Tag Archives: Uncategorized

Why Vaccine Cards Are So Easily Forged

Post Syndicated from Bruce Schneier original https://www.schneier.com/blog/archives/2022/03/why-vaccine-cards-are-so-easily-forged.html

My proof of COVID-19 vaccination is recorded on an easy-to-forge paper card. With little trouble, I could print a blank form, fill it out, and snap a photo. Small imperfections wouldn’t pose any problem; you can’t see whether the paper’s weight is right in a digital image. When I fly internationally, I have to show a negative COVID-19 test result. That, too, would be easy to fake. I could change the date on an old test, or put my name on someone else’s test, or even just make something up on my computer. After all, there’s no standard format for test results; airlines accept anything that looks plausible.

After a career spent in cybersecurity, this is just how my mind works: I find vulnerabilities in everything I see. When it comes to the measures intended to keep us safe from COVID-19, I don’t even have to look very hard. But I’m not alarmed. The fact that these measures are flawed is precisely why they’re going to be so helpful in getting us past the pandemic.

Back in 2003, at the height of our collective terrorism panic, I coined the term security theater to describe measures that look like they’re doing something but aren’t. We did a lot of security theater back then: ID checks to get into buildings, even though terrorists have IDs; random bag searches in subway stations, forcing terrorists to walk to the next station; airport bans on containers with more than 3.4 ounces of liquid, which can be recombined into larger bottles on the other side of security. At first glance, asking people for photos of easily forged pieces of paper or printouts of readily faked test results might look like the same sort of security theater. There’s an important difference, though, between the most effective strategies for preventing terrorism and those for preventing COVID-19 transmission.

Security measures fail in one of two ways: Either they can’t stop a bad actor from doing a bad thing, or they block an innocent person from doing an innocuous thing. Sometimes one is more important than the other. When it comes to attacks that have catastrophic effects—say, launching nuclear missiles—we want the security to stop all bad actors, even at the expense of usability. But when we’re talking about milder attacks, the balance is less obvious. Sure, banks want credit cards to be impervious to fraud, but if the security measures also regularly prevent us from using our own credit cards, we would rebel and banks would lose money. So banks often put ease of use ahead of security.

That’s how we should think about COVID-19 vaccine cards and test documentation. We’re not looking for perfection. If most everyone follows the rules and doesn’t cheat, we win. Making these systems easy to use is the priority. The alternative just isn’t worth it.

I design computer security systems for a living. Given the challenge, I could design a system of vaccine and test verification that makes cheating very hard. I could issue cards that are as unforgeable as passports, or create phone apps that are linked to highly secure centralized databases. I could build a massive surveillance apparatus and enforce the sorts of strict containment measures used in China’s zero-COVID-19 policy. But the costs—in money, in liberty, in privacy—are too high. We can get most of the benefits with some pieces of paper and broad, but not universal, compliance with the rules.

It also helps that many of the people who break the rules are so very bad at it. Every story of someone getting arrested for faking a vaccine card, or selling a fake, makes it less likely that the next person will cheat. Every traveler arrested for faking a COVID-19 test does the same thing. When a famous athlete such as Novak Djokovic gets caught lying about his past COVID-19 diagnosis when trying to enter Australia, others conclude that they shouldn’t try lying themselves.

Our goal should be to impose the best policies that we can, given the trade-offs. The small number of cheaters isn’t going to be a public-health problem. I don’t even care if they feel smug about cheating the system. The system is resilient; it can withstand some cheating.

Last month, I visited New York City, where restrictions that are now being lifted were then still in effect. Every restaurant and cocktail bar I went to verified the photo of my vaccine card that I keep on my phone, and at least pretended to compare the name on that card with the one on my photo ID. I felt a lot safer in those restaurants because of that security theater, even if a few of my fellow patrons cheated.

This essay previously appeared in the Atlantic.

Message to the next generation of women disruptors in technology

Post Syndicated from Rajeswari Malladi original https://aws.amazon.com/blogs/architecture/message-to-the-next-generation-of-women-disruptors-in-technology/

Just because something works, doesn’t mean it can’t be improved” – Princess Shuri, Black Panther (2018 film)

Princess Shuri’s character is inspirational – she is a masterful scientist, engineer, and inventor. But how many such Princess Shuris are around us today?

Women in tech today

As per the National Girls Collaborative project’s State of Girls and Women in STEM report, published on March 31, 2021, women constitute 29% of the STEM workforce. Women STEM professionals are concentrated in different fields than men. Out of that relatively small percentage of women, about 27% are in Computer and Mathematical science, and 16% are in Engineering. The Bureau of Labor Statistics (BLS) projects computer and information technology occupations will add about 667 K new jobs by 2030. So this is a growing field, and presents a great opportunity for women.

Why are such a small percentage of girls opting for Computer Science and Engineering? Studies have shown that gender stereotypes, male-dominated cultures, and fewer role models are some of the key factors as to why girls don’t choose technology as their primary career.

The choice to avoid tech careers seem to be made right around late middle school to early high school. In part, this is because there is not enough awareness about different career choices available in the technology sector. Young people often do not know what it means concretely to be an engineer, builder, or a technology professional. In this blog post, we share some thoughts that can help young girls or women like yourself seriously consider technology as your career.

