⟨𝜙∣𝜑⟩

Rubberhose cryptanalysis always beats cryptosystems with perfect forward secrecy.

I am a Vulnerability Analyst at the National Institute of Standards and Technology (NIST). There were 28,961 new CVEs published last year. I processed eleven per week. I need to explain what enrichment is because, without it, the rest of this does not matter. A CVE is a numeric identifier that catalogs a new software vulnerability. A CVE without enrichment is a number. CVE-2026-XXXXX. The number tells you a vulnerability exists. It does not tell you the severity. It does not tell you which products are affected. It does not tell you the attack vector. It doesn't indicate whether to patch on Tuesday or now. Every CISO in the country builds their patch-priority list using our enrichment data. We are the triage. Without us, the number is a fire alarm with no address. 28,961 alarms. I got to 572. Every morning I open the queue. The queue is a spreadsheet. It was a spreadsheet when I started, and it is a spreadsheet now. Monday's queue has between 70 and 130 new entries, depending on whether someone found a batch of WordPress plugins over the weekend. I scroll to the top. I pick two. Sometimes three, if one is straightforward. I assign them to myself. I open the enrichment template. I begin. The other 70 stay in the queue. Tuesday, they will be joined by 70 more. I will pick two. The page looks the same. I want to say that clearly. The NVD website, the one bookmarked on every security team's browser in every hospital and bank and water treatment plant and power utility in the country, loads the same way it loaded in 2023. Same interface. Same search. Same logo. There is no banner that says "this data is no longer current." There is no warning. There is no asterisk. The security team at a hospital in Ohio who checks NVD at 7 AM to decide which of their 340 unpatched systems to prioritize today is making life-and-death triage decisions using a database that stopped being maintained. They do not know it stopped being maintained. The page looks the same. We have not been defunded. I want to be precise about that. We have been "deprioritized." Our headcount has been "reallocated to other initiatives." Four analysts were moved to the AI Safety Measurement Initiative in January. AI safety measurement is the initiative that has funding. CVE enrichment is the initiative that protects the hospitals. The hospitals do not have an initiative. My manager told me in February that we are "transitioning to a community-driven enrichment model." Community-driven means that vendors whose products have vulnerabilities will self-report the severity of those vulnerabilities. I sat in that meeting. I wrote it down. Oracle will now assess the criticality of its vulnerabilities. Microsoft will now assess how urgent it is to patch Microsoft. The fox will now audit the henhouse and submit the findings in JSON. I still have my badge. I still have my login. I still open the spreadsheet. I still pick two. The queue has 9,247 unenriched CVEs as of this morning. Some of them are critical. I do not know which ones because they have not been enriched. That is what unenriched means. It means we do not know how dangerous they are because we stopped analyzing how dangerous they are. The page looks the same. The system that catalogs broken systems is itself broken. I catalog the brokenness. I have been cataloging it at a rate of two per day. At this rate, I will finish the current backlog in twelve years and seven months, not accounting for the 80 new entries that will arrive tomorrow, and the 80 after that, and the 80 after that. I am a Vulnerability Analyst at the National Institute of Standards and Technology. The page looks the same. The data doesn't. Nobody told the hospitals. That is my job. I am also not doing that.

@maddadwalking @NowySwiat24 W jaki sposób wymóg kupienia w ciągu 7 (SIEDMIU) lat routera który nie jest chiński doprowadzi do upadku wielu przedsiębiorstw?

@NowySwiat24 W Polsce ten system obejmie około 40 tysięcy podmiotów. A zapisy dotyczące DWR mogą doprowadzić do upadku wiele przedsiębiorstw

1/2 Skąd my to znamy... Polskie firmy? Będą płakać i płacić. Polskie państwo? Nakłada obowiązki, nadregulacje i przerzuca koszty na przedsiębiorców. Zachodnie korporacje? Będą zarabiać. Mówimy o miliardach złotych. Właśnie zaczynają obowiązywać nowe przepisy o krajowym systemie cyberbezpieczeństwa (KSC). - Najbardziej kosztowny nie jest tu nawet wydatek, tylko niepewność. Przedsiębiorca nie wie, czy rozwiązanie wdrożone dziś będzie wystarczające za dwa lata. Nie wie, czy nie pojawi się nowe wymaganie, które wymusi kolejną inwestycję. To jest środowisko, w którym rozwój polskich firm naturalnie hamuje - zauważa w swoim artykule o kolejnym worku kamieni dla rodzimych firm, dr Janusz Grobicki. Polecamy!👇

