Comments 284
Стратегия безопасности будущих лет: весь буржнет переходит во Вконтакте и аську (им пофиг, если за ними будет следить ФСБ), а мы — в Скайп и Фейсбук (нам пофиг, если за нами будет следить АНБ).
Тогда АНБ начнет следить за вк и аськой, а ФСБ за скайпом и фейсбуком и замкнутый круг.
«Спецслужбы внедрили, в преступные группировки, столько законспирированных агентов, что большая часть преступных групп теперь состоит только из них»
Согласно этой логике Анонимусы состоят почти сплошь из шпиков, поскольку они — несомненная цель для спецслужб. Следовательно, выполняют заказы. Не противоречит ли это фактам?
Совершенно напротив, в реальном мире оперативные мероприятия по поимке «хакера» заключаются в поисках «казачка», предусмотрительно уличенного в мелком преступлении, после чего отпущенного на свободу с формулировкой: «делай, что и всегда на форуме/IRC канале/etc N, когда твои услуги нам понадобятся — тебе позвонят». Этот факт подтверждается перманентными успехами в раскрытии, кардерских, и не только, групп, а вот с одиночками значительно тише.
Это не совсем то, что Вы утверждали.
Согласно Вашей цитате в группировке (а Анонимусы — группировка), одни агенты. Зачем там кого-то ловить?
А вот для выполнения заказов такая группировка вполне годится.
Согласно Вашей цитате в группировке (а Анонимусы — группировка), одни агенты. Зачем там кого-то ловить?
А вот для выполнения заказов такая группировка вполне годится.
Вполне возможно их особо-то и не ловят, то что какой-нибудь Адоб/МС/кто-то еще потерял несколько сот лямов из-за пиратства шерифа АНБ может не особо и волновать, лишь бы эти анонимусы/лулзы не лезли в более другие места.
Так и пару есть куда выйти, и пар этот под контролем. Ну и накрывать их потом проще, когда уж совсем распоясаются.
Теория, само собой.
Так и пару есть куда выйти, и пар этот под контролем. Ну и накрывать их потом проще, когда уж совсем распоясаются.
Теория, само собой.
LulzSec-то вроде развалился только потому, что среди них был один из агентов ФБР.
Довольно распространена версия, что они их и создали.
Bad news, everyone! CIA!
www.youtube.com/watch?v=Hlip7jZX9m0
www.youtube.com/watch?v=Hlip7jZX9m0
Как раз Skype и Facebook небезопасны даже больше, потому что нет гарантий, что ФСБ не следит за ними прямо сейчас. Думаете, Цукерберг просто так к нам приезжал, поагитировать программистов уехать к нему работать? Думаю, за 2 дня российские спецслужбы обо всём с ним договорились и теперь FB находится на том же уровне, что и VK.
Про Skype ещё проще — Microsoft давно сотрудничает со спецслужбами РФ и раскрытие методов шифрования в Skype уж точно не должно стать исключением.
Мораль всего, что рассказал Сноуден, проста — не доверяй массовым бесплатным сервисам. На поддержание их работы требуются огромные затраты, и если не видите явных способов монетизации — значит, как минимум, они торгуют вашей информацией. Или предоставляют удобные сервисы по идентификации человека — FB уже сейчас внедряет систему поиска лиц людей среди всех загруженных фотографий и угадайте, кому эта система больше всего может пригодиться.
Ну и как общий итог — правительство должно быть под контролем граждан, иначе оно неизбежно начнет делать такие гадости, не жалея ничьей приватности.
Про Skype ещё проще — Microsoft давно сотрудничает со спецслужбами РФ и раскрытие методов шифрования в Skype уж точно не должно стать исключением.
Мораль всего, что рассказал Сноуден, проста — не доверяй массовым бесплатным сервисам. На поддержание их работы требуются огромные затраты, и если не видите явных способов монетизации — значит, как минимум, они торгуют вашей информацией. Или предоставляют удобные сервисы по идентификации человека — FB уже сейчас внедряет систему поиска лиц людей среди всех загруженных фотографий и угадайте, кому эта система больше всего может пригодиться.
Ну и как общий итог — правительство должно быть под контролем граждан, иначе оно неизбежно начнет делать такие гадости, не жалея ничьей приватности.
У тебя есть время ходить и контролировать правительство? У меня нет. И желания нет. И далеко от Новосибирска до правительства. И что делать?
Но с другой стороны дядечка Брюс Шнаер написал, и это кажется логичным, что не стоит доверять проприетарным системам и опен сорс лучше гарантирует то, что в коде не будет бэкдоров. Хотя бы потому, что их легко увидеть.
В итоге получается — платные опенс сорсные сервисы. Что у нас есть такого?
В итоге получается — платные опенс сорсные сервисы. Что у нас есть такого?
UFO just landed and posted this here
Шифрование на клиентской, очевидно же. Пусть тырят скока влезет
А аппаратные закладки, о которых упоминалось в статье? Понятно, что это уже из разряда конспирологии, но Intel — американская компания, что мешает АНБ надавить на них и заставить встроить в свои CPU закладки? Тем более что в процессорных архитектурах уже есть специальные команды для ускорения того же AES, соответственно, в будущем, когда софт будет активнее их использовать, закладка может срабатывать при попытке вызова этой команды и неким образом информировать спецслужбы о параметрах шифрования.
Позволю себе оставить здесь ссылку на эту статью: www.xakep.ru/post/58104/
Да, статья зачётная. Но насколько всё описанное в статье реально соответствует действительности — до конца не понятно.
В каментах к статье есть ссылка на блог автора, (Игорь Коркин (очевидно псевдоним) обнаружевшего это зловред.
Мне одному кажется или Джефф Дин действительно нервно пишет макросы под Excel в сторонке?
Мне одному кажется или Джефф Дин действительно нервно пишет макросы под Excel в сторонке?
Цитата из статьи:
Всё что я смог найти по этому поводу — это постановление Правительства РФ от 29 декабря 2007 г. N 957 (его обзор на Гаранте), в котором говорится, что требуется лицензировать определённые криптографические средства с ключом более определённой длины. Согласно этому постановлению, максимально допустимая длина ключа, при которой не требуется лицензирование — 56 бит, а в предшествующей версии постановления было 40.
Действие статьи происходит в 2007-м, так что, предположительно, автор имел в виду ещё старое постановление. Но при любом раскладе ни о каком запрете речи не шло.
В этом контексте интересно услышать мнение юристов: то что сейчас в домашних условиях доступны без всяких лицензий алгоритмы из той же библиотеки OpenSSL, в которых ключи могут быть куда длиннее — это нарушение закона, или же есть какая-то хитрость, позволяющая для личного и коммерческого использования прибегать к помощи таких библиотек и не заморачиваться с лицензиями?
Применение иностранных криптографических средств с длиной ключа более 40 бит запрещено на территории России законодательно <...>
Всё что я смог найти по этому поводу — это постановление Правительства РФ от 29 декабря 2007 г. N 957 (его обзор на Гаранте), в котором говорится, что требуется лицензировать определённые криптографические средства с ключом более определённой длины. Согласно этому постановлению, максимально допустимая длина ключа, при которой не требуется лицензирование — 56 бит, а в предшествующей версии постановления было 40.
Действие статьи происходит в 2007-м, так что, предположительно, автор имел в виду ещё старое постановление. Но при любом раскладе ни о каком запрете речи не шло.
В этом контексте интересно услышать мнение юристов: то что сейчас в домашних условиях доступны без всяких лицензий алгоритмы из той же библиотеки OpenSSL, в которых ключи могут быть куда длиннее — это нарушение закона, или же есть какая-то хитрость, позволяющая для личного и коммерческого использования прибегать к помощи таких библиотек и не заморачиваться с лицензиями?
Не являюсь юристом, но сошлюсь на законодательную базу. См. постановление Правительства №313 от 16 апреля 2012.
Пункт 1:
Есть следующий момент:
Думаю, что openssl прекрасно подходит под этот пункт. Как, например, стандартные реализации SSL/TLS.
Также в приложении к постановлению есть список работ/услуг для которых необходимо лицензирование.
base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=128739
Пункт 1:
1. Утвердить прилагаемое Положение о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).
Есть следующий момент:
3. Настоящее Положение не распространяется на деятельность с использованием:
…
г) шифровальных (криптографических) средств, являющихся компонентами программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной;
....
Думаю, что openssl прекрасно подходит под этот пункт. Как, например, стандартные реализации SSL/TLS.
Также в приложении к постановлению есть список работ/услуг для которых необходимо лицензирование.
base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=128739
Как антивирус не может гарантировать 100% защиту компьютера, а только (очень) усложнить жизнь хакерам; так теперь и средства шифрования не могут гарантировать полную приватность передаваемых данных, только усложняют жизнь АНБ, ФСБ и другим спец. службам по получению инфы о нас.
Но опять же, вряд ли все они следят за каждым моим твитом в режиме реального времени.
Но опять же, вряд ли все они следят за каждым моим твитом в режиме реального времени.
Я бы поостерёгся на счёт заявлений о том, что опен сорс гарантирует отсутствие бэкдоров. Вы готовы проверить код OpenSSL, что в ГСПЧ или запчастях для криптоалгоритмов нет искусственного снижения стойкости? Гугл на запрос PRNG vulnerability даёт много ссылок.
Я бы поостерёгся на счёт заявлений о том, что опен сорс гарантирует отсутствие бэкдоров.
Ничто не гарантирует Вам отсутствие бэкдоров. Опенсурс только сильно снижает вероятность их наличия.
