Re: [討論] 無人機視角的戰車進攻壕溝
※ 引述《wahaha99 (此方不可長)》之銘言:
: ※ 引述《xyz168 (小黑)》之銘言:
: : 4G安全嗎?
: : 下面這個攻擊告訴你!
: : https://imp4gt-attacks.net
: Layer 3 攻擊軟體就能修正啊
: 裡面iOS就不受影響啊
: : 另外,基於行動通訊協定的設計,很容易遭受阻斷服務攻擊,細節不說明!
: 打EM、ECM的時候
: 什麼都很容易被阻斷攻擊 (還不是阻斷服務攻擊)
: 你是在討論什麼應用場景?
RRC、NAS protocol本身需要建立存取控制訊號先行於Authentication and Key
Agreement (AKA),所以有很多控制訊號,如強迫斷線、安全性降階等命令都
包含在當中,所以這本身是通訊協定先天會面臨的問題。WiFi同樣也有一樣的問題。
這部分必須要採用無線訊號偵測的方式,目前可能採取AI/ML的方法,透過訊號比對的
方式來偵測偽基站釣魚的問題,其實在中國滿嚴重的,偽基站被用來發送假簡訊。
在WiFi相對的不嚴重在於影響範圍有局限性,但是在戰時,通訊基建的強韌性如果
採用商用系統,可能面臨原本不在商用通訊系統所考慮的安全問題。
在有線網路,這樣的問題更不存在,這樣的問題被放在主要是無線通訊的特性,尤其
以距離最遠的行動通訊網路影響更巨大。不過樣考慮通訊的強韌性,行動通訊也有
Public Safety的設計,也有sidelink的ProSe標準。
: : WiFi WPA2安全嗎?
: : 1. 採用PSK,基本上還是採用對稱式的密碼演算法,可字典破解
: : 2. 有不安全的實作,可遭受金鑰重安裝攻擊。
: : https://www.krackattacks.com
: : 所以有WPA2,安全嗎?請看下面!
: : Dragonblood: Analyzing the Dragonfly Handshake of WPA3 and EAP-pwd
: 你可以不要用PSK
: 至於KRACK早就有修正了
WPA2不安全不只是key reinstallation attack
其中,WPA2沒有考慮Forward secrecy、offline dictionary attack等安全特性。
在WPA3當中都有設計進去,WPA3不是用來修正WPA2的特定攻擊,而是提供更進階
的安全特性。
同樣在5G的通訊當中,採用public key encryption提供更高規的匿名性保護在
authentication當中。
: 不然你以為為什麼我會提WPA2 甚至沒提WPA3
: : RSA-2048不夠了....
: 不要瞎扯淡
: 現在幾乎全世界的基礎設施都還在用RSA-2048
: 你台灣建軍真的沒重要到比全世界的基礎設施重要
: 真的嫌不夠
RSA-2048不用量子電腦破主要在說明破密學的進展,可以將原本RSA2048安全性降到預期的安全強度以下。如果我們預期一個密碼系統要有80位元安全,但是現有最好演算法
可以降到80位元以下就算是破解了。這也是為什麼公私鑰對應數位憑證都要定期5年更換
當然DES被破,有3DES,再來有AES,DES被破還是有人賣DES的dongle,並沒有說他馬上就被算出來,只是安全性會非常的低。而RSA2048被破,這個定義如我上述所說,並沒有說他完全不能用,端看我們要保密的資訊要保存多久。如果是個人通訊,安全效期只有一天當然不用多高等級安全,但是通訊系統會不會用來傳送高機密的資訊呢?如航艦設計?
當然不同單位採用傳輸保護規格就是不同。
要講商用跟軍用能不能混用,這個問題不是在於密碼學以及安全協定能不能使用,應該是講商用系統,不該跟軍用的混合。目前所謂的商用的安全協定當中的密碼演算法幾乎都是美國的NIST來制定的標準。在資安的技術標準上,在各國都是差不多,政府應該走在民間的前面,政府單位主導力量也強過民間。
: 還可以用RSA-4096
: 當然你說RSA將被量子電腦破解
: 那現在抗量子算法也問世了
: 才剛通過NIST認證
: 你也有的選
: : AES-256要可以用之前,金鑰怎麼取得?怎麼保護?在哪裡加解密運算?