The benefits of a career in technology and how to get started

Why choose a career in technology? Technology is integrated in many fields like healthcare, finance, the fashion industry, creative media, and others. There won’t be any field untouched by technology in the future. It offers an opportunity to work on the bleeding edge of innovation, the flexibility to work from anywhere. It gives you entrance into any field, and enables you to make a difference to millions of lives. As technologies like Artificial Intelligence (AI) develop, it is especially important for women to get involved to bring diverse viewpoints and help teams make better decisions.

We are calling out to all middle and high school girls to consider technology as a career choice. Join us in building an inclusive, accepting community in the technology sphere, and be at the forefront of innovation. You might be surrounded by students who may seem to know much more than you do and that can be scary sometimes. Don’t be intimidated! Don’t let it stop you from learning skills such as programming.

Treat learning how to program as another skill that you can pick up. Just as you learned to play a new instrument or a new language; with dedication, putting in the work, and sticking with it. Even if you think too much time has passed and others have passed you by, it is never too late to learn. There are many wonderful technologists who learned their first programming language in college, or later in life.

You can get started with beginner courses and tutorials available online – many are free. You already use tech with your phones, social media, and the internet – time to move from being the users of today’s technology, and become the builders of tomorrow’s technology!

Get support on your journey

It all starts with taking the first step. It can be as simple as joining a coding club like GirlsWhoCode, or using resources like Code.org. You don’t have to do it alone; encourage other girls to join. It is best that you start this in middle school and continue through high school. This will help you make steady progress and be able to network with other girls who are on the same journey as you. Find some local competitions, submit some ideas, participate as group, and have fun! Don’t be afraid of making mistakes, they are part of learning. Form a close mentor group that you can reach out to if you hit any hurdles. Master one skill before moving on the next, and think of these as discrete modules and layers. Set intermediate milestones, which will help you eventually reach the final goal.

Technology is a foundational skill just like math, reading or writing. Getting technology skills will help you in many ways, and offer you many paths to choose from. Careers in software development, user interface design and development, and program or project management are just a few. Think about how you can apply technology to the area that you are most passionate about.

Closing remarks

On this International Women’s Day, and Women’s History month, we want to give our heartfelt message to young minds that “Yes, you can”! No matter what career path you choose, you will come across technology in your respective fields. By learning the foundations, you will be able to leverage technology in your careers. Grow your network, find role models, dream big, and be fearless in achieving your dreams.

Good luck budding Princess Shuris. The tech world awaits you!

We’ve got more content for International Women’s Day!

For more than a week we’re sharing content created by women. Check it out!

Other ways to participate

Breaking RSA through Insufficiently Random Primes

Post Syndicated from Bruce Schneier original https://www.schneier.com/blog/archives/2022/03/breaking-rsa-through-insufficiently-random-primes.html

Basically, the SafeZone library doesn’t sufficiently randomize the two prime numbers it used to generate RSA keys. They’re too close to each other, which makes them vulnerable to recovery.

There aren’t many weak keys out there, but there are some:

So far, Böck has identified only a handful of keys in the wild that are vulnerable to the factorization attack. Some of the keys are from printers from two manufacturers, Canon and Fujifilm (originally branded as Fuji Xerox). Printer users can use the keys to generate a Certificate Signing Request. The creation date for the all the weak keys was 2020 or later. The weak Canon keys are tracked as CVE-2022-26351.

Böck also found four vulnerable PGP keys, typically used to encrypt email, on SKS PGP key servers. A user ID tied to the keys implied they were created for testing, so he doesn’t believe they’re in active use.

US Critical Infrastructure Companies Will Have to Report When They Are Hacked

Post Syndicated from Bruce Schneier original https://www.schneier.com/blog/archives/2022/03/us-critical-infrastructure-companies-will-have-to-report-when-they-are-hacked.html

This will be law soon:

Companies critical to U.S. national interests will now have to report when they’re hacked or they pay ransomware, according to new rules approved by Congress.

[…]

The reporting requirement legislation was approved by the House and the Senate on Thursday and is expected to be signed into law by President Joe Biden soon. It requires any entity that’s considered part of the nation’s critical infrastructure, which includes the finance, transportation and energy sectors, to report any “substantial cyber incident” to the government within three days and any ransomware payment made within 24 hours.

Even better would be if they had to report it to the public.

Upcoming Speaking Events

Post Syndicated from Schneier.com Webmaster original https://www.schneier.com/blog/archives/2022/03/upcoming-speaking-events.html

This is a current list of where and when I am scheduled to speak:

  • I’m participating in an online panel discussion on “Ukraine and Russia: The Online War,” hosted by UMass Amherst, at 5:00 PM Eastern on March 31, 2022.
  • I’m speaking at Future Summits in Antwerp, Belgium on May 18, 2022.
  • I’m speaking at IT-S Now 2022 in Vienna on June 2, 2022.
  • I’m speaking at the 14th International Conference on Cyber Conflict, CyCon 2022, in Tallinn, Estonia on June 3, 2022.
  • I’m speaking at the RSA Conference 2022 in San Francisco, June 6-9, 2022.
  • I’m speaking at the Dublin Tech Summit in Dublin, Ireland, June 15-16, 2022.

The list is maintained on this page.

Leak of Russian Censorship Data

Post Syndicated from Bruce Schneier original https://www.schneier.com/blog/archives/2022/03/leak-of-russian-censorship-data.html

The transparency organization Distributed Denial of Secrets has released 800GB of data from Roskomnadzor, the Russian government censorship organization.

