Illusion Of Chaos

Вчера, во время совещания Путина с членами правительства, министр цифрового развития Максут Шадаев рассказал о готовности системы цифровых паспортов на базе мобильного приложения Госуслуг, утверждая, что в 80% повседневных сценариев для подтверждения личности и возраста будет достаточно продемонстрировать QR-код из приложения. «У нас технология полностью согласована с ФСБ, реализована как безопасная и защищённая» — заявил президенту министр. Сразу после совещания в официальном телеграм-канале Минцифры появилась видеоинструкция по данному функционалу. Из этого видео можно узнать, что его создатели любят поэзию, так как в QR-коде, использованном для демонстрации, содержится текст 106-го сонета Шекспира на английском языке. В iOS версии приложения возможность подтверждения возраста с помощью QR-кода появилась еще в начале ноября прошлого года, но даже в актуальной версии разработчики до сих пор не смогли привести интерфейс проверки в соответствие с задуманным дизайном (как на видео) — сейчас там просто пишется "old 18", независимо от реального возраста. Я посмотрел формат содержимого QR-кодов для подтверждения паспортных данных и возраста, а также фрагмент кода андроид-приложения Госуслуг, который отвечает за проверку считываемых данных. Данные внутри QR-кода подписаны цифровой подписью (PS256), которая должна использоваться для проверки достоверности данных. Приложение считывает эту подпись и ID сертификата, который использовался для её создания, находит этот сертификат в хранилище, и… и всё, если сертификат нашёлся, то подпись считается действительной. Одну строчку кода, который бы производил проверку подписи, добавить забыли. Возможно, последний сотрудник, который разбирался в криптографии, уехал на самокате через Верхний Ларс, а без него нормально доделать не смогли. Причём, адекватной проверки подписи нет ни в iOS-версии, ни в Android. Это ещё полбеды. Даже если с десятой попытки они смогут сделать криптографию как положено, то в заявленном виде система всё равно имеет критическую уязвимость. Невозможно проверить личность человека по фотографии, которая отображается только на его устройстве, пусть даже рядом с какими-то данными, имеющими цифровую подпись. Допустим, человек в магазине бытовой техники, оформляя кредит на товар, показывает QR-код вместо паспорта. Продавец отправляет этот код сообщнику, который в другом месте оформляет на этого человека еще один кредит, показав на экране свою фотографию вместе с чужим QR-кодом. Единственная возможность создать систему для подтверждения личности в оффлайн режиме через один QR-код — сжимать фото до 2 килобайт и добавлять цифровую подпись одновременно к фото и к паспортным данным. QR-код вмещает максимум 2953 байта. Для наглядности, фотография в следующем сообщении как раз сжата до требуемого размера, чтобы было видно качество. Также есть вариант замены QR-кодов на альтернативы, позволяющие передать больше данных за раз. В онлайн режиме проверяющий может делать на своё устройство фото лица проверяемого и загружать на Госуслуги, где фото будет автоматически сверено нейросетью с базой Роспаспорт и выдано заключение о подтверждении личности. Но при любом сценарии, на устройстве проверяющего будет фотография проверяемого, и эту фотографию он сможет сохранить и далее использовать в своих целях. Либо так, либо достоверно подтвердить личность невозможно. Как ФСБ умудрилась согласовать такую систему, с несертифицированной и неработающей криптографией — вопрос риторический. Но если сейчас примут законопроект, который приравняет это к удостоверению личности — будет катастрофа. Не сомневаюсь, что кто-то, прочитав это сообщение, сразу побежит писать об этом в незаконную программу Bug Bounty, в надежде получить миллион рублей, но за такое вам ничего не заплатят. К счастью, генерация QR-кодов пока не считается подделкой документов, так что ниже — два примера поддельных кодов, которые без проблем считываются приложением Госуслуг как настоящие.

