«Пожалуйста, слушайте внимательно и не вешайте трубку». Это первые слова, которые неизвестный мужчина произнёс по телефону, когда брат передал мне трубку.
Были выходные на праздник 4 июля 2000 года, плюс-минус день, и мистер Икс знал: нужно начать именно с этих слов, потому что он звонил за полночь на домашний телефон моего брата в Коннектикуте. Это было особенно жутко, потому что я жил в Калифорнии, и никто не знал, что я в Коннектикуте, за исключением моих ближайших родственников, которые все были там в доме со мной. Я приехал накануне, как обычно делаю во время нашего ежегодного семейного пикника на День независимости.
Зачем он звонил?
Это был вопрос национальной безопасности.
Звонивший извинился за поздний звонок и сказал, что его зовут Дэйв. Он попросил взять ручку и бумагу, потому что собирался дать несколько важных инструкций, которые позволят подтвердить его личность. И тогда ошеломил меня фразой: «Это вопрос национальной безопасности».
Некоторые из моих родных начали собираться рядом с кухней, где я стоял у стены с телефоном. Чёрт возьми, что происходит? Я посигналил брату принести ручку.
Я пытался осмыслить происходящее. Как ни странно, даже не догадался спросить у Дэйва, как он получил этот номер. Мужчина казался серьёзным и говорил авторитетным голосом; думаю, я уже поверил, что он имеет на это право.
Окей, готов записывать.
Дэйв сказал, что он звонит с базы АНБ в Бетесде. Агентство национальной безопасности. Он больше ничего не мог сказать, пока я не перезвоню. Вот зачем нужна была ручка. Он собирался дать инструкцию из нескольких шагов, как перезвонить ему таким способом, который подтвердит его личность и серьёзность ситуации.
Перезвоните
Дэйв сказал повесить трубку, набрать 411 (справка) и спросить у оператора основной номер военно-морской базы в Бетесде, штат Мэриленд. Затем позвонить по этому номеру, пройти через нескольких других операторов на базе, попросив каждого по очереди подключить меня к следующему в цепочке. Он продиктовал точные слова для каждого такого прыжка, потому что я буду просить о перенаправлении на защищённый объект.
Адреналин ударил в голову и я проснулся.
Чтобы успокоить меня, он сказал, что перезвонит через десять минут, если от меня не будет вестей — на случай, если я облажаюсь. Но я справился.
Через несколько минут я снова разговаривал по телефону с Дэйвом. Обалдеть, АНБ. Это происходило на самом деле.
Нам нужна ваша помощь
Дэйв продолжил. Он сказал, что у них есть ноутбук с файлами, которые зашифрованы моей программой SafeHouse. У них ситуация с национальной безопасностью, требующая немедленного доступа к этим файлам, и им нужна моя помощь. А конкретно, если я им помогу, возможно, они получат доступ к файлам быстрее, чем без моей помощи. Время имело существенное значение: отсюда и звонок посреди ночи.
Если АНБ не получит доступа к файлам, случатся неприятности.
SafeHouse был (и до сих пор остаётся) популярной утилитой Windows, которую я разработал для шифрования приватных файлов, она распространяется как shareware. В бесплатной версии шифрование специально ослаблено в соответствии с требованиями Госдепа на экспорт вооружений, а также чтобы подтолкнуть пользователей к покупке продвинутой платной версии. Клиенты разные, от домашних юзеров до крупных финансовых организаций.
Если АНБ не получит доступа к файлам, случатся неприятности. Может, умрут люди. По крайней мере, Дэйв внушил мне такое впечатление, когда вежливо попросил, готов ли я предоставить исходники, всё время извиняясь, что не может ничего больше рассказать о ситуации.
Я упоминаю вежливость Дэйва, потому что она казалась необычной и особенно странной — он был слишком приятным. Казалось, что он предполагает или готов принять отказ. И если бы на его месте был кто-то иной в другой ситуации, так бы и произошло. Но здесь казалось, что дело важное, и просто нет времени на обсуждение.
Конечно, Дэйв сразу спросил, есть ли бэкдор для расшифровки, потому что это сэкономит много времени. Но нет. SafeHouse разработан по самым высоким стандартам и передовым практикам с использованием сильного 256-битного шифрования.
Хорошо, я готов предоставить исходники. Любые, без вопросов. Но была одна небольшая проблема — у меня их нет с собой, ведь я в отпуске. Поэтому придётся позвонить и разбудить Рона в Портленде. Стукнул уже час ночи на западном побережье. Рон работал программистом в моей команде, и я точно знал, что у него дома есть копия исходников.
Звонок. Письмо. Готово.
Я попробовал прощупать почву: ребята, так вы действительно способны взломать 256-битное шифрование? Дэйв хранил молчание. В криптосообществе давно обсуждают эту тему; и я подумал, что стоит попробовать. Даже не рассчитывал на ответ.
Когда этот парень с ноутбуком купил SafeHouse? Какая у него версия? Чем больше я знаю, тем лучше смогу вам помочь.
И вот тогда Дэйв признался, что у чувака на ноутбуке shareware-версия. Что, серьёзно? Это всё меняет. Условно-бесплатная версия поддерживала только слабенькое 40-битное шифрование. Большинство хакеров могут взломать его за пару дней. И я думаю, что секретным шифровальщикам АНБ потребуется гораздо меньше времени.
Я снова прощупал почву: на этот раз об их возможностях взлома 40-битных шифров. Возможно, такой низкий уровень уже не государственная тайна. Но Дэйв опять хранил молчание.
Тупые преступники
Но серьёзно, этот идиот с ноутбуком планировал взорвать здание или что-то такое, но у него не хватило мозгов или денег, чтобы купить нормальную версию программы за $39,99 с максимальным шифрованием?
На этот раз Дэйв ответил: «Удивительно, но такое происходит постоянно. Их называют тупыми преступниками не просто так. Невероятно, но это правда».
Я продолжал работать с Дэйвом и его командой в течение дня или около того. Ответил на все их вопросы, а они не ответили ни на один из моих — естественно. Но они всегда были вежливы в этих односторонних разговорах, которые разжигали безумное любопытство, которое, как я знал, никогда не будет удовлетворено.
Подарок
Через несколько дней я вернулся домой в Калифорнию, и в моём офисе стояла коробка без опознавательных знаков, с указанием моего имени. Внутри, завёрнутая в белую папиросную бумагу, лежала синяя чашка для кофе АНБ с рукописной запиской на обычной белой бумаге: «Спасибо. Дэйв».
Позже в тот же день позвонил Дэйв. Он ещё не мог рассказать никаких подробностей, потому что всё было совершенно секретно, но сказал, что всё «получилось», и они благодарны за мою помощь.
Ещё раз я попытался вытянуть детали и спросил, означает ли «сработало», что они взломали шифр; но конечно, он ничего не сказал. Молчалив как обычно. Наверное, с ним весело на вечеринках. Дэйв вообще его настоящее имя?
Когда я поблагодарил за подарок, то не мог умолчать о тайной записке, которую он положил в коробку. Дэйв просто рассмеялся и сказал: «Это мои обычные бланки в АНБ».
Эта сверхсекретная чашка у меня уже 18 лет. Именно та, что на КДПВ. Каждое утро я пью кофе, но никогда из этой чашки. Она слишком особенная. Боюсь её сломать, так что пусть стоит на полке в гостиной рядом с другими ценными сувенирами.
Я никогда не был в АНБ, но насколько я знаю, они продают такие чашки в сувенирном магазине. Но для меня это неважно. Эта чашка — напоминание о чём-то плохом, что никогда не произошло, и я сыграл в этом небольшую роль.
Но одна вещь сидит у меня в голове все эти годы: как, чёрт возьми, Дэйв выследил меня за 3000 миль от дома посреди ночи в тот жаркий летний вечер в Бристоле, штат Коннектикут?
Комментарии (324)
mk2
30.10.2018 16:11+20Вот именно поэтому не надо пользоваться условно-бесплатными программами для шифрования файлов.
Konachan700
30.10.2018 16:16+19Так это еще хорошо, что у него 40 бит нормального шифрования было. Полно платных приложений в том же гуглплее, которые первую сотню байт ксорят на однобайтный паттерн — вот где боль…
Любые средства шифрования должны быть открытыми (не обязательно бесплатными), если они не секретны. Иначе доверия им ноль.dark_snow
30.10.2018 19:22+1TrueCrypt\VeraCrypt\PGP или ручками шифровать (что еще надежнее).
opetrenko
30.10.2018 20:54+2Как ручками?
Вы опасно некомпетентны в криптографииpehat
30.10.2018 21:09+1Вот так. И больше не путайте файлы на локальном диске и клиент-серверное взаимодействие.
EviGL
30.10.2018 21:47+2Удобно, наверное, в быту шифровать полуторагигабайтный видосик полуторагигабайтным ключом.
В OS, библиотеках ЯП и файловых системах, думаете, меньше ловушек, чем в клиент-серверном взаимодействии?
Навскидку, при кривой реализации ключ может случайно остаться на FS и его можно будет найти побайтовым сканированием. Да, это очевидный косяк, но в самописной реализации на 100 существующих очевидных косяков один да будет допущен.pehat
30.10.2018 22:36+1удобно
Произведение безопасности на удобство есть величина постоянная. Никто не гарантировал, что абсолютно криптостойкий шифр будет удобным.
в быту шифровать полуторагигабайтный видосик
Это когда видео со свадьбы никому показывать не хочется? Ни разу настолько не пёкся о своих персональных видео. В моём мире утечка данных дебетовой карты несколько более чувствительна, чем того, что уже в меру успешно подделывают состязательные нейронные сети.
ключ может случайно остаться на FS
Если ключа вообще нигде не останется, то доступ к шифрованным файлам не сможет получить даже владелец. Если ключ существует хоть где-то (пусть даже в голове владельца), то для взломщика с паяльником преград нет. Всегда нужно чётко понимать, от каких типов атак мы защищаемся.
в самописной реализации на 100 существующих очевидных косяков один да будет допущен
Я полагаю, здесь апелляция к авторитету, довольно абстрактному. Ну ок, вот вам несколько моих авторитетов. Вернер Кох, кажется, написал довольно неплохую утилиту, сам. Брюс Шнайер говорит, что один человек может придумать криптосистему, которую сам не взломает. В конце концов, необязательно шифровать самописной утилитой — есть хорошее правило "открытая реализация, закрытый ключ".
EviGL
30.10.2018 22:48Ну да, про то и был комментарий выше, что не надо изобретать руками криптографию, надо брать как можно лучше проверенную опенсорсную. Это не про авторитет, а про то, что если секретным знанием можно украсть миллиард, то вряд ли его запалят на вашей переписке.
Но всё же шифр Вернама совсем-совсем не применим в указанном в статье случае. Если у вас есть шифроблокнот или флешка с ключом, с ними вас и возьмут. А если ключ для данных заучивать, то проще заучить оригинальные данные той же длины.
Kirhgoff
31.10.2018 02:01В классических детективах для шифра обычно использовалась книга, которая была у всех дома (Библия там определенного издания или какой-то стандартный справочник). Мне кажется можно использовать какой-то файл, про который знаешь, что он есть в системе или его легко получить и который имеет версионность. Тот же текст MIT лицензии, бинарник библиотеки для определенной платформы определенной версии или что-то типа того. Тогда файл с собой носить не надо.
Greendq
31.10.2018 10:25Осмысленный текст нельзя — он плохой ключ по определению.
Kirhgoff
31.10.2018 12:50А чем он плох, если им все равно ксорить со сдвигом?
Greendq
31.10.2018 13:31Любой осмысленный текст содержит символы, которые распределены не случайным образом. И по определению не подпадает под описание хорошего ключа. Даже Библия, которую использовали в качестве ключа не являлась хорошим ключом.
Другими словами, random+text=random, text+text=text.
Или я заблуждаюсь?Wesha
31.10.2018 23:51Любой осмысленный текст содержит символы, которые распределены не случайным образом. И по определению не подпадает под описание хорошего ключа.
А MD5 от каждых (128/8=16) букв ключевого текста (в смысле каждые 128 бит текста заменяются на MD5 от них же) — попадает?
Greendq
01.11.2018 15:28Ну, если текст не напрямую, а через хеш-функцию — то попадает, насколько я понимаю. Только MD5 не очень хорошо, надо бы функцию с бОльшим диапазоном значений. К MD5 уже есть претензии от криптографов, насколько я знаю.
Inanity
31.10.2018 13:39+1Низкая энтропия. Не должно быть зависимости любого бита ключа от любого другого бита. Для примера, в тексте на русском языке чаще всего встречается буква «е». После двух гласных чаще всего будет идти согласная или пробел, редко бывает 4 согласных подряд и т.д… Любая дополнительная информация, которая поможет определить следующий бит ключа ослабляет защиту.