Specifically, Distributed Denial of Secrets says the data comes from the Roskomnadzor of the Republic of Bashkortostan. The Republic of Bashkortostan is in the west of the country.

[…]

The data is split into two main categories: a series of over 360,000 files totalling in at 526.9GB and which date up to as recently as March 5, and then two databases that are 290.6GB in size, according to Distributed Denial of Secrets’ website.

Friday Squid Blog: 328-million-year-old Vampire Squid Ancestor Discovered

Post Syndicated from Bruce Schneier original https://www.schneier.com/blog/archives/2022/03/friday-squid-blog-328-million-year-old-vampire-squid-ancestor-discovered.html

A fossilized ancestor of the vampire squid — with ten arms — was discovered and named Syllipsimopodi bideni after President Biden.

Here’s the research paper. Note: Vampire squids are not squids. (Yes, it’s weird.)

As usual, you can also use this squid post to talk about the security stories in the news that I haven’t covered.

Read my blog posting guidelines here.

Where’s the Russia-Ukraine Cyberwar?

Post Syndicated from Bruce Schneier original https://www.schneier.com/blog/archives/2022/03/wheres-the-russia-ukraine-cyberwar.html

It has been interesting to notice how unimportant and ineffective cyber operations have been in the Russia-Ukraine war. Russia launched a wiper against Ukraine at the beginning, but it was found and neutered. Near as I can tell, the only thing that worked was the disabling of regional KA-SAT SATCOM terminals.

It’s probably too early to reach any conclusions, but people are starting to write about this, with varying theories.

I want to write about this, too, but I’m waiting for things to progress more.

EDITED TO ADD (3/12): Two additional takes.

Fraud on Zelle

Post Syndicated from Bruce Schneier original https://www.schneier.com/blog/archives/2022/03/fraud-on-zelle.html

Zelle is rife with fraud:

Zelle’s immediacy has also made it a favorite of fraudsters. Other types of bank transfers or transactions involving payment cards typically take at least a day to clear. But once crooks scare or trick victims into handing over money via Zelle, they can siphon away thousands of dollars in seconds. There’s no way for customers — and in many cases, the banks themselves — to retrieve the money.

[…]

It’s not clear who is legally liable for such losses. Banks say that returning money to defrauded customers is not their responsibility, since the federal law covering electronic transfers — known in the industry as Regulation E ­– requires them to cover only “unauthorized” transactions, and the fairly common scam that Mr. Faunce fell prey to tricks people into making the transfers themselves. Victims say because they were duped into sending the money, the transaction is unauthorized. Regulatory guidance has so far been murky.

When swindled customers, already upset to find themselves on the hook, search for other means of redress, many are enraged to find out that Zelle is owned and operated by banks.

[…]

The Zelle network is operated by Early Warning Services, a company created and owned by seven banks: Bank of America, Capital One, JPMorgan Chase, PNC, Truist, U.S. Bank and Wells Fargo. Early Warning, based in Scottsdale, Ariz., manages the system’s technical infrastructure. But the 1,425 banks and credit unions that use Zelle can customize the app and add their own security settings.

Using Radar to Read Body Language

Post Syndicated from Bruce Schneier original https://www.schneier.com/blog/archives/2022/03/using-radar-to-read-body-language.html

Yet another method of surveillance:

Radar can detect you moving closer to a computer and entering its personal space. This might mean the computer can then choose to perform certain actions, like booting up the screen without requiring you to press a button. This kind of interaction already exists in current Google Nest smart displays, though instead of radar, Google employs ultrasonic sound waves to measure a person’s distance from the device. When a Nest Hub notices you’re moving closer, it highlights current reminders, calendar events, or other important notifications.

Proximity alone isn’t enough. What if you just ended up walking past the machine and looking in a different direction? To solve this, Soli can capture greater subtleties in movements and gestures, such as body orientation, the pathway you might be taking, and the direction your head is facing — ­aided by machine learning algorithms that further refine the data. All this rich radar information helps it better guess if you are indeed about to start an interaction with the device, and what the type of engagement might be.

[…]

The ATAP team chose to use radar because it’s one of the more privacy-friendly methods of gathering rich spatial data. (It also has really low latency, works in the dark, and external factors like sound or temperature don’t affect it.) Unlike a camera, radar doesn’t capture and store distinguishable images of your body, your face, or other means of identification. “It’s more like an advanced motion sensor,” Giusti says. Soli has a detectable range of around 9 feet­ — less than most cameras­ — but multiple gadgets in your home with the Soli sensor could effectively blanket your space and create an effective mesh network for tracking your whereabouts in a home.

“Privacy-friendly” is a relative term.

These technologies are coming. They’re going to be an essential part of the Internet of Things.

Hacking Alexa through Alexa’s Speech

Post Syndicated from Bruce Schneier original https://www.schneier.com/blog/archives/2022/03/hacking-alexa-through-alexas-speech.html

An Alexa can respond to voice commands it issues. This can be exploited:

The attack works by using the device’s speaker to issue voice commands. As long as the speech contains the device wake word (usually “Alexa” or “Echo”) followed by a permissible command, the Echo will carry it out, researchers from Royal Holloway University in London and Italy’s University of Catania found. Even when devices require verbal confirmation before executing sensitive commands, it’s trivial to bypass the measure by adding the word “yes” about six seconds after issuing the command. Attackers can also exploit what the researchers call the “FVV,” or full voice vulnerability, which allows Echos to make self-issued commands without temporarily reducing the device volume.