Есть опубликованная информация о бэкдурах в OpenBSD и вышедших оттуда продуктах, известны имена разработчиков, которые получали деньги за это от ФБР задолго до призм. Даже если вы знаете точно marc.info/?l=openbsd-tech&m=129236621626462&w=2 что кто-то рылся например в openssh, то все равно не так много людей способны порыться там в алгоритмической части и найти закладки.
Очень интересная переписка.
Нету информации о бэкдорах. Кто-то пишет, что типа закладывал их когда-то давно, но без конкретики. Конкретика так и какие-либо подтверждения так и не были опубликованы. Что крайне странно, так как после опубликование этой переписки, очевидно, что все специалисты на перегонки бросились лопатить этот код. И ничего. Многие разработчики на это высказывались, что даже, если что-то тогда и было, то код с тех пор настолько изменился, что все закладки ушли сами собой. На данный момент более всего похоже на вброс с целью дискредитации открытого ПО.
Снижает за счёт того, что в код можно посмотреть? Так людей, способных в этом коде увидеть проблему, сотни на весь мир, и при этом чаще всего это не программисты, а математики. Абсолютное большинство пользователей (в том числе разработчики) опен-сорс продуктов по-умолчанию считают, что OpenSSL надёжный и не содержит закладок. Можно тут на хабре опрос провести, сколько человек в код смотрели, а сколько используют, но результат предсказуем, мы оба его знаем. Те, кто не доверяет, обычно пишут свои криптовелосипеды, а уж там наверняка дыра на дыре, т.к., опять же, специалистов в области криптографии совсем мало.
Не только. Еще и за счет наличия независимых совместимых реализаций (Брюс Шнайер об этом писал). Например, в OpenSSL можно заложить только такую закладку, которая не ломает совместимости с YaSSL/CyaSSL, GNUTLS, NSS, и множеством других.
Конечно, это вполне возможно (придумать такую закладку), даже и несложно, пожалуй. Но все-таки сильно ограничивает количество вариантов, и мест, где ее потом будут искать.
Конечно, это вполне возможно (придумать такую закладку), даже и несложно, пожалуй. Но все-таки сильно ограничивает количество вариантов, и мест, где ее потом будут искать.
Так не обязательно реализацию портить. Если испортить ГПСЧ, то всё будет отлично совместимым, но при этом стойкость может упасть на много порядков.
Естественно. Это я и имел в виду, говоря, что закладку придумать несложно. Но все-таки, следить за исходниками ГПСЧ гораздо проще, чем вообще за всей математикой в OpenSSL. И проще отловить закладку.
Бывают сложные ГПСЧ. Например, такие
А ведь в случаем необходимости, можно вместо ГПСЧ использовать свою заранее просчитанную последовательность псведо случайных чисел. Например посчитать алгоритмом Вихря Мерсенна последовательность для 48 числа Мерсенна. Период такой последовательности будет равен 2^(57885161)-1 и скорей всего атаку на ГПСЧ совершить тут не получится.
>Так людей, способных в этом коде увидеть проблему, сотни на весь мир
Ну так и прекрасно. Достаточно одному из ста увидеть и не промолчать, и о бэкдоре узнает весь мир. Вероятность же того, что бэкдор будет найден в закрытом продукте — несравнимо ниже.
Ну так и прекрасно. Достаточно одному из ста увидеть и не промолчать, и о бэкдоре узнает весь мир. Вероятность же того, что бэкдор будет найден в закрытом продукте — несравнимо ниже.
www.opennet.ru/opennews/art.shtml?num=33188
Компания Coverity, развивающая инструментарий для автоматического анализа кода на предмет наличия проблем безопасности и ошибок представила очередной ежегодный
отчёт (PDF, 550 Кб) с результатами изучения 37 млн строк кода из 45 наиболее активно разрабатываемых открытых проектов и 300 млн строк кода из 41 анонимного проприетарного продукта. В среднем, в открытых проектах было выявлено 0.45 дефектов на 1000 строк кода, для проприетарных продуктов данный показатель составляет 0.64, при этом средний показатель качества для всей индустрии разработки ПО составляет 1 ошибка на 1000 строк кода.
Компания Coverity, развивающая инструментарий для автоматического анализа кода на предмет наличия проблем безопасности и ошибок представила очередной ежегодный
отчёт (PDF, 550 Кб) с результатами изучения 37 млн строк кода из 45 наиболее активно разрабатываемых открытых проектов и 300 млн строк кода из 41 анонимного проприетарного продукта. В среднем, в открытых проектах было выявлено 0.45 дефектов на 1000 строк кода, для проприетарных продуктов данный показатель составляет 0.64, при этом средний показатель качества для всей индустрии разработки ПО составляет 1 ошибка на 1000 строк кода.
К чему это? Coverity не проверяет правильность алгоритма, только правильность кода.
Забавно будет, если криворукие АНБ-шники напишут закладку с ошибками, она привлечёт внимание статического анализатора и человек, вычищающий предупреждения, её заметит.
Статический анализ ищет более низкоуровневые проблемы. т.е. если АНБ будет встраивать buffer overflow — это заметят. Если будут встраивать предсказуемый ГПСЧ — проблема будет лежать на несколько уровней абстракции кода выше, и проверяющий найденную ошибку с большой вероятностью не сможет в этот момент оценить весь код целиком.
Ну вообще я про гарантию ничего не говорил. Просто вероятность меньше
Думаю, за 2 дня российские спецслужбы обо всём с ним договорились
Всегда было интересно, как люди себе это представляют?
Допустим, ФСБ решило встроить закладку в Фэйсбук.
Если они договорятся с Цукербергом, он же не будет встраивать закладку лично. Он поручит это менеджеру, тот — нижестоящему менеджеру, а уже тот — программисту. Это опасно — слишком много осведомлённых людей в цепочке. Любой из них может отказаться (по идеологическим причинам, или из желания стать новым Сноуденом, и т.д.) и/или слить информацию в СМИ. Будет большой скандал, последствия для FB печальны.
Закладку, в конце концов, может найти тестировщик, и, ничего не подозревая, опубликовать её в корпоративном багтрекере. Значит, тестировщика тоже надо ввести в курс дела — чтобы этого не случилось. А это, опять же, лишние уши.
Гораздо эффективнее договориваться о таких вещах не на уровне высшего руководства, а непосредственно с программистами (на худой конец, с менеджерами низшего звена).
Я себе это представляю так: программистам сообщается что разрабатывается, например, новый движок по оптимизации рекламы и этому движку для работы нужен доступ ко всем данным. Разрабатывается протокол передачи данных, он отправляется разработчикам для реальной разработки движка, копия — в ФСБ. Когда все готово администраторам говорят установить движок там-то и там-то. Другим администраторам говорится что надо соединить «вон те» сервера с «этими». Среди «тех» случайно оказывается сервер ФСБ который проводит работу по «оптимизации». В итоге реальную цель в FB может очень мало людей (вплоть до одного).
Я работал в одной компании, где внедрялся СОРМ в функионал сервиса электронной почты, предоставляемого компанией. В случаях, когда требовалось вмешательство программиста, использовались специально доверенные и лояльные компании программисты, которых было всего двое из довольно большого штата, а задачи при этом отдавались непосредственно техническим директором компании. Сам код лежал в отдельном репозитории на отдельном сервере, которым так же рулил технический директор лично, а внедрялся на уровне дистрибутивов устанавливаемой на сервера ОС отдельно от обычных релизов системы и никак с ними связан не был.
Даже если с территории США пользоваться VK, у АНБ есть две вещи: ваш трафик и SSL private key чтобы расшифровать его.
Им даже не нужен доступ к БД VK.
Им даже не нужен доступ к БД VK.
А откуда, Вы говорите, у АНБ есть «SSL private key»? Если его нет даже у конторы, выдающей SSL сертификат? И вообще он с сервера никогда не уходит?
Да, там не было сказано, что они могут. Сказано, что они пытаются и умеют с ключом.
У многих CA есть «удобная панель генерации сертификатов». И приватные ключи там хранятся, а значит и в базе NSA уже.
Еще раз. Приватные ключи сервер, на котором они используются, НЕ ПОКИДАЮТ. В CA передаются certificate signing request, а хранятся там сертификаты, которые вообще-то являются не приватной информацией.
Да никому не нужен ваш секретный ключ. У АНБ есть доступ к ключам CA, соответственно они могут подписать свой сертификат для любого домена и провертеть mitm.
Спасибо я знаю как делается mitm. Я отвечал на конкретный коммент. 1000 и один недостаток идеи пользоваться VK американцам, как и общий недостаток идеи «пользоваться VK» я не рассматриваю в контексте данной ветки комментов.
От подмены ключа существует довольно простая защита — проверка по отпечатку. Правда это не защита «по умолчанию».
«Удобная панель» StartSSL генерирует всё на сервере. Если полениться и воспользоваться ей, то у них будет и секретный ключ.
В реальном ленивом мире приватные ключи лежат на сайте CA. Можно и CSR посылать, конечно, но далеко не все таким озабочены.
Приведите, пример CA, пожалуйста, которому нужно заливать private key И заодно хоть одну мысль на предмет того зачем посылать private key в CA. Это же даже разные файлы.
Любой. В панели генерации сертификата вы можете либо залить CSR, либо сгенерить ПРИВАТНЫЙ ключ прямо в панели, а потом его скачать. Многие говорят, что после скачивания приватный ключ удаляется, но вот стоит ли им верить?
Да? Как все запущенно. cacert меня развратил.
Верить конечно же нельзя. В корпоративном мире, если кто-то может угнать Ваши данные, сделает это, так как данные стоят денег.
