песочница политоты noize mc протесты coub ...политика 

Развернуть

песочница политоты Электронное голосование ...политота 

 Вопрос к диванным экспертам: где можно почитать про техническую реализацию такой фичи для государственых выборов? Желательно на rus, ибо инглишь так себе....Ну или может кто раскажет как это должно реализовыватся по нормальному, или может даже где-то внедрял нечто похожее?



 Просто тут уже некоторые личности сетовали на кухне, мол "хули столько бабла тратим на бюлютни, пора уже по интернету голосовать" что меня малость ошарашило (ибо я знаю сколько стоит внедрить что либо нетривиальное в этот ваш интернет), но в тоже время осознал что слабо понимаю все подводные камни такого проэкта. Из того что смог нарыть/понять:



 1) Каждый житель должен получить личную цифровую подпись, в идеале в виде чипа. Уже некислая проблема, плюс нужно где-то хранить супер-секретную базу этих самых подписей для дальнейшей верификации голоса.



 2) База отданых голосов должна быть публичной для чтения, чтобы любой мог убедится в двух вещах -- его голос правильно засчитан, и общее количество подсчитано правильно.



 3) Приведущий пункт разрушает понятие "анонимное голосование", т.к. появляется относительно простая возможность сопоставить подпись с владельцем. Если скрывать подписи, то:



 - нельзя будет подтвердить что 1 голос из 100 не защитан сразу для 99 человек, а под оставшимися 99 на самом деле числится только одна учетка. Хотя по идеи это решается методом шифрования поля "кому пренадлежит" той же цифровой подписью, но тогда проверка будет требовать адских вычислительных мощностей.

 - вбросы/твинки/боты. Ничто не мешает зарегать 100500 несуществующих людей и провести голосование за них. Ведь условного наблюдателя возле урны не будет. Итого нам нужно иметь 100% гарантию что за записью стоит реальный человек, плюс проверить что две разные записи не закреплены за одним человек. Как это решается -- без понятия.



 4) Многие пишут про децентрализацию, но я слабо понимаю, какую фундаментальную проблему она решает. Балансировка нагрузки, упрощение раследования/проверки, взломостойкость (нужно вскрыть сразу несколько серверов, а не один)... но в целом можно обойтись и условно одним серваком.

Развернуть

Роскомнадзор телеграм блокировки ...политика 

Еще одна волна блокировок.

по материалу https://habr.com/ru/post/437024/


После некоторой паузы Роскомнадзор опять начал вносить в реестр запрещённых сайтов IP-адреса телеграм-прокси. Канал Telegram Info сообщает, что блокировки начались ещё в преддверии нового года, следующая волна произошла 17 января, а 21 января было заблокировано около тысячи IP-адресов, среди которых много прокси.


Роскомнадзор,политика,телеграм,блокировки


UPD 22.01.2019 11:50 Только что Роскомнадзор внезапно разблокировал 2,7 млн адресов Amazon AWS, которые находились в блокировке с апреля 2018 года (208 дней). «Специалистами Роскомнадзора установлено, что данные подсети длительное время не используются для обеспечения функционирования мессенджера Telegram», — сказано в официальном комментарии.

Блокируемые 1Р из реестра. Выгрузка: 22 янв. 2019 г., 11:29 ОМТ+З 4 000 000 3 000 000 2 000 000 1 000 000 о 13:00 15:00 17:00 19:00 21:00 23:00 01:00 03:00 05:00 07:00 09:00 11:00 I I Количество 1Р адресов,Роскомнадзор,политика,телеграм,блокировки


Заметили ли вы эти блокировки?
да
54 (15.3%)
нет
163 (46.3%)
я не из РФ
135 (38.4%)
Развернуть

цензура песочница политоты мессенджеры ...политика 

Дайте нам ключи ver. 2.0 (или почему постановление 1279 та еще хня с технической точки зрения.)


Давайте на минутку забудем о "проблеме анонимности", представим что дело происходит в Швейцарии, телефоные справочники все еще в обиходе, а значит рассмотрим не морально-юридические аспекты вопроса, а сугубо технические.


Итак сам текст сего шедевра можно почитать тут. Открываем, и видим что с первых страниц речь идет про "Сервис мгновенного обмена сообщениями". Окей, лезем в вики для разьяснения: # службы мгновенных сообщений (Instant Messaging Service, IMS), программы онлайн-консультанты (OnlineSaler) и программы-клиенты (Instant Messenger, IM) для обмена сообщениями в реальном времени через Интернет.