Kirhgoff
31.10.2018 14:11В теории вы абсолютно правы, против энтропии не попрешь, но я плохо представляю, как это можно применить в конкретном примере, когда у вас есть файл зашифрованный тупым ксором через текст библии (и пусть вы даже это знаете). Плохо представляю, какой алгоритм я бы стал писать. Неужели есть тулы, которые могут прошарить что проксорено текстом и догадаться, что за текст, я, к сожалению, не очень хорошо шарю в криптографии.
В таком случае можно выбрать два стандартных файла и ключ приготовить, проксорив один файл другим. Мой поинт в том, что не надо с собой носить ключ на флешке, можно обойтись простым запоминанием стандартных файлов, которые вы применяете. Если вы знаете, как такое ломается, поделитесь.Kirhgoff
31.10.2018 14:12Но еще раз, я то за использование стандартных тулов, ручное шифрование мне представляется очень суровым хобби, которое того не стоит, если вы серьезный шпион :)
Inanity
31.10.2018 14:31есть файл зашифрованный тупым ксором через текст библии (и пусть вы даже это знаете)
Вы даже не представляете насколько быстро это будет сделано. Для экономии времени достаточно взять первую строчку вашего зашифрованного контейнера и ксорить её с текстом из библии, смещаясь каждый раз на один символ. Как только в полученной строке появятся хотя бы несколько осмысленных слов, то это смещение — кандидат на ключ. В конце проверяем все смещения — кандидаты на всём контейнере и один из них полностью расшифрует ваши данные.sim31r
31.10.2018 16:32Смотря что за файл. Если исходный файл текстовый, а еще хуже картинка в формате BMP 8 бит и векторной графикой (99% информации один и тот же байт цвета фонового), то расшифровать очень просто.
А если этот же файл сжать архиватором с максимальной степенью сжатия, то после простейшего XOR, даже с текстом простейшим, при анализе не за что зацепиться будет. Просто шум, повторений и корреляций нет, все байты равномерно распределены.
Kirhgoff
31.10.2018 23:58Не, ну это читерство какое-то, конечно же если вы НЕ знаете что это зашифровано текстом из Библии, я плохо выразился. Это-то любому младенцу понятно, как расшифровать, если знаешь ключ (да еще и способ шифрования).
Еще раз, напомню, как разворачивлся диалог. Товарищу сильно сверху, который собирался использовать шифр Вернама, возразили, что ему тогда ключ придется с собой носить, мне вспомнились рассказы про Шерлока Холмса и я написал, что совсем необязательно — можно просто выбрать какой-то стандартный на любом компе доступный файл.
Игровая ситуация такая — вы Шерлок Холмс 21-го века. В ваши руки попадает компьютер преступника с зашифрованным файлом содержащем доказательства его вины. Стандартных средств шифрования нет, история bash вытерта, у вас подозрение, что товарищ (который не являет собой светоч интеллекта) наверняка просто поксорил свой архив каким-то стандартным файлом (я вот это имел в виду, когда писал «знаете», mea culpa). Ваши действия?
Я бы на месте Шерлока Холмса пошел бы домой, хрен его знает, какой именно файл человек выбрал.Inanity
01.11.2018 04:45+1Ваши действия?
Ок, попробуем так. Атака заключается в том, что я могу попробовать предположить или угадать некоторую часть зашифрованного файла. Большинство файлов, которыми мы пользуемся имеют четкую структуру, заголовки, magic numbers. sim31r чуть выше предложил сжимать архиватором. Допустим, что это был rar-архив. Архив имеет в начале блок-маркер из 7 байт (0x52 0x61 0x72 0x21 0x1a 0x07 0x00). Таким образом у меня на руках первые 7 байт файла (гаммы), с которым ксорили данный архив. А дальше вы знаете. Хорошо, если поиск ограничится компьютером жертвы. Если же нет, то возможно это какая-то общеизвестная информация. Начало гаммы может дать подсказку.
Можно придумать ещё много «а если бы...», но суть в том, что у хорошего шифра сценариев атаки, кроме полного перебора быть не должно.
vedenin1980
01.11.2018 09:02Я бы на месте Шерлока Холмса пошел бы домой, хрен его знает, какой именно файл человек выбрал.
Ну например, самое распостраненное слово анлийского языка определенный артикаль the, то есть мы знаем слово из 5 букв (артикаль + пробелы), которое гарантировано встречается в тексте, пытаемся расшифровать текст ксоря его с разным смещением, если получили 5 английских букв, вероятно угадали, пробуем подобрать слова из словоря перед и после (иногда можно угадать типичные фразы аглийского). Потом зная части ключа и исходного текста можно попытаться найти текст в библиотеке (на компе преступника).Kirhgoff
01.11.2018 09:54Врядли кто-то будет шифровать простой текстовый файл, наверняка будет архив. Но выше уже предложили подобное решение для этой ситуации, когда мы берем заголовок rar файла. В любом случае подход понятен — допетриваем до последовательности байтов, пытаемся получить часть ключа, а потом и сам ключ. Годится и будет работать.
Arqwer
01.11.2018 13:13Если вспомнить, что у нашего Шерлока есть ещё и собственный датацентр с дофига вычислительной мощностью, то можно даже вообще почти не думать: достаточно ввести функцию Likelihood(text) которая на вход берёт данные, а на выход говорит — на сколько это похоже на нечто осмысленное. Далее, пусть мы знаем, что расшифровка производится некоторым алгоритмом Decrypt(шифровка, ключ) (сам алгоритм можно найти на компе, или в худшем случае -перебрать все самые популярные). Далее достаём дискретный оптимизатор, и приказываем ему найти максимум у функции Likelihood(Decrypt(шифротекст, ключ)) по параметру "ключ". А дискретные оптимизаторы сейчас очень мощные — они сами и корреляции найдут и эвристик там масса уже готовых используется, и они сами где надо включат генетические, муравьиные, пчелиные и прочие оптимизации и SAT впридачу. В итоге сложность подбора ключа снизится с полного перебора, примерно до уровня теоретической энтропии ключа в случае хорошего шифра, и ещё ниже в случае плохого шифра. Теперь умножим это всё на мощьность нашего датацентра. И заметьте, во всём этом процессе мы ни разу не задумывались о уязвимостях шифре вообще.
Kirhgoff
01.11.2018 15:05Очень красиво все звучит, мне кажется, такое девушке можно говорить на свидании.
Я понял, чо есть какая-то волшебная вещь под названием дискретный оптимизатор, в принципе я знаю что такое дискретная математика и что такое оптимизация, решил погуглить и не нашел ничего стоящего, непонятно, что это за штука. Был бы рад, если бы вы пояснили. Мое понимание, что все эти прозрения про сам алгоритм Decrypt(шифровка, ключ) нужно сидеть и программировать руками, чтобы свои гипотезы можно было бы проверять, как вот выше писали очень красиво. Неужели есть волшебные устройства, которые это все автоматически проделывают?
alexeykuzmin0
31.10.2018 19:03Если брать буквы не подряд, а, например, с номерами, соответствующими числам фибоначчи по модулю размера текста, вряд ли получится расшифровать.
Jabberwocky
31.10.2018 10:32Можно взять за ключ любой массив информации, не вызывающий подозрения в том, что это ключ — 256ю страницу «Войны и мира» или старый компакт-диск с виндой.
EviGL
31.10.2018 12:02Ну вот и ещё одна иллюстрация к статье "Вы опасно некомпетентны в криптографии". Вы вот таким способом делаете у себя на компьютере шифрованный раздельчик. И считаете что у вас непобедимый Шифр Вернама.
На самом же деле, если как-то прознают, что ключ в войне и мире, останется только её побайтово перебрать, чтобы найти смещение старта ключа — секунда на современных компьютерах.
Если неизвестно, где именно ключ, смотрим дальше: сколько у вас на себе (на HDD, на флэшках, на CD) файлов, размер которых больше размера вашего криптоконтейнера? Умножаем условную секунду на это число, получаем время взлома. Всякие хитрости типа склейки файлов, прочтения задом наперёд и т.д. добавляют по мизеру энтропии к ключу.
Думали, что у нас абсолютная криптографическая стойкость, а оказалось задача на перебор готовой базы паролей.
Шифр Вернама требует истинно случайную последовательность для правильной работы — тогда перебором вы равновероятно можете зашифрованное сообщение расшифровать в любое сообщение той же длины. А вот такую последовательность уже хрен где спрячешь. Потому что этот шифр не предназначен для случая возможного перехвата блокнотов.
MyOnAsSalat
31.10.2018 22:44-1можно просто слоями шифрование накладывать.
Если используются множество алгоритмов аля свои + опенсурсные, то энтропия растёт порядками
StanislavL
01.11.2018 10:38Файлы могут быть и в интернете. Статья в вики, файл с гитхаба, в конце концов jpeg с большим разрешением.
Кусочки файла можно еще хэшить и от хеша брать уже байты.EviGL
01.11.2018 10:47А спецслужбы никак не узнают, что это за один и тот же файл вы скачиваете и удаляете каждый день. А чем больше действий вы делаете для расшифровки, тем больше шансов наследить в ОС подробностями этих действий.
Что только не сделают, чтобы человеческие криптоконтейнеры не использовать :)
StanislavL
01.11.2018 10:58Заходите на сайт и тянете с него jpeg? Его даже удалять не надо. Лежит себе в кеше браузера.
Так то я согласен, что opensource лучше, но с незнанием схемы шифрования можно помучаться.
Gutt
31.10.2018 12:11И это будет плохой ключ с низкой энтропией. Вот если использовать его для инициализации генератора псевослучайных последовательностей, то будет уже намного лучше.
sim31r
30.10.2018 22:50+1Видео очень хорошо сжато, думаю там данные, кроме заголовка по сути шум на 99.9%. Думаю можно делать XOR не по принципу одноразового блокнота, а ключом в сотни раз меньше, потом повторять циклически. Опять же кроме заголовка, с заголовком отдельно нужно поработать, так как есть открытый текст стандартный. На выходе все равно будут данные не отличимые от шума, зацепиться при анализе будет не за что.
По самописной реализации в статье есть намек, если была бы самописная реализация 40-битного шифрования, без исходников, АНБ бы разбиралось намного дольше, без гарантии успешного расшифрования. Там тоже живые люди, ну попробовали — не получилось, без исходного алгоритма.qrck13
31.10.2018 10:01Спрашивается, вот зачем все это велосипеды с XOR-ом? В сети полно хороших библиотек проверенных (сам недавно начал использовать bouncy castle для одного своего проекта). Если уж тааак хочется XOR-ить, то берем AES-CTR и вперёд.
sim31r
31.10.2018 17:53-1Практической значимости нет, а теоретически интересно же.
qrck13
31.10.2018 17:59Куда интереснее нормальную криптографию делать, а городить то, что потом стыдно на github выложить
sim31r
31.10.2018 18:14-1Не всё на гитхабе для практического применения, могут быть просто теоретические исследования.
Вот пример со сжатой информацией. Сжимаем текстовый документ так что в нем не остается ни одного бита избыточной информации неким идеальным алгоритмом. И случайно изменяем 1 бит информации, это и есть наш «ключ». Есть ли теоретическая возможность восстановить информацию?berez
31.10.2018 18:51Ясен пень, есть.
Просто флипаем по очереди биты и проверяем, разжимается или нет. При длине сжатого сообщения в 1 кб перебрать придется всего 8 тыщ вариантов — т.е. ниачом.sim31r
31.10.2018 18:59Все 8000 вариантов будут разжиматься в некий файл, без контрольной суммы или известного ключевого слова правильный файл не выделить из остальных.
berez
31.10.2018 20:08Ошибаетесь.
У текстового документа очень специфичные статистические закономерности, а раскодированный с ошибками файл будет содержать в себе бинарный мусор. Даже простенькая программа-фильтр без труда отсеет 90% мусорных файлов, если не больше. Остальное прекрасно отсеется глазами.
qrck13
31.10.2018 19:15+1Если знать, каким именно алгоритмом было сделано, то даже для сжатого текста размером 1Mb (после сжатия, те такой приличный текстище на десятки тысяч страниц) потребуется перебрать всего 8M вариантов "ключей" — это хуже, чем словарный пароль к архиву. Так что да, восстановить можно и очень просто.
