Почему мне посреди ночи позвонили из АНБ и попросили исходники +159



История моей сверхсекретной чашки для кофе



«Пожалуйста, слушайте внимательно и не вешайте трубку». Это первые слова, которые неизвестный мужчина произнёс по телефону, когда брат передал мне трубку.

Были выходные на праздник 4 июля 2000 года, плюс-минус день, и мистер Икс знал: нужно начать именно с этих слов, потому что он звонил за полночь на домашний телефон моего брата в Коннектикуте. Это было особенно жутко, потому что я жил в Калифорнии, и никто не знал, что я в Коннектикуте, за исключением моих ближайших родственников, которые все были там в доме со мной. Я приехал накануне, как обычно делаю во время нашего ежегодного семейного пикника на День независимости.

Зачем он звонил?

Это был вопрос национальной безопасности.

Звонивший извинился за поздний звонок и сказал, что его зовут Дэйв. Он попросил взять ручку и бумагу, потому что собирался дать несколько важных инструкций, которые позволят подтвердить его личность. И тогда ошеломил меня фразой: «Это вопрос национальной безопасности».

Некоторые из моих родных начали собираться рядом с кухней, где я стоял у стены с телефоном. Чёрт возьми, что происходит? Я посигналил брату принести ручку.

Я пытался осмыслить происходящее. Как ни странно, даже не догадался спросить у Дэйва, как он получил этот номер. Мужчина казался серьёзным и говорил авторитетным голосом; думаю, я уже поверил, что он имеет на это право.

Окей, готов записывать.

Дэйв сказал, что он звонит с базы АНБ в Бетесде. Агентство национальной безопасности. Он больше ничего не мог сказать, пока я не перезвоню. Вот зачем нужна была ручка. Он собирался дать инструкцию из нескольких шагов, как перезвонить ему таким способом, который подтвердит его личность и серьёзность ситуации.

Перезвоните


Дэйв сказал повесить трубку, набрать 411 (справка) и спросить у оператора основной номер военно-морской базы в Бетесде, штат Мэриленд. Затем позвонить по этому номеру, пройти через нескольких других операторов на базе, попросив каждого по очереди подключить меня к следующему в цепочке. Он продиктовал точные слова для каждого такого прыжка, потому что я буду просить о перенаправлении на защищённый объект.

Адреналин ударил в голову и я проснулся.

Чтобы успокоить меня, он сказал, что перезвонит через десять минут, если от меня не будет вестей — на случай, если я облажаюсь. Но я справился.

Через несколько минут я снова разговаривал по телефону с Дэйвом. Обалдеть, АНБ. Это происходило на самом деле.

Нам нужна ваша помощь


Дэйв продолжил. Он сказал, что у них есть ноутбук с файлами, которые зашифрованы моей программой SafeHouse. У них ситуация с национальной безопасностью, требующая немедленного доступа к этим файлам, и им нужна моя помощь. А конкретно, если я им помогу, возможно, они получат доступ к файлам быстрее, чем без моей помощи. Время имело существенное значение: отсюда и звонок посреди ночи.

Если АНБ не получит доступа к файлам, случатся неприятности.

SafeHouse был (и до сих пор остаётся) популярной утилитой Windows, которую я разработал для шифрования приватных файлов, она распространяется как shareware. В бесплатной версии шифрование специально ослаблено в соответствии с требованиями Госдепа на экспорт вооружений, а также чтобы подтолкнуть пользователей к покупке продвинутой платной версии. Клиенты разные, от домашних юзеров до крупных финансовых организаций.

Если АНБ не получит доступа к файлам, случатся неприятности. Может, умрут люди. По крайней мере, Дэйв внушил мне такое впечатление, когда вежливо попросил, готов ли я предоставить исходники, всё время извиняясь, что не может ничего больше рассказать о ситуации.

Я упоминаю вежливость Дэйва, потому что она казалась необычной и особенно странной — он был слишком приятным. Казалось, что он предполагает или готов принять отказ. И если бы на его месте был кто-то иной в другой ситуации, так бы и произошло. Но здесь казалось, что дело важное, и просто нет времени на обсуждение.

Конечно, Дэйв сразу спросил, есть ли бэкдор для расшифровки, потому что это сэкономит много времени. Но нет. SafeHouse разработан по самым высоким стандартам и передовым практикам с использованием сильного 256-битного шифрования.

Хорошо, я готов предоставить исходники. Любые, без вопросов. Но была одна небольшая проблема — у меня их нет с собой, ведь я в отпуске. Поэтому придётся позвонить и разбудить Рона в Портленде. Стукнул уже час ночи на западном побережье. Рон работал программистом в моей команде, и я точно знал, что у него дома есть копия исходников.

Звонок. Письмо. Готово.

Я попробовал прощупать почву: ребята, так вы действительно способны взломать 256-битное шифрование? Дэйв хранил молчание. В криптосообществе давно обсуждают эту тему; и я подумал, что стоит попробовать. Даже не рассчитывал на ответ.

Когда этот парень с ноутбуком купил SafeHouse? Какая у него версия? Чем больше я знаю, тем лучше смогу вам помочь.

И вот тогда Дэйв признался, что у чувака на ноутбуке shareware-версия. Что, серьёзно? Это всё меняет. Условно-бесплатная версия поддерживала только слабенькое 40-битное шифрование. Большинство хакеров могут взломать его за пару дней. И я думаю, что секретным шифровальщикам АНБ потребуется гораздо меньше времени.

Я снова прощупал почву: на этот раз об их возможностях взлома 40-битных шифров. Возможно, такой низкий уровень уже не государственная тайна. Но Дэйв опять хранил молчание.

Тупые преступники


Но серьёзно, этот идиот с ноутбуком планировал взорвать здание или что-то такое, но у него не хватило мозгов или денег, чтобы купить нормальную версию программы за $39,99 с максимальным шифрованием?

На этот раз Дэйв ответил: «Удивительно, но такое происходит постоянно. Их называют тупыми преступниками не просто так. Невероятно, но это правда».

Я продолжал работать с Дэйвом и его командой в течение дня или около того. Ответил на все их вопросы, а они не ответили ни на один из моих — естественно. Но они всегда были вежливы в этих односторонних разговорах, которые разжигали безумное любопытство, которое, как я знал, никогда не будет удовлетворено.

Подарок


Через несколько дней я вернулся домой в Калифорнию, и в моём офисе стояла коробка без опознавательных знаков, с указанием моего имени. Внутри, завёрнутая в белую папиросную бумагу, лежала синяя чашка для кофе АНБ с рукописной запиской на обычной белой бумаге: «Спасибо. Дэйв».

Позже в тот же день позвонил Дэйв. Он ещё не мог рассказать никаких подробностей, потому что всё было совершенно секретно, но сказал, что всё «получилось», и они благодарны за мою помощь.

Ещё раз я попытался вытянуть детали и спросил, означает ли «сработало», что они взломали шифр; но конечно, он ничего не сказал. Молчалив как обычно. Наверное, с ним весело на вечеринках. Дэйв вообще его настоящее имя?

Когда я поблагодарил за подарок, то не мог умолчать о тайной записке, которую он положил в коробку. Дэйв просто рассмеялся и сказал: «Это мои обычные бланки в АНБ».

Эта сверхсекретная чашка у меня уже 18 лет. Именно та, что на КДПВ. Каждое утро я пью кофе, но никогда из этой чашки. Она слишком особенная. Боюсь её сломать, так что пусть стоит на полке в гостиной рядом с другими ценными сувенирами.

Я никогда не был в АНБ, но насколько я знаю, они продают такие чашки в сувенирном магазине. Но для меня это неважно. Эта чашка — напоминание о чём-то плохом, что никогда не произошло, и я сыграл в этом небольшую роль.

Но одна вещь сидит у меня в голове все эти годы: как, чёрт возьми, Дэйв выследил меня за 3000 миль от дома посреди ночи в тот жаркий летний вечер в Бристоле, штат Коннектикут?

Вы можете помочь и перевести немного средств на развитие сайта



Комментарии (324):

  1. roboter
    /#19302389 / +3

    А мог бы попросить машину с мигалкой!

    • nerudo
      /#19302687 / +6

      А мог бы получить 300 грамм тротила ;)

      • robux
        /#19304871

        А мог бы получить 20 лет строгача "за хранение наркотиков".


        P.S. Интересно, сколько АНБ заплатила копирайтеру за пиар "конторы".
        Я даже укутался во флаг США и немножко поплакал:
        — Ах, как жаль, что суровые парни не пригласили его работать в АНБ!..

        • solarplexus
          /#19306055

          Где гарантии, что ему звонил не террорист? Просто, выложить все исходники незнакомцу… Тупые «преступники»…

          • allcreater
            /#19306451

            Так пишут же, что специально предложили перезвонить на официальный номер базы. Если номер и правда публичный, это неплохое подтверждение, как мне кажется.

            • nafikovr
              /#19306553

              думаю Митник с вами не согласится

            • sim31r
              /#19307681

              Можно договориться с девушкой в службе поддержки, или методом социальной инженерии дать ей новый номер, типа «запиши: секретная лаборатория это номер такой-то», это же просто телефонный номер, вряд ли их проверяют досконально.

              • ikormachev
                /#19312303

                Уверен, что в 2000 году у этого парня в доме была аналоговая линия и подключить к ней свою собственную АТС для фрода не представляло проблем.

            • jetcar
              /#19307779

              его нашли в гостях, если они знают где он то на домашний телефон надеяться последнее дело, но когда адреналин играет мозг обычно не очень работает. нет нислова о самой передаче исходников, вот тут как раз таки самое интересное, как и кому передать чтоб не отдать кому попало

    • nochkin
      /#19304809 / +1

      Это был просто повод подарить чашку с закладкой. Такая обычная чашка «с ушами».
      В АНБ их продают в сувенирном магазине на защищённом объекте в секции «для подарков».

      • sim31r
        /#19307693

        Сколько она проработает? Там нет места для аккумулятора. Да и в те годы пошли сотовые телефоны, все методы прослушки устарели сразу, зачем ставить прослушку, если есть мобильные телефоны…

        • legolegs
          /#19308103

          На случай если кружка используется по назначению можно встроить термоэлектрический генератор. Правда, тут автор истории нас с АНБ переиграл и чай из кружки пить не стал.

        • nochkin
          /#19309869

          Она работает на энергии тепла рук и кинетической энергии жидкости внутри.
          Ведь за чаем проходят самые интересные беседы.

          А что телефон? Телефон пришёл и ушёл, а вот кружка от АНБ будет бережно стоять на полке.

          • Deesy
            /#19312067

            А ведь можно было всего лишь раз разогреть кофе в этой кружке в микроволновке убрав тем самым все "уши", и далее пусть стоит много лет глухим сувениром.

  2. mk2
    /#19302395 / +20

    Вот именно поэтому не надо пользоваться условно-бесплатными программами для шифрования файлов.

    • Konachan700
      /#19302423 / +19

      Так это еще хорошо, что у него 40 бит нормального шифрования было. Полно платных приложений в том же гуглплее, которые первую сотню байт ксорят на однобайтный паттерн — вот где боль…
      Любые средства шифрования должны быть открытыми (не обязательно бесплатными), если они не секретны. Иначе доверия им ноль.

      • dark_snow
        /#19303531 / +1

        TrueCrypt\VeraCrypt\PGP или ручками шифровать (что еще надежнее).

          • pehat
            /#19303953 / +1

            Вот так. И больше не путайте файлы на локальном диске и клиент-серверное взаимодействие.

            • EviGL
              /#19304047 / +2

              Удобно, наверное, в быту шифровать полуторагигабайтный видосик полуторагигабайтным ключом.


              В OS, библиотеках ЯП и файловых системах, думаете, меньше ловушек, чем в клиент-серверном взаимодействии?
              Навскидку, при кривой реализации ключ может случайно остаться на FS и его можно будет найти побайтовым сканированием. Да, это очевидный косяк, но в самописной реализации на 100 существующих очевидных косяков один да будет допущен.

              • pehat
                /#19304201 / +1

                удобно

                Произведение безопасности на удобство есть величина постоянная. Никто не гарантировал, что абсолютно криптостойкий шифр будет удобным.


                в быту шифровать полуторагигабайтный видосик

                Это когда видео со свадьбы никому показывать не хочется? Ни разу настолько не пёкся о своих персональных видео. В моём мире утечка данных дебетовой карты несколько более чувствительна, чем того, что уже в меру успешно подделывают состязательные нейронные сети.


                ключ может случайно остаться на FS

                Если ключа вообще нигде не останется, то доступ к шифрованным файлам не сможет получить даже владелец. Если ключ существует хоть где-то (пусть даже в голове владельца), то для взломщика с паяльником преград нет. Всегда нужно чётко понимать, от каких типов атак мы защищаемся.


                в самописной реализации на 100 существующих очевидных косяков один да будет допущен

                Я полагаю, здесь апелляция к авторитету, довольно абстрактному. Ну ок, вот вам несколько моих авторитетов. Вернер Кох, кажется, написал довольно неплохую утилиту, сам. Брюс Шнайер говорит, что один человек может придумать криптосистему, которую сам не взломает. В конце концов, необязательно шифровать самописной утилитой — есть хорошее правило "открытая реализация, закрытый ключ".

                • EviGL
                  /#19304239

                  Ну да, про то и был комментарий выше, что не надо изобретать руками криптографию, надо брать как можно лучше проверенную опенсорсную. Это не про авторитет, а про то, что если секретным знанием можно украсть миллиард, то вряд ли его запалят на вашей переписке.


