⚡️ ГосУслуги — документы в открытом доступе
А теперь что-то по настоящему интересное. Все вы, мои дорогие подписчики, наверняка знакомы с единственным в России сайтом, разработка которого стоила практически полмиллиарда рублей — ГосУслугами.
Уже давно ресурс позиционируется как удобный и простой, централизованный сервис взаимодействия с органами власти и государственными службами.
Наверное, такой ресурс должен быть надёжно защищён? Не тут-то было — в открытом доступе тысячи различных внутренних документов с самыми разными данными 😱
Заинтриговал? 😏
Тогда читайте:
https://vee.gg/K0l7K
А теперь что-то по настоящему интересное. Все вы, мои дорогие подписчики, наверняка знакомы с единственным в России сайтом, разработка которого стоила практически полмиллиарда рублей — ГосУслугами.
Уже давно ресурс позиционируется как удобный и простой, централизованный сервис взаимодействия с органами власти и государственными службами.
Наверное, такой ресурс должен быть надёжно защищён? Не тут-то было — в открытом доступе тысячи различных внутренних документов с самыми разными данными 😱
Заинтриговал? 😏
Тогда читайте:
https://vee.gg/K0l7K
Telegraph
⚡️ Внутренние документы портала «ГосУслуги» оказались в открытом доступе
Как известно, российские власти активно продвигают портал «ГосУслуги», на разработку которого было потрачено более 495 миллионов (полмиллиарда!) рублей. Ресурс позиционируется как централизованный сервис взаимодействия с различными государственными службами…
Ребята из команды THack3forU, которые одними из первых заметили сборище открытых документов ГосУслуг, написали замечательную утилиту на Python для поиска валидных URL с документами.
Если у вас большой жёсткий диск, можете скачать их всех, а затем попробовать осуществить поиск по загруженным файлам.
Два других энтузиаста, связавшихся со мной, но пожелавшие остаться неизвестными, сообщили, что некоторые документы не удовлетворяют порядковой маске XXXXX. Подтверждений этому пока найти не удалось.
Ссылочка на GitHub:
https://github.com/TH3ForU/gos_brute
Если у вас большой жёсткий диск, можете скачать их всех, а затем попробовать осуществить поиск по загруженным файлам.
Два других энтузиаста, связавшихся со мной, но пожелавшие остаться неизвестными, сообщили, что некоторые документы не удовлетворяют порядковой маске XXXXX. Подтверждений этому пока найти не удалось.
Ссылочка на GitHub:
https://github.com/TH3ForU/gos_brute
GitHub
GitHub - TH3ForU/gos_brute: Brute links for gosuslugi.ru . Channel: http://www.tg-me.com/UkraineHack
Brute links for gosuslugi.ru . Channel: http://www.tg-me.com/UkraineHack - TH3ForU/gos_brute
Long time no see!
Давно не виделись, друзья.
Вы спросите: "Саша, где контент, пёс?".
А я возьму и отвечу!
Отвечу, что последнее время я 100% своего времени (а иногда даже больше) уделял своему главному ребёнку — Vee Security. Последние несколько недель мы работали над обновлениями нашего VPN-сервиса, чтобы сделать его максимально простым и удобным для конечных пользователей, а также более конкурентноспособным по отношению к другим игрокам рынка.
ШТОШ, рад сообщить, что базовый фундамент мы строить закончили.
Об этом и чуть подробнее — в нашем новом блоге Vee Security:
https://vee.gg/JDeNP
Давно не виделись, друзья.
Вы спросите: "Саша, где контент, пёс?".
А я возьму и отвечу!
Отвечу, что последнее время я 100% своего времени (а иногда даже больше) уделял своему главному ребёнку — Vee Security. Последние несколько недель мы работали над обновлениями нашего VPN-сервиса, чтобы сделать его максимально простым и удобным для конечных пользователей, а также более конкурентноспособным по отношению к другим игрокам рынка.
ШТОШ, рад сообщить, что базовый фундамент мы строить закончили.
Об этом и чуть подробнее — в нашем новом блоге Vee Security:
https://vee.gg/JDeNP
🚨 Небольшое, но важное объявление.