Если внимательно прочитать всю статью, то можно заметить что там ни слова(!) про мобильную связь. Страно, не правда ли. Более того, в ней вообще не расписывается механизм регистрации/индефикации, потому что он (внезапно) может быть любой: тупо регистрация по мылу/телефону/паспорту/коту, цифровых ключах на чипах получаемых в спецместах, инвайтах, IP с P2P, авторегистция без индификации с рандомным челом в качестве собеседника, гребаные боты в гребаных сервисах с переключением на реальных людей без выхода из окна. Т.е. сама идея привязки "пользователя" к чему либо конкретному разбивается об тот факт, что в меседжер вообще-то есть только абстрактная учетная запись по логину (хотя правильнее говорить по айдишнику) и... все. Все остальное опционально допиливается сверху, и особой роли не играет. Блин, да банально Skype (окей, озвучу что это только 14%, но лично я бы вот ни разу не списывал его) не обязывает пользователя указывать мобильный телефон, ему откуда брать инфу? "Переписать" под требования РФ? а с уже зарегаными что делать? Ну и к слову, расмотрем маловероятный, но все же случай -- а если у человека НЕТ мобильного телефона?...


Далее, в обсуждении даной новости видел речь про IMEI (англ. International Mobile Equipment Identity — международный идентификатор мобильного оборудования) по которому вроде как можно пробить любой мобильник. Пробить то можно, но: меседжер может работать и на ПК, игровой консоли, быть внутри социальной сети или банально форума. Да блин, любая(!) MMORPG технически является меседжером т.к. позволяет мгновенно обмениватся сообщениями в личке, да это не основная функция даного приложения, но где в постановлении хоть слово об различиях? Их тоже нужно будет обязать регать и мониторить?


Более того, мобильное устройство может играть роль "точки доступа", т.е. раздавать связь другим мобильникам/компьютерам что исключает возможность автопривязки учетки к даному устройству (не говоря что человек может продать свой телефон или одолжить попользоватся). А можно пойти еще далее, и вспомнить что кроме всеми любимого и обожаемого интернета есть локальные сети, например в банке, со своим внутреним меседжером.


Ну и на закуску: а к кому привязывать виртуальные номера, которые в сеть выходят только с облаков?


p.s. спижено с хабра
>>Кроме того, об этом никто не говорит, но косвенно закон запрещает пользоваться мессенджерами лицам младше 18-ти лет (они ведь не могут сами заключить договор с оператором).
>>зачем вы ищете здесь смысл?


p.p.s. сначала хотел написать шутку про учителя программиста, но потом увидил ЄТО


Развернуть

BIHUS info Сало с новостями разное песочница политоты ...политика 

Слежка за журналистами



Если коротко:
- BihusInfo заметил некую слежку за собой, в частности за определеными колегами-журналистами.
- со слов журналиста, все это началось после посещения магазина возле дома Грицака (главы СБУ) и вопроса "кто проживает в этом доме". Ну и они вроде как готовят сюжет на него.
- 27 июля в комментарии Украинской правде пресс-секретарь СБУ Елена Гитлянская опровергла информацию.
- редакция журналистов считает слежку -- вмешательство в их раследования и готовят официальное обращение.
Развернуть

#Сало с №востями разное интернет ...политика 

6688

Про внесення змін до деяких законодавчих актів України щодо протидії загрозам національній безпеці в інформаційній сферіhttp://w1.c1.rada.gov.ua/pls/zweb2/webproc4_1?pf3511=62236

Коротко -- в Україні планують ввести аналог РКН. За подробницями -- в гугл.

p.s. наскільки розумію, зараз лише одобрили законопроект в різних структурах, на голосування ще не виносили.
Развернуть

песочница политоты лгбт Украина страны песочница ...политика 



Знаю что малость прослоупочил, но как по мне движуха была знатной:
- 5к участников
- 5к полицейских!
- оцепление, рамки, спедсредства
- более полусотни задержаных радикалов, что хотели препятствовать маршу

Ну, и "случайная" сьемка замеса

Развернуть

Данил Поперечный песочница ...политика 

В общем, есть некая украинская организация "Відсіч" https://www.facebook.com/vidsich/, которая занимается "Створення широкого громадянського руху та побудова громадянського суспільства в Україні"(с) 

Недавно ребята накатали в СБУ заявление на Данилу Поперечного, мол парень ведет антиукраинскую риторику и с 12 апреля вьезд даному субьекту в Украину запрещен сроком на три года.