Для удобства загрузил последний лонгрид про кибервойну на телеграф. Тезисы для тех, кто не читает длинные тексты: - Государственной кибервойны (со стороны России) нет и не будет. - Деятельность немногочисленных энтузиастов, ведущих кибервойну, никому не нужна — ни государству, ни обществу. - В доказательство утверждения про общество, я провел небольшой анализ почтового архива минфина Украины, который XakNet опубликовали три месяца назад, и к которому никто не проявил интереса. Далее выводы по находкам. - Китай финансово поддерживает Украину. - Влиятельные организации, находящиеся в тени, ведут гибридную войну против России, делая это по идеологическим соображениям и по собственной инициативе. - Разработаны несколько сценариев, позволяющих легализовать передачу арестованных российских золото-валютных резервов Украине. - При участии различных международных организаций, лоббистов, юридических фирм и консалтинговых компаний, ведется системная работа не только по спасению экономики Украины, но и по нанесению ущерба экономике России всеми доступными способами.

Часть 5 Часть 4 9) Rothshild с 2017 года является официальным советником минфина Украины и управляет их внешним долгом. В мае 2022 года Ротшильды предложили инновационный механизм реструктуризации долга, в рамках которого для улучшения кредитного рейтинга могут быть использованы либо внешние гарантии, либо "арестованные" российские ЗВР, так как их использование в качестве залога юридически провернуть проще, чем прямую передачу Украине. 10) В 2012 году Украина взяла в долг у Китая 1,5 миллиарда долларов. 11.07.2022 замминистра финансов Украины Улютин отправил письмо с просьбой отложить все платежи по кредиту на 5 лет, "потому что с остальными кредиторами ведутся аналогичные переговоры". В письме название Российской Федерации намеренно (дважды) написано с маленькой буквы. Китай сделал шаги навстречу Украине и предложил альтернативный график погашения долга, но Украина сказала, что этого мало и 02.08.2022 потребовала отсрочки платежей по основному долгу и процентам на 3 года и снижения процентной ставки с LIBOR 6m + 4.5% до фиксированных 3%. 14.09.2022 во время встречи, на которой G7 и Парижский Клуб предоставили Украине отсрочку по платежам, Украина заявила, что близка к заключению аналогичных договоренностей с Китаем (отсрочка на 3 года, минус 0,75%). Предлагаемое доп. соглашение, в основном, писали White&Case, которые добавили в него пункт о том, что Китай не может считать дефолтом отказ Украины от платежей по евробондам на 3 миллиарда долларов, взятым у России в 2013 году. 02.11.2022 был видеозвонок между Украиной и Китаем, во время которого Китай выступил против упоминания в договоре исключения по российскому долгу. В ответ на это Украина отправила Китаю черновик письма (comfort letter, написанный White&Case), предложив подписать его и отправить обратно. В письме идёт речь о том, что Китай не намерен пользоваться любыми правами в отношении любого дефолта по тому российскому долгу. Со стороны Китая во всех переговорах участвует Eximbank of China — политический банк, подчиняющийся Госсовету КНР. Подводя итог, можно сделать вывод, что Китай оказывает поддержку Украине и идёт на невыгодные для него уступки, несмотря на наглое поведение со стороны Украины. Такой тон переговоров с таким результатом можно сравнить с визитом Пелоси на Тайвань. 11) 11.04.2022 White&Case предложили различные подходы, направленные на внесение России в один из списков FATF. Наиболее перспективными они посчитали два направления: 1. Предполагаемая или реальная поддержка Россией программ КНДР по разработке ОМП и баллистических ракет 2. Предполагаемая или реальная деятельность коррумпированных российских чиновников по отмыванию незаконно полученных ими денег. 12) 23.08.2022 глава Partners Group от имени группы бывших чиновников США и МВФ написал министру финансов Украины и предложил бесплатную поддержку с их стороны, а 13.09.2022 отправил варианты дополнительных санкций, которые можно ввести против России. После этого они лично встречались в Вашингтоне, и 24.10.2022 он отправил министру финансов три документа по вопросам, которые они обсуждали: 1. Законопроект для принятия в США о внесении изменений в IEEPA, который позволит легализовать передачу Украине замороженных российских активов, находящихся под юрисдикцией США. 2. Аналог облигаций Брейди для Украины 3. Рекомендации по взаимодействию с МВФ (к слову, министр финансов Украины в 2023 году председательствует и в МВФ, и в Мировом Банке). 13) 22.07.2022 глава Highgate прислал письмо с предложением помощи Украине, описав свой опыт, возможности, а также уже осуществленные ими антироссийские кампании, которые они организовывали по идеологическим соображениям. Крайне рекомендую к ознакомлению и распространению. В российском телеграме эта компания упоминается один единственный раз в новости о том, что они подали в британский суд на ЧВК "Вагнер", обвиняя их в терроризме (перевод этой статьи). Все документы, которые здесь упоминаются (плюс еще несколько), лежат в архиве в следующем сообщении.