В воскресение 23 июня в 17:00, в Москве, на проспекте Сахарова состоится согласованный митинг по мотивам недавнего скандала с подброшенными Ивану Голунову наркотиками. Выходите против политических репрессий и фабрикации уголовок. Помните друзья, если вы не занимаетесь политикой — политика займется вами.
Конечно, Голунова освободили под давлением общественности. Но есть еще тысячи людей, которые были несправедливо осуждены по похожим, как две капли воды, сфабрикованным уголовным делам. По статистике, 40000 (сорок тысяч) дел имеют вес, ровно необходимый для уголовного преследования. Полиция подозрительно часто находит не то, что ищет, а то, что хочет найти. Среди моих знакомых также есть люди, которые страдали от подобного произвола полицейских и их стремления выполнить план. И они вовсе не активны в политике — это обычные люди, оказавшиеся рядом с полицейскими в неподходящий момент времени. Если в воскресенье не выйти за них, то когда вам подбросят — за вас выходить будет некому.
На митинге выступят журналисты, адвокаты, политики, правозащитники, представители гражданского общества, а также родственники пострадавших.
Приходите, не оставайтесь в стороне.
Воскресенье, 23 июня в 17:00, пр. Сахарова.
В воскресение 23 июня в 17:00, в Москве, на проспекте Сахарова состоится согласованный митинг по мотивам недавнего скандала с подброшенными Ивану Голунову наркотиками. Выходите против политических репрессий и фабрикации уголовок. Помните друзья, если вы не занимаетесь политикой — политика займется вами.
Конечно, Голунова освободили под давлением общественности. Но есть еще тысячи людей, которые были несправедливо осуждены по похожим, как две капли воды, сфабрикованным уголовным делам. По статистике, 40000 (сорок тысяч) дел имеют вес, ровно необходимый для уголовного преследования. Полиция подозрительно часто находит не то, что ищет, а то, что хочет найти. Среди моих знакомых также есть люди, которые страдали от подобного произвола полицейских и их стремления выполнить план. И они вовсе не активны в политике — это обычные люди, оказавшиеся рядом с полицейскими в неподходящий момент времени. Если в воскресенье не выйти за них, то когда вам подбросят — за вас выходить будет некому.
На митинге выступят журналисты, адвокаты, политики, правозащитники, представители гражданского общества, а также родственники пострадавших.
Приходите, не оставайтесь в стороне.
Воскресенье, 23 июня в 17:00, пр. Сахарова.
This media is not supported in your browser
VIEW IN TELEGRAM
Желание Сбербанка знать всё и вся про клиентов просто переходит все границы. Давай мы будем знать твои биометрические данные и согласие ты нам дашь, потому что выбора у тебя нет, пёс.
Cybersecurity & Co. 🇺🇦
Желание Сбербанка знать всё и вся про клиентов просто переходит все границы. Давай мы будем знать твои биометрические данные и согласие ты нам дашь, потому что выбора у тебя нет, пёс.
Чтобы вы понимали, видео телефона коллеги, мы находимся в Эстонии. Согласиться тебя обязывают, а если надо отказаться — приходите в отделение. Что это, если не мошенничество и не принуждение пользователя?
Forwarded from Артём и его MacBook (Artem Tamoian)
⚡️Тысячи незаконно задержанных, сотни избитых, десятки арестованных по сфабрикованным уголовным делам – результат действий силовиков на мирных митингах в Москве. 🤬
Я сделал страничку, кратко объясняющую, что произошло и кому сейчас очень нужно помочь. Распространяйте и, конечно, помогайте сами!
https://helptofree.org
Я сделал страничку, кратко объясняющую, что произошло и кому сейчас очень нужно помочь. Распространяйте и, конечно, помогайте сами!
https://helptofree.org
Случилось так, что я оказываюсь на этой неделе в Москве. Друзья предложили выступить на лекции — увидимся там!
Forwarded from Киты плывут на вписку с ЛСД
Завтра мои знакомые устраивают мероприятие достаточнно редкого у нас формата: набор коротких выступлений а-ля TED Talks. Среди выступающих - экономист Алексей Марков с канала @hoolinomics и программист Александр Литреев @alexlitreev_channel Подробности и регистрация здесь.
