Почему мне посреди ночи позвонили из АНБ и попросили исходники

https://medium.com/datadriveninvestor/why-the-nsa-called-me-after-midnight-and-requested-my-source-code-f7076c59ab3d
  • Перевод
История моей сверхсекретной чашки для кофе



«Пожалуйста, слушайте внимательно и не вешайте трубку». Это первые слова, которые неизвестный мужчина произнёс по телефону, когда брат передал мне трубку.

Были выходные на праздник 4 июля 2000 года, плюс-минус день, и мистер Икс знал: нужно начать именно с этих слов, потому что он звонил за полночь на домашний телефон моего брата в Коннектикуте. Это было особенно жутко, потому что я жил в Калифорнии, и никто не знал, что я в Коннектикуте, за исключением моих ближайших родственников, которые все были там в доме со мной. Я приехал накануне, как обычно делаю во время нашего ежегодного семейного пикника на День независимости.

Зачем он звонил?

Это был вопрос национальной безопасности.

Звонивший извинился за поздний звонок и сказал, что его зовут Дэйв. Он попросил взять ручку и бумагу, потому что собирался дать несколько важных инструкций, которые позволят подтвердить его личность. И тогда ошеломил меня фразой: «Это вопрос национальной безопасности».

Некоторые из моих родных начали собираться рядом с кухней, где я стоял у стены с телефоном. Чёрт возьми, что происходит? Я посигналил брату принести ручку.

Я пытался осмыслить происходящее. Как ни странно, даже не догадался спросить у Дэйва, как он получил этот номер. Мужчина казался серьёзным и говорил авторитетным голосом; думаю, я уже поверил, что он имеет на это право.

Окей, готов записывать.

Дэйв сказал, что он звонит с базы АНБ в Бетесде. Агентство национальной безопасности. Он больше ничего не мог сказать, пока я не перезвоню. Вот зачем нужна была ручка. Он собирался дать инструкцию из нескольких шагов, как перезвонить ему таким способом, который подтвердит его личность и серьёзность ситуации.

Перезвоните


Дэйв сказал повесить трубку, набрать 411 (справка) и спросить у оператора основной номер военно-морской базы в Бетесде, штат Мэриленд. Затем позвонить по этому номеру, пройти через нескольких других операторов на базе, попросив каждого по очереди подключить меня к следующему в цепочке. Он продиктовал точные слова для каждого такого прыжка, потому что я буду просить о перенаправлении на защищённый объект.

Адреналин ударил в голову и я проснулся.

Чтобы успокоить меня, он сказал, что перезвонит через десять минут, если от меня не будет вестей — на случай, если я облажаюсь. Но я справился.

Через несколько минут я снова разговаривал по телефону с Дэйвом. Обалдеть, АНБ. Это происходило на самом деле.

Нам нужна ваша помощь


Дэйв продолжил. Он сказал, что у них есть ноутбук с файлами, которые зашифрованы моей программой SafeHouse. У них ситуация с национальной безопасностью, требующая немедленного доступа к этим файлам, и им нужна моя помощь. А конкретно, если я им помогу, возможно, они получат доступ к файлам быстрее, чем без моей помощи. Время имело существенное значение: отсюда и звонок посреди ночи.

Если АНБ не получит доступа к файлам, случатся неприятности.

SafeHouse был (и до сих пор остаётся) популярной утилитой Windows, которую я разработал для шифрования приватных файлов, она распространяется как shareware. В бесплатной версии шифрование специально ослаблено в соответствии с требованиями Госдепа на экспорт вооружений, а также чтобы подтолкнуть пользователей к покупке продвинутой платной версии. Клиенты разные, от домашних юзеров до крупных финансовых организаций.

Если АНБ не получит доступа к файлам, случатся неприятности. Может, умрут люди. По крайней мере, Дэйв внушил мне такое впечатление, когда вежливо попросил, готов ли я предоставить исходники, всё время извиняясь, что не может ничего больше рассказать о ситуации.

Я упоминаю вежливость Дэйва, потому что она казалась необычной и особенно странной — он был слишком приятным. Казалось, что он предполагает или готов принять отказ. И если бы на его месте был кто-то иной в другой ситуации, так бы и произошло. Но здесь казалось, что дело важное, и просто нет времени на обсуждение.

Конечно, Дэйв сразу спросил, есть ли бэкдор для расшифровки, потому что это сэкономит много времени. Но нет. SafeHouse разработан по самым высоким стандартам и передовым практикам с использованием сильного 256-битного шифрования.

Хорошо, я готов предоставить исходники. Любые, без вопросов. Но была одна небольшая проблема — у меня их нет с собой, ведь я в отпуске. Поэтому придётся позвонить и разбудить Рона в Портленде. Стукнул уже час ночи на западном побережье. Рон работал программистом в моей команде, и я точно знал, что у него дома есть копия исходников.

Звонок. Письмо. Готово.

Я попробовал прощупать почву: ребята, так вы действительно способны взломать 256-битное шифрование? Дэйв хранил молчание. В криптосообществе давно обсуждают эту тему; и я подумал, что стоит попробовать. Даже не рассчитывал на ответ.

Когда этот парень с ноутбуком купил SafeHouse? Какая у него версия? Чем больше я знаю, тем лучше смогу вам помочь.

И вот тогда Дэйв признался, что у чувака на ноутбуке shareware-версия. Что, серьёзно? Это всё меняет. Условно-бесплатная версия поддерживала только слабенькое 40-битное шифрование. Большинство хакеров могут взломать его за пару дней. И я думаю, что секретным шифровальщикам АНБ потребуется гораздо меньше времени.

Я снова прощупал почву: на этот раз об их возможностях взлома 40-битных шифров. Возможно, такой низкий уровень уже не государственная тайна. Но Дэйв опять хранил молчание.

Тупые преступники


Но серьёзно, этот идиот с ноутбуком планировал взорвать здание или что-то такое, но у него не хватило мозгов или денег, чтобы купить нормальную версию программы за $39,99 с максимальным шифрованием?

На этот раз Дэйв ответил: «Удивительно, но такое происходит постоянно. Их называют тупыми преступниками не просто так. Невероятно, но это правда».

Я продолжал работать с Дэйвом и его командой в течение дня или около того. Ответил на все их вопросы, а они не ответили ни на один из моих — естественно. Но они всегда были вежливы в этих односторонних разговорах, которые разжигали безумное любопытство, которое, как я знал, никогда не будет удовлетворено.

Подарок


Через несколько дней я вернулся домой в Калифорнию, и в моём офисе стояла коробка без опознавательных знаков, с указанием моего имени. Внутри, завёрнутая в белую папиросную бумагу, лежала синяя чашка для кофе АНБ с рукописной запиской на обычной белой бумаге: «Спасибо. Дэйв».

Позже в тот же день позвонил Дэйв. Он ещё не мог рассказать никаких подробностей, потому что всё было совершенно секретно, но сказал, что всё «получилось», и они благодарны за мою помощь.

Ещё раз я попытался вытянуть детали и спросил, означает ли «сработало», что они взломали шифр; но конечно, он ничего не сказал. Молчалив как обычно. Наверное, с ним весело на вечеринках. Дэйв вообще его настоящее имя?

Когда я поблагодарил за подарок, то не мог умолчать о тайной записке, которую он положил в коробку. Дэйв просто рассмеялся и сказал: «Это мои обычные бланки в АНБ».

Эта сверхсекретная чашка у меня уже 18 лет. Именно та, что на КДПВ. Каждое утро я пью кофе, но никогда из этой чашки. Она слишком особенная. Боюсь её сломать, так что пусть стоит на полке в гостиной рядом с другими ценными сувенирами.

Я никогда не был в АНБ, но насколько я знаю, они продают такие чашки в сувенирном магазине. Но для меня это неважно. Эта чашка — напоминание о чём-то плохом, что никогда не произошло, и я сыграл в этом небольшую роль.

Но одна вещь сидит у меня в голове все эти годы: как, чёрт возьми, Дэйв выследил меня за 3000 миль от дома посреди ночи в тот жаркий летний вечер в Бристоле, штат Коннектикут?
Поделиться публикацией
Комментарии 376
    +7
    А мог бы попросить машину с мигалкой!
      +8
      А мог бы получить 300 грамм тротила ;)
        +26

        А мог бы получить 20 лет строгача "за хранение наркотиков".


        P.S. Интересно, сколько АНБ заплатила копирайтеру за пиар "конторы".
        Я даже укутался во флаг США и немножко поплакал:
        — Ах, как жаль, что суровые парни не пригласили его работать в АНБ!..

          0
          Где гарантии, что ему звонил не террорист? Просто, выложить все исходники незнакомцу… Тупые «преступники»…
            +5
            Так пишут же, что специально предложили перезвонить на официальный номер базы. Если номер и правда публичный, это неплохое подтверждение, как мне кажется.
              +1
              думаю Митник с вами не согласится
                0
                Можно договориться с девушкой в службе поддержки, или методом социальной инженерии дать ей новый номер, типа «запиши: секретная лаборатория это номер такой-то», это же просто телефонный номер, вряд ли их проверяют досконально.
                  0
                  Уверен, что в 2000 году у этого парня в доме была аналоговая линия и подключить к ней свою собственную АТС для фрода не представляло проблем.
                  0
                  его нашли в гостях, если они знают где он то на домашний телефон надеяться последнее дело, но когда адреналин играет мозг обычно не очень работает. нет нислова о самой передаче исходников, вот тут как раз таки самое интересное, как и кому передать чтоб не отдать кому попало
                    0
                    Ну найти человека за 3000 миль от дома, это не проблема, если ты заранее задумал провернуть какую-то афёру, например просто проследить за ним от работы.