It does require proximate access, though, at least to set the attack up:

It requires only a few seconds of proximity to a vulnerable device while it’s turned on so an attacker can utter a voice command instructing it to pair with an attacker’s Bluetooth-enabled device. As long as the device remains within radio range of the Echo, the attacker will be able to issue commands.

Research paper.

Samsung Encryption Flaw

Post Syndicated from Bruce Schneier original https://www.schneier.com/blog/archives/2022/03/samsung-encryption-flaw.html

Researchers have found a major encryption flaw in 100 million Samsung Galaxy phones.

From the abstract:

In this work, we expose the cryptographic design and implementation of Android’s Hardware-Backed Keystore in Samsung’s Galaxy S8, S9, S10, S20, and S21 flagship devices. We reversed-engineered and provide a detailed description of the cryptographic design and code structure, and we unveil severe design flaws. We present an IV reuse attack on AES-GCM that allows an attacker to extract hardware-protected key material, and a downgrade attack that makes even the latest Samsung devices vulnerable to the IV reuse attack. We demonstrate working key extraction attacks on the latest devices. We also show the implications of our attacks on two higher-level cryptographic protocols between the TrustZone and a remote server: we demonstrate a working FIDO2 WebAuthn login bypass and a compromise of Google’s Secure Key Import.

Here are the details:

As we discussed in Section 3, the wrapping key used to encrypt the key blobs (HDK) is derived using a salt value computed by the Keymaster TA. In v15 and v20-s9 blobs, the salt is a deterministic function that depends only on the application ID and application data (and constant strings), which the Normal World client fully controls. This means that for a given application, all key blobs will be encrypted using the same key. As the blobs are encrypted in AES-GCM mode-of-operation, the security of the resulting encryption scheme depends on its IV values never being reused.

Gadzooks. That’s a really embarrassing mistake. GSM needs a new nonce for every encryption. Samsung took a secure cipher mode and implemented it insecurely.

News article.

Details of an NSA Hacking Operation

Post Syndicated from Bruce Schneier original https://www.schneier.com/blog/archives/2022/03/details-of-an-nsa-hacking-operation.html

Pangu Lab in China just published a report of a hacking operation by the Equation Group (aka the NSA). It noticed the hack in 2013, and was able to map it with Equation Group tools published by the Shadow Brokers (aka some Russian group).

…the scope of victims exceeded 287 targets in 45 countries, including Russia, Japan, Spain, Germany, Italy, etc. The attack lasted for over 10 years. Moreover, one victim in Japan is used as a jump server for further attack.

News article.

„Какво ни очаква сега“

Post Syndicated from original http://www.gatchev.info/blog/?p=2427

Професор Андрей Зубов е журналист в руския вестник „Новая газета“. Историк и религиевед, той е работил преди това като професор в МГИМО, завеждащ катедра в Руския православен университет, главен научен сътрудник в Института по изтоковедение на Руската академия на науките, доцент в Московската духовна академия… Чрез Огнян Минчев се натъкнах на великолепната му статия „Что ждет нас теперь“. И най-безсрамно я открадвам и превеждам на български тук:

—-

КАКВО НИ ОЧАКВА СЕГА

2 март 2022 г.

Откъсвайки се от всички тези ужаси, които достигат до нас от театъра на братоубийствената Руско-украинска война (именно под това име тя ще влезе в историята), и от страховете, които ежеминутно ни терзаят у дома, ми се иска да проанализирам ситуацията, така да се каже, от птичи полет.

Всяко общество прилича на пирамида по близостта си към властта и способността си да влияе на властта. В демокрациите обаче тази пирамида е полегата, с остри ъгли в основата и тъп връх, а в личностните автокрации (абсолютни монархии, тирании) е с много остър връх и ъгли при основата, твърде близки до 90 градуса. Нашето общество е характерен пример за втория тип, автократската пирамида.

„Дълбините на народа“ представляват около 80% от нея. Те са основата на пирамидата. Като правило хора, които живеят небогато или дори бедно и предпочитат телевизора пред Интернет за съставяне на картината си за света. Те или изобщо не са стъпвали зад граница, или са се задоволявали с охраняемите плажове на Турция, Египет, Тунис или Хайнан. Те са стихийни антиамериканисти, въпреки че никога не са били в Америка. Антиамериканизмът им е последствие от комплекса на завистта на фон на непросветеност. Често в главите им картината на света е омотана в теория на заговорите, псевдоистория и други странни представи. Те са пасивни и сега, макар и недоволни от живота, и са послушни на властта.

В сегашната ситуация повечето от тези хора (около 70%) поддържат войната на Путин по украинските полета и вярват в кръвожадни антируски „бандеровци“ и злобен Запад, които противостоят на Русия. Вършат го обаче без фанатизъм. Своите деца няма да искат да пратят на война и предпочитат да си спестят нейните трудности. Фанатиците сред тях са съвсем малко. Тези, които биха отишли да воюват като доброволци, ще го направят повече от нищета и отчаяние заради неуредения си живот.