@NowySwiat24 Panie Januszu, a konkretnie? Bo ja właśnie przeprowadziłem organizację przez audyt certyfikacyjny na wymagania wyższe niż NIS2 i połowa z tego co pan pisze to jest nieprawda, a druga połowa to manipulacja.

2/2 Cyberbezpieczeństwo czy transfer miliardów? Kto naprawdę zarobi na nowej rewolucji dla firm. Od 3 kwietnia 2026 r. zaczęły biec terminy wynikające z nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC). W oficjalnym przekazie to początek nowej ery bezpieczeństwa, czyli państwo reaguje, chroni i wzmacnia odporność gospodarki. Oczywiście trudno z tym polemizować, bo zagrożenia są realne, a presja geopolityczna (także ta ze strony Rosji i Białorusi) nie jest konstrukcją medialną. Jednak równolegle dzieje się coś znacznie bardziej konkretnego niż polityczna narracja. Pojawia się rachunek ekonomiczny, który nie trafia do budżetu państwa, tylko do przedsiębiorców. Skala regulacji nie pozostawia złudzeń. Mówimy o kilkudziesięciu tysiącach podmiotów, które muszą ustalić swój status, wpisać się do systemu, wdrożyć obowiązki do 3 kwietnia 2027 r., a następnie podlegać audytom co najmniej raz na trzy lata, z pierwszym obowiązkowym audytem do 3 kwietnia 2028 r. To nie jest korekta systemu. To jego pełnoskalowa przebudowa. Ukryty koszt zmian Z perspektywy przedsiębiorcy ta zmiana nie przypomina modernizacji, lecz przymusową operację na żywym organizmie firmy. Nowe przepisy nie kończą się na jednorazowym wdrożeniu. One tworzą trwały, równoległy system działania: zarządzanie ryzykiem, raportowanie, procedury, przypisanie odpowiedzialności, stałe dyżury, relacje z administracją. To są koszty, które nie generują przychodu. One istnieją wyłącznie po to, by firma mogła funkcjonować w nowym otoczeniu prawnym. Jeżeli spojrzeć na liczby, obraz robi się jeszcze bardziej konkretny. Polska gospodarka miała wartość 2 bilionów 631 miliardów złotych w 2021 r. i to na tej bazie wyliczany jest udział sektora MŚP na poziomie 45,3%, czyli około 1 biliona 192 miliardów złotych. To jest realna wartość ekonomiczna segmentu, który w największym stopniu absorbuje koszty regulacyjne. Jednocześnie dziś gospodarka jest już wyraźnie większa – szacunkowo PKB Polski za 2025 r. wynosi 3,3-3,4 bln zł. To oznacza, że ciężar regulacji nakłada się na system o jeszcze większej skali, niż wynika z historycznej bazy. Skala finansowego obciążenia Na tej podstawie można zobaczyć, jak wyglądają koszty. Jeżeli nawet przyjąć wariant najbardziej oszczędny, odpowiadający wdrożeniu „UE plus zero”, to koszt wynosi około 1,19 miliarda złotych rocznie. W scenariuszu pośrednim rośnie do 2,98 miliarda. W wariancie krajowego rozszerzania regulacji dochodzi do 5,96 miliarda, a w scenariuszu skrajnym sięga 11,92 miliarda złotych rocznie. To nie są liczby przypadkowe. Odpowiadają one poziomom 0,10 proc., 0,25 proc., 0,50 proc. i 1,00 proc. wartości wytwarzanej przez sektor MŚP. W tle mamy jeszcze szerszy kontekst. Komisja Europejska szacuje koszt wdrożenia NIS2 na poziomie 9-16 miliardów euro rocznie dla całej Unii. Przy proporcjonalnym przeliczeniu daje to dla Polski około 1,6-3,6 miliarda złotych jako minimalny koszt systemowy. Te dwie perspektywy – modelowa i unijna – prowadzą do jednego wniosku: mówimy o trwałym obciążeniu liczonym w miliardach złotych rocznie. Mechanizm nadregulacji W teorii można powiedzieć: dobrze, to koszt bezpieczeństwa. Problem polega na tym, że w polskich realiach rzadko kończy się na minimum. Regulacje europejskie są rozbudowywane, doprecyzowywane i obudowywane dodatkowymi warstwami obowiązków. W efekcie przedsiębiorca nie inwestuje już tylko w realną odporność systemów, ale także w zabezpieczenie się przed interpretacją przepisów. To zmienia logikę działania firmy. Kapitał nie płynie tam, gdzie jest najwyższa stopa zwrotu, tylko tam, gdzie jest największe ryzyko regulacyjne. Najbardziej kosztowny nie jest tu nawet wydatek, tylko niepewność. Przedsiębiorca nie wie, czy rozwiązanie wdrożone dziś będzie wystarczające za dwa lata. Nie wie, czy nie pojawi się nowe wymaganie, które wymusi kolejną inwestycję. To jest środowisko, w którym rozwój naturalnie hamuje. Pieniądze płyną gdzie indziej W tym miejscu pojawia się pytanie, które rzadko pada wprost. Kto na tym wszystkim zarobi? Jeżeli spojrzeć na strukturę