RUH8

2021-02-09 12:35:31 Прочитал в Блумберге статью о том, что швейцарская компания Terra Quantum AG заявляет о том, что "уже через несколько лет" может быть будет взломан AES, с помощью квантового отжига. Сама компания обещает представить новый протокол QKD (квантовое распределение ключей). Запах змеиного масла сгустился настолько, что его можно резать ножом. Если бы они придумали "квантовый блокчейн", то получилось бы "бинго". Я просто хочу напомнить, что квантовые вычисления отнюдь не магия. И даже не вычисления в обычном понимании этого слова. Не каждую задачу можно решить с помощью квантового компьютера (который, для начала, еще нужно построить).

Quantum annealing ("отжиг") может ускорить задачи по минимизации. У вас есть кубиты монетки, которые после измерения находятся в одном из двух состояний - "орел" или "решка". Случайным образом. Чтобы сделать что-то полезное, монетки делают не честными (bias) и связывают между собой (coupling), и если получившуюся конструкцию из г̶о̶в̶н̶а̶ ̶и̶ ̶п̶а̶л̶о̶к̶ кубитов и унитарных операторов хорошенько "потрясти", то система попытается свернуться в наиболее энергетически выгодное состояние. Есть одно "но". Взлом симметричных шифров не сводится к минимизации. А алгоритм Гровера, на квантовых компьютерах (не основанных на отжиге) даёт квадратический прирост скорости (поэтому длину ключей удвоили). С практической точки зрения разницы между 150 и 140 битами нет никакой. Все равно, что пытаться складывать две бесконечности, почитайте "The Curse of Cryptography Numerology" и "Too much crypto". Если у Терры действительно есть новый способ и он к примеру улучшает атаку с 2^126 до 2^125 - это конечно любопытный и важный результат, но он и близко не подходит к громким заявлениям в прессе).

Еще интереснее с QKD. Тут Китай и РФ словно взбесились и клепают супер-надежные квантовые телефоны, как не в себя. АНБ же, напротив, говорят, что их больше интересует PQC, а не QKD. Во-первых, для QKD нужен классический аутентифицированный канал связи (чтобы сделать не-классический шифр понадобятся шифры классические), во-вторых, еще один выделенный линк, при этом уязвимый к denial of service (стоит только заглянуть в коробку с котом и он коллапсирует в дохлое состояние, что как бы влияет на надежность связи). В настоящий момент безопасность основана на законах математики, а не на физических эффектах. Квантовые чудеса (как и блокчейн) вещь нужная, полезная и крайне интересная, но применимая гораздо менее, чем везде. Что характерно, Google на вопросы Блумберг так и не ответил. Открыть/Комментировать

2021-02-07 14:24:49 Все-таки, что ни делает дурак, всё он делает не так. Это я про санкции против трех инфо-помоек. Не смотря на то, что мне приятно смотреть на то, как подгорает и дымится вата, жить в стране всепобеждающего маразма и сохранять психическое здоровье становится всё сложнее. Санкции - инстурмент внешней политики. К примеру, американцы поняли, что торговать с врагом плохо в 1914 году. И приняли Закон о торговле с врагом (TWEA) на случай войны и Закон о международных чрезвычайных экономических полномочиях (IEEPA) для не менее сложного мирного времени. То что в Украине называется "санкциями" иначе чем блядским цирком назвать сложно.

Причин тому, имхо, сразу несколько. Одно из печальных и довольно распространенных заблуждений состоит в том, что иерархи легалистического карго-культа уверены в том, что достаточно принять хороший, годный закон и он тут же начнет исполняться сам собой с неотвратимостью матушки-природы. Всегда в подобных случаях предлагаю принять закон об отмене гравитации, и смело прыгать с ним с девятиэтажки. Во вторых, это конечно полное неумение и нежелание правопохоронных органов расследовать хоть что-нибудь, если нет видеозаписи в full-HD. Да, и видео не очень-то помогает, из-за чего Рифф уже больше года в заложниках у министерства охуевших пидоров и чертей, а Гужва, к примеру, прекраснейшим образом получил политическое убежище в Австрии. И конечно полное и абсолютное неверие властей передержавившихся в деньги и собственность, как общественный институт. Учитывая, что в задачи молодого украинского государства входит исключительно превращение власти в бабло, а бабла во власть, всё довольно логично, какие уж тут "институции".

А закон о санкциях от августа 2014 вобщем-то не так уж и плох, если бы не одно "но". В нем нет санкций. Над сакраментальным и насущным вопросом: "А что, блядь, если нет?" Никто и не задумывался даже. И вместо того, чтобы просто штрафовать всех, кто пытается торговать с поганой рашкой и её злокачественными "республиками", то Интернет пытаются придушить, то еще какую-нибудь глупость сделать. Например, домен yandex[.]ua прекраснейшим образом работает, независимо от того, как воспринимать домены (как услугу или как товар) регистратор продолжает торговать с врагом, и это как раз та ситуация, которую санкции здорового человека должны предотвращать. А из 112[.]ua повыносили NS-ы. Хотя и канал и его владельцы тут, в Украине. Если канал нарушил закон, откройте дело, доведите его до суда, а потом спокойненько отзывайте лицензию и конфискуйте домен. Но нит. Обязательно нужно попробовать добраться до гланд необычным способом. Потом будут удивляться: "почему так сильно болит жопа?" Открыть/Комментировать