Впрочем играйтесь сколько хотите, только не утверждайте что это хоть на 1% безопасное "шифрование". :-)
nafikovr
31.10.2018 10:19автор из кружки пьет уже 18 лет. даже если исключить что математики это время были в спячке, то как минимум производительность немного скакнула вперед.
dark_snow
30.10.2018 22:46Хммм, не спорю, в криптографии некомпетентен (скорее 2я стадия), но я подразумевал написать свою реализацию некоего алгоритма и не афишировать ни софт, ни алгоритм (для узкого круга лиц или личных файлов).
nafikovr
31.10.2018 10:20-1знание принципа шифрования как минимум приближает к разгадке, так что верно.
zagayevskiy
31.10.2018 10:34dark_snow
31.10.2018 17:04Не особо данном случае, хотя тоже верно — просто не зная конкретный алгоритм и его реализацию (косяки и баги у всех бывают) больше времени на анализ уйдет и «ручной» перебор. Но опять же, я могу ошибаться т.к не криптограф.
miga
30.10.2018 23:23Раз речь идет про экспортные ограничения в 40 бит, то дело было в 90-х — PGP уже был, но все это было еще бесконечно далеко от возможностей обычного человека (точнее, тупого преступника)
ionicman
30.10.2018 16:17+8Шароварные программы тут абсолютно не причём.
Просто надо всегда читать, что за ограничения идут на демо-период, да и вообще читать лицензию.
Тем более если ты — террорист :)
funca
30.10.2018 19:50+3Мне показалось, что автор намекает, дескать вообще не надо пользоваться чужими программами для шифрования. Потому, что авторы под колпаком у спецслужб. Вежливо попросят исходники среди ночи — не откажут. А потребуют встроить бекдор или ослабить шифрование, кто будет рисковать и ради кого?
FreeBa
30.10.2018 21:33Ну хз, хз. Я бы отказал, особенно если это заказная разработка. Терморектальный криптоанализ, конечно, никто не отменял. Но это по другой статье проходит.
funca
30.10.2018 23:11+1В 2018 несложно возбудить дело по подозрению в пособничестве терроризму и отмыванию. На основании этого заморозить счета, ограничить перемещения и связь, изъять оборудование. Текущий работодатель расстается на раз, вариантов нового трудоустройства практически ни каких. Как долго готовы существовать в таком режиме: неделю, месяц, год? Вопрос-то пустяк на пять минут, если решать по-хорошему.
FreeBa
31.10.2018 00:40+1Все так, вот до последней запятой. Причем не только в РФ так, но и в большинстве (если не во всех) странах ЕС.
Конкретно я, когда беру сомнительный заказ — рассуждаю и устанавливаю цену опираясь и на эти моменты в том числе. Особенно, если понимаю что утиль может быть использован в европе.
А за заказы, котрые потенциально могут быть использованы в РФ, типа создания ботнета на портале госуслуг, не берусь в принципе (да я в курсе, что для окончания регистрации надо с паспортом ножками пройти в центр обслуживания, но это не единственный способ, что дает уязвимость для системы в целом), — ищите других дураков, тут выбор простой — бабло или своя шкура. Ответ, как правило, очевиден.
PS: и тем не менее, если мне заказали софт и используют его неблагонадежным способом, то это проблема тех кто его использует и тех кто им противостоит. Это не моя война. Если что-то написано мной, то как минимум, с совестью удалось договориться.
ciphertext
31.10.2018 10:32Выскажу непопулярную мысль, на первый взгляд отдающюю юношеским максимализмом: принципы могут быть выше заблокированных счетов. Хотя, соглашусь, вопрос абсолютно неоднозначный и с материальной, и с моральной стороны (особенно, если пользователь этой программы — террорист).
CherryPah
01.11.2018 02:15Выскажу еще более непопулярную мысль про то что не бывает атеистов в окопах под огнем
Достаточно легко говорить о своих принципах сидя в теплом кресле и с какой-никакой уверенностью в завтрашнем дне. Куда сложнее оставаться верным им когда твоей семье есть нечего.
vikarti
01.11.2018 08:24Автор ж говорит что АНБшник был готов к отказу.
Про законность требования — вообще не упомянуто.
Автора именно убедили что надо помочь, не шантажом а словами. Он просто — доверяет как минимум АНБ. Ну да — патриотизм такой.
x67
31.10.2018 10:40Да, пользуйтесь open source. Тогда никто ради вашей персоны не потревожит сонного программиста в полночь накануне 4 июля на западном побережии сша — все исходники уже лежат на гитхабе. А криптоустойчивость не зависит от obscurity
funca
31.10.2018 20:55А криптоустойчивость не зависит от obscurity
Лишь с математической точки зрения на отдельно взятый аспект. Безопасность данных это комплексная проблема, где результат зависит от разных факторов.
methodx
30.10.2018 16:16+6Очень крутая история. Спасибо за перевод.
c0f04
30.10.2018 23:14Да, история крутая, только ни одна история не обязана быть правдой.
- АНБ, думаю, может заполучить всё, что им требуется так, что человек просто об этом никогда не узнает.
- История с цепочкой звонков… ну просто мало похожа на правду. Не станет агент выдавать кучу служебной информации просто так. Да и секретного для защищённой линии там по факту ничего не было, просто просили исходники. Разве что для убедительности всё было. А всё, что по военной базе, — выдал на незащищённой линии.
- Какая это защищённая линия, если разговор идёт по обычному телефону?
Но есть кое-что, что похоже на правду, — невероятная вежливость и убедительность звонящего. А если история правдива, то никакой секретной информации, от которой зависят жизни, могло и не быть (нужны были лишь исходники), да и даже исходники могли быть и не нужны, возможно цель была совсем в другом.
ICELedyanoj
30.10.2018 23:42Но SafeHouse всё-таки существует, и там даже есть платная pro-версия.
Если это и реклама, то реклама странная.c0f04
30.10.2018 23:53Вы никогда не слышали, как человек, который Вам рассказывал много интересных случаев, разговаривая по телефону описывает только что произошедшую смешную ситуацию, свидетелем которой Вы стали? Я один раз услышал такое преувеличение, что хотелось спросить: «Ну что ты врёшь-то при мне?» А слова ещё одного товарища приходилось пропускать через жёсткий фильтр, чтобы понять, чему можно вообще верить, хотя у мало знакомых людей он вызывал впечатление умного и интересного человека.
Так или иначе, ко всей информации должен применяться научный скептицизм.
EKV-ch
31.10.2018 01:50+1«Да и секретного для защищённой линии там по факту ничего не было, просто просили исходники. Разве что для убедительности всё было» — именно. Ну действительно, вот вы, допустим автор к-л проги и вот вам звонит непойми кто и просит выслать исходники (а так же номер и CVV кредитки))) — ваши действия?
Т.е. этот хоровод с перезвонами именно убедить, что это официальная просьба правительственной организации а не мошенник или пранкер-стажёр.8street
31.10.2018 09:31Гм, а мне пришло в голову, что звонок АНБ может быть настоящим, сотрудник тоже настоящий, а действует он в личных целях.
ICELedyanoj
31.10.2018 10:24Статья так написана, у меня это тоже вертелось на уме во время чтения.
Намёки были настолько очевидными, что это было самое настоящее ружьё, висящее на стене в первом акте. Но внезапно — оно так и не выстрелило.
Xalium
31.10.2018 03:07ну прямо сейчас может и нет того, кто все это проанализирует всю накопившуюся инфу, но в будущем возможно может быть. Не просто так же все таки всякие ИИ мусолят.
andrey_gavrilov
31.10.2018 08:58в тексте не говорится о защищенной линии, это «соломенное чучело» (aka «подмена тезиса»).
Не станет агент выдавать кучу служебной информации просто так.
— 1) выдачи «служебной информации» описано так же не было (не считать же такой «способ дозвониться до Дейва»),
2) нулевая гипотеза (хотя бы потому, что об этом заявлял Дейв (как заявляет автор текста)) — в том, что это вовсе не «просто так» было.
fpir
31.10.2018 10:21+1Не знаю, как в АНБ, а в СССР такая система дозвона присутствовала, в 93м пользовался. Звонишь на городской номер, там «фаланга, слушаю», ты ему «дайте трещётку» -«переключаю», следующему «дайте дельфина», последнему-«дайте город, номер 23-32-23». Вуаля, бесплатный межгород с мамой пообщаться из армии. Никто никаких вопросов не задаёт, главное знать всю цепочку.
Gutt
31.10.2018 12:22Я вам больше скажу, как минимум до начала 2010-х ручные телефонные коммутаторы 60-х годов прошлого века ещё были в строю. В 2007-м я ещё служил начальником телеграфно-телефонного отделения, которое этим и занималось.
emashev
31.10.2018 15:01+1а потом счет из доминиканской республики приходит в штаб )
fpir
31.10.2018 16:01В тот момент как-раз стали появляться мобильные телефоны, стоили не гуманно, особенно обслуживание, до 1.5 баксов минута. И так-же стали появляться носимые рации, воки-токи. И была у нас такая, кажется Ericson, которая работала на частоте сотовых сетей. Можно было подключится, оп, разговаривает кто-то, на другой канал-там тишина, набираешь номер и разговариваешь, только что с таргентой, типа «приём», собеседники офигевали. Там счета должны были выходить покруче, чем с Доминиканой. Но счетов, конечно, никто не видел.
JC_IIB
31.10.2018 16:17Можно было подключится, оп, разговаривает кто-то, на другой канал-там тишина, набираешь номер и разговариваешь
Без идентификации, без установления соединения. Просто в радиоканал номер набрать? Да еще и с рации, которая о том, что такое DTMF, понятия не имеет в принципе? Равно как не имеет понятия и о сотовых протоколах?
Как-то… малоправдоподобно, если честно.fpir
31.10.2018 16:26Я не могу сказать, что там было с идентификацией и на каких протоколах она устанавливала соединение. Абсолютно точно, что ничего не шифровалось, так как с разговорами ничего не приукрашено. Рация была рассчитана на такую работ, на ней была клавиатура. Ещё вроде требовалась перезаливка стандартной прошивки, но это по слухам, мне она попала в руки уже в том виде, что говорил выше. Но я прям ручаюсь, так и работала, без симки, без собственного номера. Как? Без понятия! Может тут объяснят специалисты-некрофилы?
F0iL
31.10.2018 16:24+1Скорее это все-таки были не сотовые сети в общепринятом понимании, а что-то типа транкинговых.
Потому что аналоговые стандарты мобильной связи, в которых можно вызвать абонента простым DTMF-набором в эфир мне неизвестны, даже старые протоколы устроены гораздо сложнее. А вот «радиоудлинители» ТфОП до сих пор существуют, и номер там набирается часто именно таким образом :)JC_IIB
31.10.2018 16:31+1Скорее это все-таки были не сотовые сети в общепринятом понимании, а что-то типа транкинговых.
Вот о чем и я. Это не сотовые сети были, а транкинг какой-нибудь, типа Алтая.timdorohin
01.11.2018 02:06NMT-450 — аналоговый, но там с рации еще в сетку каналов надо попасть.
Маловероятно, но возможно.JC_IIB
01.11.2018 11:12В NMT так-то регистрация есть. И я оооочень сомневаюсь, что БСка распознает DTMF в радиоканале и отправит их на MSC.
Sap_ru
31.10.2018 11:55История с цепочкой звонков как раз добавляет правдоподобности.
Вы удостоверение АНБ видели когда-нибудь? А кто сказал, что вам показывают настоящее, а не поддельное?
В США сотрудники ФБР и АНБ в трудный случаях для подтверждения своих полномочий действительное просят позвонить по общеизвестному номеру (который можно получить независимо) и подтвердить, что они те, за кого себя выдают.
ФБР, например, имеет для этого сменные код для всей операции и каждого сотрудника. Звонишь на номер любого управления ФБР, диктуешь оператору код и он тебе говорит подтверждающую информацию. И в любом случае можно продиктовать номер удостоверения, имя и описание внешности и получить ответ да/нет.
А как иначе можно проверить настоящий перед тобой сотрудник или злоумышленник? Особенно, если сотрудник хочет чего-то большого. Кавалькаду с мигалками по каждому чиху только в кино высылают.
bay73
31.10.2018 12:17+1АНБ, думаю, может заполучить всё, что им требуется так, что человек просто об этом никогда не узнает.
Не преувеличивайте возможности спецслужб. Там обычные люди работают. Не надо представлять их волшебниками. Они стараются выбирать наименее затратные методы получения информации.c0f04
31.10.2018 13:09Шпионские гаджеты от АНБ
АНБ следит за теми, кто интересуется Linux и информационной безопасностью
АНБ в реальном времени контролирует каналы между дата-центрами Yahoo! и Google
АНБ не справляется с объёмами трафика
Правда Сноудена
Ну и почему-то не смог найти статью, где хакеры увели у АНБ их архив наработок для взлома. Там рассказывалось про виртуализованную ОС, крутящуюся параллельно основной ОС, взлом через doc-файлы и прочее.