Второто ниво на пирамидата са 18-19%. Това са интелигентни и културни хора, които широко използват интернет, ходят зад граница и познават добре света. Много от тях имат независими от властта източници на доходи. Други – напротив, работят в държавни корпорации или в бюрокрацията, обслужват властта, но нямат достъп до нея. Тези хора често, но не винаги живеят прилично. Могат даже да имат жилище в Латвия или България, или дори апартаментче на Лазурния. Сред тях преобладава ясното разбиране на картината на света, много имат силни нравствени принципи и ценят свободата. Други – напротив, продават таланта си на властта, и срещу мълчанието си получават нелоши заплати в университетите, бюрокроцията и близкия до властта бизнес. Немалък брой представители на тази група, потресени от последните събития, и в момента сменят лоялността си към властта с морално противопоставяне, подават си оставките от държавни служби и медии, и т.н. Но така постъпват далеч не всички лоялисти. Пример за протестното мнозинство сред тази група може да бъде актрисата Чулпан Хаматова, а на лоялното малцинство – Гергиев.

Най-сетне, върхът на пирамидата – 1-2% от населението – са бенефициентите на сегашната руска система. Това са хора изцяло предадени на властта, също образовани и разбиращи всичко. Имащи на Запад не апартаментчета, а вили, солидни влогове в западни банки (от Швейцария до ОАЕ), участващи в международния бизнес. Това са чиновници от най-висок ранг, ръководители на държавни корпорации, така наречените депутати в Думата и Съвета на Федерацията, губернатори, многозвездни генерали от армията, ФСБ и ГРУ. Те са продали свободата си на Путин и са получили в замяна богат и привилегирован живот. Те са безпрекословни изпълнители на волята му, но не по идейни, а по абсолютно користни съображения. Идеолози от сорта на Дугин или Вайно сред тях също има, но са малко. И, най-важното, идеите им са най-различни, общо е само че се опитват да ги осъществят чрез „достъп до тялото“.

Сега в тази елитна група царят ужас и фрустрация. Най-често чуваният израз в кабинетите и на Кремъл, и на Лубянка, и на Старая площадь е „той ни измами“. С Руско-украинската война Путин занули целия им сладък живот, направи недостъпни за тях парите им и вилите им в най-хубавите места по света, и на всичкото отгоре изисква от тях още повече лоялност, без да му пука, че съучастието в тази война прави много от тях поименно военни престъпници и обекти на трибунала в Хага. Такава договорка с Путин те нямат. Освен това пред тях започна да се мержелее и призракът на Големия терор, ако отхвърленият от целия свят режим продължи военната си агресия. А по-нататък ги чака и перспективата от тях да остане само ядрена пепел. Пък тая перспектива хич не е интересна за собствениците на океански яхти, колекции ролс-ройсове и ламборджинита, шедьоври на живописта и уютни вили сред тосканските лозя.

Тези хора престават да са лоялни на Путин. Защо да губят всичко накрадено, че и живота си в добавка? А без тях Путин вече е не велик тиранин, а просто стар човек, който се крие в бункер. Даже прословутият „червен бутон“, така майсторски изобразен в „Шарли Ебдо“, той вече може да натисне, ама никой няма да се задейства от това. Няколкото му фанатици не се броят. Те просто ще бъдат изолирани, заедно с направилия грешка тиранин.

Путин не може да се обърне и към по-долния етаж от пирамидата. Той или е против него, или му е лоялен по същата причина, както и „елитът“, и ще му обърне гръб заедно с елита. А към дълбините на народа съвсем не може да се обърне. Той е всичко друго, но не и народен вожд. Пък и този народ, дори да му съчувства, няма да тръгне след него. Вече е научен на пасивност и оцеляване пред телевизора, а не на народна революция.

Ако Путин беше спечелил войната в Украйна за два дни, а Западът не беше приел съкрушителни санкции, щеше да продължи да се радва на лоялността и на пълната поддръжка на народа. Даже на мистичен възторг от страна на елита, като Хитлер през 1939-41 г. Интелигенцията щеше да бъде разцепена и изолирана… Но Путин изгуби войната, не успя с блицкрига, затъна в мартенската кал на украинските черноземи. И санкциите се оказаха наистина съкрушителни, както и обеща старият президент Байдън.

И Путин остана сам. Тук не е Иран, където режимът на аятоласите се утвърди в резултат на народна религиозна революция (както и режимът на болшевиките в Русия през 1917-22 г.). Не е и Северна Корея, където в деспотизъм прерасна също народна антиколониална война. В Русия вече трийсет години царува скучна и безидейна клептократия, приела от ръцете на болшевизма смазания от него народ.

Путин занули клептократията, вече няма как да бъде неин лидер. Опозори се пред целия свят и стана за човечеството особено опасен военнопрестъпник с признаци на лудост. До няколко дни ще го отпишат. Не той, а нов лидер ще трябва да връща на върха на пирамидата „красивия живот“, да възстанови отношенията със Запада, да измоли разблокиране на банковите сметки в чуждестранните банки, да издейства отмяна на запорите върху имущества… Това ще трябва да бъде човек, неопетнен от сегашните престъпления, в идеалния случай даже осъдил ги на пълен глас, но произхождащ от техните среди. Човек, с когото те могат да се договорят.