2021-02-04 14:18:51 https://dou.ua/lenta/interviews/story-of-ukrainian-cyber-alliance/ Открыть/Комментировать

2021-02-01 20:25:27 Это было настолько предсказуемо и скучно, что даже пальцем было лень пошевелить, чтобы перенабивать текст, но на акк подписался #NSA Открыть/Комментировать

2021-02-01 12:18:43 Немного компьютерной археологии вам в ленту. Вчера мне понадобился алгоритм для детектирования циклов (пожалуйста, не спрашивайте зачем) и я взял алгоритм Флойда из Википедии, а заодно прошвырнулся по ссылкам. Меня заинтересовала статья Ричарда Брента (изобретателя похожего алгоритма, который он использовал для факторизации методом Полларда). Brent, R. P., "An improved Monte Carlo factorization algorithm", 1980. В статье, помимо прочего, он отмечает, что LCG в калькуляторах TI-58 (что-то вроде советской программируемой "Электроники", только раньше и мощнее) выдаёт куда более меньший период, чем обещано.

Параметры LCG: m, a, c = 199017, 24298, 99991. Проверил Флойдом. И действительно. Плохой, негодный генератор. С очень короткими циклами. Казалось бы, что тут еще можно добавить? Брент молодец, нашел "уязвимость" в TI. Только есть одно "но". Точность TI-58 десять десятичных разрядов. log2(10^10) = 33.21, длина в битах максимального значение генератора log2(199016*24298+99991) = 32.17. Брент пропустил integer overflow в собственной программе. Если на 64-битном компьютере заменить int на long, то период генератора 199017, как и было обещано. Параметры подобраны так, чтобы период был полным и не было переполнения на калькуляторе. TI - молодцы.

P.S. Это поучительная история, из которой стоит извлечь урок. Ричард Брент - прекрасный ученый, специалист по алгоритмам, и тем не менее, попытка портировать хрень со сраного калькулятора на комп привела к неверным результатам. Открыть/Комментировать

2021-01-30 14:59:57 Нашел в архиве #смешное Открыть/Комментировать

2021-01-30 14:42:39 С большим интересом прочитал российский лонгрид на тему кибербезопасности и войны в Украине. Думаю, что текст вы найдете без труда. Естественно, как и во всей подобной стратегической продукции, я вижу огромное количество искажений. Некоторые сделаны совершенно сознательно, признать, незыблемый факт того, что Россия подло начала войну против Украины, или что “КиберБеркут” не “пророссийская группа”, а фронт для российских спец. Служб - равносильно политическому самоубийству. Гораздо интереснее наблюдать за тем, как привычные для раков пропагандистские нарративы разъедают мозг им самим. Любая дезинформация всегда возвращается и бьет по своим же.

Я не буду разбирать подробно нагромождение нелепостей и откровенной лжи. Есть правильные вопросы: “кто?” и “зачем?” РСМД (как и Фонд Горчакова) был создан по прямому распоряжению Медведева и МИД РФ. Такая себе попытка осовременить российские практики, состоящие из political warfare (вместо политики) и безбашенных активных мероприятий (вместо сбора и анализа информации). В руководство “совета” входят, как ельцинские министры Игорь Иванов и Петр Авен (сейчас Альфа-Групп), так и путинский спикер Песков. Цель “совета” - soft power. Он настолько “soft”, что чуть менее, чем все получатели грантов от “Горчакова” сейчас в розыске по обвинению в терроризме, сепаратизме и массовым беспорядкам. Русская “культура” она такая, вслед за любителями Пушкина и Лермонтова неизменно появляются кибер-медведи всех расцветок и немытые буряты на танках.

Сам автор аналитики, Артур Хетагуров, который представляется “независимым аналитиком рынков вооружений”, работал директором в части ржавеющего советского ВПК - АО НПО Бином в Северной Осетии. Затем заводы вошли в Ростех, туда же перешел и Хетагуров. Мое внимание привлекло то, что в огромном тексте (подготовлен в июне 2020, опубликован в декабре) Зеленский упоминается один раз (в связи с продлением “санкций”), Федоров - один раз, c чудесной цитатой, о которой ему стоило бы напомнить: «существующая практика создания КСЗИ является открытой торговлей красивыми бумажками и не имеет ничего общего с кибербезопасностью». И все. Ни Баканова, ни Данилова, ни "слуг", ни "турборежимных" законов, только : “быр, мыр, Турчинов, фыр, пыр, Тымчук”. Миротворец скромненько обошли вниманием. При этом на ИнформНапалм и UCA на РФ всегда стоял новостной блок. Настолько плотный, что новости не попадали даже в профильные отчеты. А тут прямо-таки аттракцион “невиданной щедрости”... . Открыть/Комментировать

2021-01-30 14:42:35 Открыть/Комментировать

2021-01-28 00:18:50 Полдня потратил на CVE-2021-3156, понял как работает unlink, но я, по-прежнему, can't mind our fds & bks, одна надежда на доброго sd... Qualys красавы. Открыть/Комментировать

2021-01-26 14:27:01 VICE пишет: "Former LulzSec Hacker Releases VPN Zero-Day Used to Hack Hacking Team". Дорогие мои, шеллшоку уже шесть лет. А езиносу "Hackback", в котором Финеас указал и путь к уязвимому скрипту, и то что уязвимость срабатывает в User-agent уже больше года. Если это называется "zero day", то у вас подозрительно долгие дни. Уёбываёте назад на Венеру. Открыть/Комментировать