                    Если это было на самом деле, кто знает кому он отдал исходники и одиннадцатое сентября не благодаря ли ему и произошло…
            +8
            Это был просто повод подарить чашку с закладкой. Такая обычная чашка «с ушами».
            В АНБ их продают в сувенирном магазине на защищённом объекте в секции «для подарков».
              0
              Сколько она проработает? Там нет места для аккумулятора. Да и в те годы пошли сотовые телефоны, все методы прослушки устарели сразу, зачем ставить прослушку, если есть мобильные телефоны…
                0
                так ведь есть же пассивные устройства, которым аккумулятор не нужен в принципе.
                +1
                На случай если кружка используется по назначению можно встроить термоэлектрический генератор. Правда, тут автор истории нас с АНБ переиграл и чай из кружки пить не стал.
                  0
                  Дружище, твои рассуждения столь наивны и чисты, как у меня 60кг и 10 лет назад.

                  Читай:
                  habr.com/company/pult/blog/418959
                    0
                    Она работает на энергии тепла рук и кинетической энергии жидкости внутри.
                    Ведь за чаем проходят самые интересные беседы.

                    А что телефон? Телефон пришёл и ушёл, а вот кружка от АНБ будет бережно стоять на полке.
                      +1

                      А ведь можно было всего лишь раз разогреть кофе в этой кружке в микроволновке убрав тем самым все "уши", и далее пусть стоит много лет глухим сувениром.

                        0
                        Интересно даже, как закладка переживёт обычную посудомойку.
                          0
                          Ну, она же внутри керамической стенки. Наверное, должна пережить. Мне больше интересно, не боятся ли они, что кто-то ее увидит, если чашку разобьет
                +29
                Вот именно поэтому не надо пользоваться условно-бесплатными программами для шифрования файлов.
                  +28
                  Так это еще хорошо, что у него 40 бит нормального шифрования было. Полно платных приложений в том же гуглплее, которые первую сотню байт ксорят на однобайтный паттерн — вот где боль…
                  Любые средства шифрования должны быть открытыми (не обязательно бесплатными), если они не секретны. Иначе доверия им ноль.
                    +3
                    TrueCrypt\VeraCrypt\PGP или ручками шифровать (что еще надежнее).
                      +4
                        +1
                        Вот так. И больше не путайте файлы на локальном диске и клиент-серверное взаимодействие.
                          +5

                          Удобно, наверное, в быту шифровать полуторагигабайтный видосик полуторагигабайтным ключом.


                          В OS, библиотеках ЯП и файловых системах, думаете, меньше ловушек, чем в клиент-серверном взаимодействии?
                          Навскидку, при кривой реализации ключ может случайно остаться на FS и его можно будет найти побайтовым сканированием. Да, это очевидный косяк, но в самописной реализации на 100 существующих очевидных косяков один да будет допущен.

                            +4
                            удобно

                            Произведение безопасности на удобство есть величина постоянная. Никто не гарантировал, что абсолютно криптостойкий шифр будет удобным.


                            в быту шифровать полуторагигабайтный видосик

                            Это когда видео со свадьбы никому показывать не хочется? Ни разу настолько не пёкся о своих персональных видео. В моём мире утечка данных дебетовой карты несколько более чувствительна, чем того, что уже в меру успешно подделывают состязательные нейронные сети.


                            ключ может случайно остаться на FS

                            Если ключа вообще нигде не останется, то доступ к шифрованным файлам не сможет получить даже владелец. Если ключ существует хоть где-то (пусть даже в голове владельца), то для взломщика с паяльником преград нет. Всегда нужно чётко понимать, от каких типов атак мы защищаемся.


                            в самописной реализации на 100 существующих очевидных косяков один да будет допущен

                            Я полагаю, здесь апелляция к авторитету, довольно абстрактному. Ну ок, вот вам несколько моих авторитетов. Вернер Кох, кажется, написал довольно неплохую утилиту, сам. Брюс Шнайер говорит, что один человек может придумать криптосистему, которую сам не взломает. В конце концов, необязательно шифровать самописной утилитой — есть хорошее правило "открытая реализация, закрытый ключ".

                              0

                              Ну да, про то и был комментарий выше, что не надо изобретать руками криптографию, надо брать как можно лучше проверенную опенсорсную. Это не про авторитет, а про то, что если секретным знанием можно украсть миллиард, то вряд ли его запалят на вашей переписке.


                              Но всё же шифр Вернама совсем-совсем не применим в указанном в статье случае. Если у вас есть шифроблокнот или флешка с ключом, с ними вас и возьмут. А если ключ для данных заучивать, то проще заучить оригинальные данные той же длины.

                                0
                                В классических детективах для шифра обычно использовалась книга, которая была у всех дома (Библия там определенного издания или какой-то стандартный справочник). Мне кажется можно использовать какой-то файл, про который знаешь, что он есть в системе или его легко получить и который имеет версионность. Тот же текст MIT лицензии, бинарник библиотеки для определенной платформы определенной версии или что-то типа того. Тогда файл с собой носить не надо.
                                  0
                                  Осмысленный текст нельзя — он плохой ключ по определению.
                                    0
                                    А чем он плох, если им все равно ксорить со сдвигом?
                                      0
                                      Любой осмысленный текст содержит символы, которые распределены не случайным образом. И по определению не подпадает под описание хорошего ключа. Даже Библия, которую использовали в качестве ключа не являлась хорошим ключом.

                                      Другими словами, random+text=random, text+text=text.

                                      Или я заблуждаюсь?
                                        0
                                        Любой осмысленный текст содержит символы, которые распределены не случайным образом. И по определению не подпадает под описание хорошего ключа.

                                        А MD5 от каждых (128/8=16) букв ключевого текста (в смысле каждые 128 бит текста заменяются на MD5 от них же) — попадает?

                                          0
                                          Ну, если текст не напрямую, а через хеш-функцию — то попадает, насколько я понимаю. Только MD5 не очень хорошо, надо бы функцию с бОльшим диапазоном значений. К MD5 уже есть претензии от криптографов, насколько я знаю.
                                        +1
                                        Низкая энтропия. Не должно быть зависимости любого бита ключа от любого другого бита. Для примера, в тексте на русском языке чаще всего встречается буква «е». После двух гласных чаще всего будет идти согласная или пробел, редко бывает 4 согласных подряд и т.д… Любая дополнительная информация, которая поможет определить следующий бит ключа ослабляет защиту.
                                          0
                                          В теории вы абсолютно правы, против энтропии не попрешь, но я плохо представляю, как это можно применить в конкретном примере, когда у вас есть файл зашифрованный тупым ксором через текст библии (и пусть вы даже это знаете). Плохо представляю, какой алгоритм я бы стал писать. Неужели есть тулы, которые могут прошарить что проксорено текстом и догадаться, что за текст, я, к сожалению, не очень хорошо шарю в криптографии.

                                          В таком случае можно выбрать два стандартных файла и ключ приготовить, проксорив один файл другим. Мой поинт в том, что не надо с собой носить ключ на флешке, можно обойтись простым запоминанием стандартных файлов, которые вы применяете. Если вы знаете, как такое ломается, поделитесь.
                                            0
                                            Но еще раз, я то за использование стандартных тулов, ручное шифрование мне представляется очень суровым хобби, которое того не стоит, если вы серьезный шпион :)
                                              +1
                                              есть файл зашифрованный тупым ксором через текст библии (и пусть вы даже это знаете)
                                              Вы даже не представляете насколько быстро это будет сделано. Для экономии времени достаточно взять первую строчку вашего зашифрованного контейнера и ксорить её с текстом из библии, смещаясь каждый раз на один символ. Как только в полученной строке появятся хотя бы несколько осмысленных слов, то это смещение — кандидат на ключ. В конце проверяем все смещения — кандидаты на всём контейнере и один из них полностью расшифрует ваши данные.
                                                0
                                                Смотря что за файл. Если исходный файл текстовый, а еще хуже картинка в формате BMP 8 бит и векторной графикой (99% информации один и тот же байт цвета фонового), то расшифровать очень просто.
                                                А если этот же файл сжать архиватором с максимальной степенью сжатия, то после простейшего XOR, даже с текстом простейшим, при анализе не за что зацепиться будет. Просто шум, повторений и корреляций нет, все байты равномерно распределены.
                                                  0
                                                  Не, ну это читерство какое-то, конечно же если вы НЕ знаете что это зашифровано текстом из Библии, я плохо выразился. Это-то любому младенцу понятно, как расшифровать, если знаешь ключ (да еще и способ шифрования).

                                                  Еще раз, напомню, как разворачивлся диалог. Товарищу сильно сверху, который собирался использовать шифр Вернама, возразили, что ему тогда ключ придется с собой носить, мне вспомнились рассказы про Шерлока Холмса и я написал, что совсем необязательно — можно просто выбрать какой-то стандартный на любом компе доступный файл.

                                                  Игровая ситуация такая — вы Шерлок Холмс 21-го века. В ваши руки попадает компьютер преступника с зашифрованным файлом содержащем доказательства его вины. Стандартных средств шифрования нет, история bash вытерта, у вас подозрение, что товарищ (который не являет собой светоч интеллекта) наверняка просто поксорил свой архив каким-то стандартным файлом (я вот это имел в виду, когда писал «знаете», mea culpa). Ваши действия?

                                                  Я бы на месте Шерлока Холмса пошел бы домой, хрен его знает, какой именно файл человек выбрал.
                                                    +1
                                                    Ваши действия?
                                                    Ок, попробуем так. Атака заключается в том, что я могу попробовать предположить или угадать некоторую часть зашифрованного файла. Большинство файлов, которыми мы пользуемся имеют четкую структуру, заголовки, magic numbers. sim31r чуть выше предложил сжимать архиватором. Допустим, что это был rar-архив. Архив имеет в начале блок-маркер из 7 байт (0x52 0x61 0x72 0x21 0x1a 0x07 0x00). Таким образом у меня на руках первые 7 байт файла (гаммы), с которым ксорили данный архив. А дальше вы знаете. Хорошо, если поиск ограничится компьютером жертвы. Если же нет, то возможно это какая-то общеизвестная информация. Начало гаммы может дать подсказку.

                                                    Можно придумать ещё много «а если бы...», но суть в том, что у хорошего шифра сценариев атаки, кроме полного перебора быть не должно.
                                                      0
                                                      Здорово! Очевидно, я не гожусь ни в Шерлоки Холмсы, ни в Мориарти :)
                                                      0
                                                      Я бы на месте Шерлока Холмса пошел бы домой, хрен его знает, какой именно файл человек выбрал.

