Русские с technical skills в опасности!

[StrangerR]

Грубо говоря SSL/TLS и тому подобное для них все равно что открытый текст. Э

Чушь собачья. Сломать SSL / TLS в принципе можно, записав многочасовую сессию, зная примерно что в ней, и пропыхтев пару лет на суперкомпьютерах, или же всунув MITM и долго долго мучаясь с фейкд сессиями. Ну или утащив приватный ключ, записав ВСЮ (важно! без пропусков) сессию ну и потом немного помучавшись (заметим что wireshark давно уже не способен расшифровывать SSL даже имея ключи), но и только.

[zVlad]

Грубо говоря SSL/TLS и тому подобное для них все равно что открытый текст. Э

Чушь собачья. Сломать SSL / TLS в принципе можно, записав многочасовую сессию, зная примерно что в ней, и пропыхтев пару лет на суперкомпьютерах, или же всунув MITM и долго долго мучаясь с фейкд сессиями. Ну или утащив приватный ключ, записав ВСЮ (важно! без пропусков) сессию ну и потом немного помучавшись (заметим что wireshark давно уже не способен расшифровывать SSL даже имея ключи), но и только.

Я не это, конечно же, имел в виду. Это ломовой метод, а можно пофантазировать о более элегантном, вполне реальном и менее трудоемком методе. Маленький намек: используя особые возможности правительства мирового гегемона.

[Ion Tichy]

Грубо говоря SSL/TLS и тому подобное для них все равно что открытый текст. Э

Чушь собачья. Сломать SSL / TLS в принципе можно, записав многочасовую сессию, зная примерно что в ней, и пропыхтев пару лет на суперкомпьютерах, или же всунув MITM и долго долго мучаясь с фейкд сессиями. Ну или утащив приватный ключ, записав ВСЮ (важно! без пропусков) сессию ну и потом немного помучавшись (заметим что wireshark давно уже не способен расшифровывать SSL даже имея ключи), но и только.

Я не это, конечно же, имел в виду. Это ломовой метод, а можно пофантазировать о более элегантном, вполне реальном и менее трудоемком методе. Маленький намек: используя особые возможности правительства мирового гегемона.

Если Вы имеете ввиду программные закладки (типа как в дууме - набери на клаве "абцдеф" и включи режим бога с бесконечными патронами), то это будет обнаружено очень скоро, станет всем известно и серьезные пацаны перейдут на что-нибудь другое.

[zVlad]

Грубо говоря SSL/TLS и тому подобное для них все равно что открытый текст. Э

Чушь собачья. Сломать SSL / TLS в принципе можно, записав многочасовую сессию, зная примерно что в ней, и пропыхтев пару лет на суперкомпьютерах, или же всунув MITM и долго долго мучаясь с фейкд сессиями. Ну или утащив приватный ключ, записав ВСЮ (важно! без пропусков) сессию ну и потом немного помучавшись (заметим что wireshark давно уже не способен расшифровывать SSL даже имея ключи), но и только.

Я не это, конечно же, имел в виду. Это ломовой метод, а можно пофантазировать о более элегантном, вполне реальном и менее трудоемком методе. Маленький намек: используя особые возможности правительства мирового гегемона.

Если Вы имеете ввиду программные закладки (типа как в дууме - набери на клаве "абцдеф" и включи режим бога с бесконечными патронами), то это будет обнаружено очень скоро, станет всем известно и серьезные пацаны перейдут на что-нибудь другое.

Это и не только это. Причем закладки тоже могут быть разными, работать по разному на разных уровнях инфраструктуры.
Россия ведь всю инфраструктуру покупает, и софт системный тоже покупает... у вражеской стороны.

[oshibka_residenta]

Грубо говоря SSL/TLS и тому подобное для них все равно что открытый текст. Это конечно общие догадки, не более того.
Возможно их "доказательства" не прямые (я не верю в хакеров вообще, но верю в плохо защищенные сети и сервера, а также в возможность "добычи" ключей шифрования, сертификатов), но способ добычи этих не прямых доказательств настолько гнусный что даже наглые американцы стесняются их показывать.

Что скажите, коллеги?