                  Но всё же шифр Вернама совсем-совсем не применим в указанном в статье случае. Если у вас есть шифроблокнот или флешка с ключом, с ними вас и возьмут. А если ключ для данных заучивать, то проще заучить оригинальные данные той же длины.

                  • Kirhgoff
                    /#19304681

                    В классических детективах для шифра обычно использовалась книга, которая была у всех дома (Библия там определенного издания или какой-то стандартный справочник). Мне кажется можно использовать какой-то файл, про который знаешь, что он есть в системе или его легко получить и который имеет версионность. Тот же текст MIT лицензии, бинарник библиотеки для определенной платформы определенной версии или что-то типа того. Тогда файл с собой носить не надо.

                    • Greendq
                      /#19305473

                      Осмысленный текст нельзя — он плохой ключ по определению.

                      • Kirhgoff
                        /#19306361

                        А чем он плох, если им все равно ксорить со сдвигом?

                        • Greendq
                          /#19306647

                          Любой осмысленный текст содержит символы, которые распределены не случайным образом. И по определению не подпадает под описание хорошего ключа. Даже Библия, которую использовали в качестве ключа не являлась хорошим ключом.

                          Другими словами, random+text=random, text+text=text.

                          Или я заблуждаюсь?

                          • Wesha
                            /#19309579

                            Любой осмысленный текст содержит символы, которые распределены не случайным образом. И по определению не подпадает под описание хорошего ключа.

                            А MD5 от каждых (128/8=16) букв ключевого текста (в смысле каждые 128 бит текста заменяются на MD5 от них же) — попадает?

                            • Greendq
                              /#19312445

                              Ну, если текст не напрямую, а через хеш-функцию — то попадает, насколько я понимаю. Только MD5 не очень хорошо, надо бы функцию с бОльшим диапазоном значений. К MD5 уже есть претензии от криптографов, насколько я знаю.

                        • Inanity
                          /#19306699 / +1

                          Низкая энтропия. Не должно быть зависимости любого бита ключа от любого другого бита. Для примера, в тексте на русском языке чаще всего встречается буква «е». После двух гласных чаще всего будет идти согласная или пробел, редко бывает 4 согласных подряд и т.д… Любая дополнительная информация, которая поможет определить следующий бит ключа ослабляет защиту.

                          • Kirhgoff
                            /#19306923

                            В теории вы абсолютно правы, против энтропии не попрешь, но я плохо представляю, как это можно применить в конкретном примере, когда у вас есть файл зашифрованный тупым ксором через текст библии (и пусть вы даже это знаете). Плохо представляю, какой алгоритм я бы стал писать. Неужели есть тулы, которые могут прошарить что проксорено текстом и догадаться, что за текст, я, к сожалению, не очень хорошо шарю в криптографии.

                            В таком случае можно выбрать два стандартных файла и ключ приготовить, проксорив один файл другим. Мой поинт в том, что не надо с собой носить ключ на флешке, можно обойтись простым запоминанием стандартных файлов, которые вы применяете. Если вы знаете, как такое ломается, поделитесь.

                            • Kirhgoff
                              /#19306933

                              Но еще раз, я то за использование стандартных тулов, ручное шифрование мне представляется очень суровым хобби, которое того не стоит, если вы серьезный шпион :)

                              • Inanity
                                /#19307025

                                есть файл зашифрованный тупым ксором через текст библии (и пусть вы даже это знаете)
                                Вы даже не представляете насколько быстро это будет сделано. Для экономии времени достаточно взять первую строчку вашего зашифрованного контейнера и ксорить её с текстом из библии, смещаясь каждый раз на один символ. Как только в полученной строке появятся хотя бы несколько осмысленных слов, то это смещение — кандидат на ключ. В конце проверяем все смещения — кандидаты на всём контейнере и один из них полностью расшифрует ваши данные.

                                • sim31r
                                  /#19307737

                                  Смотря что за файл. Если исходный файл текстовый, а еще хуже картинка в формате BMP 8 бит и векторной графикой (99% информации один и тот же байт цвета фонового), то расшифровать очень просто.
                                  А если этот же файл сжать архиватором с максимальной степенью сжатия, то после простейшего XOR, даже с текстом простейшим, при анализе не за что зацепиться будет. Просто шум, повторений и корреляций нет, все байты равномерно распределены.

                                • Kirhgoff
                                  /#19309597

                                  Не, ну это читерство какое-то, конечно же если вы НЕ знаете что это зашифровано текстом из Библии, я плохо выразился. Это-то любому младенцу понятно, как расшифровать, если знаешь ключ (да еще и способ шифрования).

                                  Еще раз, напомню, как разворачивлся диалог. Товарищу сильно сверху, который собирался использовать шифр Вернама, возразили, что ему тогда ключ придется с собой носить, мне вспомнились рассказы про Шерлока Холмса и я написал, что совсем необязательно — можно просто выбрать какой-то стандартный на любом компе доступный файл.

                                  Игровая ситуация такая — вы Шерлок Холмс 21-го века. В ваши руки попадает компьютер преступника с зашифрованным файлом содержащем доказательства его вины. Стандартных средств шифрования нет, история bash вытерта, у вас подозрение, что товарищ (который не являет собой светоч интеллекта) наверняка просто поксорил свой архив каким-то стандартным файлом (я вот это имел в виду, когда писал «знаете», mea culpa). Ваши действия?

                                  Я бы на месте Шерлока Холмса пошел бы домой, хрен его знает, какой именно файл человек выбрал.

                                  • Inanity
                                    /#19309969 / +1

                                    Ваши действия?
                                    Ок, попробуем так. Атака заключается в том, что я могу попробовать предположить или угадать некоторую часть зашифрованного файла. Большинство файлов, которыми мы пользуемся имеют четкую структуру, заголовки, magic numbers. sim31r чуть выше предложил сжимать архиватором. Допустим, что это был rar-архив. Архив имеет в начале блок-маркер из 7 байт (0x52 0x61 0x72 0x21 0x1a 0x07 0x00). Таким образом у меня на руках первые 7 байт файла (гаммы), с которым ксорили данный архив. А дальше вы знаете. Хорошо, если поиск ограничится компьютером жертвы. Если же нет, то возможно это какая-то общеизвестная информация. Начало гаммы может дать подсказку.

                                    Можно придумать ещё много «а если бы...», но суть в том, что у хорошего шифра сценариев атаки, кроме полного перебора быть не должно.

                                    • Kirhgoff
                                      /#19309985

                                      Здорово! Очевидно, я не гожусь ни в Шерлоки Холмсы, ни в Мориарти :)

                                  • vedenin1980
                                    /#19310293

                                    Я бы на месте Шерлока Холмса пошел бы домой, хрен его знает, какой именно файл человек выбрал.

                                    Ну например, самое распостраненное слово анлийского языка определенный артикаль the, то есть мы знаем слово из 5 букв (артикаль + пробелы), которое гарантировано встречается в тексте, пытаемся расшифровать текст ксоря его с разным смещением, если получили 5 английских букв, вероятно угадали, пробуем подобрать слова из словоря перед и после (иногда можно угадать типичные фразы аглийского). Потом зная части ключа и исходного текста можно попытаться найти текст в библиотеке (на компе преступника).

                                    • Kirhgoff
                                      /#19310519

                                      Врядли кто-то будет шифровать простой текстовый файл, наверняка будет архив. Но выше уже предложили подобное решение для этой ситуации, когда мы берем заголовок rar файла. В любом случае подход понятен — допетриваем до последовательности байтов, пытаемся получить часть ключа, а потом и сам ключ. Годится и будет работать.

                                      • Arqwer
                                        /#19311717

                                        Если вспомнить, что у нашего Шерлока есть ещё и собственный датацентр с дофига вычислительной мощностью, то можно даже вообще почти не думать: достаточно ввести функцию Likelihood(text) которая на вход берёт данные, а на выход говорит — на сколько это похоже на нечто осмысленное. Далее, пусть мы знаем, что расшифровка производится некоторым алгоритмом Decrypt(шифровка, ключ) (сам алгоритм можно найти на компе, или в худшем случае -перебрать все самые популярные). Далее достаём дискретный оптимизатор, и приказываем ему найти максимум у функции Likelihood(Decrypt(шифротекст, ключ)) по параметру "ключ". А дискретные оптимизаторы сейчас очень мощные — они сами и корреляции найдут и эвристик там масса уже готовых используется, и они сами где надо включат генетические, муравьиные, пчелиные и прочие оптимизации и SAT впридачу. В итоге сложность подбора ключа снизится с полного перебора, примерно до уровня теоретической энтропии ключа в случае хорошего шифра, и ещё ниже в случае плохого шифра. Теперь умножим это всё на мощьность нашего датацентра. И заметьте, во всём этом процессе мы ни разу не задумывались о уязвимостях шифре вообще.

                                        • Kirhgoff
                                          /#19312317

                                          Очень красиво все звучит, мне кажется, такое девушке можно говорить на свидании.

                                          Я понял, чо есть какая-то волшебная вещь под названием дискретный оптимизатор, в принципе я знаю что такое дискретная математика и что такое оптимизация, решил погуглить и не нашел ничего стоящего, непонятно, что это за штука. Был бы рад, если бы вы пояснили. Мое понимание, что все эти прозрения про сам алгоритм Decrypt(шифровка, ключ) нужно сидеть и программировать руками, чтобы свои гипотезы можно было бы проверять, как вот выше писали очень красиво. Неужели есть волшебные устройства, которые это все автоматически проделывают?

                          • alexeykuzmin0
                            /#19308591

                            Если брать буквы не подряд, а, например, с номерами, соответствующими числам фибоначчи по модулю размера текста, вряд ли получится расшифровать.

                    • ctacka
                      /#19306861

                      avi-шка матрицы :)

                      • nafikovr
                        /#19307157

                        как ключ хранить BD + энкодер. настройки, как пароль, хранить в голове.

                  • Jabberwocky
                    /#19305503

                    Можно взять за ключ любой массив информации, не вызывающий подозрения в том, что это ключ — 256ю страницу «Войны и мира» или старый компакт-диск с виндой.

                    • EviGL
                      /#19306031

                      Ну вот и ещё одна иллюстрация к статье "Вы опасно некомпетентны в криптографии". Вы вот таким способом делаете у себя на компьютере шифрованный раздельчик. И считаете что у вас непобедимый Шифр Вернама.


                      На самом же деле, если как-то прознают, что ключ в войне и мире, останется только её побайтово перебрать, чтобы найти смещение старта ключа — секунда на современных компьютерах.


                      Если неизвестно, где именно ключ, смотрим дальше: сколько у вас на себе (на HDD, на флэшках, на CD) файлов, размер которых больше размера вашего криптоконтейнера? Умножаем условную секунду на это число, получаем время взлома. Всякие хитрости типа склейки файлов, прочтения задом наперёд и т.д. добавляют по мизеру энтропии к ключу.


                      Думали, что у нас абсолютная криптографическая стойкость, а оказалось задача на перебор готовой базы паролей.


                      Шифр Вернама требует истинно случайную последовательность для правильной работы — тогда перебором вы равновероятно можете зашифрованное сообщение расшифровать в любое сообщение той же длины. А вот такую последовательность уже хрен где спрячешь. Потому что этот шифр не предназначен для случая возможного перехвата блокнотов.

                      • MyOnAsSalat
                        /#19309381 / -1

                        можно просто слоями шифрование накладывать.
                        Если используются множество алгоритмов аля свои + опенсурсные, то энтропия растёт порядками

                      • StanislavL
                        /#19310735

                        Файлы могут быть и в интернете. Статья в вики, файл с гитхаба, в конце концов jpeg с большим разрешением.
                        Кусочки файла можно еще хэшить и от хеша брать уже байты.

                        • EviGL
                          /#19310779

                          А спецслужбы никак не узнают, что это за один и тот же файл вы скачиваете и удаляете каждый день. А чем больше действий вы делаете для расшифровки, тем больше шансов наследить в ОС подробностями этих действий.


                          Что только не сделают, чтобы человеческие криптоконтейнеры не использовать :)

                          • StanislavL
                            /#19310835

                            Заходите на сайт и тянете с него jpeg? Его даже удалять не надо. Лежит себе в кеше браузера.

                            Так то я согласен, что opensource лучше, но с незнанием схемы шифрования можно помучаться.

                    • Gutt
                      /#19306101

                      И это будет плохой ключ с низкой энтропией. Вот если использовать его для инициализации генератора псевослучайных последовательностей, то будет уже намного лучше.

              • sim31r
                /#19304249 / +1

                Видео очень хорошо сжато, думаю там данные, кроме заголовка по сути шум на 99.9%. Думаю можно делать XOR не по принципу одноразового блокнота, а ключом в сотни раз меньше, потом повторять циклически. Опять же кроме заголовка, с заголовком отдельно нужно поработать, так как есть открытый текст стандартный. На выходе все равно будут данные не отличимые от шума, зацепиться при анализе будет не за что.
                По самописной реализации в статье есть намек, если была бы самописная реализация 40-битного шифрования, без исходников, АНБ бы разбиралось намного дольше, без гарантии успешного расшифрования. Там тоже живые люди, ну попробовали — не получилось, без исходного алгоритма.

                • qrck13
                  /#19305357

                  Спрашивается, вот зачем все это велосипеды с XOR-ом? В сети полно хороших библиотек проверенных (сам недавно начал использовать bouncy castle для одного своего проекта). Если уж тааак хочется XOR-ить, то берем AES-CTR и вперёд.

                  • sim31r
                    /#19308227 / -1

                    Практической значимости нет, а теоретически интересно же.