                                                      Ну например, самое распостраненное слово анлийского языка определенный артикаль the, то есть мы знаем слово из 5 букв (артикаль + пробелы), которое гарантировано встречается в тексте, пытаемся расшифровать текст ксоря его с разным смещением, если получили 5 английских букв, вероятно угадали, пробуем подобрать слова из словоря перед и после (иногда можно угадать типичные фразы аглийского). Потом зная части ключа и исходного текста можно попытаться найти текст в библиотеке (на компе преступника).
                                                        0
                                                        Врядли кто-то будет шифровать простой текстовый файл, наверняка будет архив. Но выше уже предложили подобное решение для этой ситуации, когда мы берем заголовок rar файла. В любом случае подход понятен — допетриваем до последовательности байтов, пытаемся получить часть ключа, а потом и сам ключ. Годится и будет работать.
                                                          0

                                                          Если вспомнить, что у нашего Шерлока есть ещё и собственный датацентр с дофига вычислительной мощностью, то можно даже вообще почти не думать: достаточно ввести функцию Likelihood(text) которая на вход берёт данные, а на выход говорит — на сколько это похоже на нечто осмысленное. Далее, пусть мы знаем, что расшифровка производится некоторым алгоритмом Decrypt(шифровка, ключ) (сам алгоритм можно найти на компе, или в худшем случае -перебрать все самые популярные). Далее достаём дискретный оптимизатор, и приказываем ему найти максимум у функции Likelihood(Decrypt(шифротекст, ключ)) по параметру "ключ". А дискретные оптимизаторы сейчас очень мощные — они сами и корреляции найдут и эвристик там масса уже готовых используется, и они сами где надо включат генетические, муравьиные, пчелиные и прочие оптимизации и SAT впридачу. В итоге сложность подбора ключа снизится с полного перебора, примерно до уровня теоретической энтропии ключа в случае хорошего шифра, и ещё ниже в случае плохого шифра. Теперь умножим это всё на мощьность нашего датацентра. И заметьте, во всём этом процессе мы ни разу не задумывались о уязвимостях шифре вообще.

                                                            0
                                                            Очень красиво все звучит, мне кажется, такое девушке можно говорить на свидании.

                                                            Я понял, чо есть какая-то волшебная вещь под названием дискретный оптимизатор, в принципе я знаю что такое дискретная математика и что такое оптимизация, решил погуглить и не нашел ничего стоящего, непонятно, что это за штука. Был бы рад, если бы вы пояснили. Мое понимание, что все эти прозрения про сам алгоритм Decrypt(шифровка, ключ) нужно сидеть и программировать руками, чтобы свои гипотезы можно было бы проверять, как вот выше писали очень красиво. Неужели есть волшебные устройства, которые это все автоматически проделывают?
                                                              0
                                                              Я не знаю конкретных примеров дискретных оптимизаторов, которые могут прям сами, в общем виде, всё так как я рассказал. Я лишь хочу обратить внимание, что существуют очень мощные инструменты, и если кто-то вообще не представляет как можно нечто взломать, это ещё совсем не означает, что это взламывается сложно.

                                                              Вот несколько пунктов, чтобы подкрепить мои слова:
                                                              1. Дискретные оптимизаторы существуют. Например MiniZinc. Я не знаю, есть ли они в настолько общем виде, чтобы на вход им подавалась программа, а на выходе — входные данные дающие максимальный ответ, но
                                                              2. В настолько общем виде существуют обёртки для SAT решателей. SAT отличается от дискретной оптимизации лишь в том, что вместо поиска аргумента, для которого функция максимальна он находит аргумент, на котором булева формула принимает значение «истина». В целом это почти эквивалентные задачи. Как использовать SAT решатель для взлома защиты StarCraft, например, показано в этом видео https://www.youtube.com/watch?v=b92CW-NZ3l0
                                                              Автор видео ссылается на фреймворк angr.io который насколько я понял автоматизирует весь процесс настолько, что кидаешь ему исполняемый файл и говоришь, через какую ветку должно прийти исполнение программы, и этот фреймворк сам рассчитает какие данные надо отправить в программу, используя SAT решатель Z3 под капотом.
                                                              3. SAT-решатели мало того что очень круты, так ещё и становятся в разы мощнее с каждым годом. Вот, например взгляните на график на слайде 11 http://satsmt2014.forsyte.at/files/2014/07/SAT-introduction.pdf (Evolution of the performance of some SAT solvers). Обратите внимание например на то, что те вещи которые решатели решали в 2009 за 1000 секунд, в 2012 уже решались за 200 секунд (на том же оборудовании). Я не нашёл более новых графиков, но полагаю что темп развития в целом сохраняется.
                                                              4. Задачи SAT и дискретной оптимизации очень схожи. Кроме того, дискретная оптимизация обычно проще в плане вычислительных затрат, потому что там сразу понятно, стало ли лучше или хуже при изменении аргумента, в отличие от SAT, где ясно только является ли аргумент решением, или нет.

                                                              Ну, и все эти слова про SAT это так, по сути только для того чтобы показать, что методы могут быть самыми неожиданными. Я не эксперт, я так, немного изучал вопрос, но для себя я точно понял, что современные методы криптоанализа очень и очень крутые, их много, и некоторые из них почти волшебные, поэтому сделать шифр на основе «как-нибудь чё-то накрутить, так чтобы самые очевидные методы не сработали» — это не вариант ну вот вообще никак.
                                                          0
                                                          Против доморощенных Шерлоков Холмсов — берётся не i-й, а ((a + (b*i)) MOD key_file_length)-й байт ключевого файла. Злоумышленнику надо, кроме имени файла, помнить всего 2 числа — а и b, а задача поиска «с чем ксорили» сильно усложняется.
                                                            0
                                                            Этак мы придём к полноценному криптографическому решению на идее «короткий секретный пароль, не стойкий к брутфорсу + большой несекретный файл».

                                                            А именно, выбрать любой большой файл, например, дистрибутив любой игры из своей библиотеки GOG (или VOB файл с DVD-диска с фильмом в шкафу), зашифровать его коротким паролем алгоритмом AES-CBC, и этим файлом ксорить защищаемый файл.
                                                  0
                                                  Если брать буквы не подряд, а, например, с номерами, соответствующими числам фибоначчи по модулю размера текста, вряд ли получится расшифровать.
                                              0

                                              avi-шка матрицы :)

                                                +1
                                                как ключ хранить BD + энкодер. настройки, как пароль, хранить в голове.
                                              –1
                                              Можно взять за ключ любой массив информации, не вызывающий подозрения в том, что это ключ — 256ю страницу «Войны и мира» или старый компакт-диск с виндой.
                                                +3

                                                Ну вот и ещё одна иллюстрация к статье "Вы опасно некомпетентны в криптографии". Вы вот таким способом делаете у себя на компьютере шифрованный раздельчик. И считаете что у вас непобедимый Шифр Вернама.


                                                На самом же деле, если как-то прознают, что ключ в войне и мире, останется только её побайтово перебрать, чтобы найти смещение старта ключа — секунда на современных компьютерах.


                                                Если неизвестно, где именно ключ, смотрим дальше: сколько у вас на себе (на HDD, на флэшках, на CD) файлов, размер которых больше размера вашего криптоконтейнера? Умножаем условную секунду на это число, получаем время взлома. Всякие хитрости типа склейки файлов, прочтения задом наперёд и т.д. добавляют по мизеру энтропии к ключу.


                                                Думали, что у нас абсолютная криптографическая стойкость, а оказалось задача на перебор готовой базы паролей.


                                                Шифр Вернама требует истинно случайную последовательность для правильной работы — тогда перебором вы равновероятно можете зашифрованное сообщение расшифровать в любое сообщение той же длины. А вот такую последовательность уже хрен где спрячешь. Потому что этот шифр не предназначен для случая возможного перехвата блокнотов.

                                                  0
                                                  можно просто слоями шифрование накладывать.
                                                  Если используются множество алгоритмов аля свои + опенсурсные, то энтропия растёт порядками
                                                    0
                                                    Файлы могут быть и в интернете. Статья в вики, файл с гитхаба, в конце концов jpeg с большим разрешением.
                                                    Кусочки файла можно еще хэшить и от хеша брать уже байты.
                                                      +1

                                                      А спецслужбы никак не узнают, что это за один и тот же файл вы скачиваете и удаляете каждый день. А чем больше действий вы делаете для расшифровки, тем больше шансов наследить в ОС подробностями этих действий.


                                                      Что только не сделают, чтобы человеческие криптоконтейнеры не использовать :)

                                                        0
                                                        Заходите на сайт и тянете с него jpeg? Его даже удалять не надо. Лежит себе в кеше браузера.

                                                        Так то я согласен, что opensource лучше, но с незнанием схемы шифрования можно помучаться.
                                                          0
                                                          Что только не сделают, чтобы человеческие криптоконтейнеры не использовать :)
                                                          Насколько я знаю, TrueCrypt в режиме ключевой файл + пароль генерирует ключ фиксированной длины (256 бит, например) и им шифрует каждый сектор диска. То есть, от всех ключей остаётся 256 бит, и если в AES есть бэкдор, то криптоконтейнер оказывается слабее, чем схема, которую я описал в комментарии выше.
                                                            0

                                                            Про это вкратце писал выше. Не касаясь даже того что TrueCrypt настраивается.
                                                            Вот в мире достаточно всякого зашифровано в AES256. И, в принципе, можно представить сценарий кражи этак $10 млрд с этим знанием.
                                                            В таком случае, если у вас в этом контейнере нету чего-то на миллиард, то нет никакого смысла даже тайком применять этот бэкдор (если вдруг он есть), имея пусть даже мизерный шанс его запалить.
                                                            Для спецслужб замените суммы на эквивалентные угрозы.

                                                              0
                                                              Вы писали выше про сценарий использования только файла. Файлы легко перебрать. Тут сценарий — файл + несложный пароль (40 бит энтропии).