Суббота, 21 сентября, 15:00 – 18:00
г. Москва, ул. Большая Семёновская, д. 42, стр. 6, Creative Space "Lovely LOFT".
Суббота, 21 сентября, 15:00 – 18:00
г. Москва, ул. Большая Семёновская, д. 42, стр. 6, Creative Space "Lovely LOFT".
Интересная история произошла у меня с сервисом Делимобиль: неизвестно откуда они получили номер моей матери и решили ей названивать.
Пользуйтесь их сервисом? Лучше удалить приложение, пока не было дано внятного объяснения методам получения этой информации.
Подробнее об этом — в моем треде в Твиттер:
https://twitter.com/alexlitreev/status/1180146978216394752
Пользуйтесь их сервисом? Лучше удалить приложение, пока не было дано внятного объяснения методам получения этой информации.
Подробнее об этом — в моем треде в Твиттер:
https://twitter.com/alexlitreev/status/1180146978216394752
Twitter
Aleksandr Litreev
В этом треде будет история про известный сервис каршеринга @delimobil, которая произошла со мной сегодня. Тред будет обновляться. https://t.co/LKuT8QDzTX
ZeroNights 2019 — международная практическая конференция по информационной безопасности
Уже очень скоро, 12 и 13 ноября, в Санкт-Петербурге пройдет крупнейшая конференция по кибербезопасности в России — ZeroNights 2019.
Что это такое?
ZeroNights — международная практическая конференция по Сайберсекьюрити™ без bullshit'а и излишнего официоза. Здесь не будет пафоса корпоративных конференций и "глубокой аналитики" любителей. Доклады от всемирно признанных специалистов и нетривиальные технические конкурсы – вот что ждет вас на площадке ZeroNights 2019.
Где и когда?
🗓 12 и 13 ноября
📍 в A2 Green Concert (проспект Медиков д. 3)
Встретимся на ZeroNights 2019 — я тоже буду на конференции!
Официальный сайт:
https://zeronights.ru
Уже очень скоро, 12 и 13 ноября, в Санкт-Петербурге пройдет крупнейшая конференция по кибербезопасности в России — ZeroNights 2019.
Что это такое?
ZeroNights — международная практическая конференция по Сайберсекьюрити™ без bullshit'а и излишнего официоза. Здесь не будет пафоса корпоративных конференций и "глубокой аналитики" любителей. Доклады от всемирно признанных специалистов и нетривиальные технические конкурсы – вот что ждет вас на площадке ZeroNights 2019.
Где и когда?
🗓 12 и 13 ноября
📍 в A2 Green Concert (проспект Медиков д. 3)
Встретимся на ZeroNights 2019 — я тоже буду на конференции!
Официальный сайт:
https://zeronights.ru
AES-128 или AES-256? Минутка истории и математики.
Многие из вас, скорее всего, замечали, что различный софт, использующий шифрование, как правило, использует самый распространенный и общепринятый симметричный алгоритм блочного шифрования AES с ключами в 128- и 256-бит. Наш VPN-сервис Connecto VPN использует AES с 128-битным ключом, в то время, как некоторые другие VPN-провайдеры предлагают шифрование аналогичным алгоритмом, но с 256-битным ключом. Давайте разберёмся, почему так и зачем.
AES изначально предлагает три стандартных варианта длины ключа шифрования (128, 192 и 256 бит). Многие люди, опираясь на это, убеждены, что чем больше ключ — тем безопаснее (особенно учитывая тот факт, что AES-256 примерно на 40% медленнее чем AES-128). На самом деле, для того, чтобы понять, почему у AES есть 3 варианта длины ключа, стоит обратиться к истории.
Алгоритм шифрования AES был выбран в качестве государственного, федерального алгоритма США для защиты данных правительством Соединенных Штатов, в т.ч., данных армии, ФБР и АНБ. Армия и спецслужбы США имеют довольно большую и долгую историю использования различных методов шифрования (еще до появление AES) и так сложилось исторически, что внутренние требования их ведомств предписывают иметь три уровня защиты (такие предписания появились еще до появления AES, да и вообще, компьютеров в целом).