                    • qrck13
                      /#19308281

                      Куда интереснее нормальную криптографию делать, а городить то, что потом стыдно на github выложить

                      • sim31r
                        /#19308361 / -1

                        Не всё на гитхабе для практического применения, могут быть просто теоретические исследования.
                        Вот пример со сжатой информацией. Сжимаем текстовый документ так что в нем не остается ни одного бита избыточной информации неким идеальным алгоритмом. И случайно изменяем 1 бит информации, это и есть наш «ключ». Есть ли теоретическая возможность восстановить информацию?

                        • berez
                          /#19308541

                          Ясен пень, есть.
                          Просто флипаем по очереди биты и проверяем, разжимается или нет. При длине сжатого сообщения в 1 кб перебрать придется всего 8 тыщ вариантов — т.е. ниачом.

                          • sim31r
                            /#19308575

                            Все 8000 вариантов будут разжиматься в некий файл, без контрольной суммы или известного ключевого слова правильный файл не выделить из остальных.

                            • berez
                              /#19308893

                              Ошибаетесь.
                              У текстового документа очень специфичные статистические закономерности, а раскодированный с ошибками файл будет содержать в себе бинарный мусор. Даже простенькая программа-фильтр без труда отсеет 90% мусорных файлов, если не больше. Остальное прекрасно отсеется глазами.

                        • qrck13
                          /#19308647 / +1

                          Если знать, каким именно алгоритмом было сделано, то даже для сжатого текста размером 1Mb (после сжатия, те такой приличный текстище на десятки тысяч страниц) потребуется перебрать всего 8M вариантов "ключей" — это хуже, чем словарный пароль к архиву. Так что да, восстановить можно и очень просто.


                          Впрочем играйтесь сколько хотите, только не утверждайте что это хоть на 1% безопасное "шифрование". :-)

                • nafikovr
                  /#19305443

                  автор из кружки пьет уже 18 лет. даже если исключить что математики это время были в спячке, то как минимум производительность немного скакнула вперед.

          • dark_snow
            /#19304237

            Хммм, не спорю, в криптографии некомпетентен (скорее 2я стадия), но я подразумевал написать свою реализацию некоего алгоритма и не афишировать ни софт, ни алгоритм (для узкого круга лиц или личных файлов).

            • nafikovr
              /#19305451 / -1

              знание принципа шифрования как минимум приближает к разгадке, так что верно.

              • dark_snow
                /#19307913

                Не особо данном случае, хотя тоже верно — просто не зная конкретный алгоритм и его реализацию (косяки и баги у всех бывают) больше времени на анализ уйдет и «ручной» перебор. Но опять же, я могу ошибаться т.к не криптограф.

        • miga
          /#19304365

          Раз речь идет про экспортные ограничения в 40 бит, то дело было в 90-х — PGP уже был, но все это было еще бесконечно далеко от возможностей обычного человека (точнее, тупого преступника)

    • ionicman
      /#19302437 / +8

      Шароварные программы тут абсолютно не причём.

      Просто надо всегда читать, что за ограничения идут на демо-период, да и вообще читать лицензию.
      Тем более если ты — террорист :)

    • funca
      /#19303651 / +3

      Мне показалось, что автор намекает, дескать вообще не надо пользоваться чужими программами для шифрования. Потому, что авторы под колпаком у спецслужб. Вежливо попросят исходники среди ночи — не откажут. А потребуют встроить бекдор или ослабить шифрование, кто будет рисковать и ради кого?

      • FreeBa
        /#19304021

        Ну хз, хз. Я бы отказал, особенно если это заказная разработка. Терморектальный криптоанализ, конечно, никто не отменял. Но это по другой статье проходит.

        • funca
          /#19304313 / +1

          В 2018 несложно возбудить дело по подозрению в пособничестве терроризму и отмыванию. На основании этого заморозить счета, ограничить перемещения и связь, изъять оборудование. Текущий работодатель расстается на раз, вариантов нового трудоустройства практически ни каких. Как долго готовы существовать в таком режиме: неделю, месяц, год? Вопрос-то пустяк на пять минут, если решать по-хорошему.

          • FreeBa
            /#19304567 / +1

            Все так, вот до последней запятой. Причем не только в РФ так, но и в большинстве (если не во всех) странах ЕС.

            Конкретно я, когда беру сомнительный заказ — рассуждаю и устанавливаю цену опираясь и на эти моменты в том числе. Особенно, если понимаю что утиль может быть использован в европе.

            А за заказы, котрые потенциально могут быть использованы в РФ, типа создания ботнета на портале госуслуг, не берусь в принципе (да я в курсе, что для окончания регистрации надо с паспортом ножками пройти в центр обслуживания, но это не единственный способ, что дает уязвимость для системы в целом), — ищите других дураков, тут выбор простой — бабло или своя шкура. Ответ, как правило, очевиден.

            PS: и тем не менее, если мне заказали софт и используют его неблагонадежным способом, то это проблема тех кто его использует и тех кто им противостоит. Это не моя война. Если что-то написано мной, то как минимум, с совестью удалось договориться.

          • ciphertext
            /#19305499

            Выскажу непопулярную мысль, на первый взгляд отдающюю юношеским максимализмом: принципы могут быть выше заблокированных счетов. Хотя, соглашусь, вопрос абсолютно неоднозначный и с материальной, и с моральной стороны (особенно, если пользователь этой программы — террорист).

            • CherryPah
              /#19309835

              Выскажу еще более непопулярную мысль про то что не бывает атеистов в окопах под огнем
              Достаточно легко говорить о своих принципах сидя в теплом кресле и с какой-никакой уверенностью в завтрашнем дне. Куда сложнее оставаться верным им когда твоей семье есть нечего.

      • vikarti
        /#19310221

        Автор ж говорит что АНБшник был готов к отказу.
        Про законность требования — вообще не упомянуто.
        Автора именно убедили что надо помочь, не шантажом а словами. Он просто — доверяет как минимум АНБ. Ну да — патриотизм такой.

    • x67
      /#19305549

      Да, пользуйтесь open source. Тогда никто ради вашей персоны не потревожит сонного программиста в полночь накануне 4 июля на западном побережии сша — все исходники уже лежат на гитхабе. А криптоустойчивость не зависит от obscurity

      • funca
        /#19309053

        А криптоустойчивость не зависит от obscurity
        Лишь с математической точки зрения на отдельно взятый аспект. Безопасность данных это комплексная проблема, где результат зависит от разных факторов.

  3. methodx
    /#19302427 / +6

    Очень крутая история. Спасибо за перевод.

    • c0f04
      /#19304329

      Да, история крутая, только ни одна история не обязана быть правдой.


      • АНБ, думаю, может заполучить всё, что им требуется так, что человек просто об этом никогда не узнает.
      • История с цепочкой звонков… ну просто мало похожа на правду. Не станет агент выдавать кучу служебной информации просто так. Да и секретного для защищённой линии там по факту ничего не было, просто просили исходники. Разве что для убедительности всё было. А всё, что по военной базе, — выдал на незащищённой линии.
      • Какая это защищённая линия, если разговор идёт по обычному телефону?

      Но есть кое-что, что похоже на правду, — невероятная вежливость и убедительность звонящего. А если история правдива, то никакой секретной информации, от которой зависят жизни, могло и не быть (нужны были лишь исходники), да и даже исходники могли быть и не нужны, возможно цель была совсем в другом.

      • ICELedyanoj
        /#19304423

        Но SafeHouse всё-таки существует, и там даже есть платная pro-версия.
        Если это и реклама, то реклама странная.

        • c0f04
          /#19304457

          Вы никогда не слышали, как человек, который Вам рассказывал много интересных случаев, разговаривая по телефону описывает только что произошедшую смешную ситуацию, свидетелем которой Вы стали? Я один раз услышал такое преувеличение, что хотелось спросить: «Ну что ты врёшь-то при мне?» А слова ещё одного товарища приходилось пропускать через жёсткий фильтр, чтобы понять, чему можно вообще верить, хотя у мало знакомых людей он вызывал впечатление умного и интересного человека.

          Так или иначе, ко всей информации должен применяться научный скептицизм.

      • EKV-ch
        /#19304669 / +1

        «Да и секретного для защищённой линии там по факту ничего не было, просто просили исходники. Разве что для убедительности всё было» — именно. Ну действительно, вот вы, допустим автор к-л проги и вот вам звонит непойми кто и просит выслать исходники (а так же номер и CVV кредитки))) — ваши действия?
        Т.е. этот хоровод с перезвонами именно убедить, что это официальная просьба правительственной организации а не мошенник или пранкер-стажёр.

        • 8street
          /#19305245

          Гм, а мне пришло в голову, что звонок АНБ может быть настоящим, сотрудник тоже настоящий, а действует он в личных целях.

          • ICELedyanoj
            /#19305465

            Статья так написана, у меня это тоже вертелось на уме во время чтения.
            Намёки были настолько очевидными, что это было самое настоящее ружьё, висящее на стене в первом акте. Но внезапно — оно так и не выстрелило.

      • Xalium
        /#19304751

        ну прямо сейчас может и нет того, кто все это проанализирует всю накопившуюся инфу, но в будущем возможно может быть. Не просто так же все таки всякие ИИ мусолят.

      • andrey_gavrilov
        /#19305157

        в тексте не говорится о защищенной линии, это «соломенное чучело» (aka «подмена тезиса»).

        Не станет агент выдавать кучу служебной информации просто так.

        — 1) выдачи «служебной информации» описано так же не было (не считать же такой «способ дозвониться до Дейва»),
        2) нулевая гипотеза (хотя бы потому, что об этом заявлял Дейв (как заявляет автор текста)) — в том, что это вовсе не «просто так» было.

      • fpir
        /#19305453 / +1

        Не знаю, как в АНБ, а в СССР такая система дозвона присутствовала, в 93м пользовался. Звонишь на городской номер, там «фаланга, слушаю», ты ему «дайте трещётку» -«переключаю», следующему «дайте дельфина», последнему-«дайте город, номер 23-32-23». Вуаля, бесплатный межгород с мамой пообщаться из армии. Никто никаких вопросов не задаёт, главное знать всю цепочку.

        • Gutt
          /#19306173

          Я вам больше скажу, как минимум до начала 2010-х ручные телефонные коммутаторы 60-х годов прошлого века ещё были в строю. В 2007-м я ещё служил начальником телеграфно-телефонного отделения, которое этим и занималось.

        • emashev
          /#19307247 / +1

          а потом счет из доминиканской республики приходит в штаб )

          • fpir
            /#19307557

            В тот момент как-раз стали появляться мобильные телефоны, стоили не гуманно, особенно обслуживание, до 1.5 баксов минута. И так-же стали появляться носимые рации, воки-токи. И была у нас такая, кажется Ericson, которая работала на частоте сотовых сетей. Можно было подключится, оп, разговаривает кто-то, на другой канал-там тишина, набираешь номер и разговариваешь, только что с таргентой, типа «приём», собеседники офигевали. Там счета должны были выходить покруче, чем с Доминиканой. Но счетов, конечно, никто не видел.

            • JC_IIB
              /#19307641

              Можно было подключится, оп, разговаривает кто-то, на другой канал-там тишина, набираешь номер и разговариваешь


              Без идентификации, без установления соединения. Просто в радиоканал номер набрать? Да еще и с рации, которая о том, что такое DTMF, понятия не имеет в принципе? Равно как не имеет понятия и о сотовых протоколах?
              Как-то… малоправдоподобно, если честно.

              • fpir
                /#19307695

                Я не могу сказать, что там было с идентификацией и на каких протоколах она устанавливала соединение. Абсолютно точно, что ничего не шифровалось, так как с разговорами ничего не приукрашено. Рация была рассчитана на такую работ, на ней была клавиатура. Ещё вроде требовалась перезаливка стандартной прошивки, но это по слухам, мне она попала в руки уже в том виде, что говорил выше. Но я прям ручаюсь, так и работала, без симки, без собственного номера. Как? Без понятия! Может тут объяснят специалисты-некрофилы?

            • F0iL
              /#19307675 / +1

              Скорее это все-таки были не сотовые сети в общепринятом понимании, а что-то типа транкинговых.
              Потому что аналоговые стандарты мобильной связи, в которых можно вызвать абонента простым DTMF-набором в эфир мне неизвестны, даже старые протоколы устроены гораздо сложнее. А вот «радиоудлинители» ТфОП до сих пор существуют, и номер там набирается часто именно таким образом :)

              • JC_IIB
                /#19307731 / +1

                Скорее это все-таки были не сотовые сети в общепринятом понимании, а что-то типа транкинговых.


                Вот о чем и я. Это не сотовые сети были, а транкинг какой-нибудь, типа Алтая.

                • timdorohin
                  /#19309825

                  NMT-450 — аналоговый, но там с рации еще в сетку каналов надо попасть.
                  Маловероятно, но возможно.

                  • JC_IIB
                    /#19310931

                    В NMT так-то регистрация есть. И я оооочень сомневаюсь, что БСка распознает DTMF в радиоканале и отправит их на MSC.

      • zagayevskiy
        /#19305521

        Вопрос был не о защищенности линии, а о верификации звонящего.