Во-первых, сертификаты не надо добывать, они по определению всем доступны.
По сути, я не думаю, что производители ставят какие-то закладки, но жулики навроде NSA - запросто.
Кроме того, и с SSL, и другими средствами надо понимать что делаешь. Если SSL не правильно используется , то есть, к примеру, DNS spoofing. Надо все время обновлять шифры (например, раньше достаточно было использовать RSA 1024 bit, а сейчас нет) и алгоритмы ( в старых версиях SSL известные проблемы) и т.д.
При правильном SSL совершенно все равно что там посередине, поэтому, вставлять закладки просто нет смысла.

[oshibka_residenta]

Чушь собачья. Сломать SSL / TLS в принципе можно, записав многочасовую сессию, зная примерно что в ней, и пропыхтев пару лет на суперкомпьютерах,

или же всунув MITM и долго долго мучаясь с фейкд сессиями. Ну или утащив приватный ключ, записав ВСЮ (важно! без пропусков) сессию ну и потом немного помучавшись (заметим что wireshark давно уже не способен расшифровывать SSL даже имея ключи), но и только.

С какой длиной ключа вы можете сломать (brute force) SSL, эксперт хренов?
Про MITM - слышали что-нибудь про сертификаты?
Про приватный ключ: ну как бы не надо его терять. Опять же, есть perfect forward security когда даже записав сессию и имея приватный ключ ничего нельзя получить.
С другой стороны, если в России "специалисты" вроде Стренджера, то вполне возможно NSA все видит.

[Мальчик-Одуванчик]

Что скажите, коллеги?

С Буком тоже были "Неопровержимые доказательства" но только их так и не предстваили.
До сих пор боятся пробирки Пауэлла.

[city_girl]

Что скажите, коллеги?

С Буком тоже были "Неопровержимые доказательства" но только их так и не предстваили.
До сих пор боятся пробирки Пауэлла.

ага, и каждый раз объснение, что не можем сказать откуда узнали, так как раскроются "секретные источники и технологии"

[StrangerR]

Грубо говоря SSL/TLS и тому подобное для них все равно что открытый текст. Э

Чушь собачья. Сломать SSL / TLS в принципе можно, записав многочасовую сессию, зная примерно что в ней, и пропыхтев пару лет на суперкомпьютерах, или же всунув MITM и долго долго мучаясь с фейкд сессиями. Ну или утащив приватный ключ, записав ВСЮ (важно! без пропусков) сессию ну и потом немного помучавшись (заметим что wireshark давно уже не способен расшифровывать SSL даже имея ключи), но и только.

Я не это, конечно же, имел в виду. Это ломовой метод, а можно пофантазировать о более элегантном, вполне реальном и менее трудоемком методе. Маленький намек: используя особые возможности правительства мирового гегемона.

Есть очень простой метод. Подойти к человеку и вежливо попросить. И ведь не откажет. И никакие хакеры не нужны :)

Вы все время тащите на сцену сложные технические методы. Забывая о простом правиле
- нет приема против лома
- если нет другого лома.

Человечек в костюме и галстуке и с небольшой красивой корочкой куда эффективнее любого хакера. Даже если корочка поддельная.

[StrangerR]

Чушь собачья. Сломать SSL / TLS в принципе можно, записав многочасовую сессию, зная примерно что в ней, и пропыхтев пару лет на суперкомпьютерах,

или же всунув MITM и долго долго мучаясь с фейкд сессиями. Ну или утащив приватный ключ, записав ВСЮ (важно! без пропусков) сессию ну и потом немного помучавшись (заметим что wireshark давно уже не способен расшифровывать SSL даже имея ключи), но и только.

С какой длиной ключа вы можете сломать (brute force) SSL, эксперт хренов?
Про MITM - слышали что-нибудь про сертификаты?
Про приватный ключ: ну как бы не надо его терять. Опять же, есть perfect forward security когда даже записав сессию и имея приватный ключ ничего нельзя получить.
С другой стороны, если в России "специалисты" вроде Стренджера, то вполне возможно NSA все видит.