Часть 4 Часть 3 Видя, что надежды XakNet на «журналистов» и «неравнодушное общество» не оправдались, я сам скачал у них архивы трёх человек, написал небольшой скрипт для анализа и бегло просмотрел вложения в переписке со сторонними организациями. Ниже — небольшая часть находок, которые можно считать достаточно интересными, чтобы превратить в инфоповоды. В последнем сообщении находятся наиболее важные и имеющие потенциальные последствия для России. Здесь нет одной из находок, которая могла бы стать "бриллиантом" всей коллекции, её я более двух недель назад отправил в бот обратной свзязи XakNet, но ответа не получил. 1) Письмо от Rothshild и и Ernst&Young в Приватбанк от 08.06.2017 о содержании переговоров с Коломойским насчёт рестурктуризации, где Коломойский выразил готовность сотрудничать, при условии, что никакая информация, которую он сообщит, не будет передана советникам банка и государственным чиновникам и не может быть использована в потенциальных судебных процессах против него и аффилированных с ним лиц. 2) Обращение Порошенко к директору МВФ от 18.03.2017 после того, как МВФ отложили заседание о выделении Украине очередного транша. 3) Документы по реформе СБУ, целью которой являлось максимальное ослабление СБУ и лишение её полномочий. Предлагаемые поправки в законы напрямую писались "советниками" из ЕС и НАТО. 4) Детали судебного процесса по возврату Россией долга по евробондам на $3 млрд, взятыми Украиной в 2013 году. 5) Письмо от AllianceBernstein от 22.08.2022, где они говорят, что они сначала согласились на реструктуризацию долга в 550 миллионов долларов, держателями которого они являются, но правительство Украины сообщило им, что для зимнего сезона нужно закупить 19 млрд кубометров газа, а в Нафтогазе назвали число 15. Из-за такого расхождения в цифрах они ответили отказом на просьбу о реструктуризации. 6) 15.07.2022 советник Зеленского Устенко в интервью FT заявил, что разослал письма с угрозами и требованиями прекратить финансирование российских компаний в несколько банков, в том числе Credit Agricole. 21.07.2022 Credit Agricole написали министру финансов Украины, сказав, что никаких писем не получали, а сам Устенко несколько раз проигнорировал попытки с ним связаться. 7) 14.07.2017 FOSI (фонд Сороса) написал письмо министру финансов Украины, в котором уведомил его, что реформу Государственной Фискальной Службы Украины будет проводить McKinsey&Company, и что FOSI оплатил их услуги. Украина подписала NDA с McKinsey, по которому сторонам запрещено разглашать информацию о факте участия компании в проведении реформ. 8) Украина взяла в долг у Cargill 650 миллионов евро (плюс 98 миллионов в процентах), 05.09.2022 Rothshild предложили начать переговоры о реструктуризации этого долга, а 18.10.2022 Cargill отправили письмо о том, что Украина пропустила платёж 17.10.2022 и у них есть один день, чтобы его произвести, иначе Cargill одномоментно потребуют вернуть полную сумму долга. Часть 5

Часть 3 Часть 2 Я не имею никакого отношения к этим группировкам (и к любым другим), поэтому не могу говорить за них, но, с моей точки зрения, публичное раскрытие факта наличия доступа и публикация добытых данных — это метание бисера перед свиньями. Люди, которые так делают, всё ещё во что-то верят — в то, что их труды не пропадут зря, что это кому-то нужно, и что это будет использовано на благо нашей страны и нашего общества. Но за четверть века наше общество деградировало и оскотинилось. Да, среди «глубинного народа» есть небольшая прослойка неравнодушных людей — тех, кто живет по совести, а не по рыночным отношениям, кто жертвует последние деньги на снабжение нашей армии, кто идёт добровольцами или занимается какой-то волонтерской деятельностью. Но если рассматривать т.