      • Sap_ru
        /#19305985

        История с цепочкой звонков как раз добавляет правдоподобности.
        Вы удостоверение АНБ видели когда-нибудь? А кто сказал, что вам показывают настоящее, а не поддельное?
        В США сотрудники ФБР и АНБ в трудный случаях для подтверждения своих полномочий действительное просят позвонить по общеизвестному номеру (который можно получить независимо) и подтвердить, что они те, за кого себя выдают.
        ФБР, например, имеет для этого сменные код для всей операции и каждого сотрудника. Звонишь на номер любого управления ФБР, диктуешь оператору код и он тебе говорит подтверждающую информацию. И в любом случае можно продиктовать номер удостоверения, имя и описание внешности и получить ответ да/нет.
        А как иначе можно проверить настоящий перед тобой сотрудник или злоумышленник? Особенно, если сотрудник хочет чего-то большого. Кавалькаду с мигалками по каждому чиху только в кино высылают.

  4. saag
    /#19302465 / +1

    как, чёрт возьми, Дэйв выследил меня за 3000 миль от дома посреди ночи в тот жаркий летний вечер в Бристоле, штат Коннектикут?

    Ха, я знаю и сорт кофе, какой пьет автор:-)

    • andrey_gavrilov
      /#19305177 / +1

      вы думаете, что знаете его. Возможно, после того случая автор стал искусным конспиратором, и фотает кружку на фоне совершенно левого пакета с кофе.

    • 8street
      /#19305261

      А мне кажется, это как раз не сложно. Пара звонков в контору, там можно узнать, что автор в отпуске и, возможно, куда хотел поехать. Наведение справок о родственниках (наверняка есть какая-то база, типа нашего загс). Звонок на вокзал/аэропорт и бинго.

      • c0f04
        /#19305311

        Сразу видно, что фильм «Сноуден» не смотрели. Там скорее всего большая база знаний по всем гражданам и иностранным лицам. Им не особо требуется куда-то звонить и что-то узнавать. Поиск по базе — должно быть что-то вроде внутреннего Гугла. На самом деле было бы удивительно, если б у них подобного не было.

        • ipswitch
          /#19306105

          о да, база знаний… там одного поиска по whitepages из которых фиг уберёшься достаточно, чтобы найти по фамилии родственников, к примеру.
          пример поиска

      • Wan-Derer
        /#19308107

        Чел купил билет на самолёт…
        Этого достаточно

  5. alan008
    /#19302543 / -11

    Ну то есть автор программы по шифрованию без вопросов передал исходники какому-то дядьке, который звонил по телефону. Теперь этот дядька может расшифровать не только тот ноутбук, но и все компы, которые используют эту прогу. Нет, не такой безопасности хотел добиться Сноуден.

    • Konachan700
      /#19302563 / +14

      Не может, ключа-то нет. Прога просто у него не опенсорсная была, а дядьке исходник нужен был срочно. Криминала нет, от винды исходники тоже спецслужбам передают, к примеру, и они сами себе собирают ее.

      • TheDaemon
        /#19303667 / +2

        Не только спецслужбам. Например в НТЦ Атлас передают :)
        Вообще мало кто в последнее время делает тайну из исходников.

    • Kwisatz
      /#19302605 / +18

      Security through obscurity не имеет никакого смысла, это базовый принцип.

      А какой-то дядька был очень вежлив и даже не стал давать номер телефона, а попросил сделать все через справочную.

      • JC_IIB
        /#19302613 / +1

        Есть предположение, что на дядькин номер просто так не дозвониться, только через цепочку операторов.

        • tvr
          /#19302659 / +10

          только через цепочку операторов.


          Прокси-серверов.

        • OKyJIucT
          /#19304251 / +1

          Либо, как в фильме "Враг государства", исходящий звонок перехвачен и направлен в "справочную", где дают нужен номера и сидят правильные операторы.

      • pnetmon
        /#19303487 / +2

        Осталось только подключиться к этой линии и начать выдавать себя за справочную и так далее ;)

        • hp6812er
          /#19304947

          Например вот этим)image
          Дома лежит такой агрегат с прошлого места работы. И чего только он не умеет) Даже оператором может представится при желании)))

          • OKyJIucT
            /#19305407 / +1

            Фото не прикрепилось. Как хоть называется, погуглим? :)

            P.S. Прошу прощения, через исходный код страницы нашел ссылку на страницу с картинкой. Но изображение вы все равно вставили неверно. Необходимо прямую ссылку на него указывать.

            • ipswitch
              /#19306119

              image
              Тестовая (монтёрская) трубка.
              Кое-где годилась за местный аналог Blue Box.

    • MaZaNaX
      /#19302851

      Вообще, в источнике автор ответил на вопросы про раскрытие исходников, что ничего существенного не дал, просто были небольшие пояснения и все такое

    • Eltaron
      /#19302991 / +7

      А вас не пугает, что исходники какого-нибудь openssl даже и просить у авторов не нужно, они на гитхабе лежат?

      • Dobryj
        /#19303129 / +10

        Это не должно пугать, даже наоборот. Это гарантия того, что алгоритмы будут перепроверены большим числом профессионалов. Без ключей, алгоритмы — это просто алгоритмы.

        • berez
          /#19303387 / -4

          Это гарантия того, что алгоритмы будут перепроверены большим числом профессионалов.

          Да-да, миллионы пользователей опенсорца каждый день делают его лучше…

          1. Не гарантия, а некоторая вероятность.
          2. Не большим числом профессионалов, а хотя бы одним.

          И вишенкой:
          3. Профессионалов недостаточно. Нужны именно профессиональные криптографы.

        • Sabubu
          /#19303485 / +1

          Ага, профессионалами из АНБ.

        • SlavikF
          /#19303557 / +2

          > Это гарантия того, что алгоритмы будут перепроверены большим числом профессионалов

          Ага, случай с Heartbleed подтверждает

          • vsb
            /#19304053 / +4

            Но ведь действительно подтверждает. Уязвимость-то нашли. А сколько таких хатблидов в проприетарных реализациях?

            • funca
              /#19304341

              Ну как нашли. Подтвердили факт наличия после того как информация об уязвимости была слита. Опенсорс тут не при чем. История появления мутного кода с ошибкой тоже выглядит странно.

              • robux
                /#19304939

                Не "ну", а именно нашли за счет того, что код был OpenSource:

                Название Heartbleed было придумано инженером финской компании Codenomicon, занимающейся информационной безопасностью. Они же придумали логотип в виде кровоточащего сердца и создали сайт heartbleed.com, чтобы рассказать об уязвимости сообществу. Codenomicon объявила 3 апреля 2014 датой обнаружения бага и датой сообщения об этом Национальному Центру Компьютерной Безопасности Финляндии для отслеживания уязвимости.
                А теперь догадайтесь с 3-х раз, если мутные дяди умудряются пихнуть дырявый код в OpenSource, то что они делают с закрытым кодом?!..


                OpenSource, слава Б-гу, пусть через год-два, но позволяет обнаружить и устранить баги, а не слушать десятилетиями "честные истории" корпораций и шароварщиков, млеющих от кружки с логотипом "АНБ".

                • funca
                  /#19305327

                  Там не говорится, что они нашли уязвимость, копаясь в исходниках. Секъюрити обычно имеют дело с инцедентами, когда замечают необычное поведение системы. Т.е кто то нашел раньше и использовал для атаки, а безопасники обнаружили и слили инфу в паблик (совершенно не факт, что вот прямо так сразу — как гласит легенда некоторые компании обнаружили и закрыли дырку даже раньше, а значит их сотрудники наверняка пытались гуглить по признакам инцедента, и гугл на момент принятия решения о публикации был в курсе, что они не единственные кто обнаружил). Разобрались в коде и выпустили заплатку лишь через неделю после официального анонса дыры.

        • dartraiden
          /#19303759 / +1

          Нужно отправить SHH-серверу сообщение SSH2_MSG_USERAUTH_SUCCESS вместо ожидаемого им SSH2_MSG_USERAUTH_REQUEST. Из-за бага сервер, получивший такое сообщение, просто поверит атакующему, что тот залогинен и верификация не нужна.

          4 года смотрели, благо, что эта библиотека практически не используется для развёртывания серверов, а то было бы намного болезненнее.

          • Cenzo
            /#19304729

            Немного кривите не упоминая, что её использовал гитхаб в режиме сервера как раз, а уязвимости не было потому что у них авторизация по ключу «SSH2_MSG_USERAUTH_SUCCESS with libssh server is not relied upon for pubkey-based auth». А кто в наши дни использует ssh с авторизацией по паролю… ну все наверное поняли. Авторизация по ключу не была затронута.

  6. AADogov
    /#19302551 / +11

    Ну не знаю…
    Пока читал во мне все сильнее зрели подозрения что автора развели. Возможно методами социальной инженерии из него выманили всю необходимую информацию для расшифровки
    Скорее всего это даже не АНБ. Тоже странная история с посылкой. Ведь нужно было не просто обмануть а сделать так что даже спустя 18 лет никто не подумал об этом. Тем более автор сам сказал что такую кружку можно купить в сувенирном магазине.

    • MaZaNaX
      /#19302579 / +2

      предполагаете, что справочная сотрудничала с теоретическим мошенником?

      • Calvrack
        /#19302603 / +21

        Полагать можно что скомпрометирована телефонная сеть, а злоумышленник сидит под ближайшим телефонным столбом.

        • JC_IIB
          /#19302647

          Как человек, который немножко знает, как устроена телефония, спрошу так — «как вы себе представляете такой механизм компрометации сети?»
          Ну нашли вы телефонный столб — дальше что?

          • Calvrack
            /#19302675 / +7

            Ну как… вы лезете на столб (или в люк) и ищите там пару которая уходит в конкретный дом. Режете ее, и встаете в разрыв, изображая станцию. Никакого ни мультиплексора ни шифрования же между абонентом и АТС нет вроде бы?

            • JC_IIB
              /#19302913 / +1

              Это может сработать только при условии, что автор статьи жил в отдельно стоящем доме, куда уходит своя пара медных проводов. Ну хорошо, встали мы на пару… или на кросс. Как сделать так, чтобы при наборе 411 звонок не ушел куда не надо? Оторвать городское плечо? Напруга из сети пропадет, вообще ничего работать не будет.
              Хотя если заморочиться, и, скажем, встать на пару не простой трубкой, а кое-чем похитрее… чтобы атакуемый думал, что звонит в город, а на самом деле — нет… мороки больно много. Имитировать разные голоса «операторов», проключающих звонок дальше…
              Скажу так — не нереально, но возни много. И все ради исходников шароварной проги, с заведомо не очень надежным шифрованием?

              • Stalker_RED
                /#19303171 / +5

                Вы так говорите, будто это устройство придется разработать лично вам, а потом собственноручно спаять.
                А на деле, если кому-то нужно, он может купить готовое устройство чуть ли не в супермаркете. Готовая поддельная базовая станция для GSM стоит менее $1500, а для проводных телефонов хватит мини-АТС из магазина оргтехники!

                • JC_IIB
                  /#19303241

                  Вы так говорите, будто это устройство придется разработать лично вам, а потом собственноручно спаять.


                  Ума не приложу, где вы умудрились это увидеть.

                • RewCode
                  /#19304183 / +2

                  Любой шлюз с fxs за 500 руб с авито и ноутбук с астериском и заготовленными «репликами» операторов. Не благодарите :)

                  А если же серьёзно — всё это такая ерунда, на фоне задержания пограничника с друзьями, продавшего анкеты «туристов» англичанам, по делу солсбери…
                  Раньше вроде погранцы это ФСБ были, сейчас не знаю, но именно так всё и происходит. Сливы любых документов «сотрудниками» это признак какой-то системной неадекватности силовиков. Похоже даже спецслужбы Зимбабве могут запросто прийти и за бабло под коньячок завладеть любым документом в России. Что это — не понимание своей ответственности или заведомо избыточный сбор данных специально предназначенный к продаже. Какой-то «день опричника» во всей своей красе «гусеницы».

                  Без законодательного запрета на сбор данных иного и не будет. Охранники, бесконечные анкетеры, фальшивые работодатели и кадровые агентства, даже в библиотеке у детей ксерокопию паспорта требуют… Все же понимают, куда весь этот поток копий документов идёт. Ну не можете избавиться от идиотов на службе, избавьтесь от документов — избыток документов ведет к избытку собираемых сведений и злоупотреблений ими. Государство могло избавится от паспорта, оставив лишь загран и водительские права, могло отказаться от десятка удостоверений личности, но оно даже трудовые книжки отменить не смогло, зато дополнительно ввело уэк и его клоны в регионах.

                  • Kirhgoff
                    /#19304699

                    А про какое задержание вы говорите? Я тут читаю фейсбук журналиста Сергея Канева, который из ЦУРа и который как раз копал солсберийских товарищей и он написал вчера вроде, что был вброс ФСБ об аресте пограничника и еще кого-то, чтобы выяснить реальные источники данных. Сказал всем сидеть спокойно. Это не одно и то же?

                    • SergeyMax
                      /#19305043

                      А как этот «вброс» поможет выяснить реальные источники? Кто-то поднимет руку и скажет «вы не тех задержали, это сделал я»?

                      • Kirhgoff
                        /#19305063

                        Ну его версия, что их коммуникации отслеживают и когда они попытаются связаться с настоящими чуваками (там же не сказали, кого взяли), чтобы проверить что свои в порядке, тут-то их и перехватят. Мопед не мой, просто забавно, что совершенно независимо (я его читаю, потому что он из моего родного города, я еще мальчишкой его местное телевидение смотрел) всплыла одна и та же новость.

                        • SergeyMax
                          /#19305169

                          А, теперь понял, про кого вы. Сергей Канев — это же один из авторов расследования Bellingcat. Пойду почитаю.

                  • Daddy_Cool
                    /#19304739

                    Сорокин написал это в 2006 году. Видимо о чем-то догадывался. Или прям точно знал, как все там э… обстоит.