Верить конечно же нельзя. В корпоративном мире, если кто-то может угнать Ваши данные, сделает это, так как данные стоят денег.
CAcert тоже генерирует приватный ключ, CSR и сертификат (правда, для S/MIME) на себе и потом отдает одним pem'ом.
Не знаю за S/MIME. Я использую и изначально речь шла про SSL сертификаты.
То, что у них называется client certificate (и используется, например, для логина) по умолчанию генерится на сервере. А потом pem с приватным ключом и сертификатом отдается браузеру.
Отлично. То есть ужасно. То есть пофигу, к теме не относится, так как изначально тут habrahabr.ru/post/192722/?reply_to=6696012#comment_6693876 речь шла про serverside ssl сертификат. В любом случае, насколько я понял, все предоставляют возможность использовать csr. Так что те, кто ею не пользуются ССЗБ.
У нормальных контор, которыми пользуются большинство — типа godaddy, есть лишь поле для вставки CSR и они в принципе не могут получить ваш ключ.
Как раз GoDaddy, если мне не изменяет память, ловили на том, что он выписал левый серт на google.com. Нафиг им ваш закрытый ключ, если они могут сделать свой для нужного кому-то сервера? :)
Не GoDaddy, а DigiNotar, который после инцидента прекратил деятельность.
The Register: Fraudulent Google credential found in the wild
The Register: Fraudulent Google credential found in the wild
Зато есть открытые ключи и текст до шифрования. Некоторое время работы вычислительного кластера и закрытый ключ у них в папочке. У них ЕСТЬ на это ресурсы! Очень часто менять закрытый ключ не рационально, но с другой стороны нет уверенности что его на данный момент не взломали.
И это самый наихудший вариант для спецслужб, ведь иногда применяются более простые методы — например криптоанализ при помощи паяльника…
И это самый наихудший вариант для спецслужб, ведь иногда применяются более простые методы — например криптоанализ при помощи паяльника…
UFO just landed and posted this here
Извините за плебейский юмор в столь серьезной теме, но вспомнился анекдот в тему:
Американцы много лет готовили резидента для работы в СССР. Его легенда была разработана блестяще. Наконец, его забросили с самолета на советскую территорию, и он вышел из лесу, одетый в ватник и кепку. Зайдя во двор избы, он попросил у бабки напиться.
— А ты, милок, не шпион ли будешь?
— С чего ты взяла, бабка?
— Да мы в наших краях негров отродясь не видали!
UFO just landed and posted this here
ёпт. И что? У нас в каждом прове такой covert agent сидит. Товарищ СОРМ называется. Шифруйтесь на концах ключами от 4096 бит и будет Вам счастье.
UFO just landed and posted this here
А разница в данном случае какая?
Ну, например на многих хостингах админы или даже техники могут без проблем получить приватные ключи https-сайтов, которые хостятся у этого провайдера. Даже если это дедики — долго ли перегрузить линух с init=/bin/sh, скопировать ключик и перегрузится? А если клиент эту перезагрузку и заметит, всегда можно сказать про сбой питания или вообще списать на глюк ОС или железа самого дедика.
init=/bin/sh не поможет в случае какого-нибудь трукрипта, например
И у многих веб-сайтов на сервере винты зашифрованы? Я о таких даже не слышал.
UFO just landed and posted this here
pirate-party.ru/ (я бы дал на pirate-party.ru/ но у меня там ключ подписан «своим» CA, так что ВАШ браузер скорее всего будет ругаться (если не установить pirate-party.ru/ca.crt) :)
Ну и пучок других сайтов-соседей :)
Ну и пучок других сайтов-соседей :)
Уже обсуждалось на хабре. LUKS на раздел с приватными ключами Вам в помощь. Хотя и на это есть ответ. Хотя и на ответ есть свой ответ. Но в итоге мы приходим к тому, что хоститься надо дома под кроватью, при этом доступ только через i2p.
А если серьезно, то все зависит от уровня палевности информации и требуемой ее доступности.
А если серьезно, то все зависит от уровня палевности информации и требуемой ее доступности.
от греха подальше, думаю, можно совместить (именно совместить, а не заменить, как предлагает АНБ) с ec-криптографией :)
ваш трафик и SSL private key
SSL private key и зашифрованного трафика недостаточно, чтобы узнать открытый трафик (точнее, открытый текст). Дело в том, что приватный ключ в SSL используется не для шифрования, а для проверки подлинности сервера (и клиента, если используются клиентские сертификаты, как в WebMoney). А для установления зашифрованного соединения используется алгоритм Диффи — Хеллмана. Следовательно, для расшифровки перехваченной информации нужно атаковать именно его, а не алгоритм RSA.
Получается, что при использовании SSL остаются опасности только в виде MITM, которую невозможно скрытно проводить глобально, и баги/закладки, число которых должно только уменьшаться ввиду открутости исходного кода и сообщества, проверяющего изменения кода.
Вы никогда не пробовали в Wireshark импортировать приватный ключ, который использовался одной из сторон SSL обмена? Я пробовал. HTTPS превращается в HTTP.
Пруф
Пруф
Каюсь, что сказал, не имея достаточно знаний. Я был настроен слишком оптимистично. Если кого-то ввёл в заблуждение, прошу прощения.
Для меня новость, что в SSL шифрование может полностью держаться на приватном ключе сервера (то есть, что в SSL может не быть совершенной прямой секретности). Если я правильно понял, по умолчанию алгоритм Диффи — Хеллмана (для выбора сеансового ключа) не используется в HTTPS. Также не все варианты VPN обладают совершенной прямой секретностью. SSH обладает свойством совершенной прямой секретности.
Печально, что не все эти протоколы обладают свойством совершенной прямой секретности. По-моему, было бы здорово, если бы был одобренный браузерами вариант HTTPS, в котором есть только обмен ключами, но нет приватного ключа сервера. С одной стороны, такой вариант уязвим к MITM-атакам, зато не нужно было бы платить за сертификат. Мне кажется, с точки зрения клиента, HTTPS с приватным ключом сервера, но без совершенной прямой секретности не лучше, чем наоборот. Думаю, что компрометация приватного ключа сервера в будущем более вероятна, чем MITM в настоящем или компрометация сеансового ключа.
Радует, что гугл использует HTTPS с совершенной прямой секретностью. Ещё подобный вариант я нашел только на GitHub.
Для меня новость, что в SSL шифрование может полностью держаться на приватном ключе сервера (то есть, что в SSL может не быть совершенной прямой секретности). Если я правильно понял, по умолчанию алгоритм Диффи — Хеллмана (для выбора сеансового ключа) не используется в HTTPS. Также не все варианты VPN обладают совершенной прямой секретностью. SSH обладает свойством совершенной прямой секретности.
Печально, что не все эти протоколы обладают свойством совершенной прямой секретности. По-моему, было бы здорово, если бы был одобренный браузерами вариант HTTPS, в котором есть только обмен ключами, но нет приватного ключа сервера. С одной стороны, такой вариант уязвим к MITM-атакам, зато не нужно было бы платить за сертификат. Мне кажется, с точки зрения клиента, HTTPS с приватным ключом сервера, но без совершенной прямой секретности не лучше, чем наоборот. Думаю, что компрометация приватного ключа сервера в будущем более вероятна, чем MITM в настоящем или компрометация сеансового ключа.
Радует, что гугл использует HTTPS с совершенной прямой секретностью. Ещё подобный вариант я нашел только на GitHub.
Зависит от того, какое распределение ключей используется. Например ECDHE и DHE обеспечивают perfect forward secrecy.
Алгоритм Диффи — Хеллмана (DHE, ECDHE) в большинстве случаев не используется, см news.netcraft.com/archives/2013/06/25/ssl-intercepted-today-decrypted-tomorrow.html
Кратко — По подсчетам netcraft от лета 2013 года — 97-99 % https-сайтов не используют Диффи-Хеллмана при соединении с IE или Safari; и 66% сайтов для Chrome, Opera и Firefox. IIS использует DH в 0.5% соединений; среди сайтов, участвующих в PRISM и нескольких популярных порталов, только google и cloudflare применяют ECDHE. Есть кстати экспресс-проверка www.ssllabs.com/ssltest/index.html которая сообщает режим работы (флаги «FS» и «no FS») для большинства комбинаций браузер/ОС.
Закладки нужно искать не только в софте (серверном), но и в ускорителях и терминаторах SSL (кстати, интересно, насколько широко они нынче используются наиболее популярными сайтами, к примеру wikipedia работает через nginx в качестве ssl termination proxy).
Если используется SSL без Perfect forward secrecy, то основной вопрос в приватном ключе. Если есть Perfect forward secrecy, то реализация с закладкой должна сохранять и/или пересылать третьей стороне сеансовые ключи (о чем напоминает ssllabs.com в своем блоге: «It's also sometimes called perfect forward secrecy, but, because it is possible to decrypt the communication by breaking the session keys, it's clearly not perfect.»).
Кратко — По подсчетам netcraft от лета 2013 года — 97-99 % https-сайтов не используют Диффи-Хеллмана при соединении с IE или Safari; и 66% сайтов для Chrome, Opera и Firefox. IIS использует DH в 0.5% соединений; среди сайтов, участвующих в PRISM и нескольких популярных порталов, только google и cloudflare применяют ECDHE. Есть кстати экспресс-проверка www.ssllabs.com/ssltest/index.html которая сообщает режим работы (флаги «FS» и «no FS») для большинства комбинаций браузер/ОС.