: 金鑰怎麼取得? 裝置預加載
: 怎麼保護? 額外帳號密碼保護
: 在哪裡加解密運算? 該在哪運算就在哪運算
: : side-channel attacks?
: 不用想這麼複雜
: 一個平板或裝置掉了
: 把他的Key吊銷就好
你的key吊銷要怎麼傳給其他單位跟裝置?
用商用網路遇到的問題可能第一步就會面臨網攻,不是說軍網不會被攻,問題是
你第一步就容易被進入,相對面臨的攻擊也更高。
: 除非你的 side-channel attacks
: 都是一邊打仗、
: 一邊貼著我方的人說「你讓我測一下電磁波、好不好嘛」
: : 光是沒有亂搞就多難去實現?
有雲端的side channel attacks是針對SSL/TLS
https://www.usenix.org/system/files/conference/usenixsecurity14/
sec14-paper-meyer.pdf
: 那是人的問題
: 對啦
: 如果國軍軍官90%都是共諜
: 用什麼也沒用
: 但這干主題啥麼事啊
: : 雜湊演算法SHA被破SHA-2被破...
: SHA-2破了?
也不能說破,SHA-3的安全性更高,SHA-1也還在用。
https://csrc.nist.gov/projects/hash-functions
: 這是我今年聽過最好笑的笑話
: SHA-2破了你可以去操作與放空比特幣,
: 然後從此過上富可敵國的人生
: : AES-256會不會被破?戰時的破解跟民用的破解等級可能不同。
: : 不過只要金鑰頻繁更換,就可以保護秘密在一定時間,例如一天?一個禮拜?不被破解。
: ............
: : RSA-2048破解不需要用到量子電腦
: 笑死,
: 那你去破啊
被你見笑了
: : 這些都是標準通訊,他們的安全標準其實不如你想的安全...
: : 又是整天都有全世界的研究人員在研究,先想想吧
: : 你可以把它當作第二層的防禦,但是不該沒有屬於自己的一層防禦。
: : 不然就是把命運交給別人!
: 我就是研究者之一啦, 跟你比起來的話
: 救命喔
很期待你的研究,一起努力為台灣資安打拼!
最後,我想說的是,這邊講的商用應該是商用系統,openssl是open source,能不能用,應該要很謹慎,因為裡面引入取多第三方libs。不能把命運交給別人,還是老話一句。
要有備案,不然一個垮就死一遍,做資安不能不負責任的說搞什麼商用很方便很強
云云的,那分析呢?要講商用很棒沒問題當然也行,該講清楚的問題是不是都該交代?
最後,別為了我生氣,如我說的有錯誤,歡迎指正討論,我說話也直接,如有冒犯
還請見諒!
另外,目前很多商用公司都有軍用通訊的solution,如keysight
https://www.keysight.com/tw/zh/industries/aerospace-defense/
secure-communications.html
根據商用的spec去重新規劃建置的軍用網路這樣是商用還是軍用?
我認為這裡應該是討論軍用跟商用系統的分離,至於技術本身應該是中性的。
系統的建置是依據需求來建置,採用相對應技術,達到系統的建置目的。
--
SHA-3 煉蠱大會過程中其實證明了 SHA-2 沒什麼問題
但像我就有打死不用 SHA-2 的情結,因為他是 NSA
出品,我就是不要黑箱只要公開徵選出來的
純粹一個被害妄想症患者的奇檬子問題
我本身也是有資安潔癖的人,不過沒辦法,做這行的
該要有這樣的覺悟呀
實務上不可能為了你這一點潔癖就全部把輪子重造吧..
