Вероятно, мне просто повезло и тот, кто ранее нашел флаг в другом месте, просто добавил комментарий с разгадкой в Инстаграм-аккаунт девушки. Как думаете?
Есть право силы, только слово "сила" надо понимать в более широком смысле. Сейчас РФ наглядно демонстрируется, какую ценность в современном мире имеет чисто военная сила.
<...> каких правах США напали на: Ливия, Камерун, Йемен, Сирия, Пакистан, Ирак, Либерия? Только не надо говорить "вы не понимаете, это другое".
Напомню, кстати, что на действия РФ в Сирии тоже никакой особо реакции не было. Так что примерно то же самое.
Вот кто будет использовать - тот в третьем окошке по письменному заявлению зарегистрирует по согласованию с ФСБ, каждую третью пятницу месяца с 13:00 до 13:30.
Его не то, что не "не будут резать", его уже тренировались резать перед выборами в ГД прошлой осенью, за компанию с Tor и DoH. Тогда не потребовалось, но скоро может потребоваться опять.
Остался лишь один неотвеченный вопрос: раз закладка находится в зарезервированной области SSD и никак не видна через штатный интерфейс -- чему же она представляет угрозу? При такой постановке система, к которой этот SSD подключен, указанный код не может исполнить просто по определению.
Что-нибудь, совместимое со стандартом JavaCard. J3H145, например, но найти такие микросхемы именно в формате микросхем (а не карточки) - это надо потрудиться. Второй вариант - защищенный МК общего назначения.
Еще в две тысячи лохматом году на Яндекс.Народе (том самом, который 100 мегабайт предоставлял) в правилах был пунктик о том, что пользователю запрещено хранить там зашифрованные архивы.
Даже если сейчас у гугла такого пунктика там нет, то его добавление - дело техники, с последующим "Your account violates our acceptable use policy and has been suspended".
Когда пароль обладает энтропией в 95 бит, выбор алгоритма хеширования действительно вторичен, да и соль там не особо нужна.
Однако большинством систем пользуются обычные люди, у которых пароли имеют намного меньшую энтропию, иногда настолько меньшую, чтобы быть взломанными онлайн-атаками, не говоря уже о 95 гигахешах в секунду. Пароли могут повторяться, могут быть "любимые" пароли, может использоваться один пароль с вариацами, может быть подверженность словарным атакам и множество других особенностей, резко снижающих пространство перебора.
Хеши MD5 больше не считаются безопасными, и их не рекомендовано использовать для криптографической аутентификации.
Breaking news, всего-то 15 лет потребовалось. Но более того, никакой криптографический хеш не рекомендовано использовать в чистом виде для парольной аутентификации, хоть с солью, хоть без.
Причина очень простая - например, RTX 3090 дает 9.5 GH/s на SHA-256 (и 95 GH/s на MD5, для сравнения). Для парольной аутентификации существуют PBKDF, scrypt, bcrypt, argon2 и прочие функции, созданные специально для этих целей.
Пока блокируют только по спискам нод - никакого. Аппетит приходит во время еды, и когда начнутся попытки блокировки мостов, маскирующих свой протокол под что-то популярное - вот тогда придется выбирать, ошибки какого рода больше нравятся.
Тор славится тем, что его пользователей очень сложно деанонимизировать. Заблокировать можно что угодно, вопрос только в количестве сопутствующего ущерба, на который готовы пойти те, кто блокируют.
Подобные документы с QR-кодом тем и ценны, что печатаются гражданами на принтерах самостоятельно, а не получаются в третьем окошке с 10:00 до 10:20 по нечётным понедельникам високосных годов. А ещё тем, что вообще не требуют физического носителя и способны распознаваться с экранов телефонов.
А вообще - российским ученым стоит погуглить, что же такое цифровая подпись. А то вроде как проблема поддельных QR кодов стоит только там, где в них догадались засунуть обычную ссылку и проверять обычным браузером.
Использование паспорта с биометрическими данными может показаться удобным, но на текущий момент, по мнению Касперской, в России нет понимания того, как будут хранить и защищать биометрические данные.
Странно, что у неё нет понимания, хотя власти уже много раз показывали, как они хранят и защищают персональные данные.
Ждем на гидре услугу пробива отпечатков по ФИО, ну и ФИО по отпечатку. Дальше, я думаю, релевантные люди найдут, как ей воспользоваться.
Можно. Можно даже так, что человек не заметит разницы между двумя фото. Но есть один нюанс - нужно иметь доступ к конкретной нейронке, причем видеть не только её выход, но и все промежуточные производные. А если нейронку сменят - то с 99% вероятностью прошлое фото распознается нормально, а новое надо будет специально подгонять снова.
А как так получилось, что ковидные ограничения для оппозиции выливаются в уголовные дела, а для Беглова - в "ну, никто же не заболел, что вы переживаете-то"?
То ли дело Кузнечик со своим отечественным бекдором - это, как известно, совсем-совсем другое.