                                                              Аргумент о TrueCrypt — это отсылка к неуловимому Джо? Мол, кому вы нужны, чтобы что-то там ломать… Бекдор может быть и в криптоконтейнере, а не в алгоритме.
                                                      +3
                                                      И это будет плохой ключ с низкой энтропией. Вот если использовать его для инициализации генератора псевослучайных последовательностей, то будет уже намного лучше.
                                                  0
                                                  Видео очень хорошо сжато, думаю там данные, кроме заголовка по сути шум на 99.9%. Думаю можно делать XOR не по принципу одноразового блокнота, а ключом в сотни раз меньше, потом повторять циклически. Опять же кроме заголовка, с заголовком отдельно нужно поработать, так как есть открытый текст стандартный. На выходе все равно будут данные не отличимые от шума, зацепиться при анализе будет не за что.
                                                  По самописной реализации в статье есть намек, если была бы самописная реализация 40-битного шифрования, без исходников, АНБ бы разбиралось намного дольше, без гарантии успешного расшифрования. Там тоже живые люди, ну попробовали — не получилось, без исходного алгоритма.
                                                    +1

                                                    Спрашивается, вот зачем все это велосипеды с XOR-ом? В сети полно хороших библиотек проверенных (сам недавно начал использовать bouncy castle для одного своего проекта). Если уж тааак хочется XOR-ить, то берем AES-CTR и вперёд.

                                                      –1
                                                      Практической значимости нет, а теоретически интересно же.
                                                        +1

                                                        Куда интереснее нормальную криптографию делать, а городить то, что потом стыдно на github выложить

                                                          –1
                                                          Не всё на гитхабе для практического применения, могут быть просто теоретические исследования.
                                                          Вот пример со сжатой информацией. Сжимаем текстовый документ так что в нем не остается ни одного бита избыточной информации неким идеальным алгоритмом. И случайно изменяем 1 бит информации, это и есть наш «ключ». Есть ли теоретическая возможность восстановить информацию?
                                                            +1
                                                            Ясен пень, есть.
                                                            Просто флипаем по очереди биты и проверяем, разжимается или нет. При длине сжатого сообщения в 1 кб перебрать придется всего 8 тыщ вариантов — т.е. ниачом.
                                                              0
                                                              Все 8000 вариантов будут разжиматься в некий файл, без контрольной суммы или известного ключевого слова правильный файл не выделить из остальных.
                                                                0
                                                                Ошибаетесь.
                                                                У текстового документа очень специфичные статистические закономерности, а раскодированный с ошибками файл будет содержать в себе бинарный мусор. Даже простенькая программа-фильтр без труда отсеет 90% мусорных файлов, если не больше. Остальное прекрасно отсеется глазами.
                                                              +1

                                                              Если знать, каким именно алгоритмом было сделано, то даже для сжатого текста размером 1Mb (после сжатия, те такой приличный текстище на десятки тысяч страниц) потребуется перебрать всего 8M вариантов "ключей" — это хуже, чем словарный пароль к архиву. Так что да, восстановить можно и очень просто.


                                                              Впрочем играйтесь сколько хотите, только не утверждайте что это хоть на 1% безопасное "шифрование". :-)

                                                        0
                                                        автор из кружки пьет уже 18 лет. даже если исключить что математики это время были в спячке, то как минимум производительность немного скакнула вперед.
                                                    0
                                                    Хммм, не спорю, в криптографии некомпетентен (скорее 2я стадия), но я подразумевал написать свою реализацию некоего алгоритма и не афишировать ни софт, ни алгоритм (для узкого круга лиц или личных файлов).
                                                      +1
                                                      знание принципа шифрования как минимум приближает к разгадке, так что верно.
                                                          0
                                                          Не особо данном случае, хотя тоже верно — просто не зная конкретный алгоритм и его реализацию (косяки и баги у всех бывают) больше времени на анализ уйдет и «ручной» перебор. Но опять же, я могу ошибаться т.к не криптограф.
                                                      0
                                                      Раз речь идет про экспортные ограничения в 40 бит, то дело было в 90-х — PGP уже был, но все это было еще бесконечно далеко от возможностей обычного человека (точнее, тупого преступника)
                                                    +16
                                                    Шароварные программы тут абсолютно не причём.

                                                    Просто надо всегда читать, что за ограничения идут на демо-период, да и вообще читать лицензию.
                                                    Тем более если ты — террорист :)
                                                      0
                                                      Один шаг до разгадки)
                                                        +4

                                                        Мне показалось, что автор намекает, дескать вообще не надо пользоваться чужими программами для шифрования. Потому, что авторы под колпаком у спецслужб. Вежливо попросят исходники среди ночи — не откажут. А потребуют встроить бекдор или ослабить шифрование, кто будет рисковать и ради кого?

                                                          0
                                                          Ну хз, хз. Я бы отказал, особенно если это заказная разработка. Терморектальный криптоанализ, конечно, никто не отменял. Но это по другой статье проходит.
                                                            +2

                                                            В 2018 несложно возбудить дело по подозрению в пособничестве терроризму и отмыванию. На основании этого заморозить счета, ограничить перемещения и связь, изъять оборудование. Текущий работодатель расстается на раз, вариантов нового трудоустройства практически ни каких. Как долго готовы существовать в таком режиме: неделю, месяц, год? Вопрос-то пустяк на пять минут, если решать по-хорошему.

                                                              +1
                                                              Все так, вот до последней запятой. Причем не только в РФ так, но и в большинстве (если не во всех) странах ЕС.

                                                              Конкретно я, когда беру сомнительный заказ — рассуждаю и устанавливаю цену опираясь и на эти моменты в том числе. Особенно, если понимаю что утиль может быть использован в европе.

                                                              А за заказы, котрые потенциально могут быть использованы в РФ, типа создания ботнета на портале госуслуг, не берусь в принципе (да я в курсе, что для окончания регистрации надо с паспортом ножками пройти в центр обслуживания, но это не единственный способ, что дает уязвимость для системы в целом), — ищите других дураков, тут выбор простой — бабло или своя шкура. Ответ, как правило, очевиден.

                                                              PS: и тем не менее, если мне заказали софт и используют его неблагонадежным способом, то это проблема тех кто его использует и тех кто им противостоит. Это не моя война. Если что-то написано мной, то как минимум, с совестью удалось договориться.
                                                                +2
                                                                Выскажу непопулярную мысль, на первый взгляд отдающюю юношеским максимализмом: принципы могут быть выше заблокированных счетов. Хотя, соглашусь, вопрос абсолютно неоднозначный и с материальной, и с моральной стороны (особенно, если пользователь этой программы — террорист).
                                                                  0
                                                                  Выскажу еще более непопулярную мысль про то что не бывает атеистов в окопах под огнем
                                                                  Достаточно легко говорить о своих принципах сидя в теплом кресле и с какой-никакой уверенностью в завтрашнем дне. Куда сложнее оставаться верным им когда твоей семье есть нечего.
                                                              0
                                                              Автор ж говорит что АНБшник был готов к отказу.
                                                              Про законность требования — вообще не упомянуто.
                                                              Автора именно убедили что надо помочь, не шантажом а словами. Он просто — доверяет как минимум АНБ. Ну да — патриотизм такой.
                                                              +4

                                                              Да, пользуйтесь open source. Тогда никто ради вашей персоны не потревожит сонного программиста в полночь накануне 4 июля на западном побережии сша — все исходники уже лежат на гитхабе. А криптоустойчивость не зависит от obscurity

                                                                0
                                                                А криптоустойчивость не зависит от obscurity
                                                                Лишь с математической точки зрения на отдельно взятый аспект. Безопасность данных это комплексная проблема, где результат зависит от разных факторов.
                                                              +6
                                                              Очень крутая история. Спасибо за перевод.
                                                                +1

                                                                Да, история крутая, только ни одна история не обязана быть правдой.


                                                                • АНБ, думаю, может заполучить всё, что им требуется так, что человек просто об этом никогда не узнает.
                                                                • История с цепочкой звонков… ну просто мало похожа на правду. Не станет агент выдавать кучу служебной информации просто так. Да и секретного для защищённой линии там по факту ничего не было, просто просили исходники. Разве что для убедительности всё было. А всё, что по военной базе, — выдал на незащищённой линии.
                                                                • Какая это защищённая линия, если разговор идёт по обычному телефону?

                                                                Но есть кое-что, что похоже на правду, — невероятная вежливость и убедительность звонящего. А если история правдива, то никакой секретной информации, от которой зависят жизни, могло и не быть (нужны были лишь исходники), да и даже исходники могли быть и не нужны, возможно цель была совсем в другом.

                                                                  +1
                                                                  Но SafeHouse всё-таки существует, и там даже есть платная pro-версия.
                                                                  Если это и реклама, то реклама странная.
                                                                    0
                                                                    Вы никогда не слышали, как человек, который Вам рассказывал много интересных случаев, разговаривая по телефону описывает только что произошедшую смешную ситуацию, свидетелем которой Вы стали? Я один раз услышал такое преувеличение, что хотелось спросить: «Ну что ты врёшь-то при мне?» А слова ещё одного товарища приходилось пропускать через жёсткий фильтр, чтобы понять, чему можно вообще верить, хотя у мало знакомых людей он вызывал впечатление умного и интересного человека.

                                                                    Так или иначе, ко всей информации должен применяться научный скептицизм.
                                                                      0
                                                                      Вы никогда не слышали, как человек, который Вам рассказывал много интересных случаев, разговаривая по телефону описывает только что произошедшую смешную ситуацию, свидетелем которой Вы стали?


                                                                      Эээ, что что?
                                                                        0
                                                                        имеется в виду ситуация, когда два человека наблюдают ситуацию, после чего один из них звонит по телефону и рассказывает, что только что произошло
                                                                    +4
                                                                    «Да и секретного для защищённой линии там по факту ничего не было, просто просили исходники. Разве что для убедительности всё было» — именно. Ну действительно, вот вы, допустим автор к-л проги и вот вам звонит непойми кто и просит выслать исходники (а так же номер и CVV кредитки))) — ваши действия?
                                                                    Т.е. этот хоровод с перезвонами именно убедить, что это официальная просьба правительственной организации а не мошенник или пранкер-стажёр.
                                                                      +3

                                                                      Гм, а мне пришло в голову, что звонок АНБ может быть настоящим, сотрудник тоже настоящий, а действует он в личных целях.