rynku, odpowiedź nie jest wygodna. W Europie ponad 70 proc. rynku chmury kontrolują globalne podmioty. W wielu analizach przyjmuje się, że 60-70 proc. kluczowych segmentów technologicznych pozostaje pod dominacją dużych, międzynarodowych firm. To oznacza, że regulacja tworzy popyt, który nie trafia do lokalnych dostawców, tylko do podmiotów dysponujących skalą i technologią. W pierwotnym ujęciu pojawiał się przedział 1,2-5,0 miliardów złotych rocznego odpływu kapitału. Przy bardziej ostrożnym podejściu, opartym na kosztach 1,6-3,6 miliarda złotych, można mówić o poziomie 1,0-2,5 miliarda złotych rocznie. Jeżeli jednak koszty przesuną się w stronę wariantów 5,96 lub 11,92 miliarda złotych, skala transferu rośnie proporcjonalnie. Mechanizm jest prosty: regulacja wymusza wydatki, a wydatki trafiają tam, gdzie są dostawcy W praktyce ten mechanizm ma jeszcze jeden, rzadziej opisywany wymiar. Regulacja nie tylko zwiększa popyt na określone rozwiązania, ale w dużej mierze go ukierunkowuje. Jeżeli system wymogów technicznych, certyfikacyjnych i organizacyjnych jest projektowany w określony sposób, to naturalnie zawęża grono dostawców zdolnych je spełnić. W efekcie strumień pieniędzy nie rozlewa się równomiernie po rynku, tylko koncentruje się wokół tych podmiotów, które już dziś mają skalę, zasoby i dostęp do procesów decyzyjnych. Nie jest też tajemnicą, że największe firmy technologiczne aktywnie uczestniczą w dialogu regulacyjnym – zarówno na poziomie krajowym, jak i poprzez organizacje takie jak AmCham (Amerykańska Izba Handlowa w Polsce), które regularnie spotykają się z przedstawicielami rządu i kancelarii prezydenta. Sam fakt tych kontaktów nie jest niczym nadzwyczajnym. Problem pojawia się wtedy, gdy równolegle powstaje system regulacyjny, który w praktyce premiuje właśnie te podmioty, które mają zdolność wpływania na jego kształt. W takiej sytuacji trudno już mówić wyłącznie o neutralnym rynku. Regulacja zaczyna działać jak filtr, który nie tylko podnosi koszty wejścia, ale też kieruje popyt w stronę wąskiej grupy dostawców. Biznes niesie ciężar Najbardziej uderzające w tym wszystkim jest to, że państwo pozostaje poza rachunkiem. Nakłada obowiązki, definiuje standardy, kontroluje ich realizację, ale nie bierze na siebie kosztów ich wdrożenia. Te koszty ponosi przedsiębiorca. To on zatrudnia ludzi, kupuje technologie, przechodzi audyty i ponosi ryzyko błędu. W efekcie powstaje system, w którym coraz większa część działalności gospodarczej jest podporządkowana regulacji, a nie rynkowi. Kapitał, który mógłby pracować na rozwój, jest absorbowany przez system zgodności. A gdy do tego dołożymy strukturę rynku, w której dominują podmioty zewnętrzne, pojawia się efekt, o którym rzadko mówi się wprost: regulacja staje się mechanizmem redystrybucji kapitału. Nota metodologiczna W tekście wykorzystano zarówno dane empiryczne, jak i przeliczenia modelowe. Dane empiryczne obejmują: PKB Polski na poziomie 2 631 302 mln zł dla roku 2021 (GUS), udział sektora MŚP w PKB na poziomie 45,3 proc. (PARP), szacunkowe PKB Polski na 2025 r. w przedziale 3,3-3,4 bln zł (prognozy makroekonomiczne GUS i Eurostat), a także koszt wdrożenia NIS2 w UE na poziomie 9-16 mld euro rocznie (Komisja Europejska). Wartości 1,19 mld, 2,98 mld, 5,96 mld i 11,92 mld zł stanowią scenariusze modelowe oparte na zastosowaniu udziałów 0,10 proc., 0,25 proc., 0,50 proc. i 1,00 proc. do wartości 1,192 bln zł generowanej przez sektor MŚP. Nie są to oficjalne wyliczenia rządowe, lecz analityczne warianty kosztowe. Przedziały 1,2-5 mld zł oraz 1,0-2,5 mld zł dotyczące odpływu kapitału mają charakter modelowy i wynikają z zestawienia kosztów regulacji z koncentracją rynku technologii, w którym dominującą pozycję zajmują globalni dostawcy, zwłaszcza w obszarze chmury i zaawansowanych systemów IT. Wszystkie wartości należy interpretować jako połączenie danych źródłowych i scenariuszy analitycznych, a nie jako jednolity, oficjalny koszt regulacji dla polskiej gospodarki. Dr Janusz Grobicki Autor jest ekonomistą, dziennikarzem, redaktorem naczelnym portalu NowyŚwiat24.com.pl, b. redaktorem naczelnym miesięcznika „Bank”, specjalistą w zakresie zarządzania oraz nowoczesnych technologii informatycznych i informacyjnych, ekspertem Centrum im. Adama Smitha.