Закладки нужно искать не только в софте (серверном), но и в ускорителях и терминаторах SSL (кстати, интересно, насколько широко они нынче используются наиболее популярными сайтами, к примеру wikipedia работает через nginx в качестве ssl termination proxy).
Если используется SSL без Perfect forward secrecy, то основной вопрос в приватном ключе. Если есть Perfect forward secrecy, то реализация с закладкой должна сохранять и/или пересылать третьей стороне сеансовые ключи (о чем напоминает ssllabs.com в своем блоге: «It's also sometimes called perfect forward secrecy, but, because it is possible to decrypt the communication by breaking the session keys, it's clearly not perfect.»).
Не боитесь спровоцировать войну ашкеназов с сефардами?
Опять нелогично: зачем ломать google, hotmail и fb если они на крючке и согласны работать?
Они и не ломают, а только пишут об этом. Чтобы те кто еще не на крючке не волновались.
Все логично: если поверх (hot|g)mail вы используете средства шифрования(даже опенсорс, не говоря о проприетарных), то вероятно, что в них уже есть закладки на случай, если вы захотите угнать самолет и врезаться на нем в небоскреб
Пример возможности таких бэкдоров:
bugs.debian.org/cgi-bin/bugreport.cgi?bug=527640
безобидное github.com/OpenSC/OpenSC/commit/5b5a7d3c58fc0ac85c3b33dcf4148eb57a6c0aff
bugs.debian.org/cgi-bin/bugreport.cgi?bug=527640
безобидное github.com/OpenSC/OpenSC/commit/5b5a7d3c58fc0ac85c3b33dcf4148eb57a6c0aff
Красивое внедрение в https://github.com/OpenSC/OpenSC/commit/5b5a7d3c58fc0ac85c3b33dcf4148eb57a6c0aff. Может и неумышленное.
Последняя строчка эквивалентна экспоненте 1. Со всеми вытекающими.
И не посмотрев внимательно даже не сообразишь, что именно произошло. Хотя warning от компилятора должен быть.
- CK_BYTE publicExponent[] = { 3 };
+ CK_BYTE publicExponent[] = { 65537 };
Последняя строчка эквивалентна экспоненте 1. Со всеми вытекающими.
И не посмотрев внимательно даже не сообразишь, что именно произошло. Хотя warning от компилятора должен быть.
Ничего себе. Как так вообще может быть? Не очень просто неумышненно сделать такое.
Хотя с другой стороны, если целью было убить алгоритм втихаря, проще было бы оставить модуль 768, а базу сделать чем-то в роде 10573.
CK_BYTE publicExponent[] = { 0x01, 0x00, 0x01 }; /* 65537 in bytes */Хотя с другой стороны, если целью было убить алгоритм втихаря, проще было бы оставить модуль 768, а базу сделать чем-то в роде 10573.
CK_BYTE определён как unsigned char. Значит, подошло бы любое простое число, дающее при делении на 256 в остатке 1. Чтобы сложнее было найти закладку, изменили ещё один параметр. Часть проверяющих коммит увидит, что битность увеличена, и подсознательно будет считать изменения соответствующими заголовку коммита «Upgrade to safe and sane values of late 2008».
пффф, конечно, и не закладки\0дэй там какие-нибудь и прочее, а нормальный интерфейс с хорошим суппортом. Сотрудничество на официальном уровне с государством. норм бизнес группы(подразделения компании) есть, которые работают, так сказать предоставляют полный сервис за $ (разумеется в определенных рамках). все цивильно. после норд-оста у нас всю сотовую разблокировали и норм. а в 2010 фсб выродила нотификацию на обязательное сертифицирование криптоустройств. есть криптоустройство — стоишь в списке. если есть и не стоишь — сядешь.
все официально все спокойно. закон против терроризма вообще апогей — официально без суда и следствия можно применять любые меры, достаточно лишь подозрений в терроризме. а какие-то уебаны орут, что чиновники с мигалками на дороге охерели — пи#$ц — ложь пиз#$еж и промо акция и быдло стадами пасется.
все официально все спокойно. закон против терроризма вообще апогей — официально без суда и следствия можно применять любые меры, достаточно лишь подозрений в терроризме. а какие-то уебаны орут, что чиновники с мигалками на дороге охерели — пи#$ц — ложь пиз#$еж и промо акция и быдло стадами пасется.
А я то думал, чего это звук в скайпе постоянно с задержками идет! А оно то оказалось!
А разве Сноуден не пообещал больше не выкладывать компромат, пока заперт в России? Или это раннее переданные документы, только сейчас опубликованные?
Он, кажется, обещал не работать против наших партнеров (США). Это условия для его проживания в России и политического убежища.
Это он перед тем как в бега податься зарядил по крону публикацию свежатинки раз в месяц.
Мне кажется, что Сноуден это уже бренд, под которым сливают информацию, которую раньше нельзя было выдавать, чтобы не засветить источник.
Джон Нэш возвращается…
Интересно, информация о сотрудничестве АНБ с ИТ компаниями приведёт наконец к прикрытию Сколково и передачу денег отечественным учёным и промышленности? Или Путину как бывшему разведчику (интересно чьему и бывшему ли) интересней сливать российскую науку?
UFO just landed and posted this here
1) Hide in the network. (TOR etc.)
2) Encrypt your communications. (TLS, IPSec, ...)
3) Assume that while your computer can be compromised, it would take work and risk on the part of the NSA – so it probably isn't.
4) Be suspicious of commercial encryption software, especially from large vendors.
5) Try to use public-domain encryption that has to be compatible with other implementations.
2) Encrypt your communications. (TLS, IPSec, ...)
3) Assume that while your computer can be compromised, it would take work and risk on the part of the NSA – so it probably isn't.
4) Be suspicious of commercial encryption software, especially from large vendors.
5) Try to use public-domain encryption that has to be compatible with other implementations.
А еще он рассказал, что у него есть компьютер, который ни разу не выходил в Интернет. И это супербезопасно. Мне очень понравилось в конце
Trust the math. Encryption is your friend. Use it well, and do your best to ensure that nothing can compromise it. That's how you can remain secure even in the face of the NSA.
Trust the math. Encryption is your friend. Use it well, and do your best to ensure that nothing can compromise it. That's how you can remain secure even in the face of the NSA.
Trust the math
Достаточно почитать статьи на тему «плохих» эллиптических кривых, после них приходит понимание, что даже математике доверять нельзя. Потому что сегодня твоя кривая ещё «хорошая», а завтра уже «плохая». Более того, если эту уязвимость найдёт АНБ, то вы о ней и не узнаете, и будете наивно пользоваться своей «хорошей» кривой, ничего не подозревая. И что самое интересное, про RSA я не встречал описания подобных уязвимостей, и это подозрительно.
Выше в топике был пример плохой реализации RSA: habrahabr.ru/post/192722/#comment_6693842
Это техническая ошибка, а не математическая. Техническую ошибку позже можно устранить, а с математической уже ничего не сделать. Да и в вашем случае код скорее всего просто не будет работать правильно.
В комментарии на который я ссылаюсь есть ссылка, где описывается, как и в каких случаях эта конкретная уязвимость работала. Ключом с e=1 можно шифровать. Только после этого даже расшифровывать не нужно.
В стандарте прописано, что экспонента > 1. И рекомендуется, чтобы экспонента содержала малое количество 1 в двоичном представлении (чтобы быстрее возводить в степень).
В стандарте прописано, что экспонента > 1. И рекомендуется, чтобы экспонента содержала малое количество 1 в двоичном представлении (чтобы быстрее возводить в степень).
Более того, кто сказал что кривые от SECG хорошие для нас, а не для кого — то ещё за компанию?
Это способы, чтобы попасть в шорт-лист подозреваемых?
вот вот, об этом же подумал, когда читал его.
Если Вы ничего противозаконного не делаете — вреда от попадания в шорт-лист для Вас не будет. Если делаете — попадание в шорт-лист Вас будет волновать меньше, чем передача данных в открытую. Ну и главное — чем меньше обычные люди боятся попасть в шорт-лист и чем больше они используют эти технологии, тем меньше смысла будет вести этот шорт-лист, ибо он будет уже далеко не шорт.
Ещё он упоминает о своей программе для хранения паролей, при этом сорцы лежал на sourceforge, подписанные не Шнайером, а вообще непонятно кем.
Теперь выясняется, что и TOR не так уж безопасен. Статья, в которой исследователи рассказывают, что большинство крипто ключей в сети Tor могут быть взломаны NSA
Сноуден — красавчик! :)
Осень наступила. Новости о Сноудене все желтее и очевиднее. Кто-то когда-то сомневался, что одна из целей работы любой спец. службы является обход способов шифрование доступных подконтрольным элементам? Что-то реально изменилось после выкладывания этих документов?
Разве раньше не говорили: используйте линукс, шифруйте трафик открытыми программами и не пользуйтесь социалками?
Или покажаренный петух в жоне будет псевдоофициальной информации мы никому не верим, что повсюду враги? Зато как нам покажут ОЧЕНЬ-ВАЖНУЮ-ТОПСИКРЕТ-БУМАГУ, у всех сразу +10 к паранойе?
Разве раньше не говорили: используйте линукс, шифруйте трафик открытыми программами и не пользуйтесь социалками?
Или пока
«пока гром не грянет, мужик не перекрестится»
известная русская поговорка
известная русская поговорка
Одно дело знать, что в машине нужно пристегиваться, а другое дело увидеть, что бывает, когда это не делаешь.
UFO just landed and posted this here
В том то и лажа что у большинства не хватает мозгов пристегиваться, потому что не хватает мозгов подумать о возможных последствиях.