Ну, например все эти POODLE теоретически позволяют сломать протокол и расшифровать данные. Практически это обставлено столькими ЕСЛИ что хоть стой хоть падай. Еще, можно подсунуть свои рут сертификаты и перехватить сессию на себя (подсунуть естественно каким нибудь вирусом). Способов много, если вы о них не знаете, так как у вас 700 специалистов, то я не виноват. Другое дело, что против правильно настроенных сессий и MITHM не поможет.

pfs - да, есть. Хотя кстати она больше в IPSEC используется. И хотя анализ последних IPSEC показал, что клиенты это обычно не ставят. А так я кстати упоминал уже об этом.

Ошибка, меня инструктор когда то учил
- не скидывай камни на инструктора
- он это делает лучше.

Я вам не советую спорить с профессионалами. Окажетесь в большой луже.

// Вы кстати хоть заметили, что я сказал, что SSL / TLS при правильном использовании не ломается. При неправильном - если очень очень очень постараться то теоретически ломается, практически я таких случаев не знаю. Утащить приватный ключ - можно, но даже это не поможет если сессию неудачно записали (да и если всю записали, поможет не всегда). Все это азы, известные всем, кто работает в этой области и у кого в команде 2 -3 человека а не 700 - 800.

Кроме того, у ФАПСИ всегда были свои алгоритмы шифрования с открытым ключем. Которые не то чтобы сильно лучше или хуже, но так как встречаются редко, то по ним алгоритмов слома неизвестно вообще. В принципе.

[city_girl]

Грубо говоря SSL/TLS и тому подобное для них все равно что открытый текст. Э

Чушь собачья. Сломать SSL / TLS в принципе можно, записав многочасовую сессию, зная примерно что в ней, и пропыхтев пару лет на суперкомпьютерах, или же всунув MITM и долго долго мучаясь с фейкд сессиями. Ну или утащив приватный ключ, записав ВСЮ (важно! без пропусков) сессию ну и потом немного помучавшись (заметим что wireshark давно уже не способен расшифровывать SSL даже имея ключи), но и только.

Я не это, конечно же, имел в виду. Это ломовой метод, а можно пофантазировать о более элегантном, вполне реальном и менее трудоемком методе. Маленький намек: используя особые возможности правительства мирового гегемона.

Есть очень простой метод. Подойти к человеку и вежливо попросить. И ведь не откажет. И никакие хакеры не нужны :)

Вы все время тащите на сцену сложные технические методы. Забывая о простом правиле
- нет приема против лома
- если нет другого лома.

Человечек в костюме и галстуке и с небольшой красивой корочкой куда эффективнее любого хакера. Даже если корочка поддельная.

Теперь вот сообщили что некий господин Браудер будет свидетелем по делу о вмешательстве хакеров в выборы. Каким свидетелем? ))))))) Как он может свидетельствовать о хитросплетениях хакерских атак и их источниках?)))))

Причем прикольно журналюги его представили: "многолетний борец с коррупцией в России, согласно его собственного вебсайта". Синдром пробирки Пауэлла)))))

Простой вопрос, а нафига американскому бизнесмену бороться с коррупцией в России (и за чьи деньги), и почему в результате этой борьбы произошло обогащение господина Браудера и появилось уголовное дело о неуплате очень крупной суммы налогов в казну осчастливленную такой борьбой страны, почему-то журналистами не задается)))))

[Prosche]

Если Вы имеете ввиду программные закладки (типа как в дууме - набери на клаве "абцдеф" и включи режим бога с бесконечными патронами), то это будет обнаружено очень скоро, станет всем известно и серьезные пацаны перейдут на что-нибудь другое.

какой нафиг "абцдеф"? режим бога - IDDQD, все оружие - IDKFA, хоспадя, классики не знают, а туда же, лезут обсуждать высокое.

[StrangerR]

С закладками связана веселая история времен КОКОМ (как известно, везде где надо стояли и Ваксы и прочее КОКОМовское барахло. И в Курчатнике стояли и не тольво ВАКСы но и кое что посерьезнее...).

- СССР купил под-кокомовские ВАКСы через как обычно третьи руки
- Американцы прознали про это и поставили туда закладки. С батарейками расчитанными на полгода работы.
- В СССР был бюрократический бардак и путь ВАКСа к потребителю занял год.
- КГБ вскрыло ВАКС на предмет закладок и их там обнаружило. С разряженными батарейками. Авторы закладок ну никак не заложились на советский бардак.