                                                                        0
                                                                        Статья так написана, у меня это тоже вертелось на уме во время чтения.
                                                                        Намёки были настолько очевидными, что это было самое настоящее ружьё, висящее на стене в первом акте. Но внезапно — оно так и не выстрелило.
                                                                      0
                                                                      ну прямо сейчас может и нет того, кто все это проанализирует всю накопившуюся инфу, но в будущем возможно может быть. Не просто так же все таки всякие ИИ мусолят.
                                                                        +2
                                                                        в тексте не говорится о защищенной линии, это «соломенное чучело» (aka «подмена тезиса»).

                                                                        Не станет агент выдавать кучу служебной информации просто так.

                                                                        — 1) выдачи «служебной информации» описано так же не было (не считать же такой «способ дозвониться до Дейва»),
                                                                        2) нулевая гипотеза (хотя бы потому, что об этом заявлял Дейв (как заявляет автор текста)) — в том, что это вовсе не «просто так» было.
                                                                          +3
                                                                          Не знаю, как в АНБ, а в СССР такая система дозвона присутствовала, в 93м пользовался. Звонишь на городской номер, там «фаланга, слушаю», ты ему «дайте трещётку» -«переключаю», следующему «дайте дельфина», последнему-«дайте город, номер 23-32-23». Вуаля, бесплатный межгород с мамой пообщаться из армии. Никто никаких вопросов не задаёт, главное знать всю цепочку.
                                                                            +3
                                                                            телефонный tor?
                                                                              +1
                                                                              Я вам больше скажу, как минимум до начала 2010-х ручные телефонные коммутаторы 60-х годов прошлого века ещё были в строю. В 2007-м я ещё служил начальником телеграфно-телефонного отделения, которое этим и занималось.
                                                                                +2
                                                                                а потом счет из доминиканской республики приходит в штаб )
                                                                                  0
                                                                                  В тот момент как-раз стали появляться мобильные телефоны, стоили не гуманно, особенно обслуживание, до 1.5 баксов минута. И так-же стали появляться носимые рации, воки-токи. И была у нас такая, кажется Ericson, которая работала на частоте сотовых сетей. Можно было подключится, оп, разговаривает кто-то, на другой канал-там тишина, набираешь номер и разговариваешь, только что с таргентой, типа «приём», собеседники офигевали. Там счета должны были выходить покруче, чем с Доминиканой. Но счетов, конечно, никто не видел.
                                                                                    +1
                                                                                    Можно было подключится, оп, разговаривает кто-то, на другой канал-там тишина, набираешь номер и разговариваешь


                                                                                    Без идентификации, без установления соединения. Просто в радиоканал номер набрать? Да еще и с рации, которая о том, что такое DTMF, понятия не имеет в принципе? Равно как не имеет понятия и о сотовых протоколах?
                                                                                    Как-то… малоправдоподобно, если честно.
                                                                                      0
                                                                                      Я не могу сказать, что там было с идентификацией и на каких протоколах она устанавливала соединение. Абсолютно точно, что ничего не шифровалось, так как с разговорами ничего не приукрашено. Рация была рассчитана на такую работ, на ней была клавиатура. Ещё вроде требовалась перезаливка стандартной прошивки, но это по слухам, мне она попала в руки уже в том виде, что говорил выше. Но я прям ручаюсь, так и работала, без симки, без собственного номера. Как? Без понятия! Может тут объяснят специалисты-некрофилы?
                                                                                        0
                                                                                        Может там не сотовая связь была, а транковая?
                                                                                        Подробностей уже не помню за давностью, но там вроде все проще с протоколами было.
                                                                                          0
                                                                                          да, NMT-450 слушать на рации точно можно было, как насчет звонить — не знаю
                                                                                        +1
                                                                                        Скорее это все-таки были не сотовые сети в общепринятом понимании, а что-то типа транкинговых.
                                                                                        Потому что аналоговые стандарты мобильной связи, в которых можно вызвать абонента простым DTMF-набором в эфир мне неизвестны, даже старые протоколы устроены гораздо сложнее. А вот «радиоудлинители» ТфОП до сих пор существуют, и номер там набирается часто именно таким образом :)
                                                                                          +1
                                                                                          Скорее это все-таки были не сотовые сети в общепринятом понимании, а что-то типа транкинговых.


                                                                                          Вот о чем и я. Это не сотовые сети были, а транкинг какой-нибудь, типа Алтая.
                                                                                            0
                                                                                            NMT-450 — аналоговый, но там с рации еще в сетку каналов надо попасть.
                                                                                            Маловероятно, но возможно.
                                                                                              0
                                                                                              В NMT так-то регистрация есть. И я оооочень сомневаюсь, что БСка распознает DTMF в радиоканале и отправит их на MSC.
                                                                                                0
                                                                                                Насколько я помню, в NMT как раз регистрации в классическом понимании с двунаправленным обменом нет — телефон просто слушает пилот-тон.
                                                                                                У NMT-трубок часто даже индикатор сигнала — это простой S-meter, показывающий уровень всего, что слышит в соответствующем диапазоне частот в эфире.

                                                                                                Вот тут маньяки попробовали сделать свою NMT-450 сеть с помощью переносимых LPD-радиостанций и MP3-плеера с заранее сгенерированными пакетами, вполне получилось: vk.com/topic-80678313_31106722?post=9

                                                                                                А вот с распознаванием DTMF не прокатит, там протокол вызова гораздо сложнее:
                                                                                                nmt450kkz.narod.ru/4.4.htm
                                                                                                  0
                                                                                                  Да, по поводу регистрации, возможно я был неправ. Преданья старины глубокой, что уж :)
                                                                                                  А вот про маньяков интересно, спасибо!
                                                                                    +1

                                                                                    Вопрос был не о защищенности линии, а о верификации звонящего.

                                                                                      +2
                                                                                      История с цепочкой звонков как раз добавляет правдоподобности.
                                                                                      Вы удостоверение АНБ видели когда-нибудь? А кто сказал, что вам показывают настоящее, а не поддельное?
                                                                                      В США сотрудники ФБР и АНБ в трудный случаях для подтверждения своих полномочий действительное просят позвонить по общеизвестному номеру (который можно получить независимо) и подтвердить, что они те, за кого себя выдают.
                                                                                      ФБР, например, имеет для этого сменные код для всей операции и каждого сотрудника. Звонишь на номер любого управления ФБР, диктуешь оператору код и он тебе говорит подтверждающую информацию. И в любом случае можно продиктовать номер удостоверения, имя и описание внешности и получить ответ да/нет.
                                                                                      А как иначе можно проверить настоящий перед тобой сотрудник или злоумышленник? Особенно, если сотрудник хочет чего-то большого. Кавалькаду с мигалками по каждому чиху только в кино высылают.
                                                                                        0
                                                                                        Вы удостоверение АНБ видели когда-нибудь?

                                                                                        Я видел. В X-files его на заставке перед каждой серией показывали, если я правильно помню :)
                                                                                        +1
                                                                                        АНБ, думаю, может заполучить всё, что им требуется так, что человек просто об этом никогда не узнает.
                                                                                        Не преувеличивайте возможности спецслужб. Там обычные люди работают. Не надо представлять их волшебниками. Они стараются выбирать наименее затратные методы получения информации.
                                                                                    +1
                                                                                    как, чёрт возьми, Дэйв выследил меня за 3000 миль от дома посреди ночи в тот жаркий летний вечер в Бристоле, штат Коннектикут?

                                                                                    Ха, я знаю и сорт кофе, какой пьет автор:-)
                                                                                      0
                                                                                      вы думаете, что знаете его. Возможно, после того случая автор стал искусным конспиратором, и фотает кружку на фоне совершенно левого пакета с кофе.
                                                                                        +1

                                                                                        А мне кажется, это как раз не сложно. Пара звонков в контору, там можно узнать, что автор в отпуске и, возможно, куда хотел поехать. Наведение справок о родственниках (наверняка есть какая-то база, типа нашего загс). Звонок на вокзал/аэропорт и бинго.

                                                                                          0
                                                                                          Сразу видно, что фильм «Сноуден» не смотрели. Там скорее всего большая база знаний по всем гражданам и иностранным лицам. Им не особо требуется куда-то звонить и что-то узнавать. Поиск по базе — должно быть что-то вроде внутреннего Гугла. На самом деле было бы удивительно, если б у них подобного не было.
                                                                                            0
                                                                                            о да, база знаний… там одного поиска по whitepages из которых фиг уберёшься достаточно, чтобы найти по фамилии родственников, к примеру.
                                                                                            пример поиска
                                                                                            0

                                                                                            Чел купил билет на самолёт…
                                                                                            Этого достаточно

                                                                                          –16

                                                                                          Ну то есть автор программы по шифрованию без вопросов передал исходники какому-то дядьке, который звонил по телефону. Теперь этот дядька может расшифровать не только тот ноутбук, но и все компы, которые используют эту прогу. Нет, не такой безопасности хотел добиться Сноуден.

                                                                                            +16
                                                                                            Не может, ключа-то нет. Прога просто у него не опенсорсная была, а дядьке исходник нужен был срочно. Криминала нет, от винды исходники тоже спецслужбам передают, к примеру, и они сами себе собирают ее.
                                                                                              +1
                                                                                              Не только спецслужбам. Например в НТЦ Атлас передают :)
                                                                                              Вообще мало кто в последнее время делает тайну из исходников.
                                                                                              +21
                                                                                              Security through obscurity не имеет никакого смысла, это базовый принцип.

                                                                                              А какой-то дядька был очень вежлив и даже не стал давать номер телефона, а попросил сделать все через справочную.
                                                                                                +2
                                                                                                Есть предположение, что на дядькин номер просто так не дозвониться, только через цепочку операторов.
                                                                                                  +11
                                                                                                  только через цепочку операторов.