Исходя из этих требований законодательных и иных регуляторов, NIST (Национальный Институт Стандартов и Технологий США) решили формально последовать требованиям бюрократов и сделали три варианта длины ключа шифрования, при этом, самый первый уровень, AES-128, всё равно не может быть взломан с использованием современных технологий. Просто предложить 256-битные ключи было проще, чем изменять нормативы.
Что касается нашего выбора — мы выбрали AES-128. Давайте представим, что нам удалось использовать всю доступную в атмосфере земли энергию солнца в размере 174000 TW (тераватт) и мы запитали с их помощью огромное количество NVIDIA GTX 1080, производительность которых близка к 52000 MFLOPS/W. Взяв 1000 FLOPS за стоимость одной итерации перебора ключа к AES-128 по радужной таблице (это еще я очень оптимистично смотрю на вещи) при энергоэффективности равной 10^3, мы переберем 2^128 комбинаций вариантов ключей чуть менее чем за:
(2^128/((52∗10^3∗174∗10^15)/1000))/60/60/24/365 = 1.19*10^6 = 1.2 миллиона лет
1200000 лет перебора значений при использовании актуальных сегодня технологий. Пиздец, да?
Ну и даже если предположить, что я обосрался с вычислениями (а по-любому обосрался где-то), и допустить, что я ошибся на один знак после запятой — наша планета до этого момента времени уже десять раз станет необитаемой, уже не говоря о том, что и сами вы сдохнете.
При этом, по сравнению с 256-битным ключом, выбранный нами 128-битный ключ предлагает гораздо большее быстродействие (примерно на 40% быстрее), при этом он так же предоставляет достаточный уровень защиты данных, который нельзя взломать с помощью современных средств.
Поэтому, мораль такая: хоть AES-256 сильнее, это вовсе не означает, что AES-128 не достаточно безопасен. Большинство компаний, заявляющих, что они используют AES-256 вместо AES-128, делают это исключительно из маркетинговых целей, предполагая, что пользователь не будет разбираться в вопросе детально. Практического смысла в использование 256-битного ключа до появления квантовых компьютеров нет. И после появления. Потому что один хер взломают.
Многие из вас, скорее всего, замечали, что различный софт, использующий шифрование, как правило, использует самый распространенный и общепринятый симметричный алгоритм блочного шифрования AES с ключами в 128- и 256-бит. Наш VPN-сервис Connecto VPN использует AES с 128-битным ключом, в то время, как некоторые другие VPN-провайдеры предлагают шифрование аналогичным алгоритмом, но с 256-битным ключом. Давайте разберёмся, почему так и зачем.
AES изначально предлагает три стандартных варианта длины ключа шифрования (128, 192 и 256 бит). Многие люди, опираясь на это, убеждены, что чем больше ключ — тем безопаснее (особенно учитывая тот факт, что AES-256 примерно на 40% медленнее чем AES-128). На самом деле, для того, чтобы понять, почему у AES есть 3 варианта длины ключа, стоит обратиться к истории.
Алгоритм шифрования AES был выбран в качестве государственного, федерального алгоритма США для защиты данных правительством Соединенных Штатов, в т.ч., данных армии, ФБР и АНБ. Армия и спецслужбы США имеют довольно большую и долгую историю использования различных методов шифрования (еще до появление AES) и так сложилось исторически, что внутренние требования их ведомств предписывают иметь три уровня защиты (такие предписания появились еще до появления AES, да и вообще, компьютеров в целом).
Исходя из этих требований законодательных и иных регуляторов, NIST (Национальный Институт Стандартов и Технологий США) решили формально последовать требованиям бюрократов и сделали три варианта длины ключа шифрования, при этом, самый первый уровень, AES-128, всё равно не может быть взломан с использованием современных технологий. Просто предложить 256-битные ключи было проще, чем изменять нормативы.