                • Greendq
                  /#19304427 / +1

                  Оригинальная история произошла 18 лет назад. Стоимость GSM-станции на тот момент была на 2 порядка выше 1500 баксов :)

                  • robux
                    /#19304951

                    Да причем здесь «GSM-станция»?! Речь об аналоговом телефоне у бабушки на кухне. Даже 18 лет назад можно было купить по «авито» мини-АТС Panasonic за 500 баксов и штатными средствами настроить перехват 411.

                    Но мне больше видится другая история: хакер действительно говорил с сотрудником АНБ (но не за кружку, конечно, а за неплохое «вознаграждение» и возможность «сотрудничать в будущем»).

                    С возрастом левая дурь у чувака из башки выветрилась, он позвонил по известной схеме (агент не просто так засветил канал) и попросился на работу с окладом $10000 чистыми в месяц в непыльном кабинете с неглупыми вежливыми дяденьками.

                    Ну а плаксивая история с кружкой — это PR-HR-отделы АНБ попросили уже проверенного штатного (внештаного?) сотрудника за премию в $20000 накалякать PR-статью, чтоб привлечь молодняк в агенство и заодно поумерить прыть юных борцунов с системой.

                    • Greendq
                      /#19305467

                      Ну так по поводу пиара — этим все занимаются. Вон, трансформеров, оказывается, министерство энергетики США спонсировало. Для повышения боевого духа у подрастающего поколения. Этим все страны балуются :)

              • MacIn
                /#19303273 / +1

                . Ну хорошо, встали мы на пару… или на кросс. Как сделать так, чтобы при наборе 411 звонок не ушел куда не надо?

                Отдельная АТС, специализированная под такие перехваты?

                • Calvrack
                  /#19303305

                  Так их же полно готовых — для тестовых целей… 20000р новая вот например — Fluke Networks TS25D, а с ебея вдвое дешевле.

                  Весь вопрос в том кому реально может быть нужен исходный код и зачем. Если исключить анекдот про «спасающего мир» АНБшника, и вопрос жизни и смерти, который разрешает нарушать процедуру, но запрещает привлечь автора как эксперта?

                  • TheShock
                    /#19303409 / +1

                    но запрещает привлечь автора как эксперта?

                    Может дело в «ошибке выжившего»? Есть сотни таких же людей, но которых официально привлекли как эксперта и они не могут рассказать эту историю из-за соглашения о неразглашении. И мы узнали только ту странную историю, где автора привлекли без такого соглашения

              • apro
                /#19303541 / +2

                Это может сработать только при условии, что автор статьи жил в отдельно стоящем доме, куда уходит своя пара медных проводов

                В США, Коннектикут разве это может быть не отдельно стоящий дом на одну семью?

          • tvr
            /#19302679 / +17

            Ну нашли вы телефонный столб — дальше что?


            Дальше поднимаем глаза вверх и видим сидящего в когтях и наушниках на столбе злоумышленника.

        • geisha
          /#19303973

          Полагать можно что скомпрометирована телефонная сеть, а злоумышленник сидит под ближайшим телефонным столбом.
          Хз что там было на самом деле, но можно придумать 100500 способов верификации при которых этот трюк не пройдёт. Да и, вероятно, не стоило оно того.

      • AADogov
        /#19302719 / +4

        Я просто пытаюсь посмотреть на ситуацию критически. То чему нас учет сообщество хабр.
        Никому не доверять.
        Вот представьте вам в 2 часа ночи, позвонит незнакомый представится агентом ФСБ, ГРУ, и вежливо попросит вас исходники вашей программы, помощь в анализе данных этой программе. В целях национальной безопасности и все такое…
        Что бы будете делать?

        • MaZaNaX
          /#19302733 / +24

          почему-то кажется, что эти товарищи будут просить лично, а не по телефону

        • ianzag
          /#19302795 / +7

          В прошлый раз я послал его нахер. Потому что 4 утра, суббота, и я хочу выспаться. Больше не звонил.

          • Telomer
            /#19303445 / +24

            и остался без кружки

            • ianzag
              /#19303559 / -1

              Спасибо, но у меня уже есть. Стальная. С фирменной геофизической гравировкой. Она прожила уже десять лет и ещё сто проживет. Зачем мне какой-то АНБ?

              • Stas911
                /#19304549 / +1

                проверьте дозиметром

            • pehat
              /#19303991 / +5

              Главное, чтобы не на бутылке.

              • xDimaRus
                /#19305495

                Привет Я.Таксисту (для верности профиль глянул хотя было не обязательно ))

                • pehat
                  /#19305773

                  Совершенно не обязательно — всё равно ошиблись.

        • nanshakov
          /#19302809 / +3

          Положу трубку…

          • scifinder
            /#19303001 / +5

            А если на выключенный телефон дозвонятся?

            • asm0dey
              /#19303245 / +9

              Не если, а когда.

              • putnik
                /#19304665

                Вот тогда можно будет и поговорить.

                • robux
                  /#19304971 / +1

                  Тогда придётся говорить в синем фургоне в лесополосе с шокером подмышкой.
                  Недавно вон питерские «анархисты» много чего рассказали, даже о чем ранее не помышляли.

        • cadmi
          /#19303641

          в аналогичном случае (и тоже 18 лет назад, правда речь шла не о моей программе и вообще не об исходниках) мне предъявили удостоверение :)

          черт, не догадался попросить кружку, а сами не дали!

        • TheDaemon
          /#19303691

          Нам Сысоев выдавал исходники nginx'а под windows, когда они еще не были выложены для применения в гос. контракте. Так что не вижу проблем.

          • krylov_sn
            /#19304029 / -1

            Увидел фамилию, подумал про нашего препода в универе, который нам про Python читал и анализ биомед. данных.

    • Konachan700
      /#19302715 / +4

      Самое главное: зачем это мошеннику? Стырить у никому неизвестного программиста никому не нужный код мало кому известной программы? Для спецслужб кейс запроса исходников выглядит нормально — нашли ноут в вещдоках и надо попробовать расшифровать, для мошенника тырить исходник — сумасшествие и дичь.

      • AADogov
        /#19303497 / +3

        Попробую ответить. Уж очень зацепила меня эта статья.
        Вероятно злоумышленниками были нелегально получены(финансовые, технические, корпоративные и т. д.) очень важные данные зашифрованные этой программой. Код был получен из открытых источников. От автора планировалось получить дополнительную информацию и консультацию по расшифровке. Но необходимо это сделать это незаметно для всех, не скомпромитировать себя. Нужно сделать так чтобы автор до последнего думал что это спец службы и он помогает Родине.

        Дальше жуткий офтоп, заранее прошу прощения.
        Я не могу понять зачем была написана эта статья? Автор похвастался как помог АНБ получить нелегальный доступ к чужим данным. Причем насколько я заметил он сам сомневался в том что это АНБ.

        Вообще это отличный кейс пример на курсе информационная безопасность как делать нельзя. И автор написавший не абы какую программу, а программу шифрования не мог этого не понимать.

    • AADogov
      /#19302869 / +3

      И еще.

      Но одна вещь сидит у меня в голове все эти годы: как, чёрт возьми, Дэйв выследил меня за 3000 миль от дома посреди ночи в тот жаркий летний вечер в Бристоле, штат Коннектикут?

      Для поддержания правдоподобности истории необходимо было продемонстрировать возможности спецслужб по розыску людей.
      Очень просто. 4 июля — день независимости, национальный праздник. Предполагается что автор встречать его будет в кругу семьи. Где семья? Где родители? в Коннектикуте. Скорей всего атака планировалась заранее.

      • michael_vostrikov
        /#19303375 / +2

        Позвонили домой, никто не отвечает, позвонили родственникам.

    • PeterK
      /#19303119 / +6

      Сначала развели на исходники. А потом прислали кружку.

      • agarus
        /#19305189

        Кружку из магазина сувениров в АНБ…

    • andrey_gavrilov
      /#19305191

      Отвечает Александр Друздь

      (TL;DR:
      1) бессмысленно, он им размеры некоторых заголовков только дал, прога не скомпроментирована
      2) «But I know it was real [АНБ, А.Г.]» он с ними встречался несколько месяцев спустя (по не связанному с этим делу), и они его накормили бесплатным обедом, что, с учетом отсутствия угрозы проге — оверкилл в «заговороделанье»).

  7. Kwisatz
    /#19302557 / +19

    Очень уважаю таких профессионалов которые даже будучи у власти все еще вежливы и учтивы. Особенно впечатлил момент про подтверждение личности.

    Однако, про сам факт помощи тут есть нюанс: ровно с такой же вероятностью это мог быть ноутбук орнитолога-любителя, случайно заснявшего как условный сенатор делает нечто весьма нехорошее.

    • Serge78rus
      /#19302633 / +1

      В чем, для спецслужб, смысл расшифровки данных с ноутбука орнитолога-любителя? Ну заснял он что-то такое, а спецслужбы как то об этом узнали. Но в этом случае достаточно уничтожить данные, зачем их расшифровывать то?

      • Kwisatz
        /#19302671 / +1

        А если не он, а если передал?

      • bryukhanovaa
        /#19304851

        затем что и спецслужбам порой нужен компромат

    • Wolframium13
      /#19303093 / +3

      Общался с нашими чекистами, тоже пугающе вежливые люди. Пока не начнёшь отказывать, я думаю.

      • nerudo
        /#19303747 / +1

        Будут возвышенны их слова, будут доходчивы и добры (й)

      • kAIST
        /#19304451 / -1

        Подтверждаю ) обращались как то за помощью. Мог бы отказать, но было жутко интересно. Но никакую кружку не подарили...

      • sincosxy
        /#19304913

        И будут вежливы и ласковы настолько — Предложат жизнь счастливую на блюде.
        Но мы откажемся… И бьют они жестоко,
        Люди, люди, люди…
        В.С. Высоцкий, «Песня Бродского»

  8. Calvrack
    /#19302573 / +6

    Прекрасная история, а где-то на том конце провода орал в секретной тюрьме осведомитель Сноудена под ударами шокера.

  9. Waxer
    /#19302619 / -6

    Пройдет немного больше 434 дня и первый самолет врежется в первую башню и никакой Дэйв, Майкл или еще какой урод из АНБ не сделает ничего, что бы это предотвратить.

    • methodx
      /#19302681

      Это мог быть вполне отдельный случай, который если бы могли предотвратить — обязательно бы предотвратили (по крайней мере я в это верю). Мы не можем этого знать, увы. Как и предотвратить каждую трагедию.

      • mkshma
        /#19303219 / -5

        Немного лень гуглить: почему самолеты не взорвали еще на подлете? Или они до самого конца выглядели для диспетчеров нормально и поменяли курс когда уже было поздно?

        • Sabubu
          /#19303503 / +6

          Почему их должны быть взрывать? Какими правилами гражданской авиации предусмотрен подрыв пассажирских самолетов? Ей-богу, вы какой-то бред пишете.

          • mkshma
            /#19307323

            Если он угнан террористами, то почему нет? Угнанный летательный аппарат летит в густонаселенный регион и не отвечает на позывные. Не вижу причин дать ему в принципе до населенного пункта долететь. А более эффективного способа, чем подорвать его, я не вижу.

            • JC_IIB
              /#19307361 / +1

              Если он угнан террористами, то почему нет?


              Представьте, что вы сами находитесь в таком самолете — и вы найдете ответ на свой вопрос.

              • mkshma
                /#19307663 / +2

                Так мне в любом случае хана в такой ситуации. Либо во что-то влетим, либо при попытке угона свалимся без топлива, либо нас довезут куда надо, а там либо прирежут, либо идите куда хотите, но посадят в такой дыре, что там ни еды, ни жизни на километры вокруг. Спецназ загнать на самолет нереально, договариваться уже поздно, так что любые варианты со спасением отпадают.

                • sud3n
                  /#19308931

                  Если самолёт не в воздухе, то еще как возможно загнать спецназ.
                  Для примера: Операция «Энтеббе». Из 105 заложников — 102 выжили.

            • vedenin1980
              /#19307591

              Во-первых, где гарантия, что самолет угнан, а произошел технический сбой, из-за которого накрылись средства связи и навигации?

              Во-вторых, самолеты угоняли до этого десятки и, может быть, сотни раз, они пролетали разные густонаселенные районы, но никто из угонщиков в здания самолеты не направлял. А сбить угнанный летательный аппарат это гарантированная гибель сотен пассажиров.

            • Sabubu
              /#19308081

              Это только над Москвой полеты запрещены, над другими городами самолеты летают постоянно — всех сбивать?

              • tvr
                /#19308123

                всех сбивать?


                а Господь распознает своих…

        • cadmi
          /#19303657

          Ну чтобы долго не гуглить, вот вам, например, свидетельство очевидца из первого ряда партера (с которым я лично знаком).

          Нахожусь уже над Holland Tunnel, на траверзе Canal Street, как вижу с противоположной стороны, где-то метрах на 500 идёт «737» (на первый взгляд), впринципе там он и ожидался, т.к. визуальный заход в Ла Гвардию проходит как раз по реке и сам факт нахождения авиалайнера там совершенно не ставился под сомнение, ну может чуть ниже чем обычно, тоже небось поглазеть хотел, но никаких подозрений он не вызывал.

          www.maxho.com/index.php/maxhocom/8-main/479-wtc.html

      • Alcpp
        /#19304345

        Если бы предотвратили мы бы сейчас, через овер 10 лет даже не вспомнили об этом.