Как и водители алкоголики, ответственности ноль, что за свою жизнь что за чужую. Получается, что те, кто не пристегивается так же полоумен как и пьяный водитель?
Судя по лайкам
+23 kozzztik, 6 сентября 2013 в 11:18 #
большинство считает что для того чтобы начать пристегиваться нужно насмотреться аварий и развороченных тел?
Ау, вы чего?
kozzztik — ну надо же думать прежде чем такое писать)) или ты действительно считаешь, что одно дело знать, а другое увидеть?
Разве это не одно и то же для разумного человека?
Как и водители алкоголики, ответственности ноль, что за свою жизнь что за чужую. Получается, что те, кто не пристегивается так же полоумен как и пьяный водитель?
Судя по лайкам
+23 kozzztik, 6 сентября 2013 в 11:18 #
большинство считает что для того чтобы начать пристегиваться нужно насмотреться аварий и развороченных тел?
Ау, вы чего?
kozzztik — ну надо же думать прежде чем такое писать)) или ты действительно считаешь, что одно дело знать, а другое увидеть?
Разве это не одно и то же для разумного человека?
Для любого вменяемого человека, у которого есть нормальный инстинкт самосохранения — это не одно и тоже. Понимание динамики и механики, цифры, расчеты — это все прекрасно и замечательно понятно. Но вид разорванного на две части тела в луже крови на асфальте впечатляет несколько больше чем расчеты. Впрочем, не знаю — может кого-то от расчетов тошнит также, как от вида трупа?
Как раз для вменяемого человека, увидеть и знать это одно и тоже.
ПОтому как понимая — осознавая что либо, можно очень явно это представить и увидеть в воображении, и для этого разумному человеку не нужен экшн для глаз и мозга))
Инстинкт самосохранения очень легко притупляется в различных состояниях психики, если ты адекватный человек то не полезешь на крышу поезда ради прикола или что бы повторить подвиг друга, так как понимаешь что может за этим следовать, что там тыщщи вольт и станешь жареной курицей за секунду и т.п. А недалекому человеку в период эмоционального всплеска или наоборот депрессии такие мысли в голову не придут и он «спокойно» полезет.
Речь о том что не нужно совать палец в розетку что бы понять, что это опасно и нужно перед тем как это делать выключить электричество как минимум)))
ПОтому как понимая — осознавая что либо, можно очень явно это представить и увидеть в воображении, и для этого разумному человеку не нужен экшн для глаз и мозга))
Инстинкт самосохранения очень легко притупляется в различных состояниях психики, если ты адекватный человек то не полезешь на крышу поезда ради прикола или что бы повторить подвиг друга, так как понимаешь что может за этим следовать, что там тыщщи вольт и станешь жареной курицей за секунду и т.п. А недалекому человеку в период эмоционального всплеска или наоборот депрессии такие мысли в голову не придут и он «спокойно» полезет.
Речь о том что не нужно совать палец в розетку что бы понять, что это опасно и нужно перед тем как это делать выключить электричество как минимум)))
Вы хотите сказать что вид трупа вас впечатляет также, как мысль о смерти сама по себе? Не слышал что бы кого-то стошнило от размышлений о смерти. А вот от вида трупа такое не редкость. Вы не можете вызвать инстинкт самосохранения своими измышлениями, это все равно что обмануть самого себя. Мозг все равно знает, что реальная опасность не угрожает.
Вы можете сколько угодно думать и представлять, делать логические размышления. Это разумно и правильно. Но все это останется только в сознании. Вид трупа же задействует инстинкты отработанные тысячелетиями и проникает в самую глубь человеческого естества. Нет ничего постыдного в том, что это работает лучше. Так и должно быть.
Вы можете сколько угодно думать и представлять, делать логические размышления. Это разумно и правильно. Но все это останется только в сознании. Вид трупа же задействует инстинкты отработанные тысячелетиями и проникает в самую глубь человеческого естества. Нет ничего постыдного в том, что это работает лучше. Так и должно быть.
Теперь, в эпоху Сноудена, это «говорили» приобрело статус практически официальной информации.
Так стандартная схема мышления, все, даже самые ужасные и неприятные события забываются через очень короткий промежуток времени.
А в направлении личной безопасности и вообще приватности к сожалению большинство вообще не хочет думать, и начинает шевилится когда дело уже аж по телевизору показали… И нескольких крупных медиа компаниях.
Тут та же фигня что с НЛО, мол «пока не увижу своими глазами не поверю», пока «АНБ» не напишет мне письмо на почту и не скажет что у них весь бекап моей интернет жизни у них лежит просто так для статистики, никто не поверит.
И смешно и грустно.
А в направлении личной безопасности и вообще приватности к сожалению большинство вообще не хочет думать, и начинает шевилится когда дело уже аж по телевизору показали… И нескольких крупных медиа компаниях.
Тут та же фигня что с НЛО, мол «пока не увижу своими глазами не поверю», пока «АНБ» не напишет мне письмо на почту и не скажет что у них весь бекап моей интернет жизни у них лежит просто так для статистики, никто не поверит.
И смешно и грустно.
Браво! Полностью с вами согласен. Все с малых лет знают, что телефон могут прослушать, бумажную почту могут прочитать, за человеком могут проследить и т.д., но делают большие глаза и цокают языком, когда оказывается, что и Интернет — это (О боже!) не Страна Чудес и здесь всё обстоит примерно так же, как в реальной жизни. Слушали, читали и подглядывали во все времена.
Я не говорю, что мне это нравится, но так обстоят дела, такова жизнь, таковы люди (пожалуйста, не принимайте это на свой счёт). К тому же, в нормальной стране, доказательства добытые с нарушением уголовно-процессуального законодательства нельзя приобщить к делу.
Представьте, что Skype — это сотовый, представьте, что e-mail — это бумажное письмо т.д. И всё встанет на свои места. Хотите что-то скрыть — ведите себя осторожней, потому что иначе, обижаться можно будет только на себя.
Я не говорю, что мне это нравится, но так обстоят дела, такова жизнь, таковы люди (пожалуйста, не принимайте это на свой счёт). К тому же, в нормальной стране, доказательства добытые с нарушением уголовно-процессуального законодательства нельзя приобщить к делу.
Представьте, что Skype — это сотовый, представьте, что e-mail — это бумажное письмо т.д. И всё встанет на свои места. Хотите что-то скрыть — ведите себя осторожней, потому что иначе, обижаться можно будет только на себя.
«Пытается», «работает», «потрачено X млн. долларов», «считает возможность расшифровывать информацию одним из своих приоритетов» и т.д. Мне одному показалось, что никакой конкретики и тоже самое можно было написать 5 лет назад? Я о том, что чего-то достичь-то им удалось? Или Сколково-2?
Судя по тексту, им так и не удалось взломать SSL/TLS, хотя они и пытаются до сих пор. Так что основные усилия сосредоточены на краже ключей. Это очень хорошая новость — если приватный ключ не отдавать (т.е. формировать сертификат не из коробки, а подписью запроса от своего ключа), то если проверять отпечаток на клиенте — вы получаете полностью надежное соединение. Остается только вопрос компрометации самой операционной системы.
А что вообще такое «взломали» SSL/TLS? SSL — три версии, из которых 1-2 уязвимы (возможно только теоретически), TLS тоже вроде три. Над чем бьются доблестные АНБешники не очень понятно.
Кража приватных ключей SSL не поможет дешифровать пассивно перехваченные данные. Подробнее выше.
Выше написали неправду.
Действительно. Отписался выше. Жаль, что это неправда.
Зависит от того, какие алгоритмы распределения ключей используются для получения сеансового ключа. См. выше.
У них бюджеты пилят точно также.
UFO just landed and posted this here
Когда же кино про Сноудена снимут…
UFO just landed and posted this here
Ого! Камбербетч в кино про Ассанжа — однозначно к просмотру.
Как бы не получилось что-нибудь в духе Хакеров, где протагонисты были показаны просто нереально могучими чуваками, делающими реверс-инжиниринг вируса, написанного антагонистом, по распечатке чуть ли не дизассемблированного кода, или Социальной Сети, где Цукурберг тоже весь из себя такой кулхацкер.
UFO just landed and posted this here
Шнаейр приводит в пример «дифференциальный криптоанализ», который долгое время был известен и активно использовался спецслужбами США, при этом абсолютно не был известен в академической среде. И вполне вероятно, что сейчас NSA знает не известные в публичной науке подходы ко взлому именно на уровне алгоритмов.
Статья напоминает частичный пересказ книжки Дена Брауна «Цифровая крепость» — те же датацентры, «запасные ходы» в алгоритмах шифрования…
Эти публикации могут вызвать серьёзный передел рынка средства информационной безопасности. Потенциально они могут сильно повредить американским компаниям (ms, intel, qualcomm), поскольку уже нет доверия к ним, а бизнес может проголосовать баксом за сторонние (возможно опенсорсные решения) для VPN, например. В документах написано, например, что VPN является одной из главных целей.
«взлома коммуникаций методом грубой силы»
ну что за перевод… :(
ну что за перевод… :(
Хм… Что-то подсказывает что не зря Сноудена в России пригрели…
А как дела с OpenSource алгоритмами? Что-то мне подсказывает что сборщики бинарных пакетов для Linux дистрибутивов тоже могут кормится с этих АНБ-шных миллиардов.
Use the powergentoo, Luke.