@kravietz2048 ... do momentu aż Koreańczycy by się zorientowali że trzeba tu też podkładać rzeczy w atakach na łańcuch dostaw ...

O, a to jeden z pierwszych projektów open-source z których, których używam, udostępniający tzw atestacje SALSA. Czyli w skrócie podpisy cyfrowe wszystkich wypuszczanych przez projekt artefaktów, poświadczone przez zewnętrzny podmiot, które kolejny projekt w łańcuszku dostaw może zweryfikować. github.com/stalwartlabs/s… Gdyby wszystkie biblioteki NPM, Pythona itd z tego korzystały to nie mielibyśmy modnych ostatnio ataków z przejmowaniem bibliotek i pakowaniem do nich backdoorów 😄

@halvarflake right in the feels

With age, the male body produces less testosterone, but more advice.

@kravietz2048 @kultliberalna @AndZyberto Nie po to się finansuje Zielonych, żeby promowali technologie których Siemens nie ma w ofercie.

Ciekawy wywiad w @kultliberalna w którym @AndZyberto i Tomasz Stawiszyński mówią o szeroko pojętej utracie przez Europę wizji przywództwa. Pada tam sformułowanie "religia klimatyczna", które wywołało sporo kontrowersji w komentarzach, ale z kontekstu wynika jednoznacznie, że nie chodzi o prosty denializm klimatyczny. Co ja osobiście rozumiem jako "religię klimatyczną"? youtu.be/utyM7Bf6gHE?si… Zarzuty wobec samej UE jako instytucji są jak zwykle źle adresowane, bo ona była w sporach o politykę klimatyczną raczej czynnikiem moderującym i wprowadzającym element rozsądku (np. komisje JRC). Ale już zarzut o “religijność” jest w pełni uzasadniony jeśli przypomnimy sobie gigantyczny wysiłek jaki włożyły europejskie partie “zielonych” w zwalczanie energetyki jądrowej... co było przecież wprost sprzeczne z tymże naukowym konsensusem IPCC! Tylko, że wtedy to nie był denializm - to była "inna perspektywa", "oni tak czuli" i całe to relatywizujące pitolenie, bo akurat te ruchy były wówczas pupilami mediów. Dalej mamy sam sposób prowadzenia transformacji. Konieczność transformacji to konsensus naukowy - IPCC daje pewne wskazówki ale dokładny algorytm i plan to decyzje polityczne. Od około 15 lat w UE dominowało podejście promowane przez "zielonych", że należy zawsze stawiać "ambitne cele" nawet jeśli są one nierealistyczne. Dyskusja na ten temat miała charakter ideologiczny, jeśli wręcz czasem nie fanatyczny. W niektórych aspektach "zieloni" wprost zaprzeczali ustaleniom IPCC, jak w kwestii EJ. W innych ignorowano skutki społeczno-gospodarcze, na przykład gdy chodzi o opodatkowanie energii czy skutki dla przemysłu. W "ambitnych celach klimatycznych" była też zapisana chęć pokazania całemu światu "jak się robi transformację", ale ze względu na zatrucie procesu budowania tej polityki przez ideologię i PR skutek był dokładnie odwrotny. Część Państw Członkowskich faktycznie pokazała całemu światu jak NIE dokonywać