                                                                                                  Прокси-серверов.
                                                                                                    +6

                                                                                                    Либо, как в фильме "Враг государства", исходящий звонок перехвачен и направлен в "справочную", где дают нужен номера и сидят правильные операторы.

                                                                                                    +2

                                                                                                    Осталось только подключиться к этой линии и начать выдавать себя за справочную и так далее ;)

                                                                                                      0
                                                                                                      Например вот этим)image
                                                                                                      Дома лежит такой агрегат с прошлого места работы. И чего только он не умеет) Даже оператором может представится при желании)))
                                                                                                        +2
                                                                                                        Фото не прикрепилось. Как хоть называется, погуглим? :)

                                                                                                        P.S. Прошу прощения, через исходный код страницы нашел ссылку на страницу с картинкой. Но изображение вы все равно вставили неверно. Необходимо прямую ссылку на него указывать.
                                                                                                          0
                                                                                                          image
                                                                                                          Тестовая (монтёрская) трубка.
                                                                                                          Кое-где годилась за местный аналог Blue Box.
                                                                                                    0
                                                                                                    Вообще, в источнике автор ответил на вопросы про раскрытие исходников, что ничего существенного не дал, просто были небольшие пояснения и все такое
                                                                                                      +9
                                                                                                      А вас не пугает, что исходники какого-нибудь openssl даже и просить у авторов не нужно, они на гитхабе лежат?
                                                                                                        +12

                                                                                                        Это не должно пугать, даже наоборот. Это гарантия того, что алгоритмы будут перепроверены большим числом профессионалов. Без ключей, алгоритмы — это просто алгоритмы.

                                                                                                          –1
                                                                                                          Это гарантия того, что алгоритмы будут перепроверены большим числом профессионалов.

                                                                                                          Да-да, миллионы пользователей опенсорца каждый день делают его лучше…

                                                                                                          1. Не гарантия, а некоторая вероятность.
                                                                                                          2. Не большим числом профессионалов, а хотя бы одним.

                                                                                                          И вишенкой:
                                                                                                          3. Профессионалов недостаточно. Нужны именно профессиональные криптографы.
                                                                                                            +3
                                                                                                            Ага, профессионалами из АНБ.
                                                                                                              +6
                                                                                                              > Это гарантия того, что алгоритмы будут перепроверены большим числом профессионалов

                                                                                                              Ага, случай с Heartbleed подтверждает
                                                                                                                +6
                                                                                                                Но ведь действительно подтверждает. Уязвимость-то нашли. А сколько таких хатблидов в проприетарных реализациях?
                                                                                                                  +2

                                                                                                                  Ну как нашли. Подтвердили факт наличия после того как информация об уязвимости была слита. Опенсорс тут не при чем. История появления мутного кода с ошибкой тоже выглядит странно.

                                                                                                                    +2

                                                                                                                    Не "ну", а именно нашли за счет того, что код был OpenSource:

                                                                                                                    Название Heartbleed было придумано инженером финской компании Codenomicon, занимающейся информационной безопасностью. Они же придумали логотип в виде кровоточащего сердца и создали сайт heartbleed.com, чтобы рассказать об уязвимости сообществу. Codenomicon объявила 3 апреля 2014 датой обнаружения бага и датой сообщения об этом Национальному Центру Компьютерной Безопасности Финляндии для отслеживания уязвимости.
                                                                                                                    А теперь догадайтесь с 3-х раз, если мутные дяди умудряются пихнуть дырявый код в OpenSource, то что они делают с закрытым кодом?!..

                                                                                                                    OpenSource, слава Б-гу, пусть через год-два, но позволяет обнаружить и устранить баги, а не слушать десятилетиями "честные истории" корпораций и шароварщиков, млеющих от кружки с логотипом "АНБ".

                                                                                                                      0

                                                                                                                      Там не говорится, что они нашли уязвимость, копаясь в исходниках. Секъюрити обычно имеют дело с инцедентами, когда замечают необычное поведение системы. Т.е кто то нашел раньше и использовал для атаки, а безопасники обнаружили и слили инфу в паблик (совершенно не факт, что вот прямо так сразу — как гласит легенда некоторые компании обнаружили и закрыли дырку даже раньше, а значит их сотрудники наверняка пытались гуглить по признакам инцедента, и гугл на момент принятия решения о публикации был в курсе, что они не единственные кто обнаружил). Разобрались в коде и выпустили заплатку лишь через неделю после официального анонса дыры.

                                                                                                                +3
                                                                                                                Нужно отправить SHH-серверу сообщение SSH2_MSG_USERAUTH_SUCCESS вместо ожидаемого им SSH2_MSG_USERAUTH_REQUEST. Из-за бага сервер, получивший такое сообщение, просто поверит атакующему, что тот залогинен и верификация не нужна.

                                                                                                                4 года смотрели, благо, что эта библиотека практически не используется для развёртывания серверов, а то было бы намного болезненнее.
                                                                                                                  +1
                                                                                                                  Немного кривите не упоминая, что её использовал гитхаб в режиме сервера как раз, а уязвимости не было потому что у них авторизация по ключу «SSH2_MSG_USERAUTH_SUCCESS with libssh server is not relied upon for pubkey-based auth». А кто в наши дни использует ssh с авторизацией по паролю… ну все наверное поняли. Авторизация по ключу не была затронута.
                                                                                                            +15
                                                                                                            Ну не знаю…
                                                                                                            Пока читал во мне все сильнее зрели подозрения что автора развели. Возможно методами социальной инженерии из него выманили всю необходимую информацию для расшифровки
                                                                                                            Скорее всего это даже не АНБ. Тоже странная история с посылкой. Ведь нужно было не просто обмануть а сделать так что даже спустя 18 лет никто не подумал об этом. Тем более автор сам сказал что такую кружку можно купить в сувенирном магазине.
                                                                                                              +3
                                                                                                              предполагаете, что справочная сотрудничала с теоретическим мошенником?
                                                                                                                +27
                                                                                                                Полагать можно что скомпрометирована телефонная сеть, а злоумышленник сидит под ближайшим телефонным столбом.
                                                                                                                  0
                                                                                                                  Тоже верно
                                                                                                                    0
                                                                                                                    Как человек, который немножко знает, как устроена телефония, спрошу так — «как вы себе представляете такой механизм компрометации сети?»
                                                                                                                    Ну нашли вы телефонный столб — дальше что?
                                                                                                                      +11
                                                                                                                      Ну как… вы лезете на столб (или в люк) и ищите там пару которая уходит в конкретный дом. Режете ее, и встаете в разрыв, изображая станцию. Никакого ни мультиплексора ни шифрования же между абонентом и АТС нет вроде бы?
                                                                                                                        +1
                                                                                                                        Это может сработать только при условии, что автор статьи жил в отдельно стоящем доме, куда уходит своя пара медных проводов. Ну хорошо, встали мы на пару… или на кросс. Как сделать так, чтобы при наборе 411 звонок не ушел куда не надо? Оторвать городское плечо? Напруга из сети пропадет, вообще ничего работать не будет.
                                                                                                                        Хотя если заморочиться, и, скажем, встать на пару не простой трубкой, а кое-чем похитрее… чтобы атакуемый думал, что звонит в город, а на самом деле — нет… мороки больно много. Имитировать разные голоса «операторов», проключающих звонок дальше…
                                                                                                                        Скажу так — не нереально, но возни много. И все ради исходников шароварной проги, с заведомо не очень надежным шифрованием?
                                                                                                                          +6
                                                                                                                          Вы так говорите, будто это устройство придется разработать лично вам, а потом собственноручно спаять.
                                                                                                                          А на деле, если кому-то нужно, он может купить готовое устройство чуть ли не в супермаркете. Готовая поддельная базовая станция для GSM стоит менее $1500, а для проводных телефонов хватит мини-АТС из магазина оргтехники!
                                                                                                                            +1
                                                                                                                            Вы так говорите, будто это устройство придется разработать лично вам, а потом собственноручно спаять.


                                                                                                                            Ума не приложу, где вы умудрились это увидеть.
                                                                                                                              +6
                                                                                                                              Любой шлюз с fxs за 500 руб с авито и ноутбук с астериском и заготовленными «репликами» операторов. Не благодарите :)

                                                                                                                              А если же серьёзно — всё это такая ерунда, на фоне задержания пограничника с друзьями, продавшего анкеты «туристов» англичанам, по делу солсбери…
                                                                                                                              Раньше вроде погранцы это ФСБ были, сейчас не знаю, но именно так всё и происходит. Сливы любых документов «сотрудниками» это признак какой-то системной неадекватности силовиков. Похоже даже спецслужбы Зимбабве могут запросто прийти и за бабло под коньячок завладеть любым документом в России. Что это — не понимание своей ответственности или заведомо избыточный сбор данных специально предназначенный к продаже. Какой-то «день опричника» во всей своей красе «гусеницы».