н. «интеллектуальную элиту», «специалистов» в любых сферах, участников информационной среды — среди них число тех, кто что-то может и что-то реально делает не ради денег и собственного эго — единицы. И даже эти единицы разрозненны — нет никакой организации, нет единой цели. И наше общество считает, что каждый из этих крайне немногочисленных энтузиастов должен быть и жнец, и швец, и на дуде игрец, ну или как супергерой из американских комиксов. То есть, человек должен приходить домой после рабочего дня, надевать костюм с плащом в цветах российского флага, находить 0day уязвимости в ПО, писать эксплойты, мониторить деятельность врагов России, определять и приоритизировать цели среди вражеских госорганов, корпораций и индивидуумов, проводить рекогносцировку, эксплуатировать уязвимости, составлять фишинговые письма, получать доступ к системам, закрепляться в системах, прятать следы и выгружать массивы данных. Это — то, чем занимаются хакеры. И вот вам в открытом доступе публикуют добытые массивы данных, несколько СМИ пишут об этом в новостях, смысловое содержание которых ограничивается словами «русские хакеры взломали», читатели видят заголовки, думают «вот какие молодцы наши хакеры, горжусь Россией» и сразу же забывают про это, продолжая листать ленту новостей. Но чтобы от любых киберопераций был какой-то эффект (помимо рассказов про хакеров по телевизору для пенсионеров), они должны являться частью чего-то большего, полученные данные должны анализироваться и использоваться для дальнейших действий. А кто этим должен заниматься? Всё тот же человек, который и так сделал всё из прошлого списка и опубликовал эти данные? У него, наверное, уже утро, и опять пора на работу, чтобы семью кормить, но следующим вечером он придёт домой, проанализирует несколько терабайт данных, всё отсортирует, разметит, напишет аналитические отчёты, продумает стратегию дальнейших действий, определит наиболее уязвимые места для нанесения ущерба врагу в гибридной войне, сформирует список нарративов для воздействия на массовое сознание, создаст софт для ботофермы, напишет публикации для размещения в СМИ и соцсетях, все проплатит, опубликует, запрограммирует ботов, раскрутит, посеет недоверие между врагами и их союзниками, организует протесты во вражеских странах, выведет из строя всю вражескую критическую инфраструктуру, выберет наиболее важные цели среди индивидуумов, возьмёт отпуск за свой счёт, проследит за ними и собственноручно ликвидирует. Так все себе это представляют? «Специализация — удел насекомых», как писал Хайнлайн. И всё это — в свободное от работы время и за свои честно заработанные деньги. При этом, даже за деяния из первого списка наши враги ведут охоту за такими деятелями с целью физического устранения, да и наше родное государство было бы радо всех таких патриотов-энтузиастов пересажать лет на 20 за самодеятельность, чтобы знали своё место. И пока несколько десятков человек несмотря ни на что продолжают в таких условиях что-то реально делать, все остальные очень заняты обсуждением «важных вопросов» из серии «Артемовск или Бахмут» и «Стрелков или Пригожин». Конечно, финка НКВД сама себя не продаст, а какое общество — такой и контент. Часть 4

Часть 2 Часть 1 Какой смысл в использовании заключённых хакеров, чья специализация заключается в хищении и вымогательстве денежных средств? На свободе есть настоящие идейные хакеры-патриоты, но даже их деятельность никому не нужна. Автор поста приводит в пример несколько телеграм-каналов, но в списке почему-то отсутствуют XakNet и Zаря — две команды, демонстрирующие наибольшие результаты. Проблема в том, что большинство населения разбирается в IT, в лучшем случае, на уровне «уверенный пользователь Microsoft Word». Поэтому в СМИ полно заголовков типа «Русские хакеры вывели из строя правительственный сайт недружественной страны», а по факту там может быть что-то вроде «тысяча российских школьников одновременно открыли сайт администрации одной из деревень Вануату, совершив таким образом DDoS-атаку, поэтому некоторые жители этой деревни на протяжении 5 минут испытывали трудности с открытием данного сайта». Я не критикую тех, кто занимается DDoS, а лишь призываю задуматься насчёт реального эффекта от их деятельности кроме заголовков в СМИ. Почему-то никто даже не пытается DDoSить американские фондовые биржи, хотя NASDAQ пользуется софтом, большая часть которого не обновлялась с прошлого тысячелетия, а частичные проблемы с доступом во время работы биржи могут спровоцировать серьезную нестабильность на финансовых рынках. Zаря на протяжении полугода публикует множество баз, добытых с веб- и почтовых серверов различных государственных органов Украины. Хоть кто-нибудь их проанализировал? Применил для информационных