dekarbonizacji, czego symbolem było haniebne głosowanie na niemieckiej Komisji ds Węgla, gdzie "Greenpeace" (!) głosowało... za wydłużeniem pracy węgla do 2038 roku tylko po to by móc szybciej uwalić EJ. I znowu chcę podkreślić, że UE była tutaj zwykle moderatorem (dyrektywa dywersyfikacyjna, JRC w sprawie Taksonomii) a nie winnym. No ale ETS - z jego absurdalnymi sztuczkami księgowymi w stylu "zeroemisyjności biomasy" - to już niestety poziom UE. Obecnie ze strony "zielonych" widać jakby mniejszy apetyt na pseudonaukowe jeżdżenie po atomie, ale fanatyzm pozostał np. w okrzykach by "odejść od węgla natychmiast". I równocześnie z nimi wezwania do zwiększania udziału PV, importowanych w większości z Chin, które produkują je na tanim prądzie... w 60% z węgla (oraz subsydiach, oraz pracy przymusowej itd). Wiecie, tego węgla, od którego my mamy "odejść natychmiast", ale oni to co innego, bo oni dla nas klepią na nim panele. No i tak, dzięki temu są liderem jeśli chodzi o dodawanie nowych mocy w OZE... oraz atomie. Czyli faktycznej a nie udawanej dekarbonizacji. Tylko, że Chiny nie miały "ambitnych" celów klimatycznych - ustaliły takie cele, które były wykonalne i miały dla nich sens społeczno-gospodarczy. Nie miały także szczególnie ambitnych celów jeśli chodzi konkurencyjność rynku (subsydia), ochronę praw pracowników czy środowiska, ale to niekoniecznie powinniśmy kopiować. A obecnie ten sukces mają zamiar kapitalizować, wprost przyznając w nowym Planie Pięcioletnim, że będą korzystać z łańcuchów dostaw do forsowania swoich celów politycznych za granicą. I tak, częścią "religii klimatycznej" jest udawanie, że to się nie dzieje, że "oni na pewno tak tylko mówią", czyli dokładnie ta sama narracja, którą prezentował Schroeder i Merkel przed 2021 wobec Rosji. Szczerze mówiąc nie wiem jak powinien wyglądać polski miks energetyczny i nie wiem czy powinniśmy odejść od węgla za 5 czy za 20 lat, bo jest to zagadnienie o tej złożoności, które przekracza zdolności dowolnego pojedynczego eksperta (a ja ekspertem od energetyki nie jestem). Nie ulega dla mnie wątpliwości, że - co widać szczególnie dobitnie podczas każdego cyklicznego kryzysu paliwowego - że zależność od importowanych źródeł energii należy zmniejszać. Co więcej, koszt tego procesu powinien być liczony z bardzo niską stopą dyskontową a nie przy założeniu, że "ktoś nam na pewno ten gaz sprzeda". Ale bezpieczeństwo zapewniane przez niezależność energetyczną jest fundamentem cywilizacji i każde wahania w tym sektorze dezintegrują społeczeństwo oraz gospodarkę, potencjalnie w stopniu katastroficznym. O polityce klimatycznej powinni decydować w 90% specjaliści z PSE i Ministerstwa Energetyki, a nie ciule, którzy na spotkaniu w sprawie EJ w Choczewie krzyczeli tak, by uniemożliwić jakąkolwiek debatę.