Так что не стоит недооценивать технические возможности обычных людей при наличии прекрасного финансирования и почти абсолютной власти.
saag
30.10.2018 16:20+1как, чёрт возьми, Дэйв выследил меня за 3000 миль от дома посреди ночи в тот жаркий летний вечер в Бристоле, штат Коннектикут?
Ха, я знаю и сорт кофе, какой пьет автор:-)andrey_gavrilov
31.10.2018 09:05+1вы думаете, что знаете его. Возможно, после того случая автор стал искусным конспиратором, и фотает кружку на фоне совершенно левого пакета с кофе.
8street
31.10.2018 09:37А мне кажется, это как раз не сложно. Пара звонков в контору, там можно узнать, что автор в отпуске и, возможно, куда хотел поехать. Наведение справок о родственниках (наверняка есть какая-то база, типа нашего загс). Звонок на вокзал/аэропорт и бинго.
c0f04
31.10.2018 09:51Сразу видно, что фильм «Сноуден» не смотрели. Там скорее всего большая база знаний по всем гражданам и иностранным лицам. Им не особо требуется куда-то звонить и что-то узнавать. Поиск по базе — должно быть что-то вроде внутреннего Гугла. На самом деле было бы удивительно, если б у них подобного не было.
ipswitch
31.10.2018 12:12о да, база знаний… там одного поиска по whitepages из которых фиг уберёшься достаточно, чтобы найти по фамилии родственников, к примеру.
пример поиска
alan008
30.10.2018 16:32-11Ну то есть автор программы по шифрованию без вопросов передал исходники какому-то дядьке, который звонил по телефону. Теперь этот дядька может расшифровать не только тот ноутбук, но и все компы, которые используют эту прогу. Нет, не такой безопасности хотел добиться Сноуден.
Konachan700
30.10.2018 16:34+14Не может, ключа-то нет. Прога просто у него не опенсорсная была, а дядьке исходник нужен был срочно. Криминала нет, от винды исходники тоже спецслужбам передают, к примеру, и они сами себе собирают ее.
TheDaemon
30.10.2018 19:52+2Не только спецслужбам. Например в НТЦ Атлас передают :)
Вообще мало кто в последнее время делает тайну из исходников.
Kwisatz
30.10.2018 16:40+18Security through obscurity не имеет никакого смысла, это базовый принцип.
А какой-то дядька был очень вежлив и даже не стал давать номер телефона, а попросил сделать все через справочную.pnetmon
30.10.2018 19:09+2Осталось только подключиться к этой линии и начать выдавать себя за справочную и так далее ;)
hp6812er
31.10.2018 07:01Например вот этим)
Дома лежит такой агрегат с прошлого места работы. И чего только он не умеет) Даже оператором может представится при желании)))OKyJIucT
31.10.2018 10:10+1Фото не прикрепилось. Как хоть называется, погуглим? :)
P.S. Прошу прощения, через исходный код страницы нашел ссылку на страницу с картинкой. Но изображение вы все равно вставили неверно. Необходимо прямую ссылку на него указывать.
Eltaron
30.10.2018 17:38+7А вас не пугает, что исходники какого-нибудь openssl даже и просить у авторов не нужно, они на гитхабе лежат?
Dobryj
30.10.2018 18:00+10Это не должно пугать, даже наоборот. Это гарантия того, что алгоритмы будут перепроверены большим числом профессионалов. Без ключей, алгоритмы — это просто алгоритмы.
berez
30.10.2018 18:45-4Это гарантия того, что алгоритмы будут перепроверены большим числом профессионалов.
Да-да, миллионы пользователей опенсорца каждый день делают его лучше…
1. Не гарантия, а некоторая вероятность.
2. Не большим числом профессионалов, а хотя бы одним.
И вишенкой:
3. Профессионалов недостаточно. Нужны именно профессиональные криптографы.
SlavikF
30.10.2018 19:26+2> Это гарантия того, что алгоритмы будут перепроверены большим числом профессионалов
Ага, случай с Heartbleed подтверждаетvsb
30.10.2018 21:47+4Но ведь действительно подтверждает. Уязвимость-то нашли. А сколько таких хатблидов в проприетарных реализациях?
funca
30.10.2018 23:19Ну как нашли. Подтвердили факт наличия после того как информация об уязвимости была слита. Опенсорс тут не при чем. История появления мутного кода с ошибкой тоже выглядит странно.
robux
31.10.2018 06:47Не "ну", а именно нашли за счет того, что код был OpenSource:
Название Heartbleed было придумано инженером финской компании Codenomicon, занимающейся информационной безопасностью. Они же придумали логотип в виде кровоточащего сердца и создали сайт heartbleed.com, чтобы рассказать об уязвимости сообществу. Codenomicon объявила 3 апреля 2014 датой обнаружения бага и датой сообщения об этом Национальному Центру Компьютерной Безопасности Финляндии для отслеживания уязвимости.
А теперь догадайтесь с 3-х раз, если мутные дяди умудряются пихнуть дырявый код в OpenSource, то что они делают с закрытым кодом?!..
OpenSource, слава Б-гу, пусть через год-два, но позволяет обнаружить и устранить баги, а не слушать десятилетиями "честные истории" корпораций и шароварщиков, млеющих от кружки с логотипом "АНБ".
funca
31.10.2018 09:56Там не говорится, что они нашли уязвимость, копаясь в исходниках. Секъюрити обычно имеют дело с инцедентами, когда замечают необычное поведение системы. Т.е кто то нашел раньше и использовал для атаки, а безопасники обнаружили и слили инфу в паблик (совершенно не факт, что вот прямо так сразу — как гласит легенда некоторые компании обнаружили и закрыли дырку даже раньше, а значит их сотрудники наверняка пытались гуглить по признакам инцедента, и гугл на момент принятия решения о публикации был в курсе, что они не единственные кто обнаружил). Разобрались в коде и выпустили заплатку лишь через неделю после официального анонса дыры.
dartraiden
30.10.2018 20:15+1Нужно отправить SHH-серверу сообщение SSH2_MSG_USERAUTH_SUCCESS вместо ожидаемого им SSH2_MSG_USERAUTH_REQUEST. Из-за бага сервер, получивший такое сообщение, просто поверит атакующему, что тот залогинен и верификация не нужна.
4 года смотрели, благо, что эта библиотека практически не используется для развёртывания серверов, а то было бы намного болезненнее.Cenzo
31.10.2018 02:53Немного кривите не упоминая, что её использовал гитхаб в режиме сервера как раз, а уязвимости не было потому что у них авторизация по ключу «SSH2_MSG_USERAUTH_SUCCESS with libssh server is not relied upon for pubkey-based auth». А кто в наши дни использует ssh с авторизацией по паролю… ну все наверное поняли. Авторизация по ключу не была затронута.
AADogov
30.10.2018 16:33+11Ну не знаю…
Пока читал во мне все сильнее зрели подозрения что автора развели. Возможно методами социальной инженерии из него выманили всю необходимую информацию для расшифровки
Скорее всего это даже не АНБ. Тоже странная история с посылкой. Ведь нужно было не просто обмануть а сделать так что даже спустя 18 лет никто не подумал об этом. Тем более автор сам сказал что такую кружку можно купить в сувенирном магазине.MaZaNaX
30.10.2018 16:36+2предполагаете, что справочная сотрудничала с теоретическим мошенником?
Calvrack
30.10.2018 16:40+21Полагать можно что скомпрометирована телефонная сеть, а злоумышленник сидит под ближайшим телефонным столбом.
JC_IIB
30.10.2018 16:48Как человек, который немножко знает, как устроена телефония, спрошу так — «как вы себе представляете такой механизм компрометации сети?»
Ну нашли вы телефонный столб — дальше что?Calvrack
30.10.2018 16:52+7Ну как… вы лезете на столб (или в люк) и ищите там пару которая уходит в конкретный дом. Режете ее, и встаете в разрыв, изображая станцию. Никакого ни мультиплексора ни шифрования же между абонентом и АТС нет вроде бы?
JC_IIB
30.10.2018 17:22+1Это может сработать только при условии, что автор статьи жил в отдельно стоящем доме, куда уходит своя пара медных проводов. Ну хорошо, встали мы на пару… или на кросс. Как сделать так, чтобы при наборе 411 звонок не ушел куда не надо? Оторвать городское плечо? Напруга из сети пропадет, вообще ничего работать не будет.
Хотя если заморочиться, и, скажем, встать на пару не простой трубкой, а кое-чем похитрее… чтобы атакуемый думал, что звонит в город, а на самом деле — нет… мороки больно много. Имитировать разные голоса «операторов», проключающих звонок дальше…
Скажу так — не нереально, но возни много. И все ради исходников шароварной проги, с заведомо не очень надежным шифрованием?Stalker_RED
30.10.2018 18:08+5Вы так говорите, будто это устройство придется разработать лично вам, а потом собственноручно спаять.
А на деле, если кому-то нужно, он может купить готовое устройство чуть ли не в супермаркете. Готовая поддельная базовая станция для GSM стоит менее $1500, а для проводных телефонов хватит мини-АТС из магазина оргтехники!JC_IIB
30.10.2018 18:23Вы так говорите, будто это устройство придется разработать лично вам, а потом собственноручно спаять.
Ума не приложу, где вы умудрились это увидеть.
RewCode
30.10.2018 22:30+2Любой шлюз с fxs за 500 руб с авито и ноутбук с астериском и заготовленными «репликами» операторов. Не благодарите :)
А если же серьёзно — всё это такая ерунда, на фоне задержания пограничника с друзьями, продавшего анкеты «туристов» англичанам, по делу солсбери…
Раньше вроде погранцы это ФСБ были, сейчас не знаю, но именно так всё и происходит. Сливы любых документов «сотрудниками» это признак какой-то системной неадекватности силовиков. Похоже даже спецслужбы Зимбабве могут запросто прийти и за бабло под коньячок завладеть любым документом в России. Что это — не понимание своей ответственности или заведомо избыточный сбор данных специально предназначенный к продаже. Какой-то «день опричника» во всей своей красе «гусеницы».
Без законодательного запрета на сбор данных иного и не будет. Охранники, бесконечные анкетеры, фальшивые работодатели и кадровые агентства, даже в библиотеке у детей ксерокопию паспорта требуют… Все же понимают, куда весь этот поток копий документов идёт. Ну не можете избавиться от идиотов на службе, избавьтесь от документов — избыток документов ведет к избытку собираемых сведений и злоупотреблений ими. Государство могло избавится от паспорта, оставив лишь загран и водительские права, могло отказаться от десятка удостоверений личности, но оно даже трудовые книжки отменить не смогло, зато дополнительно ввело уэк и его клоны в регионах.Kirhgoff
31.10.2018 02:28А про какое задержание вы говорите? Я тут читаю фейсбук журналиста Сергея Канева, который из ЦУРа и который как раз копал солсберийских товарищей и он написал вчера вроде, что был вброс ФСБ об аресте пограничника и еще кого-то, чтобы выяснить реальные источники данных. Сказал всем сидеть спокойно. Это не одно и то же?
SergeyMax
31.10.2018 08:21А как этот «вброс» поможет выяснить реальные источники? Кто-то поднимет руку и скажет «вы не тех задержали, это сделал я»?
Kirhgoff
31.10.2018 08:27Ну его версия, что их коммуникации отслеживают и когда они попытаются связаться с настоящими чуваками (там же не сказали, кого взяли), чтобы проверить что свои в порядке, тут-то их и перехватят. Мопед не мой, просто забавно, что совершенно независимо (я его читаю, потому что он из моего родного города, я еще мальчишкой его местное телевидение смотрел) всплыла одна и та же новость.
SergeyMax
31.10.2018 09:02А, теперь понял, про кого вы. Сергей Канев — это же один из авторов расследования Bellingcat. Пойду почитаю.
Daddy_Cool
31.10.2018 03:00Сорокин написал это в 2006 году. Видимо о чем-то догадывался. Или прям точно знал, как все там э… обстоит.
Greendq
30.10.2018 23:42+1Оригинальная история произошла 18 лет назад. Стоимость GSM-станции на тот момент была на 2 порядка выше 1500 баксов :)
robux
31.10.2018 07:05Да причем здесь «GSM-станция»?! Речь об аналоговом телефоне у бабушки на кухне. Даже 18 лет назад можно было купить по «авито» мини-АТС Panasonic за 500 баксов и штатными средствами настроить перехват 411.
Но мне больше видится другая история: хакер действительно говорил с сотрудником АНБ (но не за кружку, конечно, а за неплохое «вознаграждение» и возможность «сотрудничать в будущем»).
С возрастом левая дурь у чувака из башки выветрилась, он позвонил по известной схеме (агент не просто так засветил канал) и попросился на работу с окладом $10000 чистыми в месяц в непыльном кабинете с неглупыми вежливыми дяденьками.