我剛剛最後有說,並非再造,而是要isolation
技術本身是中性,採用公開標準方法無不可,但世界
各國軍方還是都會有一個屬於自己不為人知的秘密武器
我想平行採用並無任何問題
推
好了啦 強如美軍 前線野戰單位用的也是wifi 你可以
先跟美軍吵說wifi不安全
沒有人跟你吵不用Wi-Fi吧,Wi-Fi是商用標準,我說
過標準是中性的,但是系統商用跟軍用不該混在一起
:)
美軍也用微波爐呀,哈哈哈哈哈
另外我前面討論的是對於WiFi WPA2安全性夠了這點
是不太能認同的,我並沒有反對整個WiFi標準
@cangming 兄台有機會可以往前文章翻閱
不要跳針啊 美軍野戰營級以下的通訊指管系統就是走w
ifi 難道你要說那個不算軍用?
然後我到很好奇openssl外部連結了啥lib 不要跟我說
啥libc zlib
不要當這板上大家都不懂ldd指令 看不懂configure
那個下下去 link了啥一番兩瞪眼
然後不要再吵side channel attack這種一點意義都沒
有的問題 你都能做到這個直接幹對方硬碟不是比較快
這根本僞議題
是有remote的側信道攻擊方案啦 只是又更嚴苛
像前年CPU爆出來的那一堆側信道攻擊 基本上都要你
連上的網站含有惡意代碼 才會中招
那如果拿來打仗的戰術平板還去連什麼不該連的
槍斃比較快 那種人給他手榴彈大概也會當芭樂吃
不差這一個平板
好像只有你們覺得open source不是資安風險?XD
所以有沒有side-channel attacks? XD
不過大家能投入資安討論是好事
open source比起close source確實不是資安風險
至於side-channel attacks 跟是不是open source
有什麼關聯?
你自己亂組合,問我有什麼關聯?
你覺得軍級資安可以就可以吧,我想你聰明別人也不笨
你的那句 所以有沒有 是不是指 opensource?
該怎麼做就怎麼做吧,發表想法大家歡迎不是?
你自己說沒有side channel attack問題的吧
我只是給你看有的,你該翻翻自己的發言...
我可沒有把這兩個東西聯結起來....
老實說,側信道很少管用啦,有沒有問題,誰知道,
side channel attack is to openssl not opensource
你以為軍用的就沒問題? 這到底是什麼假議題?
你這亂扯了
軍用不是現成,是朝向軍規需求去發展或是建構
我確實根本不知道你在扯啥
還有如果你覺得我是亂來,那請紅隊打的也是亂來
你都說安全了,幹嘛請紅隊,浪費錢!
那好啊,你要自己發展一套NewAES還是用現成的?
應該要請wahaha99大來才是
請紅隊也不會有人拿來攻AES啊,哪招
你請重新閱讀我的文字好嗎...
不要一直超譯
完蛋了...我在AES什麼了...
我也不想超譯你的文,但說實話,我看不懂你在說啥
你不懂也好...懂也好,你想懂可以好好討論
說真的,那種覺得自己講的才是對的,別人都是亂講
你先說的Opensource的問題,所以啊,你AES要怎麼實作,
這種本位討論也不必了
不用Opensource庫,那要自己來?
AES is standard not open source....
還是連AES也不要用了? 你想表達啥?
AES 是 Standard沒錯啊, 所以你要怎麼實作嘛?
wahaha99大,你可能先冷靜一下
這樣吵真的沒必要吧?你想講什麼
我看不出自己寫AES庫的意義在什麼地方,
你找找開源軟體資安威脅與防護
這真的不是我瞎掰的...