    • Mazumedroid
      /#19303089 / +2

      в аэропорту синая (египет) мы с сынишкой в зале отлета, после регистрации, немного расшалились. внезапно подошел человек в строгом костюме с бейджем и по-русски спросил меня, обратившись по имени, как у меня дела. меня удивило это, как и зачем он узнал мое имя? никто в слух его не произносил, этот случай произвел на меня впечатление…

      а пройдет пару лет и охрана этого эропорта ничего не сделает для предотвращения взрыва нашего самолета

      • Tortortor
        /#19303235 / +3

        ты был пьян и из кармана торчал посадочный талон

      • Wesha
        /#19303253 / +6

        как он узнал мое имя?

        Открыть базе билетов (доступ есть, раз сотрудник с бейджем), и найти русских (шалили, небость, с криками на русском языке) с одним ребёнком мужского пола, вылетающих в Россию рейсом, регистрация которого начнётся через час (обычно сильно заранее не приезжают), так неимоверно сложно?


        и зачем

        А товарищу майору ваша шутка понравилась ©

      • nerudo
        /#19303783

        Местный или европейской наружности?

    • Kubatai
      /#19303331

      А всё потому, что они купили полную версию программы SafeHouse. Отличный рекламных ход!

  10. le1ic
    /#19302743 / +1

    Чекисты всех стран всегда хорошие психологи, напустить туману, дать возможность почувствовать себя спасителем мира, а по факту в лучшем случае взламывали какого-нибудь нарика.

    • keydet
      /#19302857 / -3

      ЧКисты (точнее, их наследники) есть только в одной стране. Не совсем корректно их обобщать со спецслужбами других стран, хоть это и всего лишь придирка к терминологии.

  11. McAaron
    /#19302827 / -9

    Интересно, когда речь идет о том, что АНБ должна иметь доступ к переписке, все на этом ресурсе только за. А когда идет речь о том что аналогичный доступ должна иметь ФСБ, слышен только недовольный протест. Вы что, совсем умом тронулись?

    • nanshakov
      /#19302837 / +8

      Потому что первые до нас никак не доберутся?

    • Juggernaut
      /#19303417 / +15

      Не бойся чужих, бойся своих.
      Это правило жизни в нашей стране постигается не сразу и не всеми. Но тем не менее, да — АНБ не представляет угрозы для меня, даже гипотетической. А вот ФСБ в любой момент способна растоптать всю жизнь по любому непредсказуемому предлогу, даже самому нелепому. Хотя бы за пост в соцсетях.

      • firedragon
        /#19303709 / +1

        Поедете вы на конференцию по формату PDF, и прямо в аэропорту вас возьмут и отведут на несколько суток непонятно куда. После поднятые на уши адвокаты и детективы найдут вас и после шума вам предъявят обвинение.
        Реальная история.

      • hipposphaericus
        /#19305493 / +1

        Просто интересно — вы ведь не верите в то, что американские спецслужбы (ФБР, АНБ) могут арестовать вас лично в любое время в любой зарубежной стране? Даже гипотетически? И, вероятно, полностью верите в то, что именно русские хакеры повлияли на предыдущие выборы в США и что это именно их, «злобных русских хакеров», а не российских программистов, в последние годы отлавливает ФБР в разных странах? Вы в курсе сколько российских программистов (выехавших на отдых в туристические страны) уже успели арестовать по этому делу?

        • Whuthering
          /#19305937 / +1

          Конечно же нет, все "российские программисты" — исключительно святые люди все до единого, и даже подумать невозможно, что кто-то в чем-то может быть замешан, о чем вы.

          • hipposphaericus
            /#19306181

            Вы как-то опускаете сам факт ареста иностранных программистов в зарубежных странах по конкретному обвинению, цепляясь к одному отдельному термину. Вы считаете, что они все в чём-то виновны, даже если их вина не доказана? (их сажают для следствия, а не по факту доказательства их вины) Вне зависимости от «святости» — берут-то их за взлом американских выборов. Ваше мнение конкретно по поводу взлома — Трампа выбрали при помощи русских хакеров? Это достаточный повод хватать зарубежных граждан на чужой территории? Сноудэн вам тоже, видимо, не авторитет?

            • Whuthering
              /#19306261

              (их сажают для следствия, а не по факту доказательства их вины)
              И? Так работают системы во многих странах, в том числе и в нашей. Сначала временное ограничение свободы на этапе следствия, если есть опасения, что подозреваемый сбежит от правосудия, потом следствие и суд.
              Ваше мнение конкретно по поводу взлома — Трампа выбрали при помощи русских хакеров?
              Я не знаком с полными материалами конкретного дела (более чем уверен, что и вы тоже). Но нет причин исключать теоретическую возможность этого.
              Это достаточный повод хватать зарубежных граждан на чужой территории?
              Вы так говорите, как будто если бы американские программисты вмешались в выборы в РФ и после по глупости приехали на территорию дружественных нам стран (с которыми налажено сотрудничество спецслужб), их бы по головке погладили, напоили чаем и отпустили с миром.

              В любом случае, решительно непонятно, зачем вы пытаетесь устроить здесь клоунаду и сменить тему. Речь-то изначально была о том, что для того, что чтобы пострадать от «их» спецслужб, нашему человеку нужно достаточно сильно засветиться и потом куда-то поехать, а вот чтобы пострадать от своих-же спецслужб нашему человеку не нужно делать вообще ничего, достаточно просто проживать на территории страны.

              • hipposphaericus
                /#19309411

                Так работают системы во многих странах, в том числе и в нашей

                Назовите пару десятков случаев, когда российские спецслужбы хватали кого-либо на территории чужих стран. Тем более американских граждан.
                Я не знаком с полными материалами конкретного дела

                А я вам подброшу ссылочку на неполные материалы, ознакомьтесь. Кратко некоторые тезисы (на 5 декабря 2016):
                «Практически никто не сомневается, что пересчет, которого потребовала в Висконсине, Мичигане и Пенсильвании кандидат Партии зеленых Джилл Стайн, не изменит исход президентских выборов, принесших победу республиканцу Дональду Трампу.»

                «2 декабря президент Центра по предотвращению преступности Джон Лотт… отметил, что американские машины для голосования не соединены с интернетом, поэтому отдаленный хакер вломиться в них не в состоянии.»

                «Хакер, конечно, может забраться в машину на избирательном участке. Но в одной Пенсильвании их 25 тысяч штук, поэтому вламываться в них в розницу вряд ли рентабельно.»

                «Марк Элайяс, главный юрисконсульт штаба Клинтон, описывал на сайте Medium, как последние две недели ее люди потратили массу времени и сил на то, чтобы выявить признаки российского взлома и прочих манипуляций голосованием, и заключил, что они не нашли доказательств проделок хакеров из России.

                На днях… разведорганы США пришли к аналогичному заключению.»

                А теперь у вас какое мнение об этом вопросе?
                Речь-то изначально была о том, что для того, что чтобы пострадать от «их» спецслужб, нашему человеку нужно достаточно сильно засветиться и потом куда-то поехать

                Речь изначально именно об этом. Нет массовых примеров попадания в российскую тюрьму иностранных граждан прямо с отдыха в Греции, на Кипре, Цейлоне, в Чехии, Испании, Таиланде etc. Наоборот — вы можете спрятаться от ФСБ в любой из этих стран. Даже не знаю какая страна вас вообще выдаст по запросу наших спецслужб. И есть массовые обратные примеры со стороны американских спецслужб. При это лично вы — понятия не имеете, насколько реально виноваты эти люди, но почему-то защищаете ФБР, наплевав на презумпцию невиновности (а их вина не доказана даже для ФБР, не то что для вас — они только подозреваемые, но уже сидят в тюрьмах в Штатах).

                Есть факты захваченных и сидящих в Штатах наших граждан. Это факт — с ним не поспоришь. И нет доказательств, что сидят они там за дело (потому что есть и обратные утверждения, что их просто подставили, и проверить мы с вами этого не можем, а значит по презумпции невиновности, пока нам однозначно не доказали чью-то вину — мы не считаем человека виновным).

                Если лично вы больше боитесь ФСБ, чем ФБР — это ваши личные фобии (или личный опыт). Но утверждать, что наших надо бояться больше, чем АНБ — фактически оскорбить Сноудэна и сами спецслужбы США, считающие себя всесильными и вседозволенными почти на всей планете. Особенно в курортных зонах, облюбованных нашими согражданами. И «светиться» вам при этом совсем не обязательно — базы данных итишников раскиданы от форумов до открытых списков работников организаций на сайтах.

                P.S. Оскорблять оппонента, продвигая своё лично имхо как единственно верное мнение по спорным вопросам, особенно если «Я не знаком с полными материалами конкретного дела» — это и есть клоунада, с вашей стороны.

                • Whuthering
                  /#19311057

                  Назовите пару десятков случаев, когда российские спецслужбы хватали кого-либо на территории чужих стран. Тем более американских граждан.
                  Да Литвиненко, например, который, кстати, был гражданином Великобритании. Его даже не схватили, а убили.
                  Наоборот — вы можете спрятаться от ФСБ в любой из этих стран.
                  Для этого нужно сначала покинуть границы нашего государства, которые, кстати, контроллируются ими же. Если вами уже занялись, то вероятность успеха здесь явно не такая уж высокая.
                  Но утверждать, что наших надо бояться больше, чем АНБ — фактически оскорбить Сноудэна и сами спецслужбы США
                  Вопрос теперь к вам: назовите пару десятков случаев, когда американские или любые другие иностранные спецслужбы арестовывали граждан РФ на территории РФ.
                  Ну хотя бы один, а остальные просто посчитайте. И сравните количество этих случаев с количеством арестов российскими спецслужбами своих же граждан на своей же территории. Это и будет ответ на вопрос «кого больше следует бояться гражданину РФ в своей стране».

                  • hipposphaericus
                    /#19311987

                    сравните количество этих случаев с количеством арестов российскими спецслужбами своих же граждан на своей же территории. Это и будет ответ на вопрос «кого больше следует бояться гражданину РФ в своей стране»

                    ОК. Приведите пожалуйста статистику арестов ИТишников нашей ФСБ по причине, связанной с профессией, и лучше в процентах от количества работников данной сферы (можно попробовать даже сравнить количественно данную статистику со статистикой арестов наших программистов ФБР). А затем общую статистику попадания граждан России в ДТП. Это и будет ответ на вопрос «кого больше следует бояться гражданину РФ в своей стране». У нас исчезающе мал шанс быть арестованными нашей ФСБ только по причине того, что ты программист, шансов получить травмы или погибнуть на дороге — гораздо больше. Вы продолжаете её бояться? Может быть в вашем кругу проводились массовые аресты программистов по ложным обвинениям в хакерстве, отсюда такой негатив? Тогда расскажите об этих вопиющих случаях, чтобы у меня были факты на руках и я перешёл на вашу сторону.

                    P.S. Про пример с Литвиненко — спасибо, посмешили. Зато теперь понятно чью пропаганду вы продвигаете. Теперь ещё Солсбери приплетите для полноты картины.

                    • Whuthering
                      /#19312051

                      А затем общую статистику попадания граждан России в ДТП.
                      Это вообще не имеет отношения к теме обсуждаемого вопроса. Или вы плавно переводите тему на «автомобилистов какой страны стоит больше бояться людям»?
                      Прекратите уже пытаться менять тему. Разговор начался и идет про риск пострадать от силовых структур, а не про что-то иное.
                      У нас исчезающе мал шанс быть арестованными нашей ФСБ только по причине того, что ты программист
                      Зато есть шанс быть арестованными по причине того, что ты гражданин. Смело вычеркивайте слово «программист» из контекста обсуждения, оно здесь вообще ни к чему. Например, дела по дутым обвинениям в «экстремизме» и «терроризме» возбуждают вне зависимости от профессии. От рода деятельности могут зависеть не менее дутые дела про «гостайну», а также связанные с политической позицией и с отжимом бизнеса — там все еще гораздо хуже, но ограничимся пока первой категорией.
                      Еще раз: для того, чтобы программисту попасть в зону риска пострадать от иностранных спецслужб, нужно как минимум намеренно уехать в другую страну. Для того, чтобы человеку любой профессии попасть в зону риска пострадать от своих же, достаточно просто находиться на территории родной страны. А за ее пределы еще и не выпустят, в случае чего.
                      Про пример с Литвиненко — спасибо, посмешили.
                      Если вам хочется смеяться над вполне серьезными вещами, то у меня есть опасения за ваше здоровье.
                      Зато теперь понятно чью пропаганду вы продвигаете.
                      И где здесь пропаганда? Вы всё, что не вписывается в вашу картину мира сразу кличете пропагандой?

    • morgot
      /#19303443 / +15

      может дело в том, что АНБ не ловит диванных оппозиционеров?

      • Greendq
        /#19305517

        У них всё хуже — у них право свергнуть правительство с оружием в руках закреплено в Конституции. Дикари-с :)

    • nerudo
      /#19303807 / +2

      А кто здесь «за»? Никто просто особо не возмущается, т.к. это далекая от нас проблема.

  12. Vsevo10d
    /#19302847 / +9

    История в стиле исследований природы власти и авторитета Филиппа Зимбардо. Человек на 95% был уверен в серьезности происходящего только потому, что «никто не знал, что он у брата дома». Да существует куча способов, от GPS-трекера до преследования на машине, чтобы узнать, что он дома у брата. Я не говорю, что это был пранкер Вася, но вполне могли быть военные без такого уровня допуска, чтобы просто так просить исходники под предлогом государственной важности, а вовсе и не АНБ.

    • esc
      /#19302963 / +1

      А какой уровень допуска должен быть, чтобы попросить исходники? Любой человек может это сделать.