Прим. № ]_ СЛУЖБА БЕЗПЕКИ УКРА1НИ Департамент захисту нацшнальноУ державносзл вул. Володимирська, 33, м. Кшв, 01061 Тел. (044) 256-93-52 E-mail: terror@ssu.gov.ua Web: http://www.ssu.gov.ua Код СДРПОУ 00034074 СУ ■ СТ. |g № Sfa/i - к - gfe) На №_______________вщ__________ Щодо розгяяду заяви
Довольно занятно, учитывая что у данного персонажа как бы стендап-турне в трех городах Украины, и билеты уже давным-давно распроданы.
Далее можно посмотреть доказательства стороны обвинения
Если опустить притянутое за уши сравнение с Путиным, то Поперечный:
 - в интервью Бардовской сказал что "в Крым хочу, но боюсь что поругают и начнут спрашивать, а чей он". Еще в своем видео ответе он указывал, что вопрос явно провокационый, и не он принимает решения по всему этому. Если судить с точки зрения украинского законодательства, то непризнание анексии можно считать причиной недопуска. Вот только Поперечный по сути не говорил ни "да", ни "нет".
 - блок далеко не самых уместных шуток, которые заденут не только "вишивату".
ну и ответ от самого Данилы
По сути: поток мыслей и негодований. Лично я бы советовал посмотреть еще вот это
Если коротко: Может ли он так думать? Да. Может ли он такое произносить на публику, собираясь в Украину? Нет. И кому-то явно нужен паблишер.


Развернуть

telegram Буквы на белом фоне песочница ...политика 

Почему РКН (не) может заблокировать телеграм

Инфа уже раз 100 озвучивалась, по сути небольшое субьективное подведение итогов.

Для начала, как телеграм "обходит" блокировку? На самом деле все просто: он разворачивает новые точки подключения для меседжеров, а обновленые ip приходят через сервисный пуш DC_UPDATE от Google, Microsoft и Apple (вроде оно https://ru.wikipedia.org/wiki/%D0%A2%D0%B5%D1%85%D0%BD%D0%BE%D0%BB%D0%BE%D0%B3%D0%B8%D1%8F_push , но технология для меня не известная, могу ошибатся). Т.е. сообщения все также идут через "открытый интернет", но уже на другой адресс, и по сути идет гонка, у кого быстрее закончатся возможности: у РКН вносить адреса, или у телеграма их регистрировать. Исходя из этого есть следующие варианты развития:

 - РКН и дальше будет вносить 100500 IP и блочить все без разбора. Учитывая что оборудование не способно фильтровать по такому обьему исключений, зачастую вносят подсеть (т.е. блокируют целую группу IP-адресов одной записью, например 51.1.1.0/24 и в бан улетает сразу 256 адрессов.) Таким образом рунет привратится в страну чудес, где любой хостер может улететь в блок из-за того что его IP-ик на одну цифру отличается от телеграмского сервака.

 - Заблочат сервера Google, Microsoft и Apple для предотвращения обновления телеграма. Лютый пиздец, который по сути ударит по корпоративному сектору, например по тем же банкам, которым нужно обновлять безопасность их мобильных апликух.

- Попросят удалить телеграм из магазинов у тех же компаний, что и обеспечивают push-уведомления. Учитывая что аудитория РФ -- 10~15%, магазины таким образом ставят хотелки РКН против репутации у всего остального мира. В теории можно запретить скачивание с територии РФ, но обходится это банальным выбором локации с отключеным GPS. Можно еще заблокировать отправку по ip, но т.к. в том же Google начальство ни разу не будет радо получить нежданчики от случайной блокировки еще чего-нибудь, даже если согласятся, то реализуют далеко не сразу.

 - Белый список, или гибрид чебурнета. Т.е. как таковая связь с миром будет, но только с "разрешеными". Думаю не стоит обьяснять, что это по сути шаг в сторону Северной Кореи.

 - Нанять толковых программистов, которые будут мониторить push-уведомления от телеграма. В принципе такой подход не спасает от того, что оборудования провайдеров не расчитано мгновенно подстраиватся под новые сервера для обхода, плюс опять же потенциально бьет по непричастным. Допустим Дуров арендует сервак с новым IP на месяц, РНК вносит его в блок, через месяц на освободившийся IP садится новый клиент и с недоумением осознает, что он в блоке для РФ.

 - РНК сдастся. Нет, не разблокирует все что набанил, и не разрешит телеграм, а просто Жаров отрапортует что "меседжер заблочин на 99,9%, остальная часть угрозы не представляет". И хер докажешь на государственом уровне, что он верблюд.

 - Дуров сдастся. Маловероятно, но тоже возможно. РНК будет планомерно "кошмарит" клиентов условного Амазона/Azure/CloudFlare, потом и более мелких. В итоге придется постоянно прыгать по хостерам, а это деньги, и для стабильной работы -- очень большие деньги.