Ну а плаксивая история с кружкой — это PR-HR-отделы АНБ попросили уже проверенного штатного (внештаного?) сотрудника за премию в $20000 накалякать PR-статью, чтоб привлечь молодняк в агенство и заодно поумерить прыть юных борцунов с системой.Greendq
31.10.2018 10:24Ну так по поводу пиара — этим все занимаются. Вон, трансформеров, оказывается, министерство энергетики США спонсировало. Для повышения боевого духа у подрастающего поколения. Этим все страны балуются :)
MacIn
30.10.2018 18:28+1. Ну хорошо, встали мы на пару… или на кросс. Как сделать так, чтобы при наборе 411 звонок не ушел куда не надо?
Отдельная АТС, специализированная под такие перехваты?Calvrack
30.10.2018 18:33Так их же полно готовых — для тестовых целей… 20000р новая вот например — Fluke Networks TS25D, а с ебея вдвое дешевле.
Весь вопрос в том кому реально может быть нужен исходный код и зачем. Если исключить анекдот про «спасающего мир» АНБшника, и вопрос жизни и смерти, который разрешает нарушать процедуру, но запрещает привлечь автора как эксперта?TheShock
30.10.2018 18:51+1но запрещает привлечь автора как эксперта?
Может дело в «ошибке выжившего»? Есть сотни таких же людей, но которых официально привлекли как эксперта и они не могут рассказать эту историю из-за соглашения о неразглашении. И мы узнали только ту странную историю, где автора привлекли без такого соглашения
apro
30.10.2018 19:24+2Это может сработать только при условии, что автор статьи жил в отдельно стоящем доме, куда уходит своя пара медных проводов
В США, Коннектикут разве это может быть не отдельно стоящий дом на одну семью?
tvr
30.10.2018 16:53+17Ну нашли вы телефонный столб — дальше что?
Дальше поднимаем глаза вверх и видим сидящего в когтях и наушниках на столбе злоумышленника.
geisha
30.10.2018 21:15Полагать можно что скомпрометирована телефонная сеть, а злоумышленник сидит под ближайшим телефонным столбом.
Хз что там было на самом деле, но можно придумать 100500 способов верификации при которых этот трюк не пройдёт. Да и, вероятно, не стоило оно того.
AADogov
30.10.2018 16:58+4Я просто пытаюсь посмотреть на ситуацию критически. То чему нас учет сообщество хабр.
Никому не доверять.
Вот представьте вам в 2 часа ночи, позвонит незнакомый представится агентом ФСБ, ГРУ, и вежливо попросит вас исходники вашей программы, помощь в анализе данных этой программе. В целях национальной безопасности и все такое…
Что бы будете делать?ianzag
30.10.2018 17:08+7В прошлый раз я послал его нахер. Потому что 4 утра, суббота, и я хочу выспаться. Больше не звонил.
Sabubu
30.10.2018 19:13+3Не советую так поступать. В случае с сотрудниками ФСБ есть риск, что они применят спецсредства для получения нужных сведений.
cadmi
30.10.2018 19:48в аналогичном случае (и тоже 18 лет назад, правда речь шла не о моей программе и вообще не об исходниках) мне предъявили удостоверение :)
черт, не догадался попросить кружку, а сами не дали!
Konachan700
30.10.2018 16:58+4Самое главное: зачем это мошеннику? Стырить у никому неизвестного программиста никому не нужный код мало кому известной программы? Для спецслужб кейс запроса исходников выглядит нормально — нашли ноут в вещдоках и надо попробовать расшифровать, для мошенника тырить исходник — сумасшествие и дичь.
AADogov
30.10.2018 19:13+3Попробую ответить. Уж очень зацепила меня эта статья.
Вероятно злоумышленниками были нелегально получены(финансовые, технические, корпоративные и т. д.) очень важные данные зашифрованные этой программой. Код был получен из открытых источников. От автора планировалось получить дополнительную информацию и консультацию по расшифровке. Но необходимо это сделать это незаметно для всех, не скомпромитировать себя. Нужно сделать так чтобы автор до последнего думал что это спец службы и он помогает Родине.
Дальше жуткий офтоп, заранее прошу прощения.
Я не могу понять зачем была написана эта статья? Автор похвастался как помог АНБ получить нелегальный доступ к чужим данным. Причем насколько я заметил он сам сомневался в том что это АНБ.
Вообще это отличный кейс пример на курсе информационная безопасность как делать нельзя. И автор написавший не абы какую программу, а программу шифрования не мог этого не понимать.
AADogov
30.10.2018 17:16+3И еще.
Но одна вещь сидит у меня в голове все эти годы: как, чёрт возьми, Дэйв выследил меня за 3000 миль от дома посреди ночи в тот жаркий летний вечер в Бристоле, штат Коннектикут?
Для поддержания правдоподобности истории необходимо было продемонстрировать возможности спецслужб по розыску людей.
Очень просто. 4 июля — день независимости, национальный праздник. Предполагается что автор встречать его будет в кругу семьи. Где семья? Где родители? в Коннектикуте. Скорей всего атака планировалась заранее.
andrey_gavrilov
31.10.2018 09:10Отвечает Александр Друздь
(TL;DR:
1) бессмысленно, он им размеры некоторых заголовков только дал, прога не скомпроментирована
2) «But I know it was real [АНБ, А.Г.]» он с ними встречался несколько месяцев спустя (по не связанному с этим делу), и они его накормили бесплатным обедом, что, с учетом отсутствия угрозы проге — оверкилл в «заговороделанье»).
Kwisatz
30.10.2018 16:33+19Очень уважаю таких профессионалов которые даже будучи у власти все еще вежливы и учтивы. Особенно впечатлил момент про подтверждение личности.
Однако, про сам факт помощи тут есть нюанс: ровно с такой же вероятностью это мог быть ноутбук орнитолога-любителя, случайно заснявшего как условный сенатор делает нечто весьма нехорошее.Serge78rus
30.10.2018 16:45+1В чем, для спецслужб, смысл расшифровки данных с ноутбука орнитолога-любителя? Ну заснял он что-то такое, а спецслужбы как то об этом узнали. Но в этом случае достаточно уничтожить данные, зачем их расшифровывать то?
Wolframium13
30.10.2018 17:55+3Общался с нашими чекистами, тоже пугающе вежливые люди. Пока не начнёшь отказывать, я думаю.
kAIST
30.10.2018 23:52-1Подтверждаю ) обращались как то за помощью. Мог бы отказать, но было жутко интересно. Но никакую кружку не подарили...
sincosxy
31.10.2018 05:59И будут вежливы и ласковы настолько — Предложат жизнь счастливую на блюде.
Но мы откажемся… И бьют они жестоко,
Люди, люди, люди…
В.С. Высоцкий, «Песня Бродского»
Calvrack
30.10.2018 16:35+6Прекрасная история, а где-то на том конце провода орал в секретной тюрьме осведомитель Сноудена под ударами шокера.
Waxer
30.10.2018 16:42-6Пройдет немного больше 434 дня и первый самолет врежется в первую башню и никакой Дэйв, Майкл или еще какой урод из АНБ не сделает ничего, что бы это предотвратить.
methodx
30.10.2018 16:53Это мог быть вполне отдельный случай, который если бы могли предотвратить — обязательно бы предотвратили (по крайней мере я в это верю). Мы не можем этого знать, увы. Как и предотвратить каждую трагедию.
mkshma
30.10.2018 18:18-5Немного лень гуглить: почему самолеты не взорвали еще на подлете? Или они до самого конца выглядели для диспетчеров нормально и поменяли курс когда уже было поздно?
Sabubu
30.10.2018 19:15+6Почему их должны быть взрывать? Какими правилами гражданской авиации предусмотрен подрыв пассажирских самолетов? Ей-богу, вы какой-то бред пишете.
mkshma
31.10.2018 15:18Если он угнан террористами, то почему нет? Угнанный летательный аппарат летит в густонаселенный регион и не отвечает на позывные. Не вижу причин дать ему в принципе до населенного пункта долететь. А более эффективного способа, чем подорвать его, я не вижу.
JC_IIB
31.10.2018 15:23+1Если он угнан террористами, то почему нет?
Представьте, что вы сами находитесь в таком самолете — и вы найдете ответ на свой вопрос.mkshma
31.10.2018 16:22+2Так мне в любом случае хана в такой ситуации. Либо во что-то влетим, либо при попытке угона свалимся без топлива, либо нас довезут куда надо, а там либо прирежут, либо идите куда хотите, но посадят в такой дыре, что там ни еды, ни жизни на километры вокруг. Спецназ загнать на самолет нереально, договариваться уже поздно, так что любые варианты со спасением отпадают.
sud3n
31.10.2018 20:17Если самолёт не в воздухе, то еще как возможно загнать спецназ.
Для примера: Операция «Энтеббе». Из 105 заложников — 102 выжили.
vedenin1980
31.10.2018 16:09Во-первых, где гарантия, что самолет угнан, а произошел технический сбой, из-за которого накрылись средства связи и навигации?
Во-вторых, самолеты угоняли до этого десятки и, может быть, сотни раз, они пролетали разные густонаселенные районы, но никто из угонщиков в здания самолеты не направлял. А сбить угнанный летательный аппарат это гарантированная гибель сотен пассажиров.
cadmi
30.10.2018 19:51Ну чтобы долго не гуглить, вот вам, например, свидетельство очевидца из первого ряда партера (с которым я лично знаком).
Нахожусь уже над Holland Tunnel, на траверзе Canal Street, как вижу с противоположной стороны, где-то метрах на 500 идёт «737» (на первый взгляд), впринципе там он и ожидался, т.к. визуальный заход в Ла Гвардию проходит как раз по реке и сам факт нахождения авиалайнера там совершенно не ставился под сомнение, ну может чуть ниже чем обычно, тоже небось поглазеть хотел, но никаких подозрений он не вызывал.
www.maxho.com/index.php/maxhocom/8-main/479-wtc.html
Alcpp
30.10.2018 23:20Если бы предотвратили мы бы сейчас, через овер 10 лет даже не вспомнили об этом.
Mazumedroid
30.10.2018 17:54+2в аэропорту синая (египет) мы с сынишкой в зале отлета, после регистрации, немного расшалились. внезапно подошел человек в строгом костюме с бейджем и по-русски спросил меня, обратившись по имени, как у меня дела. меня удивило это, как и зачем он узнал мое имя? никто в слух его не произносил, этот случай произвел на меня впечатление…
а пройдет пару лет и охрана этого эропорта ничего не сделает для предотвращения взрыва нашего самолетаWesha
30.10.2018 18:24+6как он узнал мое имя?
Открыть базе билетов (доступ есть, раз сотрудник с бейджем), и найти русских (шалили, небость, с криками на русском языке) с одним ребёнком мужского пола, вылетающих в Россию рейсом, регистрация которого начнётся через час (обычно сильно заранее не приезжают), так неимоверно сложно?
и зачем
Kubatai
30.10.2018 18:38А всё потому, что они купили полную версию программы SafeHouse. Отличный рекламных ход!
le1ic
30.10.2018 17:00+1Чекисты всех стран всегда хорошие психологи, напустить туману, дать возможность почувствовать себя спасителем мира, а по факту в лучшем случае взламывали какого-нибудь нарика.
keydet
30.10.2018 17:14-3ЧКисты (точнее, их наследники) есть только в одной стране. Не совсем корректно их обобщать со спецслужбами других стран, хоть это и всего лишь придирка к терминологии.
McAaron
30.10.2018 17:11-9Интересно, когда речь идет о том, что АНБ должна иметь доступ к переписке, все на этом ресурсе только за. А когда идет речь о том что аналогичный доступ должна иметь ФСБ, слышен только недовольный протест. Вы что, совсем умом тронулись?
Juggernaut
30.10.2018 18:52+15Не бойся чужих, бойся своих.
Это правило жизни в нашей стране постигается не сразу и не всеми. Но тем не менее, да — АНБ не представляет угрозы для меня, даже гипотетической. А вот ФСБ в любой момент способна растоптать всю жизнь по любому непредсказуемому предлогу, даже самому нелепому. Хотя бы за пост в соцсетях.firedragon
30.10.2018 20:01+1Поедете вы на конференцию по формату PDF, и прямо в аэропорту вас возьмут и отведут на несколько суток непонятно куда. После поднятые на уши адвокаты и детективы найдут вас и после шума вам предъявят обвинение.
Реальная история.
hipposphaericus
31.10.2018 10:31+1Просто интересно — вы ведь не верите в то, что американские спецслужбы (ФБР, АНБ) могут арестовать вас лично в любое время в любой зарубежной стране? Даже гипотетически? И, вероятно, полностью верите в то, что именно русские хакеры повлияли на предыдущие выборы в США и что это именно их, «злобных русских хакеров», а не российских программистов, в последние годы отлавливает ФБР в разных странах? Вы в курсе сколько российских программистов (выехавших на отдых в туристические страны) уже успели арестовать по этому делу?