為了躲避側信道攻擊嘛? 還有我現在很冷靜呀,
我不冷靜早就開噴了,只是真的不知道你想表達啥
你開噴?你是誰啊?講那什麼話
發文章多不代表你權威,只是你愛發言,我喜歡看文章
這次發文單純是我專業領域,分享而已,不必要聽你
呵,我的意思是,我遇到人胡說八道才會不冷靜,
講那種是是而非的移花接木式發炎
好啦 你們理性一點☺
(才會開噴),我連你想表達啥都沒看懂,我要不冷靜什麼
你歐...哈哈...有趣,典型
版大,我很冷靜,不過你真可以看看他推文推什麼
沒什麼好爭執的(′▽‵)ノ
我推文就推了我看不懂你在說什麼 不然還推了什麼
笑死不是我打的:::
你打笑死,那可不是嘲諷?
你回文擺明嘲諷,我認真回你,真有其事,你又開扯
那不是推文啊? 我上一篇該噴的噴過了啊
說就算有又怎樣,沒什麼影響呀,那你是想討論資安
所以現在的我很冷靜啊? 我真心不懂耶
還是想討論你自己的想法是對的
有開噴齁,你開噴得對了嗎
我下面那篇回文 有噴你嗎?
SHA-1已經在2017年由Google及荷蘭研究團隊破解了
也沒對啊,硬要扯人家錯,你的點在哪裡?
開噴的對不對喔? 那你先把RSA2048跟SHA-2被破解的
證據拿出來啊? 怎麼會是問我?
NIST的網址其實有提到廢棄SHA-1,並禁止2013年後的
我跟你說明的破解的定義,你不會去閱讀?
SHA-1確實是被破了
數位簽章使用SHA-1,還在使用是因為過渡期需要時間
問題是現在我們是在軍武版,討論的是連級作戰指管,
密碼學的破解認定,只要未達到認定強度,就算破解
就算是要一千年一萬年才能破也算
"你跟我講那個我有什麼辦法"
該不會說我不是密碼學專家了吧....
你要講你的論點,我接受,不過你不接受亂噴人
你到底想幹麻?
你要講連級指揮我沒意見,那你噴我的看法幹嘛?
好嘛,破解了,然後咧? 改用SHA-3行不行? ChaCha?
你用連擊指揮概念噴我嗎
這些是不是商用加密?
你很冷靜噴人,被你噴的人就不能講?你誰?
我就說你誰?
連級指管本來就只需要幾天等級的保密
躲在ptt後面就可以大放厥詞?
你要在那扯幾百萬年降低到幾十萬年的破解,
不然我們可以約出來喝喝茶,看看你本人是不是如此
進而否定商業加密的可靠性,我真的不知道該說啥
學識淵博?
你在說什麼你知道嗎?你可以看清楚別人說的嗎
你看不懂不代表別人說錯,兄台
打從一開始就在講連級指管系統喔,難不成你還以為
無人機是營級在派的?
你在講open ssl在講通訊安全標準在講密碼學
所以咧? SHA-2跟AES-256變弱了一點點,影響什麼了?
你的連擊指揮呢?
哪個單位棄用了?
你可以看一下我前一篇文章嗎..拜託拜託
我在講open ssl? 我從頭到尾沒主動提過喔....
你講遠端side channel沒用,我講是對open ssl
= =
我下一篇不是主張用專用設備, 所以預載AES金鑰,
根本不會去用ssl啊,有對稱式加密幹嘛用不對稱?
好了啦,突然覺得加起來都超過80歲的人吵架= =
所以我說我看不懂你在說什麼是真的連語意上都沒看懂
不是在酸你什麼,OK?
老實說我也不懂你想講什麼
明明就是在講軍方通訊採用商用系統這個問題...
我也給了很多資訊不是?
講難聽點啦 連NSA自家軟體都不能保證open source 踩
其實也沒有什麼商不商用,記得當初AES就是用來取代
過的東西自己不會踩到 扯那些有的沒有的 就問一句
你敢擔保人家open source踩到的問題 你就沒踩到?
DES的,AES出生就是個軍用的東西
重點來了,怎麼實作,你一定要堅持自己寫庫比OS好嗎,
那我才會問你到底為了啥,防側信道嗎?