И немного о продавцах лопат. Что забавно, сейчас резко возрастет спрос на РФ хостеров, т.к. бизнесу нужно решать проблему сейчас. И если условный сервер в Европе/США вдруг оказался недоступен, то варианта два: подымать VPN, или развернуть "зеркало" на российских хостерах. И тут можно врубить "акции" https://habrahabr.ru/company/vds/blog/353880/#comment_10765020 . А вот конечный пользователь и предприниматели тупо страдают.
Развернуть

песочница политоты telegram Буквы на белом фоне песочница ...политика 

Что за ключи требуют у телеграмма

Думаю почти каждый уже слышал, что ФСБ требует ключи шифрования у телеграма. В коментариях я очень часто натыкался на вариант "дайте линк на авто генерацию, пусть веселятся", что малость меня забавляет. Ну, во-первых, в отличии от депутатов, в ФСБ явно найдется адекватный человек, который доходчиво обьяснит, что атаку перебором ФСБ и само в состоянии организовать. Во-вторых -- "универсальный ключ" на самом деле есть, но не настолько волшебный.

Для начала разберемся, а что такое асиметричное шифрование? По сути это два пароля: один шифрует, но с его помощью нельзя расшифровать. Второй -- расшифровует. Плюс ко всему (что тоже очень важно) имея на руках пароль шифрования, нельзя определить пароль расшифрования. Допустим я создал пароль для шифрования (открытый ключ) 1234 и знаю что для расшифрования нужно применить фразу "abcd" (закрытый ключ). Открытый ключ помещается в свободный доступ, каждый кто хочет мне написать просто использует его и передает меседж мне, и уже только я его могу прочитать. Обменявшись двумя открытыми ключами, можно настроить защищеную переписку. Именно это в свое время и легло в основу PGP (система шифрования email), против которого уже службы США вели дела вплоть до 1996 года (что, кстати, обнадеживает).

Теперь про уязвимость даного алгоритма. Перебор безполезен в виду малой скорости шифрования и генерации ключей. Сгенерить всевозможные варианты тоже не реально ни по времени, ни по обьему данных. Остается только "Человек по середине". Принцип такой атаки -- контроль всех пакетов обмениваемых между двумя пользователями, вплоть до их подмены. Т.е., когда я выкладываю в публичный доступ свой открытый ключ, ФСБ меняет его на "0000" и знает что расшифровка с помощью "aaaa". Далее, когда человек отправляет письмо мне, даный пакет перехватывается, вскрывается, читается содержимое, шифруется уже моим ключем и отправляется уже мне.

Дабы избежать такой атаки, можно:
- анализировать время отправки/приема сообщения. Если задержка слишком большая -- значит кто-то есть посередине.
- использовать надежного посредника.
В случае телеграмма -- это открытый ключ их серверов, вшитый непосредственно в клиент. Он используется для шифрования канала обмена открытыми ключами в секретных чатах. Исходя из этого, несложно догадатся что за ключик запрашивает доблестное ФСБ...

Но все это касается секретных чатов, которые не то что на серверах не хранятся, а и между клиентами не синхронизируются. Что же касаемо обычных чатов: тут все завязано на мобильный телефон. И как по мне, нахер пресовать забугорный меседжер, если достаточно "договорится" с нужной тройкой и получить нужные пины для входа. Тут есть проблема -- нотификация о новом входе. Но это так -- лирика...

P.S. Вполне возможно, что данные морды запрашивают не просто ключ, а прям требуют удобный интерфейс с различными плюшками. Причем затраты на разработку даной "фичи" перекладывают на сам меседжер. Либо еще более упоротое решение: в создании секретных чатах чтобы сам телеграм выполнял подмену публичных ключей, хранил их и предоставлял ФСБ.

Типа материал:
https://ru.wikipedia.org/wiki/%D0%9A%D1%80%D0%B8%D0%BF%D1%82%D0%BE%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0_%D1%81_%D0%BE%D1%82%D0%BA%D1%80%D1%8B%D1%82%D1%8B%D0%BC_%D0%BA%D0%BB%D1%8E%D1%87%D0%BE%D0%BC
https://ru.wikipedia.org/wiki/PGP
https://tlgrm.ru/techfaq#%D0%B0%D1%82%D0%B0%D0%BA%D0%B0-%D1%87%D0%B5%D0%BB%D0%BE%D0%B2%D0%B5%D0%BA-%D0%BF%D0%BE%D1%81%D0%B5%D1%80%D0%B5%D0%B4%D0%B8%D0%BD%D0%B5
Развернуть