Любая закладка будет обнаружена, любой секрет украден, любая железка сломается. Но у каждого события есть среднее время за которое это произойдет. И если в случае секретов делают 2 секрета так чтобы кража первого раскрылась перед тем как украден второй (и на этом основаны серьезные защиты, так как любой объект всегда утечет кому не надо, но иногда один раз в 10 лет), то с закладками это не работает - закладку выловят. Закладка на уровне железки или чипа или софта, которую выловили - смерть для компании. Поэтому закладки крайне малореальны, кроме случаев когда железо или софт сделаны напрямую под заказ. А вот вариант _мы знаем что они знают о дырке, но делаем вид что не знаем_ - он возможен, и именно он стал причиной WannaCry и Pete, если кто еще не понял (версия не моя, кстати. а американцев).

[zVlad]

Практически нечего добавить - все сказано. Вовсе не обязательно ломать ключи и алгоритмы, можно было просто подружиться с администратором (даже не обязательно с администратором) сети демпартии и получить некоторый объем переписки, и списать это на русских хакеров. Тем более что спрос имелся на новые какашки для России.
Вовсе не обязательно ломать шифрованную информацию если есть доступ к точкам где информация расшифрованна уже штатными средствами (внутри забора), и тут опять поможет инсайдер, которому тоже есть хочется. И таких инсайдеров много на самом деле, необязательно чтобы это был самый-самый авторизованный.

[zVlad]

Тем не менее интересно поанализировать как американцы могли добыть доказательства хакерства со стороны России, и не просто российских граждан, но под чутким руководством партии и правительства.
Не вдаваясь в детали почему, но мне не видится такой возможности в принципе даже если в руках имелся весь трафик обмена сети демпартии с внешним миром.
Единственное на основании чего могли быть получены такие доказательства, а они тогда становятся косвенными, это на основании незаконного получения информации из российскихю секретных источнмков, т.е. на основании того или иного хакерства.
Получается замкнутый круг и американцы это поняли и поэтому уверенно говорят что никогда не откроют способа получения доказательств. С таким "кэйсом" можно смело идти в суд, вот только какой?

[Ion Tichy]

Тем не менее интересно поанализировать как американцы могли добыть доказательства хакерства со стороны России, и не просто российских граждан, но под чутким руководством партии и правительства.
...

Т.н. агентурная разведка - запросто.

[StrangerR]

Тем не менее интересно поанализировать как американцы могли добыть доказательства хакерства со стороны России, и не просто российских граждан, но под чутким руководством партии и правительства.
...

Т.н. агентурная разведка - запросто.

Вот немного зная и хакеров и ФАПСИ и ФСБ - позвольте не поверить. Ну абсолютно. На сегодня, все рассказы про русских хакеров в США высосаны из пальцев, без единого доказательства.

[Ion Tichy]

Тем не менее интересно поанализировать как американцы могли добыть доказательства хакерства со стороны России, и не просто российских граждан, но под чутким руководством партии и правительства.
...

Т.н. агентурная разведка - запросто.

Вот немного зная и хакеров и ФАПСИ и ФСБ - позвольте не поверить. Ну абсолютно. На сегодня, все рассказы про русских хакеров в США высосаны из пальцев, без единого доказательства.

Доведут тебя бабы доведет Вас язык до цугундера.

[StrangerR]

Тем не менее интересно поанализировать как американцы могли добыть доказательства хакерства со стороны России, и не просто российских граждан, но под чутким руководством партии и правительства.
...

Т.н. агентурная разведка - запросто.

Вот немного зная и хакеров и ФАПСИ и ФСБ - позвольте не поверить. Ну абсолютно. На сегодня, все рассказы про русских хакеров в США высосаны из пальцев, без единого доказательства.

Доведут тебя бабы доведет Вас язык до цугундера.