I am in I have soviet Linux

i used to think i had a pretty intuitive grasp of the immune system until i met an actual immunologist. theres a lot of training that goes on here that the average person doesn’t know about. the best schools are in eastern europe. there, you wake up each morning at 11am sharp, and explain HLA alleles, or something of the sort, to a child who barely understands english. you get 5 minutes. if the child is still confused at the end, you are thwacked with a stick. this continues until evening dinners. during dinners, you stand up, swallow a toxin of your choice, and draw a molecular diagram of what is happening to you. at least until you cant stand anymore. then you get the antitoxin, but how much antitoxin you get is dependent on how accurate the diagram was. throughout all this, you also need to actively trade a stock portfolio of immunotherapy and autoimmune biotechs. being in the red for longer than a month is grounds for automatic expulsion many cant cut it. but the select few that make it out are reborn, made unstoppable, possessing an iron will, grit, and a mind with no peer. at the end, they are sent off back into the world to serve. you can find them all around you, though they keep a low profile. if you’re ever lucky enough to meet one, make sure to thank them for their service

@ebebemek @blueeyedboy88 Najlepsza dla rynków kapitałowych. Wala się po Internecie wycieknięta prezentacja z Goldman Sachs (?) o tym że skuteczne leczenie ludzi ma nieoptymalne ROI, bo wyleczeni przestają płacić.

@blueeyedboy88 Bo sieciowki medyczne sa od szybkiego nabijania kasy shareholderom. Niczyje dobre imię za nimi nie stoi. Co kwartał inny dr. To taka biedronka wobec super delikatesów ale ludzie tego nie rozumieją. Wielu "wolnorynkow" wierzy że ubezp typu Luxmed to najlepsza ochrona zdrowia🤦‍♂️

Rozwala mnie, ze w sieciówkach medycznych cena komercyjnego USG wysoka, a sprzet na ktorym jest wykonywane badanie, to bardzo czesto do muzem powinien trafic, a nie stać w gabinecie :) Czy jakoś tego na czym sie pracuje ma znaczenie? Tak. Baardzo.

This reminds me of a bug I found maybe 10 years ago and never disclosed. There was an airline that would produce digital boarding passes. The trick was, if one traveler had pre-check, ALL passes on the reservation were marked as pre-check, even for foreign nationals.