這我在本篇不是講了嗎?技術是中性的
我以為這很清楚吧
從頭到尾我說的商用是指商用系統,並非技術
open source是開源,openssl是實現TLS/SSL的軟體
見過太多自以為是 以為自己做的比open source 好的
結果一個溢位漏洞就一波帶走
技術本身是沒問題的,不過說到無線通訊安全標準
那可是大大有問題,千萬不能只用那一層
而且那一層本身就只保護裝置到基站
這樣說好了1.我根本沒提SSL 因為我是主張專用設備
還不要說碰到protocol本身的漏洞 光修一堆低階問題
你真正要end-to-end一定是走到application layer
就修補完了 然後那個說好的CI?
2.這裡所謂的商用 確實不準確 應該說民用/非軍用
open source可以用,但是一定要嚴格檢驗
但實現AES到底除了自己寫跟用現成庫外 還要怎麼用
另外商用軍用分開,軍用走商用網路是大問題
我也不知道 只是說自己寫就能算的上軍用嗎?
大部分的庫都在網路上被檢視到爛掉啦?
寫成lib也是有要授權的crypto library
人家有CI每天測 每筆commit測 你敢保證你close sour
ce有人家的測試密度
滿多的
就不要修一筆commit 拖出一狗票regression big
就上面網友提過的啊 security by obscurity
然後業界經驗還是別 比較好
我到很好奇那家的業界自家寫的code比得上FAANG每天
幫openssl測bug
800-160 Volume 2
看一下
不要說別的 AES SHA 這種等級的庫 都是語言自帶的
這何止被檢視到爛掉...
多少駭客天天在打...
商用軍用是否區隔,還是要裸奔,端看政府政策及資源
win上AES跟SHA的庫還是Windows自帶的 .net只是介面
如果這有問題 Windows早就死光了...
都甚麼年代了 還在ssl compression 然後這只要對稱
加密加動態內容壓縮就會中 管你什麼實作
還是你有可以不用對稱加密傳動態壓縮內容的方法 麻
煩提出來讓密碼界聞香一下
另外ssl compression不是一定不安全 靜態內容你怎麼
開沒人管你
???
43
首Po來源:推特 TOGA 這是長約十分鐘的完整版影片,內容是烏軍排級的坦克在無人機的鏡頭下進攻俄軍的壕溝, 稍後應該會有版友提供影片最後面一群俄軍在極近距離遭到戰車跑轟擊。 其中在影片26
: : : : ---- : Sent from BePTT on my Google Pixel 720
原文恕刪,後續part.2影片 拍片的單位是54機步旅K-2營,有自己的YT頻道 這個T字路口目前總共有四部影片,烏軍戰車攻擊壕溝part.2為最後一部 1. 烏軍固守T字路口,俄軍派輕步兵正面攻堅,結果在途中被烏軍呼叫砲擊大量殺傷,砲10
看到俄軍沒反甲武器被烏軍坦克欺負 忽然想到以前冷戰時期 強大蘇聯軍演訓影片 5分40秒左右 蘇聯士兵躲在壕溝裡等坦克從頭上經過3
徐某人的頻道把這次戰鬥的影片分上下兩集做個分析與整理 之前我覺得無人機為什麼沒有往前一點觀察壕溝內士兵 現在從下集的影片中可以知道烏軍另有無人機飛近觀察4
一, 一開始是俄軍進攻, 拿下壕溝,.... 既然有膽識發起進攻, 並且第一階段贏了 應該不是一般網友講的,完全沒有訓練的充員兵, 才會被坦克來回輾 二, 我看那個壕溝的深度約一個人高, 寬度只有一個人, 感覺挖壕溝的人是不是太混了? 如果挖出2~3個人的寬度, 戰車會卡住吧 但因為挖壕溝的人太混,... 讓車車可以來回輾10