Там срок давности давно кончился да и секретов никаких не было. Просто... ну реально, в хакерскую вольницу агентов сажать... да еще и чтобы агентов под видом хакеров ФСБ наняло... это сюжет для сильно фантастического фильма, а не реальность. Именно потому, что хакер с которым общаешься - может оказаться кем угодно (это как на сайте знакомств - фотка висит красивой девчонки а на свидание припрется толстая баба 70-ти а то и мужик) - варианты что хакеры работают под руководством Путина - чистейшая фантастика. Реальности могут быть лишь как в США, когда кто-то серьезный у себя собирает неизвестные никому дырки, и убеждает Билла Гейтса и компанию их не заделывать, и держит про запас. НО такой серьезный дядя не будет фигней заниматься вроде WannaCry или американских выборов. Все пока доказательства - типа того что _а их радио серьезно поддерживало имярек_ - на то оно и радио что поддерживает кого хоет никого не спросив.

[SosLipBam]

Я считаю вообше, людям с ИТ, лучше не светится в соц. сетях. Такая руссофобия в нынешней политике, что ужас какой то. И держитесь подальше от быв експатов, которые приехали по еврейской визе. Я иногда включаю радио Давидсон, или как оно называется, где вещют из Бруклина. Там столько руссофобии, лжи, что волосы дыбом стоят, столько ненависти, и что интересное утверждают что "Россия лжет о том что здесь присутствует руссофобия, никакой руссофобии здесь нет и Путин все выдумывает, он врет как дышит", и сами же занимаясь руссофобской пропагандой> Такие сволочи там сидят за микрофоном. Но главное, как послушешь их, то сразу понятно, какие неграмотные люди, какие недоделки и рекламу гоняют тоже для идотов, типа спрея для потенции которая лучше Виагры, и всякую хрень наперсточников. Кто этих мудаков спонсирует?
Я давно себя поудаляла с соцсетей, т к имею двойное гражданство, ни в российских ни в американских не свечусь.

это точно! в фб был подписан на наш техас газетку - ппц анти-русская газета из ада я бы ее назвал, кучака говнистых инвалидов на голову видимо пишет

[StrangerR]

Вот чего не заметно так это русофобии. Причем ее нет от слова совсем. НИкаких следов. В смысле, не в прессе (политики решают свои задачи и слово Россия там используют), а где нибудь за пределами политиков.

[Amto2011]

Вот чего не заметно так это русофобии. Причем ее нет от слова совсем. НИкаких следов. В смысле, не в прессе (политики решают свои задачи и слово Россия там используют), а где нибудь за пределами политиков.

Русофобия в масс-медиа в обязательном порядке выплеснется на бытовой уровень.

[Amto2011]

На самом деле "вмешательство в выборы" на уровне государства (я имею ввиду ФСБ и руководство) как то несерьезно выглядит. В то что были какие-то хакеры-любители и возможно даже русскоговорящие, и возможно даже с территории России, вполне верю. Но что это целенаправленная акция государства против государства, нет.

Гораздо хуже если это целенаправленная подстава со стороны американских спецслужб. Подставить в IT можно вообще кого угодно: время московоское, слова русские, кириллица в коде , и пр пр пр. А доказательств никаких и не требуется.

[city_girl]

На самом деле "вмешательство в выборы" на уровне государства (я имею ввиду ФСБ и руководство) как то несерьезно выглядит. В то что были какие-то хакеры-любители и возможно даже русскоговорящие, и возможно даже с территории России, вполне верю. Но что это целенаправленная акция государства против государства, нет.

Гораздо хуже если это целенаправленная подстава со стороны американских спецслужб. Подставить в IT можно вообще кого угодно: время московоское, слова русские, кириллица в коде , и пр пр пр. А доказательств никаких и не требуется.

Ну вот мне на это больше похоже, так как смысла в этом больше. Во-первых отвести внимание с себя (по ходу дела мало кто обсуждает скандальность содержания утечек, которые стали рещультатом "хакерского взлома") и обернуть скандалом против более удачливого конкурента, во-вторых, так классно, можно вводить санкции какие угодно. Тем более, что эти санкции так удачно можно направить на проталкивание своего газа.


Россия же ничего не поимела от такой "хитроумной государственной операции", кроме проблем.

[city_girl]

Вот чего не заметно так это русофобии. Причем ее нет от слова совсем. НИкаких следов. В смысле, не в прессе (политики решают свои задачи и слово Россия там используют), а где нибудь за пределами политиков.

Русофобия в масс-медиа в обязательном порядке выплеснется на бытовой уровень.

Люди молчат, а если начинают говорить, то проскакивает. Ну и не с русскими же им об этом говорить.