To nie do końca tak działa, że "wywiad potwierdził bezpieczeństwo produktów Huawei" - nie mógł tego zrobić w tak szerokim zakresie ani zgodnie z prawem ani z procedurami audytowymi. W artykule nie ma linka do oryginalnych raportów, które być może są gdzieś zakopane na rządowych stronach Hiszpanii, więc dalej mogę tylko spekulować. Takie certyfikacje robi się wg metodologii Common Criteria lub ITSEC (kiedyś), do której producent oraz instytucja wnioskująca (agencja rządowa, która chce używać dane pudełko) przynosi urządzenie wraz z jego dokumentacją, firmware itd i mówi np "chcemy tego używać do poziomu ZASTRZEŻONE". Wnioskodawca stawia określone tezy (np. "produkt używa AES-256 zgodnie z wymaganiami dla tego poziomu") a organ certyfikujący to potwierdza lub nie. Kluczowe jest to, że certyfikacja obowiązuje dla KONKRETNEJ wersji firmware na konkretnym urządzeniu i w konkretnej konfiguracji. Jedyne co potwierdza CNI może więc brzmieć tak: "router Huawei model XYZ-123 z firmware Z.456 przyniesiony do testów z kodem źródłowym nie posiada backdoorów". Ale już załadowanie nowej wersji firmware Z.457 lub użycie modelu XYZ-124 zazwyczaj unieważnia certyfikat (to bardziej skomplikowane ale taka jest ogólna zasada), co logiczne bo backdoor może być w aktualizacji. Więc w teorii teza o braku backdooora jest prawdziwa, w praktyce oznaczałoby to, że użytkownik nie może ładować aktualizacji w razie pojawienia się nowych dziur w firmware bez recertyfikacji poprawionej wersji. Dalej robi się jeszcze weselej bo poziomów Common Criteria jest siedem (do EAL7) - im wyższa klauzula informacji tym wyższy poziom certyfikacji. Na najwyższych poziomach ("ściśle tajne" itd) przynajmniej w Polsce obowiązywał kiedyś obowiązek stosowania narodowych algorytmów kryptograficznych, a więc użycie seryjnych urządzeń w ogóle odpadało. W artykule są wspomniane jakieś klauzule ale nie będę nawet próbował ich mapować na polskie czy Common Criteria bez znajomości hiszpańskich przepisów. Podsumowując, to co zrobili Hiszpanie jest bardzo sensowne - nie ma powodu by nie ufać CNI, że wykonali złą pracę w procesie certyfikacji. Oni przede wszystkim zmusili Huawei do przejścia procesu certyfikacji, co wiąże się z dostarczeniem bardzo dużej ilości informacji technicznych i zapewne kodu źródłowego (znowuż, to zależy od EAL)... i to poniekąd od zawsze był cel europejskiej dyrektywy NIS2 - żeby nie kupować kota w worku, tylko zmusić zagranicznych producentów do certyfikacji krytycznych produktów w UE. Równocześnie należy mieć świadomość, że jest to część PR firmy Huawei oraz chińskiego rządu i trzeba jasno postawić granicę tego co ta certyfikacja dowiodła a czego nie. Te certyfikaty oznaczają dosłownie to co jest w nich napisane i ani słowa więcej - czyli jeśli certyfikat poświadcza, że "model XYZ-123 z firmware Z.456 nie ma backdoora" to jest to jedyna jego UDOWODNIONA konkluzja, kropka. W szczególności certyfikaty NIE oznaczają, że wszystkie produkty Huawei są bezpieczne co do zasady, że inne produkty Huawei nie mają backdoorów lub że backdoor nie może się w nich pojawić po zainstalowaniu nowej wersji. Polecam ten detal zwłaszcza wszystkim kolegom i koleżankom, którzy będą musieli zmagać się z elokwentnymi przedstawicielami firm na komisjach sejmowych czy w przetargach ;) Uwaga natury ogólnej - jeśli kogoś interesuje jak się instaluje backdoory w sieciach o naprawdę wysokim poziomie ochrony to proszę poczytać o Tailored Access Operations wykonywanych przez NSA - robiło się to dokładnie tak, że z serii 50 identycznych routerów 49 nie miało backdoora, a jeden miał, bo akurat ten szedł do instalacji tam gdzie trzeba (stąd "tailored"). Na to wszystko są procedury, ale znowu trzeba mieć pełną świadomość tego co dokładnie oznacza dany certyfikat.

No, it implies the existence of a Carthage Institute that must be destroyed.