Затова не ни грози нито нов сталинизъм, нито ирански път, нито севернокорейски. Масите в Русия са безмълвни, народна революция няма да има. Ще има, и то много-много скоро, вътрешен за върхушката преврат, подобен на смъкването на Хрушчов през 1964 г., или смъртта на император Павел на 11 септември 1801 г., или странната смърт на Сталин през март 1953 г. Но за да възстанови отношенията със Запада той ще трябва да се опира на средният, активният етаж от пирамидата, да има неговата морална поддръжка и да възстанови демокрацията и гражданските свободи. И можем да го очакваме в близките дни, най-много седмици. Оставам оптимист, господа.

Vulnerability in Stalkerware Apps

Post Syndicated from Bruce Schneier original https://www.schneier.com/blog/archives/2022/03/vulnerability-in-stalkerware-apps.html

TechCrunch is reporting — but not describing in detail — a vulnerability in a series of stalkerware apps that exposes personal information of the victims. The vulnerability isn’t in the apps installed on the victims’ phones, but in the website the stalker goes to view the information the app collects. The article is worth reading, less for the description of the vulnerability and more for the shadowy string of companies behind these stalkerware apps.

Decrypting Hive Ransomware Data

Post Syndicated from Bruce Schneier original https://www.schneier.com/blog/archives/2022/03/decrypting-hive-ransomware-data.html

Nice piece of research:

Abstract: Among the many types of malicious codes, ransomware poses a major threat. Ransomware encrypts data and demands a ransom in exchange for decryption. As data recovery is impossible if the encryption key is not obtained, some companies suffer from considerable damage, such as the payment of huge amounts of money or the loss of important data. In this paper, we analyzed Hive ransomware, which appeared in June 2021. Hive ransomware has caused immense harm, leading the FBI to issue an alert about it. To minimize the damage caused by Hive Ransomware and to help victims recover their files, we analyzed Hive Ransomware and studied recovery methods. By analyzing the encryption process of Hive ransomware, we confirmed that vulnerabilities exist by using their own encryption algorithm. We have recovered the master key for generating the file encryption key partially, to enable the decryption of data encrypted by Hive ransomware. We recovered 95% of the master key without the attacker’s RSA private key and decrypted the actual infected data. To the best of our knowledge, this is the first successful attempt at decrypting Hive ransomware. It is expected that our method can be used to reduce the damage caused by Hive ransomware.

Here’s the flaw:

The cryptographic vulnerability identified by the researchers concerns the mechanism by which the master keys are generated and stored, with the ransomware strain only encrypting select portions of the file as opposed to the entire contents using two keystreams derived from the master key.

The encryption keystream, which is created from an XOR operation of the two keystreams, is then XORed with the data in alternate blocks to generate the encrypted file. But this technique also makes it possible to guess the keystreams and restore the master key, in turn enabling the decode of encrypted files sans the attacker’s private key.

The researchers said that they were able to weaponize the flaw to devise a method to reliably recover more than 95% of the keys employed during encryption.

Insurance Coverage for NotPetya Losses

Post Syndicated from Bruce Schneier original https://www.schneier.com/blog/archives/2022/02/insurance-coverage-for-notpetya-losses.html

Tarah Wheeler and Josephine Wolff analyze a recent court decision that the NotPetya attacks are not considered an act of war under the wording of Merck’s insurance policy, and that the insurers must pay the $1B+ claim. Wheeler and Wolff argue that the judge “did the right thing for the wrong reasons..”

Путин изгуби тази война

Post Syndicated from original http://www.gatchev.info/blog/?p=2423

Тече четвърти ден от сраженията. И става все по-ясно – Путин изгуби тази война.

Губи я в Украйна, от най-високо до най-ниско ниво. Комедиантът Зеленски вместо да се подриска от страх и да се предаде или скрие, се оказа истински президент и мъж. Остана под бомбите в Киев и на предложението на САЩ да го евакуират отговори: „Трябва ми не транспорт, а оръжие!“. Показа, че са палячовци другите държавни глави, начело с Путин… Милионерът Кличко вместо да дава акъл от вилата си в Калифорния, организира отбраната на града и сам е на предните линии. Тринайсетте граничари на Змийския остров, без дори да имат къде да се прикрият от снарядите, пратиха руски боен кораб да си завре ултиматума няма да напиша къде. Вместо да се пръснат като пилци, обикновените украинци взеха оръжието и се организираха в бойни части. Опитът да бъдат сплашени ги обедини… Ако някой пита какво е народ, а не мърша – ето, гледай.

И офанзивата му не върви. Вместо Киев да бъде прегазен за 4-5 часа, и останалото от Украйна за още няколко дни, Киев се държи вече четвърти ден. Свръхзвуковите ракети, ядрените подводници и другите легенди за руското оръжие не помагат. Няколко масирани атаки на града се провалиха. Опитите да го обкръжат – също: напредък засега има, но за пълно обкръжение ще им е нужен вероятно към месец. Лесните за превземане участъци падат бързо, но добре укрепените държат – германците научиха това при Ленинград. Рускоезичният Харков също отбива атаките със сталинградски героизъм. „Нацисткият“ батальон „Азов“ продължава да удържа Мариупол срещу атаки отвсякъде и бомбардировки в количества, достатъчни да го унищожат няколко пъти… Тук-там руските войски успяват да превземат по някое градче, но така за цяла Украйна ще им трябват години. И това насред полета, идеални за блицкриг. А като стигнат сред хълмовете и горите на Западна Украйна?