операций? Нет. XakNet более двух месяцев назад выложили содержимое почтового сервера министерства финансов Украины. Хоть одна содержательная публикация по находкам есть? Нет. Либо ни один «журналист» в стране не умеет работать с информацией, либо все лишь тупо следуют методичкам своих кураторов. Хотя одно другого не отменяет. Только Mash сделал три поста на тему этой утечки, и все три — ни о чём (1, 2, 3). Зато отреагировал на взлом депутат Гусев, предложив давать хакерам воинские звания. Гениальная идея, тогда МО сможет заставить всех побрить бороды и запретит пользоваться смартфонами. А потом вообще все штурмовиками на фронт поедут. В ответ на это XakNet подробно объяснили Гусеву, что они готовы сотрудничать, что взлом минфина Украины и сотен других целей — это реально мелочи, и при желании можно делать гораздо более серьезные вещи. Но нашему государству это не нужно. А при публикации файлов минфина они написали «Пламенных приветов больше не шлем, нам на них не отвечают». Хотя, справедливости ради, стоит отметить, что на сообщения в боте обратной связи они сами не отвечают. Часть 3

Часть 1 Не так давно в телеграме широко разошёлся пост с мыслью о том, что можно выпускать из тюрем российских хакеров и позволять им работать в интересах нашей страны, по аналогии с ЧВК «Вагнер» (хотя заключённых у них уже отняли). К сожалению, эта мысль абсолютно оторвана от реальности. Можно сколько угодно писать посты с со словом «можно», после которого следуют теоретические идеи, которые могли бы улучшить позиции России в глобальном геополитическом противостоянии, но реального эффекта от этих постов не будет. Большинство людей испытывает различные иллюзии, на которых строится их картина мира. Людям комфортно в плену этих иллюзий, и они не хотят от них избавляться. Публикации о таких иллюзиях или попытки ответить на вопрос "почему так происходит?" могут быть восприняты нашим государством как "раскачивание лодки". Но, так как наша лодка и наше общество выглядят вот так (не в смысле, задуманном автором, автора осуждаю), говорить о таких иллюзиях необходимо, потому что иначе затыкать дыру будет некому. Применительно к кибервойне я могу назвать две: 1. Россия ведёт кибервойну или заинтересована в том, чтобы её вести Последняя известная российская государственная кибероперация была 24 февраля 2022 года, когда были выведены из строя спутники Viasat над всей Европой. С тех пор — абсолютная тишина, как и с диверсиями. Причина этого та же, что и у того факта, что по Украине были выпущены тысячи ракет, но по правительственному кварталу — ни одной. Наше государство лишь ведёт ограниченные боевые действия в надежде сесть за стол переговоров. В гибридной войне, которая ведется против нас западом, Россия не участвует, и эскалации старается любой ценой избегать. Возможно, наша власть надеется, что если не пытаться уничтожить вражеские центры принятия решений, то и наши ЦПР будут в безопасности; и если не совершать кибератак, то и против нас они будут применяться не в полную силу. Да и для 70-летнего человека, никогда в жизни не пользовавшегося интернетом и смартфоном, кибервойна — это что-то футуристичное и непонятное (поэтому страшное), от чего лучше держаться подальше. Именно после разговора Байдена с Путиным, где первый потребовал от второго пресечь деятельность REvil, ФСБ отчиталось об их задержании за несколько дней до начала СВО. 2. В российской госсистеме есть кадры, способные адекватно планировать, организовывать и курировать ведение киберопераций В прошлом году за госизмену был осужден полковник ФСБ (кадровый офицер ЦРУ) Михайлов, который под руководством американских спецслужб подрывал кибербезопасность в России. В 2020 году по требованию США также была задержана кардерская группировка Флинта, имеющего «почетную грамоту директора ФСБ», вместе с их куратором из ДВКР ФСБ. Они до сих пор сидят и недавно объявили голодовку. Такие подвиды хакерской деятельности, как кардинг и ransomware (применение программ-шифровальщиков для вымогательства), являются крайне прибыльными. Поэтому много лет, до определенного момента, различные группировки вполне свободно себя чувствовали и имели кураторов в органах, получавших долю прибыли. Главным требованием было не работать по .ru — то есть можно было безнаказанно взламывать, похищать и вымогать деньги, но только у граждан западных стран и у западных корпораций. Так что, даже если каким-то чудом всех выпустят (нет), поставят задачи государственной важности и назначат куратором ещё какого-нибудь полковника (такого, как Черкалина или Захарченко), то пройдёт всего пару дней, и он скажет им «хватит тратить время на взлом этого SIPRNet, лучше зарабатывайте деньги. Если через месяц я не получу 50 миллионов долларов, поедете обратно на зону». Часть 2