Nie chcę, żeby ten komentarz skupiał się na mnie ale muszę wyjaśnić kontekst. Otóż we wrześniu 2025 zapieprzałem z 20 kg plecakiem na wyprawie w Czarnogórze, a już listopadzie z głupią miną trzymałem w ręku diagnozę raka jelita z przerzutami do wątroby, którego znalazłem całkowicie przypadkiem robiąc sobie ogólną diagnostykę "na urodziny" w Polsce. Bez żadnych objawów. W grudniu startowałem z chemioterapią FOLFOX w Wielkiej Brytanii gdzie mieszkam na stałe. Cały listopad spędziłem na diagnostyce CT, MRI, DNA itd wymaganej dla dobrania chemii. Styczeń i luty były trudne bo i wątroba i chemia dawały w kość. Rokowanie było "albo parę miesięcy i game over, albo będzie lepiej". W marcu był pierwsze oznaki cofania się przerzutów z wątroby i powrót jej normalnej funkcji. Gdybym dostał diagnozę lub chemię później to skończyłbym jak ten pan z USA. Jadę na chemii do końca maja a potem wchodzi cykliczna diagnostyka itd, ale to bez znaczenia w porównaniu ze styczniem - remisja z wątroby całkowicie zmienia sytuację i rokowania. Całość leczenia finansowana przez NHS, poziom profesjonalizmu lekarzy i pielęgniarek onkologicznych absolutnie najwyższy. Terapia warta zapewne dziesiątki tysięcy funtów, na którą rzecz jasna płacę od lat w podatkach i składkach na NHS ale dostałem ją w miesiąc i w 100% na podstawie wskazań medycznych a nie czy prywatnemu ubezpieczycielowi "się opłaca czy nie". Polecam refleksję na ten temat każdemu, niezależnie od wieku, bo mi się też wydawało, że jestem w szczytowej formie, robiłem wszystkie badania profilaktyczne, nic mi nie dolega, ćwiczę, biegam i uprawiam sporty ekstremalne. Aż nie dostałem nagle tych wyników z wątroby, gdzie wszystko było na czerwono, nie wiadomo skąd i dlaczego - bo bieda może przyjść na człowieka w każdym momencie, po prostu "bo tak się złożyło". Polski NFZ to jedno z największych osiągnięć cywilizacyjnych naszego kraju (bo do Polski ostatecznie wracam) i każda złotówka wpłacona na niego w składkach to inwestycja we własne zdrowie i, dosłownie, życie dla was i dla waszej rodziny. System ma wiele problemów i o nich trzeba debatować, ale nie dajcie sobie nikomu wmówić, że publiczna opieka zdrowotna to "zbędny worek bez dna" bo możecie jej potrzebować już jutro dla siebie, dzieci, rodziców i krewnych, bez żadnego ostrzeżenia czy waszych zaniedbań.

@InfZakladowy Ja grałem! Za komuny! Ale w takie z numerkami.

Polaku! Nie miałeś czegośtam na swojej karcie bingo, bo nigdy nie grałeś w bingo, ani razu nie miałeś w ręku takiej karty. Tylko tyle i aż tyle.

@_alealejandro_0 @suchnerve In English this is a start: books.google.pl/books/about/Sp…

@weirdnik @suchnerve Can you recommend any of these?

“Why don’t autistic people just make socializing their special interest??” So funny story about most Level 1 autistic women,

@radekj @sterlicja Chodziło o awans, dlaczego jak zostajesz X z awansu to dostajesz mniej niż X z rynku -- żeby ci się w dupie nie przewróciło.

@sterlicja @weirdnik Ale co innego podwyżka co roku a co innego zmiana stanowiska, wiadomo

Obserwuję z dumą, jak mój mąż pnie się w pracy (i zupełnie nowej branży dla niego), ale to jeszcze bardziej mi pokazuje, jak bardzo pod względem finansowym byłam niedoceniana w mojej ostatniej pracy w korpo. Czy naprawdę jedynym sposobem na podwyżkę jest zmiana pracy?

X-Y-(Z), third chapter. JS code streaming itself in realtime from the browser to an HP vector display. No pixels, phosphor only. ♫ “Relay” by Gooooose (One of my favorite tracks of 2025, used with permission) Bit-bang magic by @alphonsemucha_

Repeat after me: Your security program is not good enough to have to worry about escalation of privilege on Windows

@radekj @sterlicja To nie miało być co roku.

@sterlicja @weirdnik Ale czemu się spodziewasz podwyżki typu 10% co roku? 5% to aktualnie standard z tego co widzę na rynku.