Това е едно от страшните поражения на Путин. В момента умира пред очите ни митът за „непобедимая и легендарная“. Разгромен от далеч по-малка и несравнимо по-слаба военно държава, но със смел и достоен народ. Хората си припомнят как мъничка Финландия също успя да се опъне на превъзхождащата я десетки пъти Червена армия – изгуби малко територия, но запази независимостта си. И започват да си задават въпроса какво ли ще стане, ако срещу руската армия се изправи равностойна ѝ по мощ. Дали от нея няма да останат, както казват руснаците, „рожки да ножки“…

Още по-страшно е поражението на Путин сред руснаците в Украйна. Преди ден-два писах във Фейсбук – по броя взети руски паспорти в Донбас си личи, че населението там май не обожава Русия. Че под ботуша на руската армия и наемниците ѝ си мълчи, но косвените белези показват скритото… А сега виждаме, че същото е и другаде. Градовете с руско мнозинство оказват жестока съпротива на руската армия. Някои биват прегазени, други удържат, но всички се бият свирепо срещу „освободителите“ си. Не зная дали Русия може да е добре дошла за тях, но Путин очевадно не е.

Губи войната Путин и на Запад. Вместо Западът – и целият свят – да е стреснат и смразен от светкавичната мощ на съветската армия, той се чувства заплашен, но не и уплашен. Обединява се срещу Русия, налагайки ѝ санкции, които преди биха били непредставими. Швеция и Финландия обмислят кандидатстване в НАТО. Германия драстично качи военния си бюджет над 2% от БВП – Путин постигна каквото Тръмп не успя дори да постави на сериозно обмисляне. Великобритания взе мерки срещу руските пари. Източноевропейските държави – включително такива с руски агентури начело, като Унгария и България – затвориха въздушното си пространство за руски самолети. Войски на НАТО бяха преместени напред, към границите с Русия. Решението тя да бъде отрязана от СУИФТ беше не просто прието, а единодушно. Из света се провеждат многохилядни митинги против войната и в подкрепа на Украйна. Даже световният спорт тръгна категорично да отрязва Русия. Дори Китай вече не я подкрепя толкова охотно… Не, не е страховита световна конспирация – просто Путин жъне каквото пося.

И го жъне дори сред руснаците на Запад. Навсякъде в митингите участват рамо до рамо местни хора, живеещи там украинци и живеещи там руснаци. Не защото са предатели на родината си, а защото са наясно, че Путин не е родината им, не е Русия. И на повечето места украински бежанци приемат и подслоняват в домовете си най-охотно именно местните руснаци. Включително в България. И това е една от причините да пиша този запис – моля ви, не забравяйте, че руснак не означава задължително путинофил. Че повечето руснаци в България са били тези дни по-достойни и по-антипутиновски от много българи. Гледайте ги с уважение, заслужили са го. И ако някой се опита да ги тормози, без колебание му подарете юмрук в зъбите. Да не позори България, българите и вас лично.

(А най-запенените и отблъскващи „мурзилки“ тук са българи, за срам на всеки честен българин. Да, немалко от тях не са платени или с мръсни надежди лекета, просто са промити от Путиновите лъжи, на които са имали наивността да се доверят. Да, немалко от тези хора са иначе свестни и добри. Уви, когато мътилката се оттече, те ще се окажат при лекетата – не истински заслужено, но там ще са се сложили сами. Няма да бъдат преследвани, но и няма да се отърват лесно от позора и погнусата. Уви, кой каквото сам си направи…)

А най-страшно губи войната Путин в… Русия. В руските медии тази война е операция, ограничена в Донбас, да го освободят от превзелите го подло укрофашисти – Путин го е страх да признае пред народа си, че извършва агресия срещу Украйна. Подготвени са мобилни крематориуми за убитите руски войници, да няма върнати в Русия тела и въпроси около тях – „изчезнал при учение, точка“. Но въпреки това народът му научава, и хората с ум и съвест реагират. В Москва и Санкт Петерсбург всеки ден има демонстрации срещу войната, въпреки вече няколкото хиляди арестувани, въпреки заплахите с уволнения и затвор за участие в тях. Руски интелектуалци масово подписват открити писма срещу тази война. Дори спортисти се обявяват срещу нея.

И дори в руската армия. Пленените руски войници разказват едно и също – никой от тях не е знаел, че атакува украинска територия. Казвали са им, че освобождават Донбас от превзела го украинска армия… Но командирите няма как да не гледат карти и да не разберат къде са, и много от тях не са щастливи. Вече на няколко пъти излиза информация как руски танкови колони спират някъде, изливат горивото и съобщават: „Горивото свърши, нямаме как да стигнем до фронта.“ Не от страх да воюват – от нежелание да стрелят по братята си. А в Херсон танкова колона беше връхлетяла, минала през града стреляйки във въздуха и излязла от другата страна, без реално да нападне нищо. Очевидно някой командир е изпълнил заповед да атакува както съвестта му е позволила.

(Току-що прочетох за двама руски войници. БТР-ът им привършва горивото преди Харков, на двеста метра от бензиностанция. Взимат те две туби, отиват до нея без даже да си вземат оръжието, и казват на персонала – етнически руснаци! – „Привет, ние сме освободителите ви, най-сетне пристигнахме! Викайте ура и ни дайте малко гориво, че го привършихме!… Ама чакайте, защо ни арестувате? Не се ли радвате?!…“ Познайте какво им е наливал руският агитпроп в главите. И каква се е оказала реалността.)