Whuthering
31.10.2018 11:47+1Конечно же нет, все "российские программисты" — исключительно святые люди все до единого, и даже подумать невозможно, что кто-то в чем-то может быть замешан, о чем вы.
hipposphaericus
31.10.2018 12:24Вы как-то опускаете сам факт ареста иностранных программистов в зарубежных странах по конкретному обвинению, цепляясь к одному отдельному термину. Вы считаете, что они все в чём-то виновны, даже если их вина не доказана? (их сажают для следствия, а не по факту доказательства их вины) Вне зависимости от «святости» — берут-то их за взлом американских выборов. Ваше мнение конкретно по поводу взлома — Трампа выбрали при помощи русских хакеров? Это достаточный повод хватать зарубежных граждан на чужой территории? Сноудэн вам тоже, видимо, не авторитет?
Whuthering
31.10.2018 12:36(их сажают для следствия, а не по факту доказательства их вины)
И? Так работают системы во многих странах, в том числе и в нашей. Сначала временное ограничение свободы на этапе следствия, если есть опасения, что подозреваемый сбежит от правосудия, потом следствие и суд.
Ваше мнение конкретно по поводу взлома — Трампа выбрали при помощи русских хакеров?
Я не знаком с полными материалами конкретного дела (более чем уверен, что и вы тоже). Но нет причин исключать теоретическую возможность этого.
Это достаточный повод хватать зарубежных граждан на чужой территории?
Вы так говорите, как будто если бы американские программисты вмешались в выборы в РФ и после по глупости приехали на территорию дружественных нам стран (с которыми налажено сотрудничество спецслужб), их бы по головке погладили, напоили чаем и отпустили с миром.
В любом случае, решительно непонятно, зачем вы пытаетесь устроить здесь клоунаду и сменить тему. Речь-то изначально была о том, что для того, что чтобы пострадать от «их» спецслужб, нашему человеку нужно достаточно сильно засветиться и потом куда-то поехать, а вот чтобы пострадать от своих-же спецслужб нашему человеку не нужно делать вообще ничего, достаточно просто проживать на территории страны.hipposphaericus
31.10.2018 22:54Так работают системы во многих странах, в том числе и в нашей
Назовите пару десятков случаев, когда российские спецслужбы хватали кого-либо на территории чужих стран. Тем более американских граждан.
Я не знаком с полными материалами конкретного дела
А я вам подброшу ссылочку на неполные материалы, ознакомьтесь. Кратко некоторые тезисы (на 5 декабря 2016):
«Практически никто не сомневается, что пересчет, которого потребовала в Висконсине, Мичигане и Пенсильвании кандидат Партии зеленых Джилл Стайн, не изменит исход президентских выборов, принесших победу республиканцу Дональду Трампу.»
«2 декабря президент Центра по предотвращению преступности Джон Лотт… отметил, что американские машины для голосования не соединены с интернетом, поэтому отдаленный хакер вломиться в них не в состоянии.»
«Хакер, конечно, может забраться в машину на избирательном участке. Но в одной Пенсильвании их 25 тысяч штук, поэтому вламываться в них в розницу вряд ли рентабельно.»
«Марк Элайяс, главный юрисконсульт штаба Клинтон, описывал на сайте Medium, как последние две недели ее люди потратили массу времени и сил на то, чтобы выявить признаки российского взлома и прочих манипуляций голосованием, и заключил, что они не нашли доказательств проделок хакеров из России.
На днях… разведорганы США пришли к аналогичному заключению.»
А теперь у вас какое мнение об этом вопросе?
Речь-то изначально была о том, что для того, что чтобы пострадать от «их» спецслужб, нашему человеку нужно достаточно сильно засветиться и потом куда-то поехать
Речь изначально именно об этом. Нет массовых примеров попадания в российскую тюрьму иностранных граждан прямо с отдыха в Греции, на Кипре, Цейлоне, в Чехии, Испании, Таиланде etc. Наоборот — вы можете спрятаться от ФСБ в любой из этих стран. Даже не знаю какая страна вас вообще выдаст по запросу наших спецслужб. И есть массовые обратные примеры со стороны американских спецслужб. При это лично вы — понятия не имеете, насколько реально виноваты эти люди, но почему-то защищаете ФБР, наплевав на презумпцию невиновности (а их вина не доказана даже для ФБР, не то что для вас — они только подозреваемые, но уже сидят в тюрьмах в Штатах).
Есть факты захваченных и сидящих в Штатах наших граждан. Это факт — с ним не поспоришь. И нет доказательств, что сидят они там за дело (потому что есть и обратные утверждения, что их просто подставили, и проверить мы с вами этого не можем, а значит по презумпции невиновности, пока нам однозначно не доказали чью-то вину — мы не считаем человека виновным).
Если лично вы больше боитесь ФСБ, чем ФБР — это ваши личные фобии (или личный опыт). Но утверждать, что наших надо бояться больше, чем АНБ — фактически оскорбить Сноудэна и сами спецслужбы США, считающие себя всесильными и вседозволенными почти на всей планете. Особенно в курортных зонах, облюбованных нашими согражданами. И «светиться» вам при этом совсем не обязательно — базы данных итишников раскиданы от форумов до открытых списков работников организаций на сайтах.
P.S. Оскорблять оппонента, продвигая своё лично имхо как единственно верное мнение по спорным вопросам, особенно если «Я не знаком с полными материалами конкретного дела» — это и есть клоунада, с вашей стороны.Whuthering
01.11.2018 11:29Назовите пару десятков случаев, когда российские спецслужбы хватали кого-либо на территории чужих стран. Тем более американских граждан.
Да Литвиненко, например, который, кстати, был гражданином Великобритании. Его даже не схватили, а убили.
Наоборот — вы можете спрятаться от ФСБ в любой из этих стран.
Для этого нужно сначала покинуть границы нашего государства, которые, кстати, контроллируются ими же. Если вами уже занялись, то вероятность успеха здесь явно не такая уж высокая.
Но утверждать, что наших надо бояться больше, чем АНБ — фактически оскорбить Сноудэна и сами спецслужбы США
Вопрос теперь к вам: назовите пару десятков случаев, когда американские или любые другие иностранные спецслужбы арестовывали граждан РФ на территории РФ.
Ну хотя бы один, а остальные просто посчитайте. И сравните количество этих случаев с количеством арестов российскими спецслужбами своих же граждан на своей же территории. Это и будет ответ на вопрос «кого больше следует бояться гражданину РФ в своей стране».hipposphaericus
01.11.2018 14:02сравните количество этих случаев с количеством арестов российскими спецслужбами своих же граждан на своей же территории. Это и будет ответ на вопрос «кого больше следует бояться гражданину РФ в своей стране»
ОК. Приведите пожалуйста статистику арестов ИТишников нашей ФСБ по причине, связанной с профессией, и лучше в процентах от количества работников данной сферы (можно попробовать даже сравнить количественно данную статистику со статистикой арестов наших программистов ФБР). А затем общую статистику попадания граждан России в ДТП. Это и будет ответ на вопрос «кого больше следует бояться гражданину РФ в своей стране». У нас исчезающе мал шанс быть арестованными нашей ФСБ только по причине того, что ты программист, шансов получить травмы или погибнуть на дороге — гораздо больше. Вы продолжаете её бояться? Может быть в вашем кругу проводились массовые аресты программистов по ложным обвинениям в хакерстве, отсюда такой негатив? Тогда расскажите об этих вопиющих случаях, чтобы у меня были факты на руках и я перешёл на вашу сторону.
P.S. Про пример с Литвиненко — спасибо, посмешили. Зато теперь понятно чью пропаганду вы продвигаете. Теперь ещё Солсбери приплетите для полноты картины.Whuthering
01.11.2018 14:13А затем общую статистику попадания граждан России в ДТП.
Это вообще не имеет отношения к теме обсуждаемого вопроса. Или вы плавно переводите тему на «автомобилистов какой страны стоит больше бояться людям»?
Прекратите уже пытаться менять тему. Разговор начался и идет про риск пострадать от силовых структур, а не про что-то иное.
У нас исчезающе мал шанс быть арестованными нашей ФСБ только по причине того, что ты программист
Зато есть шанс быть арестованными по причине того, что ты гражданин. Смело вычеркивайте слово «программист» из контекста обсуждения, оно здесь вообще ни к чему. Например, дела по дутым обвинениям в «экстремизме» и «терроризме» возбуждают вне зависимости от профессии. От рода деятельности могут зависеть не менее дутые дела про «гостайну», а также связанные с политической позицией и с отжимом бизнеса — там все еще гораздо хуже, но ограничимся пока первой категорией.
Еще раз: для того, чтобы программисту попасть в зону риска пострадать от иностранных спецслужб, нужно как минимум намеренно уехать в другую страну. Для того, чтобы человеку любой профессии попасть в зону риска пострадать от своих же, достаточно просто находиться на территории родной страны. А за ее пределы еще и не выпустят, в случае чего.
Про пример с Литвиненко — спасибо, посмешили.
Если вам хочется смеяться над вполне серьезными вещами, то у меня есть опасения за ваше здоровье.
Зато теперь понятно чью пропаганду вы продвигаете.
И где здесь пропаганда? Вы всё, что не вписывается в вашу картину мира сразу кличете пропагандой?
nerudo
30.10.2018 20:26+2А кто здесь «за»? Никто просто особо не возмущается, т.к. это далекая от нас проблема.
Vsevo10d
30.10.2018 17:12+9История в стиле исследований природы власти и авторитета Филиппа Зимбардо. Человек на 95% был уверен в серьезности происходящего только потому, что «никто не знал, что он у брата дома». Да существует куча способов, от GPS-трекера до преследования на машине, чтобы узнать, что он дома у брата. Я не говорю, что это был пранкер Вася, но вполне могли быть военные без такого уровня допуска, чтобы просто так просить исходники под предлогом государственной важности, а вовсе и не АНБ.
esc
30.10.2018 17:33+1А какой уровень допуска должен быть, чтобы попросить исходники? Любой человек может это сделать.
Vsevo10d
30.10.2018 23:07Но законно получить под предлогом важного расследования — не каждый.
Думаю, будь это и правда АНБ, к человеку пришли бы лично, показали бы удостоверение и заставили подписать всяких конфиденциалок и неразглашений, и нехило взгрели бы уже за эту статью, которую нам тут перевели.esc
31.10.2018 00:27Попросить может каждый. А предлог, он от точных формулировок зависит. Проблема была бы разве что из-за того что вояка представился АНБшником, но опять же, это если бы было какое-то расследование по этому поводу.
А по поводу пришли бы лично, я думаю, вы плохо понимаете как работают спец. службы. Там тоже люди, они ценят свое время, не умеют телепортироваться и в целом ресурсы у них могут быть хоть и большие, но не бесконечные. Если можно решить вопрос быстро и без шума, то его так и будут решать. Далеко не каждый аспект там супер-секретный, чтобы ради него спец. операцию организовывать.
А взгревать за статью о неком Дейве который позвонил почти 20 лет назад, это особенно странно. Что такого в статье? Люди из АНБ умеют звонить другим людям и о чем-то с ними говорить? ужас какой, все покровы сорвали.
Habra_nik
31.10.2018 02:43> Думаю, будь это и правда АНБ, к человеку пришли бы лично
Не. Эти с людьми общаются крайне редко и никогда лично ( кроме шишек, но шишки не знают ничего существенного ). Шуточная расшифровка NSA — No Such Agency.
Vasily_T
30.10.2018 17:46Многие говорят что им наплевать на то какие данные о них есть в сети,
но любой может совершенно просто найти почти любого человека в инстаграме, фейсбуке и т.п. и чучуть напрягшись составить вполне себе реальный профиль — поездки, интересы, внешность. Сейчас это намного проще чем в те года, но и тогда достаточно было позвонить на работу, чтоб узнать где отдыхает человек.esc
30.10.2018 18:01+3Да, только теперь мало кого удивит, если ему позвонят и скажут, где он.
Даже тем, кто не сильно в теме, СМИ довольно доходчиво доносят, что через соц. сети весьма просто «спалить» свое местоположение (регулярно публикуя фейлы от политиков и чиновников, которые рассказывают как они напряженно работают, а в тегах светится очередная Ницца).
Недавно со мной курьезный случай произошел. Внедорожная экспедиция в горах, целых день пилили, доехали до какого-то хутора, где даже моб связь не ловит, на ночевку. При чем, планы поменял в самый последний момент, должен был останавливаться в 15 километрах севернее.