[paranoia mode on]
Сама по себе Гента — тоже особо не панацея. Вдумчиво читать всё, что хочешь собрать — жизни не хватит. А если написать закладку и отправлять её по частям посреди больших, полезных и с виду безобидных патчей — мейнтейнеры имеют ненулевой шанс не заметить пакость. Примерно как найти 5000 руб. на Красной площади — хоть и маловероятно, но не исключено.
Сама по себе Гента — тоже особо не панацея. Вдумчиво читать всё, что хочешь собрать — жизни не хватит. А если написать закладку и отправлять её по частям посреди больших, полезных и с виду безобидных патчей — мейнтейнеры имеют ненулевой шанс не заметить пакость. Примерно как найти 5000 руб. на Красной площади — хоть и маловероятно, но не исключено.
Большие полезные патчи отправляются не майтейнерам генты, а разрабам соответствующего ПО.
Дык ведь linuxfromscratch.org! Все только сам, все своими руками, байт к байтику, патч к патчику… :)
Сила Джедаев называется в первоисточнике «force», а не «power».
Интересно, а под угрозом ли зашифрованный TrueCrypt диск, если использовать хардварный AES в современных процессорах Intel?
Разве что ключ сливает куда нить, а так вряд ли
Вряд ли. AES — это открытый стандарт. Подали два значения на вход — получили одно на выход. Ослабить AES не получится, не исказив выходные данные при заданных входных. А если бы они искажались — образы Трукрипта, созданные с включенным и отключенным аппаратным ускорением, были бы несовместимы.
Вот не пойму, почему все так боятся что их правительство слушает… Слушает и слушает, да и х** с ними, пусть слушают, скрывать то чего… Вот только беда в том, что они такие финансы спускают на это, вот тут да, с этим бороться надо.
«Хутин — пуй» вам в личной переписке и при наихудшем развитии ситуации Вы долго и упорно объясняете дяденькам в штатском, что Вы совершенно не знаете этого J_o_k_e_r'а, который написал Вам столь революционную фразу с новозеландского IP.
Да уже одно Ваше «х** с ними» в адрес нашего Великого Богоизбранного Правительства попахивает экстремизмом, гражданин Гевергес Олег, 26 апреля 1989 года рождения, проживающего в городе Ташкент, Узбекистан. (прим. товарища полковника)
Да уже одно Ваше «х** с ними» в адрес нашего Великого Богоизбранного Правительства попахивает экстремизмом, гражданин Гевергес Олег, 26 апреля 1989 года рождения, проживающего в городе Ташкент, Узбекистан. (прим. товарища полковника)
«Хутин — пуй» вам в личной переписке и при наихудшем развитии ситуации Вы долго и упорно объясняете дяденькам в штатском, что Вы совершенно не знаете этого J_o_k_e_r'а, который написал Вам столь революционную фразу с новозеландского IP.
Я очень сильно сомневаюсь что они придут и будут допрашивать меня, если это не я писал. Да и вообще на такие мелочи они вряд ли вообще обращают внимания…
Я очень сильно сомневаюсь что они придут и будут допрашивать меня, если это не я писал. Да и вообще на такие мелочи они вряд ли вообще обращают внимания…
Писалось с определенной долей юмора. Вы не можете предполагать где и когда Вам понадобится что-то скрыть от власти. И если среди Вашего нешифрованного трафика вдруг пойдет шифрованный, то это очевидный сигнал «ЗДЕСЬ ПАЛЕВО».
:) ну думаю мне никогда не придется что-то прятать от властей как и большей части паникующих. Больше вероятности, что от жены придется что-то прятать, но благо она не в правительстве работает.
А подобных переписок появляется по 100500 в день, и они давно уже фильтруются, на рассмотрение скорее всего идут действительно подозрительные переписки. А уж если вами заинтересовались, то что-то спрятать или утаить уже будет сложновато.
А подобных переписок появляется по 100500 в день, и они давно уже фильтруются, на рассмотрение скорее всего идут действительно подозрительные переписки. А уж если вами заинтересовались, то что-то спрятать или утаить уже будет сложновато.
:) ну думаю мне никогда не придется что-то прятать от властей как и большей части паникующих. Больше вероятности, что от жены придется что-то прятать, но благо она не в правительстве работает.
Думайте так дальше, Ваше право. Но можно генерить шифрованный траф хотя бы для маскировки тех, кому это использование необходимо.
А насчет жены будьте осмотрительнее — посмотрите «Мистер и миссис Смит» ;)
А подобных переписок появляется по 100500 в день, и они давно уже фильтруются, на рассмотрение скорее всего идут действительно подозрительные переписки. А уж если вами заинтересовались, то что-то спрятать или утаить уже будет сложновато.
Шифруйте даже котиков. Слейтесь с серой массой параноиков. Не дайте пововода заинтересоваться Вами :-D
Можете поручиться, что и вашим детям будет нечего прятать от властей? Или что власти никогда не смогут повлиять на ваших детей через вас?
То есть то, что у нас человека посадили, только за то, что он был всего лишь знаком с Навальным вас никак не насторожило?
Ну вообще-то, разумнее не доводить до
чем укрываться от него шифрованием.
У правительства всегда будет больше ресурсов для взлома, чем у вас для защиты от него. Другое дело, что на большинство Неуловимых Джо никто ресурсы тратить не станет.
Великого Богоизбранного Правительства
чем укрываться от него шифрованием.
У правительства всегда будет больше ресурсов для взлома, чем у вас для защиты от него. Другое дело, что на большинство Неуловимых Джо никто ресурсы тратить не станет.
А вы уверены, что содержимое вашего торрент-клиента не заинтерсует копирастов?
Если вы ещё не снимаете домашнее порно, то, думаю, скрывать есть что. Или снимаете?
И? Ну следять они за нами, это было всегда и будет всегда, до тех пор, пока каждый не сможет читать мысли каждого (но тогда мозг просто взорвется или войдет в рекурсию, если 2 человека будут читать мысли друг друга о том что они читают мысли и чего именно читают). Более того, уже не один раз обсасывали моменты, что в чипах китайцы оставляют дебаг бекдоры, в том числе на железках, которые позже идут в оборонку. Вот зашифруете вы трафик свой, все данные спрячите, а потом внезапно окажется что в вашем hdd закладка, которая при первой возможности всё расшифрует и передаст кому надо. Будете делать свой хард на транзисторах и перфокартах? OpenSource, да я всему руками за него, но физически не могу перепроверить ВСЕ программы, модули, загрузчик и ядро на предмет бекдоров и багов и пересобрать их (доверять другим? а где ганатия что другие не из АНБ?), после полной уверенности что всё чисто (а где гарантия что gcc не без закладок? писать свой компилятор на асемблере? а где гарантия что в x86 нет закладок? делать свой процессор? и т.д.). Поэтому где гарантия что ставя из репы убунты что-то, я не качают попутно бекдор в ядре или например модуле для WiFi карты?
Меня волнует другой вопрос. Можно будет как то в будущем получать бекапы этих данных? А то держу NAS, сервак, всякие облачные сервисы, а тут АНБ/ФСБ/итд бесплатно всё хранит, сортирует и каталогизирует за меня. Еще бы записи телефонных разговоров не помешают, а то чего то софт через раз работает, а иногда бывает нужно переслушать.
Меня волнует другой вопрос. Можно будет как то в будущем получать бекапы этих данных? А то держу NAS, сервак, всякие облачные сервисы, а тут АНБ/ФСБ/итд бесплатно всё хранит, сортирует и каталогизирует за меня. Еще бы записи телефонных разговоров не помешают, а то чего то софт через раз работает, а иногда бывает нужно переслушать.
подскажите, какую ось нынче относительно безопасно можно использовать в качестве частного VPN (SSH/OpenVPN) когда гос. сертификация не нужна?
Debian, как то портили уже
Венду — конечно нет…
OpenBSD и SSH как производная, вроде чуть ли не спонсировался когда-то боссами Сноудена?
OpenBSD, Astra Linux Common Edition (бесплатную для всех), Centos?
желательно под Linux, конечно
Debian, как то портили уже
Венду — конечно нет…
OpenBSD и SSH как производная, вроде чуть ли не спонсировался когда-то боссами Сноудена?
OpenBSD, Astra Linux Common Edition (бесплатную для всех), Centos?
желательно под Linux, конечно
Можно пруф про «порченный» дебиан?
Astra Linux Common Edition — оно вообще-то на неугодившем Вам дебиане основано. Юзайте source-based дистр, с большим коммунити. Например, gentoo. Или BSD, в которых я не силен.
Astra Linux Common Edition — оно вообще-то на неугодившем Вам дебиане основано. Юзайте source-based дистр, с большим коммунити. Например, gentoo. Или BSD, в которых я не силен.
Можно пруф про «порченный» дебиан?article.gmane.org/gmane.linux.debian.security.announce/1614
Package: openssl
Vulnerability: predictable random number generator
Problem type: remote
Debian-specific: yes
CVE Id(s): CVE-2008-0166
The first vulnerable version, 0.9.8c-1, was uploaded to the unstable
distribution on 2006-09-17, and has since propagated to the testing and
current stable (etch) distributions. The old stable distribution
(sarge) is not affected.
Affected keys include SSH keys, OpenVPN keys, DNSSEC keys, and key
material for use in X.509 certificates and session keys used in SSL/TLS
connections. Keys generated with GnuPG or GNUTLS are not affected,
though.
Между внедрением уязвимости и её обнаружением прошло почти ДВА ГОДА (!!!)
Уязвимый код попал во все Debian-подобные дистрибутивы — включая Ubuntu.
Вполне вероятно, что многие по-прежнему используют сгенерированніе уязвимой версией OpenSSL ключи.