… Да, в Русия санкциите вече започват да оказват ефект. Все по-трудно е да се изтеглят пари от банкомат или банка. Нищо чудно скоро да започнат да изчезват от магазините първо някои стоки, после други… За Путин как се чувства обикновеният руснак е без значение, стига да не се бунтува. Но това няма как да скрие, че руският народ е жертва на тази война не по-малко от украинския. По различен начин – но всъщност не много по-различен. Русия губи може би повече убити на ден, отколкото САЩ загубиха в Ирак общо за 20 години там. И тези убити може формално да се водят войници и агресори, но реално са най-обикновени момчета. Изкомандвани да загинат за каквото сигурно поне 95% от тях не искат и се срамуват от него. Те и семействата им са също и точно толкова жертви на Путин – не го забравяйте.

Не е без значение и може ли Путин да си позволи да продължава тази война. Тя му струва по около 20 милиарда (в долари) на ден – БНП на Русия за близо седмица. Имаше готовност да издържи този разход за няколко дни до седмица, до толкова очакваше Украйна да падне напълно. Продължи ли над 10 дни войната, ще започне да загазва. Свършват парите, свършва горивото за воюващите части. Свършват дори запасените муниции, а за производство на нови трябват материали, които сега никой няма да продаде на Русия… А пък в това време светът вижда, че Украйна не е обречена и има смисъл да ѝ се помага. И помощта вече тече – хиляди противотанкови и противосамолетни ракети, тонове оръжие и муниции. Удържат ли украинците още десетина-петнайсет дни, Путин ще трябва да преговаря, и Украйна ще бъде в тези преговори силната страна. Нейната армия с всеки ден ще получава все повече и по-добро въоръжение, а това на руската ще свършва.

(Руското въоръжение и без това не е на ниво. Наскоро гледах видео с пленен руски танк. Операторът го разглеждаше и показваше отвътре – всичко е връзвано и кърпено кое както може. Било е подвиг изобщо да го докарат до бойното поле… Повечето друга руска техника е на подобно дередже. И танковете, и самолетите. И вероятно дори ядреното оръжие.

И на подобно дередже е и личният състав. Няколко руски части, може би между 50 000 и 100 000 души общо, са много боеспособни, но останалото е зле обучено пушечно месо. Резервистите и мобилизираните са още по-зле обучени. А повечето от боеспособните части вече са в боя, и по-слабата и зле въоръжена Украйна предимно успява да ги задавя и удържа… Какво ще стане, ако повечето от тези части бъдат разгромени? На Украйна това може да отнеме доста седмици воюване, но на НАТО вероятно би отнело ден-два. После „непобедимая и легендарная“ накъде и как…?!)

Може ли Путин да допусне това? Би означавало края му – главорезите под него няма да му простят. Ние може и да не усетим, ако го смени някой друг Путин, но той ще го усети, ако и за кратко. И на неговия стол няма как да седнеш, ако не си тежък психопат, руската управленска система не би го позволила. Така че оттук нататък следва от него да се очаква най-лошото.

Какво ще е то? Зависи дали околните ще успеят да му намерят някакъв изход от ситуацията, в която се вкара. Хич няма да е лесно. Ако успеят, може и нещата да се разминат по-леко. Ако обаче не успеят, може да се очаква всичко. Много по-агресивно включване на руската армия – до този момент тя предимно пази цивилното население. (Може да е не по хуманни, а по политически съображения, да не потриса руснаците – няма значение, фактът е факт, пази го.) Може да нареди масирани бомбардировки над украински градове, без значение на жертвите – не зная ще го изпълнят ли командирите му, някои вероятно да. Може да плаши Запада с ядрен удар, ако продължат да доставят оръжие на Украйна – Западът вероятно няма да престане, натискът от населението му в тази насока вече е твърде силен, а западните политици не могат да си позволят да го пренебрегнат. Може дори да стигне дотам да нанесе ядрен удар върху Украйна, за да сплаши съпротивата ѝ и света – съпротивата ѝ ще се втвърди още повече, а светът вероятно ще реагира с такова обединяване срещу Русия, че дори Китай ще бъде принуден да я изостави… В особено крайния случай може да се стигне дори до руски ядрен удар срещу държави от НАТО заради доставките на оръжие – това ще означава моментална ядрена война между НАТО и Русия, с пълните им арсенали, плюс конвенционална война. Ако Путин така или иначе няма да оцелее, защо да не погуби и света със себе си?

„Интересен“ е само последният вариант. Противно на убежденията на повечето хора, нито животът на Земята, нито човечеството ще бъдат унищожени. Ще загинат десетки, може би стотици милиони хора, но човечеството ще го преживее. (Русия има голям ядрен арсенал, но какво е състоянието му вече обсъдих. А САЩ няма да ударят с повече, отколкото реално им е нужно, за да обеззъбят врага.) Какви ще са последствията за Русия не ми се мисли. Какви ще са за България – също няма да са хубави.

Сигурно е само едно – ако Путин беше разкаран от Кремъл навреме, всичко това нямаше да се случи. Ако ще войната да спре в този миг, вече убитите и разрушенията ще са излишно много.