Садимся ужинать, подходит «официант» (паренек помогал хозяйке на стол накрывать). Говорят, вас к телефону, из СБУ. Я удивился, но попросил уточнить кого конкретно ищут. Уже представлял доблестного сотрудника, глядящего на меня прямо через спутник и вспоминал, что такого от меня могло понадобиться СБУ.
Оказалось, что ищут некого Валентина, с нами в группе такого не было. И вообще походу номером ошиблись. А возьми я трубку сходу, гляди и тоже какие-то исходники бы попросили))
Sergio_Palermo
30.10.2018 18:16+5Есть предположение, что текст является выдумкой маркетолога, ну или даже самого автора программы с целью раскрутки своего продукта. А что? Все слагаемые рекламного текста на месте: наименование продукта, цена, предполагаемая выгода для потребителя.
А был ли Дэйв? Ведь кружку можно просто купить в сувенирном магазине.sim31r
30.10.2018 23:48Или как в фильме «Игры разума», фантазии неотличимые от реальности.
Или розыгрыш друзей, чтобы вывести автора из депрессии. Предварительно позвонили в справочную и попросили девушку дать номер «секретной лаборатории» когда спросят. Вроде она не нарушила устава, спросили телефон, продиктовала телефон, что и требуется по работе. Кружка как-раз дружеский признак, по работе, за типовую помощь маловероятно чтобы заморачивались с подарком.
amarao
30.10.2018 18:34+10Человек с гордостью рассказывает как помог получить нелегальный доступ к чужим данным. Он был легальным? Может быть, судебное постановление или два чуть-чуть улучшат легитимность произошедшего? Но нет, звонки, секретные кружки, социальная инженерия для получения доступа к сырцам.
mkshma
30.10.2018 18:49+3Так дело-то не в том. Если бы софт был написан добротно, то и исходники бы ничем не помогли. Так что помог он задолго до этой истории и непреднамеренно (что нисколько не умаляет его вины).
Neikist
30.10.2018 19:29Вообще не вижу проблем. Полноценная версия и шифровала сильным ключом. А то что в бесплатной слабый ключ использовался — ну так все логично, хотите большей надежности — платите, а если достаточно бесплатной версии от родителей порнушку прятать — так прячьте на здоровье, и такого хватит, может когда потребуется более качественная защита такие прятальщики о софтинке вспомнят.
DGN
30.10.2018 19:14+1А в чем нелегальность? Позвонил и попросил. Не угрожал, не ссылался на нормы закона, реальные и мнимые.
amarao
31.10.2018 12:57Нелегальным был доступ АНБ к чужим данным. Если бы он был легальным, они бы могли использовать более открытые и оставляющие следы методы. Например, официальное письмо. Такое же вежливое, но дающее что-то, кроме сувенирной кружки в финале в качестве доказательства.
MacIn
30.10.2018 18:38+1Интересная культурная особенность: человек сразу без разговоров доверился своим спецслужбам, поверил в их благие намерения (родина опасносте сынок) и пошел на сотрудничество. Интересно — произойди такая история у нас — как бы человек реагировал? А главное — как бы на его согласие реагировали окружающие. Сдается мне, комментарии на Хабре были бы заполнены огульным неодобрением.
Whuthering
30.10.2018 18:53+7Тут скорее весь вопрос в репутации этих самых служб и доверию людей к ним. Наши, например, у нас под боком, с ними давно все ясно, а некоторые даже имели с ними дело лично. В конце концов, у нас в стране сотни тысяч семей пострадали от «деятельности» этих самых служб в прошлом веке.
Аналогично с репутацией и доверием государству в целом.MacIn
30.10.2018 19:42-6В конце концов, у нас в стране сотни тысяч семей пострадали от «деятельности» этих самых служб в прошлом веке.
Не поддерживаю реабилитацию скопом, без конкретных разбирательств, а без этого о сотнях тысяч семей говорить не приходится.Calvrack
30.10.2018 19:46+2А я вот не поддерживаю осуждения и массового переселения скопом. Такой вот внутригражданский конфликт.
MacIn
30.10.2018 20:01-2Это вопрос законности. Реабилитация по политрешению вместо пересмотра дел по одному с выявлением конкретных процессуальных нарушений противоречит закону, как букве, так и духу, так сказать. Переселение как гуманная альтернатива ВМН в условиях военного/послевоенного времени для малого народа — совершенно другое дело.
Уточню, если покажется, что применяется двойной стандарт: детальная «адресная» реабилитация — возможна, а законное «адресное» применение ВМН при сохранении малой народности — нет.Gutt
31.10.2018 14:42Нет. Внесудебный («тройки») характер разбирательств, зачастую без привлечения обвиняемого, автоматически свидетельствует о недопустимой произвольности вынесенных решений, а необоснованные решения должны быть отменены. Если хотят, пусть устраивают повторное разбирательство, на этот раз следуя действующей на данный момент процедуре.
Sabubu
30.10.2018 19:18+8Наши спецслужбы в основном занимаются поиском инакомыслящих и охраной трона, оттого к ним такое отношение.
MacIn
30.10.2018 19:48-2Простите, у вас есть какие-то фактологические (желательно в виде числовых данных) подтверждения «наши спецслужбы в-основном занимаются поиском инакомыслящих»? Или это просто ваше ощущение, ошибка выжившего и пр.?
arielf
30.10.2018 22:52Ну как-то так например Организаторы ЛГБТ-кинофестиваля обвинили полицию в срыве показа. И инакомыслием не назовёшь, а всё равно вычислили и сорвали.
Eldhenn
31.10.2018 10:09-1А какие спецслужбы занимаются чем-то другим?
Eldhenn
31.10.2018 11:58Ответ на вопрос будет? Какие спецслужбы занимаются не преследованием инакомыслящих и не охраной власти?
Whuthering
31.10.2018 12:12Вы принципиально разные случаи называете одинаковыми словами. Не надо так.
В одном случае работает система сдержек-противовесов и контроль со стороны гражданского общества, и преследуют террористов, радикалов и прочих неадекватов, в других случаях же случаях этого нет и тогда преследуют просто не согласных с линией партии и не боящихся открыто и конструктивно говорить об этом.
То же самое с «охраной власти» — все зависит от отношения народа к этой самой власти и уровнем ее легитимности в целом.Eldhenn
31.10.2018 14:37Это вы принципиально разные вещи называете одинаковыми словами, и смешиваете между собой механизм и цели.
Neikist
30.10.2018 19:35+5Проблема в том что про наши регулярно слышишь всякую хрень, плюс либо сталкивался сам, либо сталкивался один из знакомых или родственников. Причем если про спецслужбы еще куда ни шло отзывы, про МВД вообще швах. В случае же с ФБР, АНБ и иже с ними репутация даже несмотря на сноуденов и гуантанамо всяких заметно лучше (у полиции опять же репутация получше чем у нашей). Да к тому же их спецслужбы меньше бредовой законодательной инициативы проявляют, хоть и не безгрешны. И самое главное — родное ФСБ на меня куда больше повлиять может, и я ему скорее всего больше интересен чем какому то АНБ, для АНБ я всего лишь статистика в их анализах данных, а для ФСБ скорее конкретное лицо.
MacIn
30.10.2018 19:54Получается, все сводится к тому, что о деятельности, условно, ФСБ мы знаем много — втч и о плохих сторонах их работы, а о АНБ не знаем ничего. И если кто-то кого-то держит в тюрьме незаконно, пытает в каком-то Гуантанамо, то это далеко, не у нас, вообще давно и неправда. Как верно выше сказали — пиарщики у «партии и правительства» так себе.
Whuthering
30.10.2018 19:55+4Очевидно же, что то, что происходит у нас, нас волнует и должно волновать гораздо больше. А американцы уж сами со своими проблемами разберутся.
arcman
31.10.2018 07:52Отличные у них пиарщики, одни из лучших в мире. Большая часть страны считает что Путин молодец, не имея на это объективных причин.
Sabubu
31.10.2018 14:27+1Любые пытки — это отвратительно и с ними надо бороться. Но нам в России то, что делают наши спецслужбы, ближе.
А российское ФСБ пытает задержанных программистов током. Мы с вами вряд ли в Гуантанамо попадем, а вот в ФСБ — вполне реально, особенно в случае неосторожных высказываний в Интернете.
Ну и убийство нашими спецслужбами своих граждан за рубежом, да еще и с применением химоружия — тоже некрасивая страница истории.
chouck
31.10.2018 03:42Пендосы — в основной массе уникальные патриоты до мозга костей, в отличии от нас априори ненавидящих любую власть и органы
kAIST
31.10.2018 00:00-3У меня была история, когда обращались за кое какой помощью ФСБ. Нормально среагировал. И нормально реагировали те, кому об этом рассказывал. До сих пор по некоторым вопросам общаемся, вполне себе вежливые и адекватные люди.
konchok
30.10.2018 18:56-2«Пожалуйста, слушайте внимательно и не вешайте трубку»
Нормальный человек послал бы мусоров за ордером и спать пошёл. Но не этот чуви.
amaksr
30.10.2018 19:34+1Может не было никакого звонка, а чувак все придумал чтобы пропиарить свою прогу. Получилось вирально, разошлось по всем профильным ресурсам, а проверить все равно невозможно. Чувак молодец, не зря в профайле написал про себя «Serial Founder».
le1ic
30.10.2018 21:50Не думаю. Эффект тут слабый. Вряд ли после прочтения всей этой истории кого-то озарит, что ему нужно шифрование файлов.
SergeyMax
31.10.2018 08:30А что он должен был написать у себя в профайле, чтобы вы сказали «действительно какая интересная история, скорее всего так и было, не зря в профайле написал про себя...» Приведите пожалуйста примеры.
AstorS1
30.10.2018 21:18+6Случай из моей практики.
~ 2001-2 год. Суббота, 07:30 утра. Звонок в дверь, супруга пошла открывать. Испуганная приходит в спальню, говорит, что это ко мне. Надеваю шорты/футболку выхожу в коридор и удивляюсь: стоит полковник милиции и два ОМОНовца в брониках, касках и с автоматами. Да, мы с женой такого не ожидали!
Полковник очень вежливо просил перезвонить директору компании, в которой я работал. Ребёнок был маленький и звук моб телефона на ночь я отключал. Как выяснилось, из нашей телефонной сети был совершен вызов о минировании городских объектов, Ростелеком не мог знать, где установлены телефоны нашей сети небольшого регионального оператора и сообщил контакт нашего директора, который названивал уже мне.
Быстро одевшись, поехали с мигалками на работу. Место установки телефона по данным техотдела определили, CDR отгрузили на диск.
К счастью, сообщение оказалось ложным. Абонент бухал с вечера пятницы всю ночь с друзьями и под утро решили развлечься… выходные были сорваны.
Благодарственное письмо на компанию от УВД за содействие при проведении ОРМ и воспоминания до сих пор.
StickyBit
30.10.2018 22:05Дейв оказался не очень щедр. Такая чашка продается в сувенирном магазине при музее АНБ за десять баксов.
vlsinitsyn
30.10.2018 22:52О, я знаю похожую историю про того самого Дэйва в России. Звонок разбудил ночью сотрудника погранслужбы Северо-Западного региона… Далее, от первого лица:
Звонивший извинился за поздний звонок и сказал, что его зовут Дэйв. Он попросил взять ручку и бумагу, потому что собирался дать несколько важных инструкций, которые позволят подтвердить его личность. И тогда ошеломил меня фразой: «Это вопрос национальной безопасности».
Некоторые из моих родных начали собираться рядом с кухней, где я стоял у стены с телефоном. Чёрт возьми, что происходит? Я посигналил брату принести ручку.
Я пытался осмыслить происходящее. Как ни странно, даже не догадался спросить у Дэйва, как он получил этот номер. Мужчина казался серьёзным и говорил авторитетным голосом; думаю, я уже поверил, что он имеет на это право.
…
Оказалось, что сотрудникам безопасности необходим доступ к файлам по выездам двух граждан РФ.
…
У них ситуация с национальной безопасностью, требующая немедленного доступа к этим файлам, и им нужна моя помощь. А конкретно, если я им помогу, возможно, они получат доступ к файлам быстрее, чем без моей помощи. Время имело существенное значение: отсюда и звонок посреди ночи.
…
Если АНБ не получит доступа к файлам, случатся неприятности. Может, умрут люди
…
Я упоминаю вежливость Дэйва, потому что она казалась необычной и особенно странной — он был слишком приятным. Казалось, что он предполагает или готов принять отказ. И если бы на его месте был кто-то иной в другой ситуации, так бы и произошло. Но здесь казалось, что дело важное, и просто нет времени на обсуждение.
…
Через несколько дней я вернулся на службу, и в моём офисе стояла коробка без опознавательных знаков, с указанием моего имени. Внутри, завёрнутая в белую папиросную бумагу, лежала синяя чашка для кофе АНБ с рукописной запиской на обычной белой бумаге: «Спасибо. Дэйв».