Честно говоря, я считал что об этом случае знает каждый…
Спасибо. Я как-то мало имел дел с дебиан. Лишь только в генте видел этот ебилд:
* app-crypt/openvpn-blacklist
Available versions: ~0.3 ~0.4
Homepage: packages.debian.org/sid/openvpn-blacklist
Description: Detection of weak openvpn keys produced by certain debian versions between 2006 and 2008
Теперь буду знать.
* app-crypt/openvpn-blacklist
Available versions: ~0.3 ~0.4
Homepage: packages.debian.org/sid/openvpn-blacklist
Description: Detection of weak openvpn keys produced by certain debian versions between 2006 and 2008
Теперь буду знать.
Теоретически, Astra Linux недавно сертифицировала ФСБ для категории СовСекретно. Вот только у меня большие сомнения, что они перелопатили весь код и реально ничего не нашли…
А особенно ничего не заложили ;)
UFO just landed and posted this here
только у меня большие сомнения, что они перелопатили весь код
Вы не знаете ещё всех чудес российского «формального» инфобеза… ФСБ лишь выдаёт итоговую бумажку, а собственно код «исследуют» (проводят «испытания на наличие НДВ») разномастные коммерческие конторки, имеющие на это дело лицензию.
ну так что с дистрами?
неужели даже OpenBSD ненадежна?
может, хотябы хакеры знают и исользуют какой-нибудь древний дистр из самых ванильных сорцов без добавления консервантов?
какие дистры сертифицированы к примеру BlackHat (а не ФСБ или АНБ)?
неужели даже OpenBSD ненадежна?
может, хотябы хакеры знают и исользуют какой-нибудь древний дистр из самых ванильных сорцов без добавления консервантов?
какие дистры сертифицированы к примеру BlackHat (а не ФСБ или АНБ)?
Неясно, скомпрометированы ли опенсорсные решения: как крипто, так и ОС и прочее. Есть вероятность, что в тот же линукс попали закладки: очень сложно за ним следить. Даже строгая и логичная OpenBSD, которую постоянно мониторят, не избежала скандала с попаданием какой-то мутной хрени в свое время. Получается все так же:
1) Сообществу надо более яростно изучать стойкость открытых решений;
2) Юзерам и бизнесу активно переходить на открытые решения;
3) Создавать децентрализованные аналоги популярных средств коммуникации (все ждут Tox да?);
4) И самое главное — повышать сознательность населения. Все боятся мифических хакеров больше, чем правительства. Всем пофиг на слежки — им в голову ссут со всех телеэкранов. Многие просто боятся даже что-то говорить и даже думать о том, что что-то идет не так.
1) Сообществу надо более яростно изучать стойкость открытых решений;
2) Юзерам и бизнесу активно переходить на открытые решения;
3) Создавать децентрализованные аналоги популярных средств коммуникации (все ждут Tox да?);
4) И самое главное — повышать сознательность населения. Все боятся мифических хакеров больше, чем правительства. Всем пофиг на слежки — им в голову ссут со всех телеэкранов. Многие просто боятся даже что-то говорить и даже думать о том, что что-то идет не так.
А еще главный вывод:
мы слишком много налогов платим. Накормили огромных монстров в лице больших и жадных до власти государств. Нужно развивать криптовалюты и уходить от фиата: не платить налоги. Если это реализовать, то государство будет получать деньги на конкретные дела добровольно с внешним контролем со стороны граждан. А иначе это битва с огромным сильным монстром, который кормится твоей же кровью.
мы слишком много налогов платим. Накормили огромных монстров в лице больших и жадных до власти государств. Нужно развивать криптовалюты и уходить от фиата: не платить налоги. Если это реализовать, то государство будет получать деньги на конкретные дела добровольно с внешним контролем со стороны граждан. А иначе это битва с огромным сильным монстром, который кормится твоей же кровью.
А что за Tox? Погуглил но слишком много похожих аббревиатур.
Хабру давно пора https поднимать
UFO just landed and posted this here
Я же говорил, что единственный метод 100% шифрования — передать ключи собеседнику при личной встрече. Похоже к этому добавляется и собственное железо, которое тоже надо передать. В общем, BarsMonster, пили технологию производства микросхем дома на коленке… Скоро будешь миллиардером.
UFO just landed and posted this here
Я уже успел позаниматься криптоанализом :-) Сложно там легально деньги зарабатывать :-)
Кстати о микросхемах. Можно ведь сделать микросхемы большой партией на любом заводе, а потом провести teardown случайной выборки и сравнить с исходным дизайном. По-моему вполне неплохая альтернатива изготовлению на коленке.
Можно, но АНБ работает не так:
Приходим к американской компании, зажимаем яйца директора в тиски (как в случае Google, Microsoft и ко) и заставляем встраивать бэкдор. Просто и бесплатно.
А зарубежным компаниям у которых руководство зажимать сложнее — не даем выходить на рынок со своими продуктами.
И наконец — изготовление микросхем по современным тех.нормам с криптографией — может подпасть под экспортные ограничения, и никто вам ничего не сделает.
Приходим к американской компании, зажимаем яйца директора в тиски (как в случае Google, Microsoft и ко) и заставляем встраивать бэкдор. Просто и бесплатно.
А зарубежным компаниям у которых руководство зажимать сложнее — не даем выходить на рынок со своими продуктами.
И наконец — изготовление микросхем по современным тех.нормам с криптографией — может подпасть под экспортные ограничения, и никто вам ничего не сделает.
Нужно создавать устройства, которые соединяются между собой по принципу mesh сетей (например ad hoc), полностью шифрую все данные при передаче и на самом устройстве. Сохранить анонимность в интернете, в том виде, в котором он есть сейчас, невозможно, нужно изменить сам интернет, но это утопия)
… и спаять их из собственноручно изготовленных транзисторов
Есть, например, Hyperboria
Чем Вам не нравятся существующие оверлейные над интернетом сети?
Я уже писал в многочисленных темах про гиберборию, что проблема mesh-сетей в контексте анонимности, как мне видится, что Ваш следующий хоп всегда недалеко от Вас в зоне видимости wifi. C этой точки зрения оверлейные сети над интернетом, где хопы могут быть Питер-Новая Зеландия-Африка-Америка намного лучше.
Я уже писал в многочисленных темах про гиберборию, что проблема mesh-сетей в контексте анонимности, как мне видится, что Ваш следующий хоп всегда недалеко от Вас в зоне видимости wifi. C этой точки зрения оверлейные сети над интернетом, где хопы могут быть Питер-Новая Зеландия-Африка-Америка намного лучше.
Не нравятся легко установимым фактом использования.
При достаточной популярности меш-сетей и возможно некоторой гибридной модели меш-сеть+интернет, поверх можно развернуть тот же Tor\i2p и получить хопы [Питер-Новая Зеландия-Африка-Америка ], но зачем?
Основным минусом оверлейных сетей считаю использование Интернета как канала для передачи данных. Свободный интернет должен быть абсолютно свободен и не должен даже использовать подконтрольную инфраструктуру т.к. в конечном итоге, это может, и скорее всего окажется ахиллесовой пятой.
Основным минусом оверлейных сетей считаю использование Интернета как канала для передачи данных. Свободный интернет должен быть абсолютно свободен и не должен даже использовать подконтрольную инфраструктуру т.к. в конечном итоге, это может, и скорее всего окажется ахиллесовой пятой.
Вы связывать ячейки mesh как будете? Голубиной почтой? Если нет, а скорее всего Вы будете использовать радиоканалы то радиосреда еще более подконтрольна всяким там ФАПСИ, чем интернет. Частоты лицензируются, нелицензируемые частоты действуют на «расстоянии плевка».
Я до сих пор искренне не понимаю как предлагается блокировать что i2p, что OpenVPN, который с легкостью можно замаскировать под цифровой шум, ssl и т.п. Что подтверждается, что OpenVPN даже в Китае до сих пор толком не блочат. Если будут действовать по принципу белого списка, то нарушат гигантское количество инфраструктур, до чего опять же даже Китай не дошел.
А Ваши радио-mesh сети, что? Ну связали вы ячейку на частоте условно 2,7 Ггц. Приехала к Вам машина с антенной под дом илимудхакер Вася с китайской вайфай глушилкой под окно и нет Вашей ячейки.
Я до сих пор искренне не понимаю как предлагается блокировать что i2p, что OpenVPN, который с легкостью можно замаскировать под цифровой шум, ssl и т.п. Что подтверждается, что OpenVPN даже в Китае до сих пор толком не блочат. Если будут действовать по принципу белого списка, то нарушат гигантское количество инфраструктур, до чего опять же даже Китай не дошел.
А Ваши радио-mesh сети, что? Ну связали вы ячейку на частоте условно 2,7 Ггц. Приехала к Вам машина с антенной под дом или
Нет там никаких «документов», кроме голословных утверждений. То есть для «испугаться и начать бегать кругами» там информации достаточно, для того, чтобы понять, что это за unspecified vulnerabilities — нет.
что это за unspecified vulnerabilities
Вполне привычный 0day, который, если заморочиться reverse engineering'ом или просто анализом исходного кода, есть в любом продукте, а то и сразу букет. В любом случае, к каждому продукту (компоненту) требуется индивидуальный подход.
Я это понимаю. Я не понимаю, почему этого следует бояться больше, чем какого-нибудь зевса с комплектом 0day эксплоитов.
В случае с drive-by downloads атаки осуществляются в отношении случайных наименее защищённых (и наименее интересных кому-либо с точки зрения проникновения и получения доступа к чему-либо) пользовательских машин. Да и эксплойты для этих целей зачастую клепают на базе уже выложенных в публичный доступ PoC, против которых апдейты или уже существуют, или вот-вот появятся.