Что касается нашего выбора — мы выбрали AES-128. Давайте представим, что нам удалось использовать всю доступную в атмосфере земли энергию солнца в размере 174000 TW (тераватт) и мы запитали с их помощью огромное количество NVIDIA GTX 1080, производительность которых близка к 52000 MFLOPS/W. Взяв 1000 FLOPS за стоимость одной итерации перебора ключа к AES-128 по радужной таблице (это еще я очень оптимистично смотрю на вещи) при энергоэффективности равной 10^3, мы переберем 2^128 комбинаций вариантов ключей чуть менее чем за:
(2^128/((52∗10^3∗174∗10^15)/1000))/60/60/24/365 = 1.19*10^6 = 1.2 миллиона лет
1200000 лет перебора значений при использовании актуальных сегодня технологий. Пиздец, да?
Ну и даже если предположить, что я обосрался с вычислениями (а по-любому обосрался где-то), и допустить, что я ошибся на один знак после запятой — наша планета до этого момента времени уже десять раз станет необитаемой, уже не говоря о том, что и сами вы сдохнете.
При этом, по сравнению с 256-битным ключом, выбранный нами 128-битный ключ предлагает гораздо большее быстродействие (примерно на 40% быстрее), при этом он так же предоставляет достаточный уровень защиты данных, который нельзя взломать с помощью современных средств.
Поэтому, мораль такая: хоть AES-256 сильнее, это вовсе не означает, что AES-128 не достаточно безопасен. Большинство компаний, заявляющих, что они используют AES-256 вместо AES-128, делают это исключительно из маркетинговых целей, предполагая, что пользователь не будет разбираться в вопросе детально. Практического смысла в использование 256-битного ключа до появления квантовых компьютеров нет. И после появления. Потому что один хер взломают.
Немножечко #офтоп, но важный. Под моей петицией за отставку руководства СПбГУ уже более 80000 подписей.
Мы стремительно движемся к отметке в 100К. В ближайшее время я опубликую текст обращений в СК и Генпрокуратуру, а также открытое письмо президенту РФ, премьер-министру и министру образования России.
Тем временем, некоторые активно пытаются защищать руководство СПбГУ, мол "подумаешь бытовуха" и "с кем не бывает".
Об этом в моем личном канале: https://www.tg-me.com/litreevsays/2526
Лучший способ не дать сейчас замять эту тему, это делиться петицией в социальных сетях и, конечно же, подписать её самому: https://vee.gg/gzp5J
Мы стремительно движемся к отметке в 100К. В ближайшее время я опубликую текст обращений в СК и Генпрокуратуру, а также открытое письмо президенту РФ, премьер-министру и министру образования России.
Тем временем, некоторые активно пытаются защищать руководство СПбГУ, мол "подумаешь бытовуха" и "с кем не бывает".
Об этом в моем личном канале: https://www.tg-me.com/litreevsays/2526
Лучший способ не дать сейчас замять эту тему, это делиться петицией в социальных сетях и, конечно же, подписать её самому: https://vee.gg/gzp5J
Telegram
Litreev Says
В который раз убеждаюсь: убийство Анастасии Ещенко доцентом СПбГУ Соколовым — отличный кейс для того, чтобы разобраться, кто любит жрать говно ложками, а кто нет.
Под моей петицией об отстранении руководства СПбГУ уже более 80000 подписей неравнодушных…
Под моей петицией об отстранении руководства СПбГУ уже более 80000 подписей неравнодушных…
Forwarded from Говорит Литреев (Alexander Litreev)
Telegram
Секрет фирмы
⚡️В московском офисе Nginx проходят обыски.
Nginx — это веб-сервер, на котором работает около 33% всех сайтов в мире. Rambler Group настаивает, что любое использование сервера без её согласия является нарушением авторского права.
http://bit.ly/2LPmz9g
Nginx — это веб-сервер, на котором работает около 33% всех сайтов в мире. Rambler Group настаивает, что любое использование сервера без её согласия является нарушением авторского права.
http://bit.ly/2LPmz9g
Привет!
Тут такое дело, какой-то умник от моего имени занимается фишингом и предлагает всякий скам вроде «взаимопиара».
Юзернейм похож на мой @alexlitreev, однако вместо маленькой L используется заглавная i.
Будьте осторожны и не ведитесь :)
Тут такое дело, какой-то умник от моего имени занимается фишингом и предлагает всякий скам вроде «взаимопиара».
Юзернейм похож на мой @alexlitreev, однако вместо маленькой L используется заглавная i.
Будьте осторожны и не ведитесь :)