P.S.
ФСБ РФ провела массовые мероприятия в отношении частных сыщиков и просто лиц, занимающихся продажей выписок из «закрытых» баз данных, в первую очередь, предоставлявших информацию о перемещении граждан через границу, а также из базы «Роспаспорт» и из базы ФНС об имуществе россиян.
«По моим данным, прямо на рабочем месте были задержаны сотрудник погранслужбы в Северо-Западном регионе и сотрудник одного из подразделений ФНС. Первый, как полагают, продал информацию о перемещении за границу Петрова, Боширова и ряда других лиц», — рассказал источник агентства.Kirhgoff
31.10.2018 02:50Выше уже писал, читаю журналиста Сергея Канева из ЦУРа, который как по Солсбери работал и личности Петрова и Боширова выяснил, он утверждает, что это слив ФСБ, чтобы заставить их связаться с реальными источниками, говорит, что все в порядке и никого не брали.
arielf
30.10.2018 22:55-1И я хочу кружку из АНБ! :3
xitt
31.10.2018 04:56www.amazon.com/11-ounce-NSA-NATIONAL-Multi-color/dp/B01B6MBZG8/ref=sr_1_3?ie=UTF8&qid=1540950979&sr=8-3&keywords=nsa+mug, но можно и в музее купить, старички-ветераны будут только рады продать.
TimsTims
30.10.2018 23:32Прочитав Дейв сразу вспомнил этого:
Заголовок спойлераchouck
31.10.2018 01:54развели как лоха, очевидно и время звонка и ситуация наиграна. Зато все довольны. NSA выдумали историю и важность и получили исходники и облегчили свои усилия по расшифровке файлов на будущее а наивный СТО кружку с которой пылинки сдувает и гордится непонятно чем?
VDG
31.10.2018 03:24АНБ пишет же инструментарий для взлома всего подряд. Вот и дали этому Дейву задание написать соответствующую утилиту. Но ведь всё проще, когда у тебя есть исходник. Ночь, начальство спит в кресле, почему бы не позвонить.
Кстати, взлом слабостойкой защиты должен выполняться на суперкомпьютерах, а не путём выпрашивания исходников, особенно будь реально речь о «родина опасносте». Даже сам автор говорит, что хакер на одной машине вскроет за два дня. Масштабировав же на 10 тысяч высокопроизводительных машин, получат результат моментально.F0iL
31.10.2018 10:26Чтобы ломать слабостойкую защиту перебором на суперкомпьютерах нужно знать, каким алгоритмом произведено шифрование. Причем знать именно конкретный вариант, т.к. даже стандартный общеизвестный алгоритм может быть как-то модифицирован разработчиком или содержать ошибки в реализации, из-за чего поменяется выходной результат. Именно поэтому, подозреваю, им могут быть нужны именно эти исходники, а иначе это будет тыкание пальцем в небо без какого-либо эффекта.
helgp
31.10.2018 10:31Bethesda, MD — это густонаселённая пешеходная часть столичного Вашингтона. Для «базы» NSA место неподходящее, да нет там её. Штаб-квартира NSA находится в Fort Meade, MD. Это недалеко, но таки за городом, там люди пешком не ходят. Географически они как Мытищи супротив Речного в Москве, перепутать невозможно. В Bethesda, MD есть «NSA», только это «Naval Support Activity», госпиталь для военных моряков в орбите NIH.
Опять-таки, зачем звонящему раскрывать своё местоположение, оно же не было использовано для верификации, да и судя по рассказу, звонивший был не склонен раскрывать лишние детали.
Моё мнение: захватывающая история придумана рассказчиком для рекламы своей программы. Но история хороша.
marperia
31.10.2018 10:31Меня одного смущает возможность (at least, не опровергнутая) АНБ уже в начале нулевых взломать 256-битное шифрование?
F0iL
31.10.2018 10:38Про возможность взлома 256-битного ключа нигде не сказано. На все вопросы об этом незнакомец хранил молчание :)
И вот тогда Дэйв признался, что у чувака на ноутбуке shareware-версия. Что, серьёзно? Это всё меняет. Условно-бесплатная версия поддерживала только слабенькое 40-битное шифрование.
RAF
31.10.2018 11:03Как всё же отличается менталитет. Даже если бы ФСБшник сделал всё точно так же, как в рассказе, то сейчас тут был бы пост, про кровавую гебню, которая забрала угрозами исходники.
nmrulin
31.10.2018 11:46+2Так мы же не знаем, для чего ФСБ будет использовать. Может для расшифровки переговоров оппозиции Императору.
nmrulin
31.10.2018 11:45+2Да уж, у нас бы не стали мучиться со сложной системы звонков. Повязали бы притащили в отделение. И потом бы уже «убедили» бы выдать код.
Ascar
31.10.2018 13:51Одно не пойму, вне зависимости от исходников все равно ломать ключ надо. То есть достаточно было сказать какой алгоритм и длина ключа, не?
F0iL
31.10.2018 14:00Нужно знать именно конкретный вариант, т.к. даже стандартный общеизвестный алгоритм может быть как-то модифицирован разработчиком или содержать ошибки в реализации, из-за чего поменяется результат его работы.
Inanity
31.10.2018 14:05Понимание того, что именно перебирать сильно ускорит процесс. Например, как в Truecrypt или Veracrypt, если предположить, что контейнер шифруется 256 битным ключом, а сам этот ключ хранится в заголовке в зашифрованном виде с помощью 40-битного ключа, то атака на контейнер ничего не даст. Потому, что сначала надо быстро атаковать заголовок зашифрованный 40-битным ключом, а после этого, получив 256-битный ключ контейнера, получить доступ к данным.
nafikovr
31.10.2018 14:52еще, как вариант, сама программа может иметь неоптимальную для перебора архитектуру. знание же алгоритма позволит собрать более оптимальное средство для взлома.
jetcar
31.10.2018 16:44если алгоритмы шифрования общедоступные и их реализовать можно на любом языке, то какой толк в исходниках? есть ключ и есть алгоритм на выходе всегда одинаковый кусок независимо в какой программе всё шифровалось, разве нет?
F0iL
31.10.2018 18:09Даже стандартный алгоритм может быть модицирован автором программы или содержать ошибки в реализации.
jetcar
31.10.2018 18:27трудно себе это представляю, ведь обычно всё тестируется как минимум, тоесть надо же потом это всё расшифровать и вот тут всё сломается если зашифровано не так, а сломать одинакого и шифрацию и дешифрацию случайно довольно сложно, а с модификацией понятно, но непонятно зачем, вот в ключ вставить чтото своё это другое дело
berez
31.10.2018 19:01Почитайте книжки про криптографию (того же Шнайера) — там обычно в красках расписывается, где и как может облажаться автор софта. И никакое тестирование ему не поможет.
У Шнайера есть хорошая аналогия: криптография — это офигенно прочная дверь сейфового типа. Чтобы ее взломать, нужно потратить очень много усилий. Вот только если вы вставите эту дверь в стену из говна и палок, то вор даже не будет пытаться взломать дверь — он может просто ударить ногой по стене и войти рядом с дверью.
Аналогично, если ключик от двери лежит под ковриком — то тоже не обязательно дверь ломать. Ее можно просто открыть ключом. :)
Возвращаясь к криптографии: автор мог неудачно применить криптографическую функцию, в результате чего ее взлом займет не сотни лет, а несколько минут. Например, использовать слабый ключ (аналог стены из говна и палок: слабые ключи ломать легче, чем перебирать все возможное пространство ключей). Или вообще пароль положить рядом с зашифрованной информацией, слегка прикрыв его от любопытных глаз (аналог ключа под ковриком).
а с модификацией понятно, но непонятно зачем,
«PS: Маша, срочно тащи чемоданчик с документами к проходной — там будет ждать курьер с балаклавой на морде».
sim31r
31.10.2018 19:02сломать одинакого и шифрацию и дешифрацию случайно довольно сложно
Сеть Фейстеля достаточно похожа в работе как на шифрование, так и дешифрование, порядок действий только обратный.
Exponent
31.10.2018 16:58Чашечка-то может быть необычной, заряжаться от разницы температур и записывать сигналы клавиатуры или излучение дисплея, в общем лучше б он ее выкинул.
Andrey-072
31.10.2018 22:10Всё было хорошо, пока не дочитал до вопроса — «Как же они меня нашли???» Это из какой газеты статья-то?
greensky
01.11.2018 11:55Лучшая реакция человека на сообщение по телефону «Слушайте внимательно и не вешайте трубку» в сочетании с кучей инструкций, которые он обязан почему-то немедленно выполнить — … немедленно повесить трубку, а если будет звонить опять — сообщить в полицию о хулиганстве. Если АНБ все-таки достучится и «подтвердит свою личность» — требовать своего адвоката, и если точно не хотите дальнейшего общения на коммерческой основе (см. ниже) — вообще стараться включать в этот процесс максимум друзей и знакомых (твиты, блоги и т.д.). Это вполне законно: я не являюсь сотрудником АНБ, доступа к секретной информации у меня нет, он мне ее сообщить не вправе (следовательно, все, что я разглашаю — не секретно).
А если все же есть желание общаться с Дейвом — в такой ситуации логично было бы потребовать оплату передаваемых исходных кодов. АНБ запрашивает или нет, а данный сорс — это коммерческий продукт, плод труда программистов, и если кто-то хочет получить его — он должен быть оплачен.
Если бы Дейв начал кочевряжиться насчет оплаты — поинтересоваться у него, действительно реальна ли угроза взрыва или чего-то подобного (раз у него есть возможность тянуть время и торговаться), или он просто словил свою жену с любовником, и хочет расшифровать ее ноут, чтобы иметь компромат при разводе.
roboter
А мог бы попросить машину с мигалкой!
nerudo
А мог бы получить 300 грамм тротила ;)
robux
А мог бы получить 20 лет строгача "за хранение наркотиков".
P.S. Интересно, сколько АНБ заплатила копирайтеру за пиар "конторы".
Я даже укутался во флаг США и немножко поплакал:
— Ах, как жаль, что суровые парни не пригласили его работать в АНБ!..
solarplexus
Где гарантии, что ему звонил не террорист? Просто, выложить все исходники незнакомцу… Тупые «преступники»…
allcreater
Так пишут же, что специально предложили перезвонить на официальный номер базы. Если номер и правда публичный, это неплохое подтверждение, как мне кажется.
nafikovr
думаю Митник с вами не согласится
sim31r
Можно договориться с девушкой в службе поддержки, или методом социальной инженерии дать ей новый номер, типа «запиши: секретная лаборатория это номер такой-то», это же просто телефонный номер, вряд ли их проверяют досконально.
ikormachev
Уверен, что в 2000 году у этого парня в доме была аналоговая линия и подключить к ней свою собственную АТС для фрода не представляло проблем.
jetcar
его нашли в гостях, если они знают где он то на домашний телефон надеяться последнее дело, но когда адреналин играет мозг обычно не очень работает. нет нислова о самой передаче исходников, вот тут как раз таки самое интересное, как и кому передать чтоб не отдать кому попало
nochkin
Это был просто повод подарить чашку с закладкой. Такая обычная чашка «с ушами».
В АНБ их продают в сувенирном магазине на защищённом объекте в секции «для подарков».
sim31r
Сколько она проработает? Там нет места для аккумулятора. Да и в те годы пошли сотовые телефоны, все методы прослушки устарели сразу, зачем ставить прослушку, если есть мобильные телефоны…
Larick
так ведь есть же пассивные устройства, которым аккумулятор не нужен в принципе.
tvr
Да, и не так давно здесь же (на Хабре), описывалась старая история с деревянным подарком пионеров-рукодельников представителям Дяди Сэма.
Larick
Собственно, вот эта статья: «Аудиогаджет специального назначения: ценная “вещь” для посольства США»
engine9
Ого, одна история прохладительнее другой.
Хороший пост.
legolegs
На случай если кружка используется по назначению можно встроить термоэлектрический генератор. Правда, тут автор истории нас с АНБ переиграл и чай из кружки пить не стал.
UpperKot
Дружище, твои рассуждения столь наивны и чисты, как у меня 60кг и 10 лет назад.
Читай:
habr.com/company/pult/blog/418959
nochkin
Она работает на энергии тепла рук и кинетической энергии жидкости внутри.
Ведь за чаем проходят самые интересные беседы.
А что телефон? Телефон пришёл и ушёл, а вот кружка от АНБ будет бережно стоять на полке.
Deesy
А ведь можно было всего лишь раз разогреть кофе в этой кружке в микроволновке убрав тем самым все "уши", и далее пусть стоит много лет глухим сувениром.