Да
LoRa - не протокол, а вид модуляции, и работает не с байтами, а с радиосигналом, давая на выходе сырые байты.
Ого, аж целые $10k! Должно хватить и на биотех-стартап, и на разработку новых материалов. Непонятно даже, куда такую гору бабла девать.
Есть право силы, только слово "сила" надо понимать в более широком смысле. Сейчас РФ наглядно демонстрируется, какую ценность в современном мире имеет чисто военная сила.
Напомню, кстати, что на действия РФ в Сирии тоже никакой особо реакции не было. Так что примерно то же самое.
Вот кто будет использовать - тот в третьем окошке по письменному заявлению зарегистрирует по согласованию с ФСБ, каждую третью пятницу месяца с 13:00 до 13:30.
Его не то, что не "не будут резать", его уже тренировались резать перед выборами в ГД прошлой осенью, за компанию с Tor и DoH. Тогда не потребовалось, но скоро может потребоваться опять.
Ну, скажем так, будь я бы вирусописателем - я бы исполнял вредоносный код напрямую из модифицированной прошивки, раз уж мы её модифицируем.
Остался лишь один неотвеченный вопрос: раз закладка находится в зарезервированной области SSD и никак не видна через штатный интерфейс -- чему же она представляет угрозу? При такой постановке система, к которой этот SSD подключен, указанный код не может исполнить просто по определению.
Что-нибудь, совместимое со стандартом JavaCard. J3H145, например, но найти такие микросхемы именно в формате микросхем (а не карточки) - это надо потрудиться. Второй вариант - защищенный МК общего назначения.
Еще в две тысячи лохматом году на Яндекс.Народе (том самом, который 100 мегабайт предоставлял) в правилах был пунктик о том, что пользователю запрещено хранить там зашифрованные архивы.
Даже если сейчас у гугла такого пунктика там нет, то его добавление - дело техники, с последующим "Your account violates our acceptable use policy and has been suspended".
Когда пароль обладает энтропией в 95 бит, выбор алгоритма хеширования действительно вторичен, да и соль там не особо нужна.
Однако большинством систем пользуются обычные люди, у которых пароли имеют намного меньшую энтропию, иногда настолько меньшую, чтобы быть взломанными онлайн-атаками, не говоря уже о 95 гигахешах в секунду. Пароли могут повторяться, могут быть "любимые" пароли, может использоваться один пароль с вариацами, может быть подверженность словарным атакам и множество других особенностей, резко снижающих пространство перебора.
Breaking news, всего-то 15 лет потребовалось. Но более того, никакой криптографический хеш не рекомендовано использовать в чистом виде для парольной аутентификации, хоть с солью, хоть без.
Причина очень простая - например, RTX 3090 дает 9.5 GH/s на SHA-256 (и 95 GH/s на MD5, для сравнения). Для парольной аутентификации существуют PBKDF, scrypt, bcrypt, argon2 и прочие функции, созданные специально для этих целей.
Пока блокируют только по спискам нод - никакого. Аппетит приходит во время еды, и когда начнутся попытки блокировки мостов, маскирующих свой протокол под что-то популярное - вот тогда придется выбирать, ошибки какого рода больше нравятся.
Тор славится тем, что его пользователей очень сложно деанонимизировать. Заблокировать можно что угодно, вопрос только в количестве сопутствующего ущерба, на который готовы пойти те, кто блокируют.
Решается, самой яркой иллюстрацией к этому является работоспособность CDMA.
Проблема в том, что конкретно в этой статье о методах такого решения вообще ни слова не написано. Хотя они несомненно существуют.
Описан DSSS, на котором и работает CDMA. И мне скромно кажется, что в реальных системах проблемы вида
являются фатальными.
Ого, российские учёные изобрели защищённую полиграфию!
Подобные документы с QR-кодом тем и ценны, что печатаются гражданами на принтерах самостоятельно, а не получаются в третьем окошке с 10:00 до 10:20 по нечётным понедельникам високосных годов. А ещё тем, что вообще не требуют физического носителя и способны распознаваться с экранов телефонов.
А вообще - российским ученым стоит погуглить, что же такое цифровая подпись. А то вроде как проблема поддельных QR кодов стоит только там, где в них догадались засунуть обычную ссылку и проверять обычным браузером.
Странно, что у неё нет понимания, хотя власти уже много раз показывали, как они хранят и защищают персональные данные.
Ждем на гидре услугу пробива отпечатков по ФИО, ну и ФИО по отпечатку. Дальше, я думаю, релевантные люди найдут, как ей воспользоваться.
Можно. Можно даже так, что человек не заметит разницы между двумя фото. Но есть один нюанс - нужно иметь доступ к конкретной нейронке, причем видеть не только её выход, но и все промежуточные производные. А если нейронку сменят - то с 99% вероятностью прошлое фото распознается нормально, а новое надо будет специально подгонять снова.
А как так получилось, что ковидные ограничения для оппозиции выливаются в уголовные дела, а для Беглова - в "ну, никто же не заболел, что вы переживаете-то"?
Примерно так же и тут.