                                                                                                                              Без законодательного запрета на сбор данных иного и не будет. Охранники, бесконечные анкетеры, фальшивые работодатели и кадровые агентства, даже в библиотеке у детей ксерокопию паспорта требуют… Все же понимают, куда весь этот поток копий документов идёт. Ну не можете избавиться от идиотов на службе, избавьтесь от документов — избыток документов ведет к избытку собираемых сведений и злоупотреблений ими. Государство могло избавится от паспорта, оставив лишь загран и водительские права, могло отказаться от десятка удостоверений личности, но оно даже трудовые книжки отменить не смогло, зато дополнительно ввело уэк и его клоны в регионах.
                                                                                                                                +2
                                                                                                                                А про какое задержание вы говорите? Я тут читаю фейсбук журналиста Сергея Канева, который из ЦУРа и который как раз копал солсберийских товарищей и он написал вчера вроде, что был вброс ФСБ об аресте пограничника и еще кого-то, чтобы выяснить реальные источники данных. Сказал всем сидеть спокойно. Это не одно и то же?
                                                                                                                                  0
                                                                                                                                  А как этот «вброс» поможет выяснить реальные источники? Кто-то поднимет руку и скажет «вы не тех задержали, это сделал я»?
                                                                                                                                    +1
                                                                                                                                    Ну его версия, что их коммуникации отслеживают и когда они попытаются связаться с настоящими чуваками (там же не сказали, кого взяли), чтобы проверить что свои в порядке, тут-то их и перехватят. Мопед не мой, просто забавно, что совершенно независимо (я его читаю, потому что он из моего родного города, я еще мальчишкой его местное телевидение смотрел) всплыла одна и та же новость.
                                                                                                                                      +2
                                                                                                                                      А, теперь понял, про кого вы. Сергей Канев — это же один из авторов расследования Bellingcat. Пойду почитаю.
                                                                                                                                  0
                                                                                                                                  Сорокин написал это в 2006 году. Видимо о чем-то догадывался. Или прям точно знал, как все там э… обстоит.
                                                                                                                                    +1
                                                                                                                                    Государство могло избавится от паспорта, оставив лишь загран и водительские права

                                                                                                                                    А тех, у кого нет машины и кто не ездит заграницу оставим без документов?
                                                                                                                                      0
                                                                                                                                      Пора сделать загран-паспорт обязательным. Полезная вещь в этой стране, полезнее паспорта практически.
                                                                                                                                        0
                                                                                                                                        А по водительскому, кстати, спиртное не продают…
                                                                                                                                          0
                                                                                                                                          Ну есть же куча других удостоверений личности. Если человек не участвует вообще ни в чем и ни одного удостоверения личности не имеет, скорее всего, ему и паспорт не понадобится. Ну, если вдруг зачем-то нужен, они могут его получить. Просто сделать его не обязательным.
                                                                                                                                            0
                                                                                                                                            скорее всего, ему и паспорт не понадобится.

                                                                                                                                            Конечно конечно, а квартира, машина и наследства у таких людей заберем в пользу государства. Да, не забудьте таких людей при встрече с полицейскими отправлять на принудительные работы до выяснения личности. [/sarcasm]

                                                                                                                                            куча других удостоверений личности

                                                                                                                                            да да, разумеется нужно дать возможность продавать квартиры, дома и бизнесы при предъявлении читательсткого билета деревни Кукуево. Кстати, тогда и библиотекорям в этой деревне платит зар.плату не нужно будет. Двойная польза. [/sarcasm]
                                                                                                                                              0
                                                                                                                                              А СНИЛС у этих людей куда делся? ИНН?
                                                                                                                                                0
                                                                                                                                                Не знаю как у вас, но у меня фотографии нет ни на СНИЛС, ни на ИНН. Или у нас в стране все резко стали джентельменами и верят друг другу на слово, что он это он?
                                                                                                                                                  0
                                                                                                                                                  У меня тоже нет. Но, возможно, стоит добавить? Сейчас-то это совершенно бесполезные бюрократические бумажки. Ну или, наоборот, убрать СНИЛС и ИНН, оставить паспорт — суть одна и та же: сейчас есть множество идентификаторов, каждым из которых пользуется большинство населения. Унификация способна упростить структуру.
                                                                                                                                                    0
                                                                                                                                                    Насколько я помню, ИНН это публичный идентификатор, который частный предприниматель обязан сообщать любому заинтересованному. Уверены, что хотите раздавать номер паспорта всем подряд взамен ИНН?

                                                                                                                                                    Большинство идентификаторов — мед.полис, ИНН, СНИЛС нужны, чтобы не светить всем номер паспорта, так как знаю номер паспорта уже относительно просто сделать поделку. Учитывая, что к номеру мед.полиса есть доступ почти у всех мед.работников, а ИНН вообще публичный — довольно опрометчиво заменять их номером паспорта.

                                                                                                                                                    Но, возможно, стоит добавить?

                                                                                                                                                    Не стоит, зачем вместо одного паспорта иметь десять «паспортов»? Хауса и подделок сразу станет в десять раз больше.

                                                                                                                                                    Заменить все ИНН, СНИЛСЫ и мед.полисы одним номером — в теории вполне можно, у нас в Люксембурге так и сделали, проблема тут с обратной совместимостью, в России море баз данных и документов завязано на эти номера (просто потому что физически не было Интернета и одной общей базы) и сейчас поменять ОЧЕНЬ дорого.
                                                                                                                                                      +1
                                                                                                                                                      Уверены, что хотите раздавать номер паспорта всем подряд взамен ИНН?
                                                                                                                                                      А в чем проблема?
                                                                                                                                                      зачем вместо одного паспорта иметь десять «паспортов»?
                                                                                                                                                      Вот, именно об этом я и пишу! Сейчас у нас множество различных документов, а было бы здорово иметь меньшее их количество, и не все из них иметь обязательными. Например, совершенно непонятно, почему паспортов два — внутренний и заграничный, почему нельзя оставить один из них, выдаваемый всем желающим, по которому можно ездить за границу?
                                                                                                                                                        0
                                                                                                                                                        RF ID чип в череп и дело с концом
                                                                                                                                                          0
                                                                                                                                                          И штрихкод на лоб, на случай выхода чипа из строя.
                                                                                                                                                          0
                                                                                                                                                          Например, совершенно непонятно, почему паспортов два — внутренний и заграничный, почему нельзя оставить один из них, выдаваемый всем желающим, по которому можно ездить за границу?


                                                                                                                                                          Потому что:
                                                                                                                                                          1. Загранпаспорт, насколько я знаю, по международным законам нужно менять с течении 10-15 лет, обычный паспорт меняют один раз в жизни (не считая браков),

                                                                                                                                                          2. Загранпаспорт с биометрией, как я понимаю, значительно дороже обычного в изготовлении,

                                                                                                                                                          3. Сейчас загранпаспортов нет у больше чем половины населения, то есть изготовления заграна для всех значит повышения налогов для всех, чтобы дать их каждому пенсионеру и бомжу,

                                                                                                                                                          4. В обычном паспорте куча страниц с пропиской, семейным положением, детьми и прочим, на них уже завязаны разные процессы, в загранпаспорте куча страниц с визами, то есть общий паспорт будет в два раза тольще (и дороже),

                                                                                                                                                          5. При получении многих долгосрочных виз требуется сертифицированная копия всех страниц заграна, стоимость таких копий будет существенно дороже, особенно если потребуется перевод всех страниц на русском,

                                                                                                                                                          6. При потере заграна, человек за границей вообще становится букашкой без всяких документов, что он вообще гражданин,

                                                                                                                                                          7. У часто ездящих людей, все страницы заграна заканчиваются за год, то есть ему придется постоянно менять этот документ, без паспорта невозможно заключать никакие сделки, никуда ездить, то есть на время замены он оказывается совсем ограниченным,

                                                                                                                                                          8. Не каждый гражданин России имеет право уехать за границу (например кто имеет допуск к гостайне), сейчас его завернут еще на этапе оформления паспорта,

                                                                                                                                                          9. Странные страницы с русским текстом (прописка, дети, военообязаность) могут вызывать вопросы у таможеников других стран, то есть возможно их тоже потребуется переводить на английский, что увеличивает кол-во страницы,

                                                                                                                                                          10. Для оформления визы часто забирают загранпаспорт в посольство страны, при универсальном паспорте человек на время оформления (иногда месяцы) становится непонятно кем, без возможности купить спиртное, заключить любую сделку, поменять товар и даже доехать до другого города (так как на поезда, самолеты, международные автобусы требуют паспорт), так же его может забрать любой патруль до выяснения личности (а без всяких документов — долго)
                                                                                                                                                          Причем в отличии от остальных процессов, посольства вряд ли будут менять свои процессы для одной странной страны.

                                                                                                                                                          11. При оформлении визы отдавать свой главный документ агенту на недели и месяцы — весьма большой риск получить потом кредит на свое имя.

                                                                                                                                                          Достаточно?
                                                                                                                                                            0
                                                                                                                                                            обычный паспорт меняют один раз в жизни (не считая браков),


                                                                                                                                                            В РФ дважды, по нонешним законам. В 20 и 45 годиков.
                                                                                                                                                              0
                                                                                                                                                              В Белоруссии небогатой даже относительно России и не являющейся флагманом тотальной свободы, а скорее имеющей некоторый имидж полицейского государства, уже много много лет просто паспорт без всяких там разделений загран/внутренний. И ничего — всё как то нормально так себе работает.

                                                                                                                                                              И по поводу п. 10: а из чего, собственно, подразумевается, что паспорт должен быть только один (С. McCloud)? На пример один мой знакомый англичанин (ну он реально очень много ездиет причём далеко не всегда в образцовые страны) имеет постоянно от 3х до 4х паспортов (в некоторых посольствах и 2 месяца может паспорт лежать на оформлении визы)
                                                                                                                                                                +1
                                                                                                                                                                уже много много лет просто паспорт без всяких там разделений загран/внутренний
                                                                                                                                                                Скоро это изменится. Будет внутренняя ID-карта и загран с биометрией.
                                                                                                                                                                  0
                                                                                                                                                                  Да
                                                                                                                                                                  0
                                                                                                                                                                  а из чего, собственно, подразумевается, что паспорт должен быть только один

                                                                                                                                                                  А тогда какой смысл иметь один универсальный паспорт, если для нормального использования их все равно нужно несколько?
                                                                                                                                                                  Англоязычным проще, им не нужно переводить свой язык на английский.

                                                                                                                                                                  И ничего — всё как то нормально так себе работает.

                                                                                                                                                                  Никто не говорит, что это невозможно. Речь только о том, что у текущей модели двух паспортов тоже есть вполне очевидные плюсы. Насколько удобно в Беларуссии нужно мнение самих Белоруссов.
                                                                                                                                                                    0
                                                                                                                                                                    А тогда какой смысл иметь один универсальный паспорт, если для нормального использования их все равно нужно несколько?
                                                                                                                                                                    Англоязычным проще, им не нужно переводить свой язык на английский.


                                                                                                                                                                    Несколько из разных типов, из каждого один или несколько из одного типа — нет разницы?
                                                                                                                                                                    Про англоязычных вообще к чему?

