­гии, уже нет. Хотя инфля­ция по дос­кам — нали­цо, рост цены на 60%. Как там у клас­си­ка: «Суще­ству­ют три вида лжи: ложь, наг­лая ложь и ста­ти­сти­ка.»

И вы зна­е­те, очень слож­но ска­зать, что все эти лок­дау­ны и тепе­реш­няя бай­де­но­ми­ка с сопут­ству­ю­щей херью — это абсо­лют­но не свя­зан­ные вещи.

Наши бого­спа­са­е­мые зако­но­да­те­ли, в бес­ко­неч­ной муд­ро­сти сво­ей, в оче­ред­ной раз защи­ща­ют какую-то хре­но­ту. В роли хре­но­ты — сред­не­вол­но­вые радио­при­ём­ни­ки в аффф­то­мо­би­лях. Они при­ня­ли закон, как водит­ся, мудац­кий и злоб­ный одно­вре­мен­но, так назы­ва­е­мый «двух­пар­тий­ный», о том, что во всех про­да­ва­е­мых авто­мо­би­лях в США сред­не­вол­но­вое радио долж­но быть стан­дарт­ной опци­ей, за кото­рую нель­зя про­сить денег.

У меня вопрос: НАКУЯ???

Бого­спа­са­е­мые зако­но­да­те­ли гово­рят, что сред­не­вол­но­вое радио полез­но в чрез­вы­чай­ных ситу­а­ци­ях, типа сти­хий­ных бед­ствий. Вопро­сов нет, очень полез­но!

Толь­ко вот тут есть один малень­кий момент. На совре­мен­ные авто­мо­биль­ные антен­ны-пып­ти­ки, кото­рые нын­че ста­вят в авто­мо­би­ли, сред­не­вол­но­вую радио­стан­цию мож­но при­нять толь­ко если подъ­е­хать к радио­мачте на рас­сто­я­ние менее деся­ти шагов.

Вы види­те на этом сним­ке аффф­то­мо­би­ля Суб­ару BRZ радио­ан­тен­ну? Она тут есть!

Она скры­та внут­ри «аку­лье­го плав­ни­ка» над зад­ним стек­лом. Это изде­ва­тель­ство, а не антен­на.

Что­бы нор­маль­но лови­лись сред­ние вол­ны, нуж­на антен­на вот такая хотя бы:

У меня на моей Суб­аре сред­ние вол­ны не ловят­ся от сло­ва совсем, а вот на пика­пе — нор­маль­но.

На совре­мен­ных авто­мо­би­лях с антен­ной раз­ме­ром с пти­чий кли­тор о сред­них вол­нах мож­но забыть. Поэто­му билль иди­от­ский совер­шен­но. Вот его текст. Вы види­те тут что-нибудь про нор­маль­но­го раз­ме­ра антен­ны? Нет, тут напи­са­но про «при­ни­ма­ю­щее обо­ру­до­ва­ние». Тут ниче­го не ска­за­но про то, что это «при­ни­ма­ю­щее обо­ру­до­ва­ние» вооб­ще долж­но хоро­шо функ­ци­о­ни­ро­вать. Оно про­сто долж­но быть, и мочь при­ни­мать сиг­нал. Обо­ру­до­ва­ние есть? Есть. Сиг­нал может при­ни­мать? Может. А вот как оно при­ни­ма­ет сиг­нал — это уже пле­вать.

Работ­ни­ки служб достав­ки суме­ли на этой неде­ле уста­но­вить новые рекор­ды тупиз­ны.

У меня и так крайне низ­кое мне­ние о умствен­ных спо­соб­но­стях Федек­са, но тут они про­би­ли новое дно. Они укра­ли из посыл­ки ноут­бук сто­и­мо­стью в две тыся­чи дол­ла­ров. В пунк­те отправ­ки посыл­ка веси­ла 2.7kg, а когда дое­ха­ла до нас, ста­ла весить 1kg. Посыл­ку акку­рат­но закле­и­ли.

Хоро­шо, что посыл­ка была застра­хо­ва­на, но пока неиз­вест­но, воз­ме­стят ли сто­и­мость.

Так­же пора­до­ва­ли работ­ни­ки достав­ки Ама­зо­на. Они с мура­вьи­ным упор­ством уже тре­тий день пыта­ют­ся доста­вить посыл­ку в семь вече­ра в офис, кото­рый после пяти не открыт. Испол­ни­тель­ные деби­лы. Совер­шен­но спра­вед­ли­во, что для того, что­бы удер­жать гра­фик доста­вок, им при­хо­дит­ся ссать в бутыл­ки. Думать же тоже надо уметь, блин. Напи­сал в под­держ­ку.