Заметил в некоторых каналах воодушевлённые посты на тему того, что председатель комитета Госдумы по информполитике заявил, что в ходе выездного заседания комитета обсуждалась идея об освобождении от ответственности "белых хакеров, действующих в интересах РФ". Советую внимательно прочитать первоисточник и понять, что речь шла всего всего лишь о частичной легализации Bug Bounty программ, в рамках которых можно за вознаграждение сообщить вендорам или владельцам систем о наличии в них уязвимостей — чтобы этичные специалисты по ИБ могли в них участвовать, не опасаясь уголовного преследования по статьям 272-274 УК РФ. Эта иницитива прорабатывалась еще полгода назад, так что заявление Хинштейна — это не новость. На данный момент участники Bug Bounty программ, даже программы Госуслуг, юридически не освобождаются от уголовной ответственности, а формат Bug Bounty не соответствует формулировкам из Постановления Пленума Верховного Суда РФ от 15.12.2022 N 37. Сейчас, участие в Bug Bounty — ч.3 ст.273 УК РФ в чистом виде — лишение свободы на срок до семи лет. Несомненно, легализация Bug Bounty необходима, но нужного результата не достичь без покрытия такими программами всех до единой государственных информационных систем. При этом не все программы предполагают выплату вознаграждения, тот же Пентагон не платит ничего, основной смысл — освобождение от отвественности перед законом. Сейчас, к примеру, если обычный пользователь, во время санкционированного использования какой-нибудь государственной системы, случайно напишет кавычку в URL страницы и в результате увидит на странице ошибку, свидетельствующую об SQL-инъекции, он не может сообщить об уязвимости в ведомство, которое владеет этой системой, так как с точки зрения закона это будет являться признанием в совершении преступления (история вымышленная, все совпадения с реальностью случайны). При этом, не стоит забывать про стандартные проблемы любых программ Bug Bounty, когда вендор молча исправляет уязвимость и не хочет платить, утверждая, что её не было, что она была несерьёзной, out of scope или уже известной вендору, либо просто игнорирует сообщения. Также, сотрудники вендора могут специально внедрять уязвимости, сообщать о них через третьих лиц и получать за это вознаграждение. Помимо поста в своём телеграм канале, Хинштейн дал комментарий журналистам, упомянув такие термины, как "контратаки" и "уничтожение огневой точки противника" (почему-то в отношении "белых хакеров"), что говорит об уровне дискуссии и понимания терминологии и соответствующих процессов. Хотя допускаю, что непонимание может быть и со стороны журналистов. Даже если рассматривать утопичный сценарий, что будет принят законодательный акт с формулировкой "лица, действующие в интересах РФ, освобождаются от ответственности по статьям 272-272 УК РФ", то попробуйте ответить на вопрос, что юридически считается "действиями в интересах РФ" и как это доказать. Ответ простой — интересы описаны здесь, но доказать, что уголовное преступление, предусмотренное статьями 272-272 УК РФ, было совершено в интересах РФ, невозможно без наличия официального документа, где будет сказано, что конкретный гражданин выполнял конкретные указания конкретных представителей власти, уполномоченных давать такие указания, и что эти указания согласованы с первым лицом государства". И не забывайте, к примеру, про статью 138 УК РФ. А за любую инициативную деятельность из патриотических побуждений, если такая деятельность не согласована с властью или затрагивает интересы её высокопоставленных представителей, можно получить несколько лет тюрьмы или пулю в затылок. А теперь большой пост на тему кибервойны, который я написал некоторое время назад, но не опубликовал.