恕刪部分文章及手機排版 這邊借用徐某人的part2 從影片來看,以及前幾天流出的戰情中心照片 推測烏軍充分的利用discord頻道語音及直播分享畫面的功能20
認真說 Discord也好 Telegram也好 甚至LINE都行 若論實體層 4G通訊22
4G安全嗎? 下面這個攻擊告訴你! 另外,基於行動通訊協定的設計,很容易遭受阻斷服務攻擊,細節不說明! : 甚至WIFI的WPA2
27
Re: [討論] 無人機視角的戰車進攻壕溝沒錯 這也是我一直在版上講的 根本沒有必要自己從輪子造起來 客制一台戰術平板/手機通訊走4G 搭配行動基地台,走軍用core network12
Re: [新聞] 國慶無人機「大陸製」民航局查無進口紀錄台灣希望創新有發澄清文: 無人機核心飛控系統相關軟硬體自行開發設計,採用飛控晶片為瑞士ST義法半導體、精準衛星定位晶片為瑞士ublox RTK定位模組、通訊模組為美國高通及美國DIGI通訊模組,設計及生產均非大陸產品,使用全球無人機產業最通用晶片及模組。 無人機群飛展演,核心飛控韌體及群飛控制軟體是希望創新團隊,2018年執行Taiwan Drone 100計畫一路自行研發並不斷修改至今,展演設計均由希望創新團隊設計製作,絕無假手他人,近年更致力提升展演設計,增加藝術設計及3D動畫相關團隊成員,提升展演品質,2021年榮獲國際群飛競賽冠軍,2020及2022年國慶,希望創新展演內容都是與相關單位做許多溝通後,進行分鏡設計及無人機路徑動畫設計,相關動畫程式都是希望創新製作,絕無假手大陸公司,「試問,大陸無人機公司會願意為我們群飛展演設計國旗、勇鷹號及民主臺灣自信前行、守土衛國等展演飛行路徑?」 目前全球商用無人機產業無關資安零組件,如馬達、電池等元件,因為成本、市場等因素,大多需仰賴大陸廠商供應,希望創新展演用無人機馬達、螺旋槳、電池等與資安及控制無關零組件,在無法取得MIT產品或非紅色供應鏈之產品,在不影響資安、飛安、國安狀況下採用陸製產品,這是目前全球商用無人機產業共同課題。10
Re: [討論] 無人機視角的戰車進攻壕溝鬼扯淡 民用的加密普及 是因為標準化、以及庫普及、以及其需求 (現代程式語言都直接實作SHA系、AES系、RSA/DSA系等標準加密函數) 憑證是管理一個陌生對象的可信任性、5
Re: [問卦] 俄為何等烏東民兵被美國武器打死才動員這就明顯指出指揮體系的顢頇無能。 對於戰場預估落差過大, 及戰場資訊反應速度過慢且處理不當。 我們一件一件來說: 1.有跳頻與展頻功能的地區無線電與個人無線電。6
Re: [討論] 無人機視角的戰車進攻壕溝Layer 3 攻擊軟體就能修正啊 裡面iOS就不受影響啊 : 另外,基於行動通訊協定的設計,很容易遭受阻斷服務攻擊,細節不說明! 打EM、ECM的時候 什麼都很容易被阻斷攻擊 (還不是阻斷服務攻擊)
45
[情報] 中國訂購了近百萬架自殺無人機11
[情報] 剩下12輛艾布蘭坦克 烏軍仍在庫斯克作戰10
[情報] 羅斯托夫州大彈庫爆炸4
Re: [情報] 庫拉霍沃地區局勢惡化13
[情報] 俄軍首次被目擊使用甲車混民車進攻3
Re: [提問] 對岸用無人機攻擊坦克可能嗎?5
[分享] 美「桑納托斯」無人機完成首飛1
[情報] 烏俄戰爭-ISW戰報(20241221)1
Re: [情報] 諾沃姆林克橋頭堡的俄軍威脅7
[情報] 美軍稱F/A-18 被擊落顯然為友軍誤擊4
Re: [提問] 對岸用無人機攻擊坦克可能嗎?3
Re: [情報] 烏軍官方殲敵統計&情報數則 (24/12/1
[情報] 烏俄戰爭-戰線情報(20241222)