      • Vsevo10d
        /#19304293

        Но законно получить под предлогом важного расследования — не каждый.
        Думаю, будь это и правда АНБ, к человеку пришли бы лично, показали бы удостоверение и заставили подписать всяких конфиденциалок и неразглашений, и нехило взгрели бы уже за эту статью, которую нам тут перевели.

        • esc
          /#19304519

          Попросить может каждый. А предлог, он от точных формулировок зависит. Проблема была бы разве что из-за того что вояка представился АНБшником, но опять же, это если бы было какое-то расследование по этому поводу.

          А по поводу пришли бы лично, я думаю, вы плохо понимаете как работают спец. службы. Там тоже люди, они ценят свое время, не умеют телепортироваться и в целом ресурсы у них могут быть хоть и большие, но не бесконечные. Если можно решить вопрос быстро и без шума, то его так и будут решать. Далеко не каждый аспект там супер-секретный, чтобы ради него спец. операцию организовывать.

          А взгревать за статью о неком Дейве который позвонил почти 20 лет назад, это особенно странно. Что такого в статье? Люди из АНБ умеют звонить другим людям и о чем-то с ними говорить? ужас какой, все покровы сорвали.

        • Habra_nik
          /#19304711

          > Думаю, будь это и правда АНБ, к человеку пришли бы лично

          Не. Эти с людьми общаются крайне редко и никогда лично ( кроме шишек, но шишки не знают ничего существенного ). Шуточная расшифровка NSA — No Such Agency.

  13. hdfan2
    /#19302901 / +15

    Я бы не удержался и сказал бы ровным голосом: «I'm sorry, Dave. I'm afraid I can't do that.»

    • cadmi
      /#19303685 / +3

      а он бы такой: «What's the problem?» :)

    • pehat
      /#19304017

      А потом пришлось бы петь про свадьбу и тандем.

    • le1ic
      /#19304099

      На словах мы все Львы Толстые

  14. Vasily_T
    /#19303051

    Многие говорят что им наплевать на то какие данные о них есть в сети,
    но любой может совершенно просто найти почти любого человека в инстаграме, фейсбуке и т.п. и чучуть напрягшись составить вполне себе реальный профиль — поездки, интересы, внешность. Сейчас это намного проще чем в те года, но и тогда достаточно было позвонить на работу, чтоб узнать где отдыхает человек.

    • MaZaNaX
      /#19303083

      Не все же отчитываются перед руководством о своих передвижениях

    • esc
      /#19303143 / +3

      Да, только теперь мало кого удивит, если ему позвонят и скажут, где он.
      Даже тем, кто не сильно в теме, СМИ довольно доходчиво доносят, что через соц. сети весьма просто «спалить» свое местоположение (регулярно публикуя фейлы от политиков и чиновников, которые рассказывают как они напряженно работают, а в тегах светится очередная Ницца).

      Недавно со мной курьезный случай произошел. Внедорожная экспедиция в горах, целых день пилили, доехали до какого-то хутора, где даже моб связь не ловит, на ночевку. При чем, планы поменял в самый последний момент, должен был останавливаться в 15 километрах севернее.
      Садимся ужинать, подходит «официант» (паренек помогал хозяйке на стол накрывать). Говорят, вас к телефону, из СБУ. Я удивился, но попросил уточнить кого конкретно ищут. Уже представлял доблестного сотрудника, глядящего на меня прямо через спутник и вспоминал, что такого от меня могло понадобиться СБУ.

      Оказалось, что ищут некого Валентина, с нами в группе такого не было. И вообще походу номером ошиблись. А возьми я трубку сходу, гляди и тоже какие-то исходники бы попросили))

  15. stepmex
    /#19303149 / +5

    Жду рассказ со стороны Дэйва.

    • hdfan2
      /#19303621 / +21

      «Зашифровал я как-то раз диск с домашним порно, а пароль забыл...»

  16. Sergio_Palermo
    /#19303203 / +5

    Есть предположение, что текст является выдумкой маркетолога, ну или даже самого автора программы с целью раскрутки своего продукта. А что? Все слагаемые рекламного текста на месте: наименование продукта, цена, предполагаемая выгода для потребителя.

    А был ли Дэйв? Ведь кружку можно просто купить в сувенирном магазине.

    • sim31r
      /#19304441

      Или как в фильме «Игры разума», фантазии неотличимые от реальности.
      Или розыгрыш друзей, чтобы вывести автора из депрессии. Предварительно позвонили в справочную и попросили девушку дать номер «секретной лаборатории» когда спросят. Вроде она не нарушила устава, спросили телефон, продиктовала телефон, что и требуется по работе. Кружка как-раз дружеский признак, по работе, за типовую помощь маловероятно чтобы заморачивались с подарком.

  17. amarao
    /#19303315 / +10

    Человек с гордостью рассказывает как помог получить нелегальный доступ к чужим данным. Он был легальным? Может быть, судебное постановление или два чуть-чуть улучшат легитимность произошедшего? Но нет, звонки, секретные кружки, социальная инженерия для получения доступа к сырцам.

    • mkshma
      /#19303397 / +3

      Так дело-то не в том. Если бы софт был написан добротно, то и исходники бы ничем не помогли. Так что помог он задолго до этой истории и непреднамеренно (что нисколько не умаляет его вины).

      • Neikist
        /#19303569

        Вообще не вижу проблем. Полноценная версия и шифровала сильным ключом. А то что в бесплатной слабый ключ использовался — ну так все логично, хотите большей надежности — платите, а если достаточно бесплатной версии от родителей порнушку прятать — так прячьте на здоровье, и такого хватит, может когда потребуется более качественная защита такие прятальщики о софтинке вспомнят.

    • DGN
      /#19303501 / +1

      А в чем нелегальность? Позвонил и попросил. Не угрожал, не ссылался на нормы закона, реальные и мнимые.

      • amarao
        /#19306405

        Нелегальным был доступ АНБ к чужим данным. Если бы он был легальным, они бы могли использовать более открытые и оставляющие следы методы. Например, официальное письмо. Такое же вежливое, но дающее что-то, кроме сувенирной кружки в финале в качестве доказательства.

  18. MacIn
    /#19303327 / +1

    Интересная культурная особенность: человек сразу без разговоров доверился своим спецслужбам, поверил в их благие намерения (родина опасносте сынок) и пошел на сотрудничество. Интересно — произойди такая история у нас — как бы человек реагировал? А главное — как бы на его согласие реагировали окружающие. Сдается мне, комментарии на Хабре были бы заполнены огульным неодобрением.

    • Whuthering
      /#19303423 / +7

      Тут скорее весь вопрос в репутации этих самых служб и доверию людей к ним. Наши, например, у нас под боком, с ними давно все ясно, а некоторые даже имели с ними дело лично. В конце концов, у нас в стране сотни тысяч семей пострадали от «деятельности» этих самых служб в прошлом веке.
      Аналогично с репутацией и доверием государству в целом.

      • MacIn
        /#19303619 / -6

        В конце концов, у нас в стране сотни тысяч семей пострадали от «деятельности» этих самых служб в прошлом веке.

        Не поддерживаю реабилитацию скопом, без конкретных разбирательств, а без этого о сотнях тысяч семей говорить не приходится.

        • Calvrack
          /#19303631 / +2

          А я вот не поддерживаю осуждения и массового переселения скопом. Такой вот внутригражданский конфликт.

          • MacIn
            /#19303707 / -2

            Это вопрос законности. Реабилитация по политрешению вместо пересмотра дел по одному с выявлением конкретных процессуальных нарушений противоречит закону, как букве, так и духу, так сказать. Переселение как гуманная альтернатива ВМН в условиях военного/послевоенного времени для малого народа — совершенно другое дело.
            Уточню, если покажется, что применяется двойной стандарт: детальная «адресная» реабилитация — возможна, а законное «адресное» применение ВМН при сохранении малой народности — нет.

            • Gutt
              /#19307097

              Нет. Внесудебный («тройки») характер разбирательств, зачастую без привлечения обвиняемого, автоматически свидетельствует о недопустимой произвольности вынесенных решений, а необоснованные решения должны быть отменены. Если хотят, пусть устраивают повторное разбирательство, на этот раз следуя действующей на данный момент процедуре.

          • AmberSP
            /#19304129

            Это вы сейчас про чеченцев в Казахстан или про японцев в лагеря?

    • Sabubu
      /#19303515 / +8

      Наши спецслужбы в основном занимаются поиском инакомыслящих и охраной трона, оттого к ним такое отношение.

      • MacIn
        /#19303639 / -2

        Простите, у вас есть какие-то фактологические (желательно в виде числовых данных) подтверждения «наши спецслужбы в-основном занимаются поиском инакомыслящих»? Или это просто ваше ощущение, ошибка выжившего и пр.?

        • linux_art
          /#19310989

          Погуглите количество дел «за репосты».

      • Eldhenn
        /#19305399 / -1

        А какие спецслужбы занимаются чем-то другим?

        • Eldhenn
          /#19306003

          Ответ на вопрос будет? Какие спецслужбы занимаются не преследованием инакомыслящих и не охраной власти?

          • Whuthering
            /#19306107

            Вы принципиально разные случаи называете одинаковыми словами. Не надо так.
            В одном случае работает система сдержек-противовесов и контроль со стороны гражданского общества, и преследуют террористов, радикалов и прочих неадекватов, в других случаях же случаях этого нет и тогда преследуют просто не согласных с линией партии и не боящихся открыто и конструктивно говорить об этом.
            То же самое с «охраной власти» — все зависит от отношения народа к этой самой власти и уровнем ее легитимности в целом.

            • Eldhenn
              /#19307059

              Это вы принципиально разные вещи называете одинаковыми словами, и смешиваете между собой механизм и цели.

    • mk2
      /#19303591

      У партии и правительства не было хороших пиарщиков. Да и сейчас нет.

      • adson
        /#19305337

        Да ну? Посмотрите на результаты выборов — сейчас. И оглянитесь назад — на СССР, который как-то просуществовал 70 лет. Вы считаете, что не было хороших пиарщиков?!

    • Neikist
      /#19303593 / +5

      Проблема в том что про наши регулярно слышишь всякую хрень, плюс либо сталкивался сам, либо сталкивался один из знакомых или родственников. Причем если про спецслужбы еще куда ни шло отзывы, про МВД вообще швах. В случае же с ФБР, АНБ и иже с ними репутация даже несмотря на сноуденов и гуантанамо всяких заметно лучше (у полиции опять же репутация получше чем у нашей). Да к тому же их спецслужбы меньше бредовой законодательной инициативы проявляют, хоть и не безгрешны. И самое главное — родное ФСБ на меня куда больше повлиять может, и я ему скорее всего больше интересен чем какому то АНБ, для АНБ я всего лишь статистика в их анализах данных, а для ФСБ скорее конкретное лицо.

      • MacIn
        /#19303673

        Получается, все сводится к тому, что о деятельности, условно, ФСБ мы знаем много — втч и о плохих сторонах их работы, а о АНБ не знаем ничего. И если кто-то кого-то держит в тюрьме незаконно, пытает в каком-то Гуантанамо, то это далеко, не у нас, вообще давно и неправда. Как верно выше сказали — пиарщики у «партии и правительства» так себе.

        • Whuthering
          /#19303683 / +4

          Очевидно же, что то, что происходит у нас, нас волнует и должно волновать гораздо больше. А американцы уж сами со своими проблемами разберутся.

        • arcman
          /#19304991

          Отличные у них пиарщики, одни из лучших в мире. Большая часть страны считает что Путин молодец, не имея на это объективных причин.

        • Sabubu
          /#19307001 / +1

          Любые пытки — это отвратительно и с ними надо бороться. Но нам в России то, что делают наши спецслужбы, ближе.

          А российское ФСБ пытает задержанных программистов током. Мы с вами вряд ли в Гуантанамо попадем, а вот в ФСБ — вполне реально, особенно в случае неосторожных высказываний в Интернете.

          Ну и убийство нашими спецслужбами своих граждан за рубежом, да еще и с применением химоружия — тоже некрасивая страница истории.

      • chouck
        /#19304803

        Пендосы — в основной массе уникальные патриоты до мозга костей, в отличии от нас априори ненавидящих любую власть и органы

    • kAIST
      /#19304467 / -3

      У меня была история, когда обращались за кое какой помощью ФСБ. Нормально среагировал. И нормально реагировали те, кому об этом рассказывал. До сих пор по некоторым вопросам общаемся, вполне себе вежливые и адекватные люди.

  19. konchok
    /#19303433 / -2

    «Пожалуйста, слушайте внимательно и не вешайте трубку»

    Нормальный человек послал бы мусоров за ордером и спать пошёл. Но не этот чуви.

  20. gavz
    /#19303587

    На одном дыхании. Спасибо!!!

  21. amaksr
    /#19303589 / +1

    Может не было никакого звонка, а чувак все придумал чтобы пропиарить свою прогу. Получилось вирально, разошлось по всем профильным ресурсам, а проверить все равно невозможно. Чувак молодец, не зря в профайле написал про себя «Serial Founder».

    • le1ic
      /#19304061

      Не думаю. Эффект тут слабый. Вряд ли после прочтения всей этой истории кого-то озарит, что ему нужно шифрование файлов.

    • SergeyMax
      /#19305075

      А что он должен был написать у себя в профайле, чтобы вы сказали «действительно какая интересная история, скорее всего так и было, не зря в профайле написал про себя...» Приведите пожалуйста примеры.