                                                                                                                                                                    Речь только о том, что у текущей модели двух паспортов тоже есть вполне очевидные плюсы. Насколько удобно в Беларуссии нужно мнение самих Белоруссов


                                                                                                                                                                    Ещё более некорректный аргумент не смогли привести? Насколько Пол Пот плохой лидер нужно мнение самих камбоджийцев, а вы тут не смейте, так? Есть жеж вполне себе однозначные мнения по к-л вопросом у белорусов, россиян, австралийцев и землян в конце концов, так?

                                                                                                                                                                    А мужики то и не знали, что в практически любой системе/структуре/ситуации есть ряд плюсов и минусов. Про теории оптимизации слыхом не слыхивали.

                                                                                                                                                                    Ну да ладно — я там (в РБ) периодически живу. Устроит так?
                                                                                                                                                                      –1
                                                                                                                                                                      Пять баллов вам, уважаемый vedenin1980. так держать — нет аргументов, сел в лужу в дискуссии — универсальный высокоэтичный рецепт — ставь минус.

                                                                                                                                                                      Вообще, в порядке офтопа, в плане повышения уровня корректности дискуссии, возможно было бы ввести м.б. запрет ставить оценки оппоненту, с которым вступил в спор (ибо весьма часто — чисто эмоционально, а вовсе не объективно), м.б. «цену оценки» (по типу поставил 10 -20 минусов — у самого на 1 пункт меньше, в самом деле — если столько много минусов приходиться ставить — все вокруг дураки? если так, то не центральный ли вы?)
                                                                                                                                                                        +1
                                                                                                                                                                        1. Про минусы: Да, вы правы, минусы поставил вам я, но, разумеется, не потому что вы мне возражали. Минусы я всегда ставлю тем пользователям, чье поведение похоже на троллинг (переход на личности, негативные язвительные комментарии, использование приблатненной лексики и т.п.), они только что зарегистрировались и не имеют никого вклада в виде самой завалящей статьи, потому что см. пункт 2.

                                                                                                                                                                        2. Проблема хабра в том, что после разрешения комментировать всем, на хабре появилось море троддей без всяких статьей, который сначала пишут нормальные комментарии, а потом начинают троллить. Чем быстрее такие товарищи уйдут в глубокий минус тем лучше.

                                                                                                                                                                        3. Про изменения системы минусов и кармы: опять-таки, почему-то почти все стенания о том какая плохая система на хабре от только зарегестрированых пользователей с десятком комментариев, нулем статей и глубоким минусов в карме (интересно почему?),

                                                                                                                                                                        4. По сути вопроса: alexeykuzmin0 сказал, что ему совершенно непонятно зачем нужно два паспорта (подразумевая, что один паспорт лучше во всех случаях), я привел причины по которым, иногда два паспорта предпочтительнее одного. Я не собираюсь спорить, какой вариант идеальнее и лучше в условиях России (это тянет на полноценное научное исследование), я просто написал, что вариант двух паспорта имеет свои плюсы. С кем и о чем вы там спорите совершенно непонятно.
                                                                                                                                                                          –2
                                                                                                                                                                          «Похоже..» ну ну, желаю и дальше и во всём, и в отношениях между людьми и в работе поступать руководствуясь не логикой и здравым смыслом, а эмоциями (как я постом ранее и указал, что ещё раз повторюсь — соответствующе вас характеризует) и революционным правосознанием.

                                                                                                                                                                          "… переход на личности..." — обвинять в этом, в том же посте, где сам признался, что тихо заминусил вовсе не по сути поста — это пять)))

                                                                                                                                                                          "… и не имеют никого вклада в виде самой завалящей статьи..." — наличие статей даёт +100500 или хотя бы чуть более нуля к силе и корректности аргументов? Не знал.

                                                                                                                                                                          "… я просто написал, что вариант двух паспорта имеет свои плюсы..." (я просто разместил объяву, мопед не мой) — уже же указал на то, что " в практически любой системе/структуре/ситуации есть ряд плюсов и минусов" — это банальность, тогда по любому вопросу можно написать 152 экрана постов. Лавры КО не дают покоя? Иначе, отбрасывая вариант графомании, совершенно непонятно для кого и для чего вы это указали.

                                                                                                                                                                          Будьте послушным юношей: Минус — пли!
                                                                                                                                                                            +1
                                                                                                                                                                            Знакомо, я когда только пришел на хабр так же злился из-за минусов, поэтому и потратил время на написание комментария выше (хотя и не обязан был), адекватный человек потом остынет и подумает, что его манера общения и дискуссий может вызывать негатив и новые минусы в будущем, тролль и неадеквата, конечно, ничего не исправит.

                                                                                                                                                                            Удачи!
                                                                                                                                                                              –1
                                                                                                                                                                              И вам в развитии навыка и получения удовольствия (хотя куда уже больше) от избивания ногами связанного. Причём за то, что делаете сами и не делает ваш оппонент. Смешно.
                                                                                                                                                                    0
                                                                                                                                                                    Загранпаспорт, насколько я знаю, по международным законам нужно менять с течении 10-15 лет
                                                                                                                                                                    Если вы о правиле ICAO, то в нем написано, что оно «рекомендуется к исполнению», а не обязательно.
                                                                                                                                                                    Загранпаспорт с биометрией, как я понимаю, значительно дороже обычного в изготовлении
                                                                                                                                                                    Уж точно не дороже, чем пара загранпаспорт с биометрией + внутренний паспорт.
                                                                                                                                                                    Сейчас загранпаспортов нет у больше чем половины населения, то есть изготовления заграна для всех значит повышения налогов для всех, чтобы дать их каждому пенсионеру и бомжу,
                                                                                                                                                                    Вовсе не обязательно. Просто выдаем вместо всех новых внутренних и заграничных паспортов эти новые «универсальные» паспорта, лет через 20 у +-всех они будут.
                                                                                                                                                                    При получении многих долгосрочных виз требуется сертифицированная копия всех страниц заграна, стоимость таких копий будет существенно дороже, особенно если потребуется перевод всех страниц на русском
                                                                                                                                                                    Всех страниц с визами и главной страницы обычно, а не вообще всех. Количество этих страниц никак не меняется при переходе на универсальный паспорт.
                                                                                                                                                                    При потере заграна, человек за границей вообще становится букашкой без всяких документов, что он вообще гражданин
                                                                                                                                                                    Вывоз внутреннего паспорта за пределы РФ запрещен законом. Собственно, а что происходит при потере человеком внутреннего паспорта сейчас? Казалось бы, при потере «универсального» можно делать то же самое.
                                                                                                                                                                    У часто ездящих людей, все страницы заграна заканчиваются за год, то есть ему придется постоянно менять этот документ, без паспорта невозможно заключать никакие сделки, никуда ездить, то есть на время замены он оказывается совсем ограниченным
                                                                                                                                                                    При смене паспорта можно отдать старый в день получения нового.
                                                                                                                                                                    Не каждый гражданин России имеет право уехать за границу (например кто имеет допуск к гостайне), сейчас его завернут еще на этапе оформления паспорта
                                                                                                                                                                    Не вижу необходимости в запрете на выдачу загранов невыездным.
                                                                                                                                                                    Странные страницы с русским текстом (прописка, дети, военообязаность) могут вызывать вопросы у таможеников других стран, то есть возможно их тоже потребуется переводить на английский, что увеличивает кол-во страницы
                                                                                                                                                                    Вы загран видели когда-нибудь? На странице с фото все надписи дублированы: русский и английский. Насчет же «избыточных» данных — ну вот я сейчас живу в Лондоне, так тут на каждый чих нужен proof of address. Мне было бы очень удобно, если бы в моем загране была прописка, которая им подходила. В сто раз удобнее, чем искать счета за ЖКХ и ходить с ними. Опять же, данные о военнообязанности, семейном положении и детях мне потребовались для визы — было бы лишь удобнее, если бы они были прямо в паспорте.
                                                                                                                                                                    Для оформления визы часто забирают загранпаспорт в посольство страны
                                                                                                                                                                    Обычно можно сдать паспорт уже после получения решения о визе, чисто для вклейки. То же самое происходит, например, в ЗАГСах при регистрации брака без смены фамилии. Опять же, если уж очень надо — пусть те, кому надо, получат второй загран. Зачем обязывать к этому всех?
                                                                                                                                                                    При оформлении визы отдавать свой главный документ агенту на недели и месяцы — весьма большой риск получить потом кредит на свое имя.
                                                                                                                                                                    Прямо большой? Сомневаюсь, ведь не слышно о массовых случаях получения кредитов на чужие имена сотрудниками паспортных столов.
                                                                                                                                                                    Достаточно?
                                                                                                                                                                    С некоторой натяжкой относящимся к реальному миру можно считать только пункт 11. На мой взгляд, он не перевешивает плюсов от уменьшения бюрократии.
                                                                                                                                                  0
                                                                                                                                                  Оригинальная история произошла 18 лет назад. Стоимость GSM-станции на тот момент была на 2 порядка выше 1500 баксов :)
                                                                                                                                                    0
                                                                                                                                                    Да причем здесь «GSM-станция»?! Речь об аналоговом телефоне у бабушки на кухне. Даже 18 лет назад можно было купить по «авито» мини-АТС Panasonic за 500 баксов и штатными средствами настроить перехват 411.

                                                                                                                                                    Но мне больше видится другая история: хакер действительно говорил с сотрудником АНБ (но не за кружку, конечно, а за неплохое «вознаграждение» и возможность «сотрудничать в будущем»).

                                                                                                                                                    С возрастом левая дурь у чувака из башки выветрилась, он позвонил по известной схеме (агент не просто так засветил канал) и попросился на работу с окладом $10000 чистыми в месяц в непыльном кабинете с неглупыми вежливыми дяденьками.

                                                                                                                                                    Ну а плаксивая история с кружкой — это PR-HR-отделы АНБ попросили уже проверенного штатного (внештаного?) сотрудника за премию в $20000 накалякать PR-статью, чтоб привлечь молодняк в агенство и заодно поумерить прыть юных борцунов с системой.
                                                                                                                                                      +1
                                                                                                                                                      Ну так по поводу пиара — этим все занимаются. Вон, трансформеров, оказывается, министерство энергетики США спонсировало. Для повышения боевого духа у подрастающего поколения. Этим все страны балуются :)