  22. Qwentor
    /#19303611

    А может и не было вообще ничего? А это все такая нативная реклама софта

  23. xitt
    /#19303811 / -2

    дел

  24. EviGL
    /#19303917 / +17

    Представляете, сколько кружек ФСБ в офисе ВК?

    • sumanai
      /#19304283

      Если бы ФСБ высылало всем кружки, то их продажа в магазинах была бы не нужна.

  25. Aibolit
    /#19303949

    del

  26. AstorS1
    /#19303979 / +6

    Случай из моей практики.
    ~ 2001-2 год. Суббота, 07:30 утра. Звонок в дверь, супруга пошла открывать. Испуганная приходит в спальню, говорит, что это ко мне. Надеваю шорты/футболку выхожу в коридор и удивляюсь: стоит полковник милиции и два ОМОНовца в брониках, касках и с автоматами. Да, мы с женой такого не ожидали!
    Полковник очень вежливо просил перезвонить директору компании, в которой я работал. Ребёнок был маленький и звук моб телефона на ночь я отключал. Как выяснилось, из нашей телефонной сети был совершен вызов о минировании городских объектов, Ростелеком не мог знать, где установлены телефоны нашей сети небольшого регионального оператора и сообщил контакт нашего директора, который названивал уже мне.
    Быстро одевшись, поехали с мигалками на работу. Место установки телефона по данным техотдела определили, CDR отгрузили на диск.
    К счастью, сообщение оказалось ложным. Абонент бухал с вечера пятницы всю ночь с друзьями и под утро решили развлечься… выходные были сорваны.
    Благодарственное письмо на компанию от УВД за содействие при проведении ОРМ и воспоминания до сих пор.

  27. StickyBit
    /#19304127

    Дейв оказался не очень щедр. Такая чашка продается в сувенирном магазине при музее АНБ за десять баксов.

  28. vlsinitsyn
    /#19304259

    О, я знаю похожую историю про того самого Дэйва в России. Звонок разбудил ночью сотрудника погранслужбы Северо-Западного региона… Далее, от первого лица:

    Звонивший извинился за поздний звонок и сказал, что его зовут Дэйв. Он попросил взять ручку и бумагу, потому что собирался дать несколько важных инструкций, которые позволят подтвердить его личность. И тогда ошеломил меня фразой: «Это вопрос национальной безопасности».

    Некоторые из моих родных начали собираться рядом с кухней, где я стоял у стены с телефоном. Чёрт возьми, что происходит? Я посигналил брату принести ручку.

    Я пытался осмыслить происходящее. Как ни странно, даже не догадался спросить у Дэйва, как он получил этот номер. Мужчина казался серьёзным и говорил авторитетным голосом; думаю, я уже поверил, что он имеет на это право.

    Оказалось, что сотрудникам безопасности необходим доступ к файлам по выездам двух граждан РФ.

    У них ситуация с национальной безопасностью, требующая немедленного доступа к этим файлам, и им нужна моя помощь. А конкретно, если я им помогу, возможно, они получат доступ к файлам быстрее, чем без моей помощи. Время имело существенное значение: отсюда и звонок посреди ночи.

    Если АНБ не получит доступа к файлам, случатся неприятности. Может, умрут люди

    Я упоминаю вежливость Дэйва, потому что она казалась необычной и особенно странной — он был слишком приятным. Казалось, что он предполагает или готов принять отказ. И если бы на его месте был кто-то иной в другой ситуации, так бы и произошло. Но здесь казалось, что дело важное, и просто нет времени на обсуждение.

    Через несколько дней я вернулся на службу, и в моём офисе стояла коробка без опознавательных знаков, с указанием моего имени. Внутри, завёрнутая в белую папиросную бумагу, лежала синяя чашка для кофе АНБ с рукописной запиской на обычной белой бумаге: «Спасибо. Дэйв».

    P.S.
    ФСБ РФ провела массовые мероприятия в отношении частных сыщиков и просто лиц, занимающихся продажей выписок из «закрытых» баз данных, в первую очередь, предоставлявших информацию о перемещении граждан через границу, а также из базы «Роспаспорт» и из базы ФНС об имуществе россиян.

    «По моим данным, прямо на рабочем месте были задержаны сотрудник погранслужбы в Северо-Западном регионе и сотрудник одного из подразделений ФНС. Первый, как полагают, продал информацию о перемещении за границу Петрова, Боширова и ряда других лиц», — рассказал источник агентства.

    • Kirhgoff
      /#19304723

      Выше уже писал, читаю журналиста Сергея Канева из ЦУРа, который как по Солсбери работал и личности Петрова и Боширова выяснил, он утверждает, что это слив ФСБ, чтобы заставить их связаться с реальными источниками, говорит, что все в порядке и никого не брали.

  29. arielf
    /#19304265 / -1

    И я хочу кружку из АНБ! :3

  30. TimsTims
    /#19304391

    Прочитав Дейв сразу вспомнил этого:

    Заголовок спойлера
  31. Jeyko
    /#19304397 / -1

    Теплый-ламповый рассказ. И не менее теплый happy end. Спасибо.

  32. chouck
    /#19304675

    развели как лоха, очевидно и время звонка и ситуация наиграна. Зато все довольны. NSA выдумали историю и важность и получили исходники и облегчили свои усилия по расшифровке файлов на будущее а наивный СТО кружку с которой пылинки сдувает и гордится непонятно чем?

  33. VDG
    /#19304783

    АНБ пишет же инструментарий для взлома всего подряд. Вот и дали этому Дейву задание написать соответствующую утилиту. Но ведь всё проще, когда у тебя есть исходник. Ночь, начальство спит в кресле, почему бы не позвонить.

    Кстати, взлом слабостойкой защиты должен выполняться на суперкомпьютерах, а не путём выпрашивания исходников, особенно будь реально речь о «родина опасносте». Даже сам автор говорит, что хакер на одной машине вскроет за два дня. Масштабировав же на 10 тысяч высокопроизводительных машин, получат результат моментально.

    • F0iL
      /#19305477

      Чтобы ломать слабостойкую защиту перебором на суперкомпьютерах нужно знать, каким алгоритмом произведено шифрование. Причем знать именно конкретный вариант, т.к. даже стандартный общеизвестный алгоритм может быть как-то модифицирован разработчиком или содержать ошибки в реализации, из-за чего поменяется выходной результат. Именно поэтому, подозреваю, им могут быть нужны именно эти исходники, а иначе это будет тыкание пальцем в небо без какого-либо эффекта.

  34. /#19305217 / -1

    -Джони! -помой мою кружку, надо сделать презент одному пэээтриоту

  35. helgp
    /#19305489

    Bethesda, MD — это густонаселённая пешеходная часть столичного Вашингтона. Для «базы» NSA место неподходящее, да нет там её. Штаб-квартира NSA находится в Fort Meade, MD. Это недалеко, но таки за городом, там люди пешком не ходят. Географически они как Мытищи супротив Речного в Москве, перепутать невозможно. В Bethesda, MD есть «NSA», только это «Naval Support Activity», госпиталь для военных моряков в орбите NIH.

    Опять-таки, зачем звонящему раскрывать своё местоположение, оно же не было использовано для верификации, да и судя по рассказу, звонивший был не склонен раскрывать лишние детали.

    Моё мнение: захватывающая история придумана рассказчиком для рекламы своей программы. Но история хороша.

  36. marperia
    /#19305491

    Меня одного смущает возможность (at least, не опровергнутая) АНБ уже в начале нулевых взломать 256-битное шифрование?

    • F0iL
      /#19305535

      Про возможность взлома 256-битного ключа нигде не сказано. На все вопросы об этом незнакомец хранил молчание :)

      И вот тогда Дэйв признался, что у чувака на ноутбуке shareware-версия. Что, серьёзно? Это всё меняет. Условно-бесплатная версия поддерживала только слабенькое 40-битное шифрование.

  37. achekalin
    /#19305589

    Вывод: террористам еще и зачет по криптографии нужно сдавать.

  38. RAF
    /#19305669

    Как всё же отличается менталитет. Даже если бы ФСБшник сделал всё точно так же, как в рассказе, то сейчас тут был бы пост, про кровавую гебню, которая забрала угрозами исходники.

    • nmrulin
      /#19305927 / +2

      Так мы же не знаем, для чего ФСБ будет использовать. Может для расшифровки переговоров оппозиции Императору.

  39. nmrulin
    /#19305917 / +2

    Да уж, у нас бы не стали мучиться со сложной системы звонков. Повязали бы притащили в отделение. И потом бы уже «убедили» бы выдать код.

  40. Ascar
    /#19306791

    Одно не пойму, вне зависимости от исходников все равно ломать ключ надо. То есть достаточно было сказать какой алгоритм и длина ключа, не?

    • F0iL
      /#19306873

      Нужно знать именно конкретный вариант, т.к. даже стандартный общеизвестный алгоритм может быть как-то модифицирован разработчиком или содержать ошибки в реализации, из-за чего поменяется результат его работы.

    • Inanity
      /#19306901

      Понимание того, что именно перебирать сильно ускорит процесс. Например, как в Truecrypt или Veracrypt, если предположить, что контейнер шифруется 256 битным ключом, а сам этот ключ хранится в заголовке в зашифрованном виде с помощью 40-битного ключа, то атака на контейнер ничего не даст. Потому, что сначала надо быстро атаковать заголовок зашифрованный 40-битным ключом, а после этого, получив 256-битный ключ контейнера, получить доступ к данным.

      • nafikovr
        /#19307177

        еще, как вариант, сама программа может иметь неоптимальную для перебора архитектуру. знание же алгоритма позволит собрать более оптимальное средство для взлома.

  41. chinagb_ru
    /#19307249

    Интересно! Спасибо!

  42. AlexAV1000
    /#19307281 / -4

    image

  43. jetcar
    /#19307819

    если алгоритмы шифрования общедоступные и их реализовать можно на любом языке, то какой толк в исходниках? есть ключ и есть алгоритм на выходе всегда одинаковый кусок независимо в какой программе всё шифровалось, разве нет?

    • F0iL
      /#19308345

      Даже стандартный алгоритм может быть модицирован автором программы или содержать ошибки в реализации.

      • jetcar
        /#19308419

        трудно себе это представляю, ведь обычно всё тестируется как минимум, тоесть надо же потом это всё расшифровать и вот тут всё сломается если зашифровано не так, а сломать одинакого и шифрацию и дешифрацию случайно довольно сложно, а с модификацией понятно, но непонятно зачем, вот в ключ вставить чтото своё это другое дело

        • berez
          /#19308581

          Почитайте книжки про криптографию (того же Шнайера) — там обычно в красках расписывается, где и как может облажаться автор софта. И никакое тестирование ему не поможет.
          У Шнайера есть хорошая аналогия: криптография — это офигенно прочная дверь сейфового типа. Чтобы ее взломать, нужно потратить очень много усилий. Вот только если вы вставите эту дверь в стену из говна и палок, то вор даже не будет пытаться взломать дверь — он может просто ударить ногой по стене и войти рядом с дверью.
          Аналогично, если ключик от двери лежит под ковриком — то тоже не обязательно дверь ломать. Ее можно просто открыть ключом. :)

          Возвращаясь к криптографии: автор мог неудачно применить криптографическую функцию, в результате чего ее взлом займет не сотни лет, а несколько минут. Например, использовать слабый ключ (аналог стены из говна и палок: слабые ключи ломать легче, чем перебирать все возможное пространство ключей). Или вообще пароль положить рядом с зашифрованной информацией, слегка прикрыв его от любопытных глаз (аналог ключа под ковриком).

          а с модификацией понятно, но непонятно зачем,

          «PS: Маша, срочно тащи чемоданчик с документами к проходной — там будет ждать курьер с балаклавой на морде».

        • sim31r
          /#19308587

          сломать одинакого и шифрацию и дешифрацию случайно довольно сложно

          Сеть Фейстеля достаточно похожа в работе как на шифрование, так и дешифрование, порядок действий только обратный.

  44. Exponent
    /#19307885

    Чашечка-то может быть необычной, заряжаться от разницы температур и записывать сигналы клавиатуры или излучение дисплея, в общем лучше б он ее выкинул.

  45. Andrey-072
    /#19309289

    Всё было хорошо, пока не дочитал до вопроса — «Как же они меня нашли???» Это из какой газеты статья-то?

  46. greensky
    /#19311297

    Лучшая реакция человека на сообщение по телефону «Слушайте внимательно и не вешайте трубку» в сочетании с кучей инструкций, которые он обязан почему-то немедленно выполнить — … немедленно повесить трубку, а если будет звонить опять — сообщить в полицию о хулиганстве. Если АНБ все-таки достучится и «подтвердит свою личность» — требовать своего адвоката, и если точно не хотите дальнейшего общения на коммерческой основе (см. ниже) — вообще стараться включать в этот процесс максимум друзей и знакомых (твиты, блоги и т.д.). Это вполне законно: я не являюсь сотрудником АНБ, доступа к секретной информации у меня нет, он мне ее сообщить не вправе (следовательно, все, что я разглашаю — не секретно).

    А если все же есть желание общаться с Дейвом — в такой ситуации логично было бы потребовать оплату передаваемых исходных кодов. АНБ запрашивает или нет, а данный сорс — это коммерческий продукт, плод труда программистов, и если кто-то хочет получить его — он должен быть оплачен.
    Если бы Дейв начал кочевряжиться насчет оплаты — поинтересоваться у него, действительно реальна ли угроза взрыва или чего-то подобного (раз у него есть возможность тянуть время и торговаться), или он просто словил свою жену с любовником, и хочет расшифровать ее ноут, чтобы иметь компромат при разводе.