Мне кажется, что технология и намерения — это ортогональные вещи. Атака может вестись на конкретного человека, с учётом социальной инженерии (письмо от ген.директора с его работы и текстом «У меня есть ряд вопросов к вам. Зайдите завтра ко мне для беседы, и, пожалуйста, найдите адекватное объяснение вот этого: localhost.localdomain/pub/aa.scr.exe.php.msi.java.tar.gz.dll»)
UFO just landed and posted this here
Да кому нужна ваши личная и рабочая жизнь? Такое чувство что все здесь только и занимаются секретной/уголовной и прочей важной деятельностью о которой ни дай бог узнает правительство.
А те кто ей действительно занимается уж точно не ведут переписку через VK, FB или Gmail.
А те кто ей действительно занимается уж точно не ведут переписку через VK, FB или Gmail.
Мне кажется, защита приватности в Сети вторична, важнее противодействие цензуре. «Дади в штатском» от вас потребуют объяснений за «Хутин — пуй» только в том случае, если будут уверены, что информация об этом не станет широко известной, что любой поток можно всегда пресечь.
Я не считаю неважной защиту приватности, но считаю ее второй по приоритету после защиты публичности. Если удастся победить цензуру, защита личной информации от государства тоже укрепится.
Мне кажется, не того боимся.
Я не считаю неважной защиту приватности, но считаю ее второй по приоритету после защиты публичности. Если удастся победить цензуру, защита личной информации от государства тоже укрепится.
Мне кажется, не того боимся.
Вот почему США выкинуло Huawei, сначала сами заставили их (как и всех других производителей) сделать закладки, а потом испугались что сами китайцы ими воспользуются.
У меня стоит Windows 8. Когда ноутбук бездействует некоторое время запускаются какие-то виндовые службы и начинают прилично грузить процессор.
За мной следят?:)
За мной следят?:)
Отключите в настройках Службу Безопасности
Федеральную
Ну да.
Проще не пользоваться соцсетями, бесплатной почтой типа gmail, и вообще интернетом без крайней необходимости, а звонить с старого телефона без камеры и интернета, вести дневники и заметки в старых добрых кпк без вайфая и блютуза, или еще лучше в электронных органайзерах старого образца (супер вещь была) без возможности внешнего подключения.
Проще не пользоваться соцсетями, бесплатной почтой типа gmail, и вообще интернетом без крайней необходимости, а звонить с старого телефона без камеры и интернета, вести дневники и заметки в старых добрых кпк без вайфая и блютуза, или еще лучше в электронных органайзерах старого образца (супер вещь была) без возможности внешнего подключения.
Почитай не про винду но в тему:
habrahabr.ru/post/180971/
habrahabr.ru/post/180971/
Они пытаются снять отпечатки ваших пальцев через клавиатуру.
Еще одна заметка по этой теме (английский, много буков) Топик на slashdot.org (английский, еще больше букв, сленг и ненормативная лексика, 18+)
Бекдоры они встраивают. Людей за это судят, а им видите ли можно, закон не для них.
Интересно получается: Сноуден сейчас может компроментировать кого угодно, просто предоставив несколько ничем не подтвержденных файлов и большинство людей ему поверят.
P.S. Я не хочу сказать, что статья — ложь, просто размышления.
P.S. Я не хочу сказать, что статья — ложь, просто размышления.
Тут тема намного глубже. Это все попытки обратить внимание общественности, на реальную ситуацию — люди под контролем и наблюдением.
Чего стоит недавний конфликт в Германии
dokumentika.org/lt/specialiosios-tarnybos/spetssluzhbi-i-slezhka-za-internet-polzovatelyami-cherez-troyanskie-programmi-i-virusi
Если подумать глобально, то любой гаджет легко может не только следить за набором текста и перемещением, но собирать информацию с других датчиков которых сейчас предостаточно в любом современном устройстве (гироскоп, акселерометр, камеры, датчики магнитного поля, датчики приближения, датчики освещения)
Собрав такой пласт информации от личности, группы людей, населения города, страны… Можно вывести статистические данные о том, как такая масса реагирует например на события в Сирии, кто о чем пишет, кому, в каком настроении, искренне или нет, и т.д. Все это очень удобный инструмент манипуляции на массы в будущем, так как зная что вы чувствуете и как реагируете в различных ситуациях вами очень просто манипулировать. Вашими страхами, желаниями, чувствами.
Эта тема была частично поднята в этой статье
habrahabr.ru/post/180971
Чего стоит недавний конфликт в Германии
dokumentika.org/lt/specialiosios-tarnybos/spetssluzhbi-i-slezhka-za-internet-polzovatelyami-cherez-troyanskie-programmi-i-virusi
Если подумать глобально, то любой гаджет легко может не только следить за набором текста и перемещением, но собирать информацию с других датчиков которых сейчас предостаточно в любом современном устройстве (гироскоп, акселерометр, камеры, датчики магнитного поля, датчики приближения, датчики освещения)
Собрав такой пласт информации от личности, группы людей, населения города, страны… Можно вывести статистические данные о том, как такая масса реагирует например на события в Сирии, кто о чем пишет, кому, в каком настроении, искренне или нет, и т.д. Все это очень удобный инструмент манипуляции на массы в будущем, так как зная что вы чувствуете и как реагируете в различных ситуациях вами очень просто манипулировать. Вашими страхами, желаниями, чувствами.
Эта тема была частично поднята в этой статье
habrahabr.ru/post/180971
АНБ и их коллеги в Великобритании, Канаде, Австралии и Новой Зеландии.
Так вот куда делась Британская Империя. Она теперь в интернете.
«сообщается о неназванном международном стандарте шифрования, принятом Международной организацией по стандартизации в 2006 году» — какой, интересно?
Процессоры и чипсеты вероятно содержат бэкдоры, в силу монополии Intel и AMD (альтернативы им нет, особенно первому, даже если открыто заявят, что внедряют бекдоры, а процессор и чипсет не покупаетсяф, а арендуется, то послать их не получится при всём желании).
Кстати, а вариант, что вся история со Сноуденом — это псиоп, направленный на подрыв доверия к криптографии? Какие конкретно алгоритмы уязвимы?
>сообщается о неназванном международном стандарте шифрования, принятом Международной организацией по стандартизации в 2006
почему же до сих пор этот стандарт не выяснен?
исо что так много стандартов в год принимает?
или у них стандарты секретные?
не один из этих ли случайно?
www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=33928
www.iso.org/iso/ru/home/store/catalogue_tc/catalogue_detail.htm?csnumber=37971
А может это вообще деза, а ско(м)прометирован другой стандарт другого года?
Чувствую я, «конспирологи» благодаря Сноудену срубят тонны бабла.
Кстати, а вариант, что вся история со Сноуденом — это псиоп, направленный на подрыв доверия к криптографии? Какие конкретно алгоритмы уязвимы?
>сообщается о неназванном международном стандарте шифрования, принятом Международной организацией по стандартизации в 2006
почему же до сих пор этот стандарт не выяснен?
исо что так много стандартов в год принимает?
или у них стандарты секретные?
не один из этих ли случайно?
www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=33928
www.iso.org/iso/ru/home/store/catalogue_tc/catalogue_detail.htm?csnumber=37971
А может это вообще деза, а ско(м)прометирован другой стандарт другого года?
Чувствую я, «конспирологи» благодаря Сноудену срубят тонны бабла.
А что если жить «честно»?
Я вот в детстве всегда боялся «боженьки», потому, что он всё видит! И вёл себя, всвязи с этим знанием, очень прилежно.
АНБ, ФСБ, Google и пр. «Большой брат», почему бы и нет? Ведь на площади никто не срёт не потому что нельзя, а потому что все увидят. А если таки на площади да, то именно чтобы все увидели )
Я вот в детстве всегда боялся «боженьки», потому, что он всё видит! И вёл себя, всвязи с этим знанием, очень прилежно.
АНБ, ФСБ, Google и пр. «Большой брат», почему бы и нет? Ведь на площади никто не срёт не потому что нельзя, а потому что все увидят. А если таки на площади да, то именно чтобы все увидели )
Неужели вы не видите в этих рассуждениях одной большой проблемы?
Боженьки — нет, АНБ и ФСБ — есть. Вот и разница, которая меняет всё в корне.
Боженьки — нет, АНБ и ФСБ — есть. Вот и разница, которая меняет всё в корне.
Я готов отрыть ВСЕ личные данные о себе, при условии, что это будет необходимо сделать всем без исключения, в том числе корпорациям, службам и правительствам. Меня не напрягает, что они видят меня без одежды, а скорее то, что они при этом сидят в плаще и темных очках. Это мысль полностью раскрыта в книге Реконизм, и я ее поддерживаю.
в книге Реконизм
на подобную тему можно ещё почитать
Гигабайты власти: информационные технологии между свободой и тоталитаризмом
Вы искренне верите, что «на площади никто не срёт» только из-за боязни, что все увидят? И это называется «жить „честно“»?
Самая моя параноидальная мысль, что биткоины создали специально для привлечения огромных пользовательских ресурсов для взлома криптозазищенных данных, хотя открытый код и армия фанатов уже бы давно пролили свет
Великая демократия во всей своей первозданной красоте. Просто нет слов.
>Все плохо
>$250M в год на попытки что-то подслушать
Не так уж и плохо IMHO.
>$250M в год на попытки что-то подслушать
Не так уж и плохо IMHO.
«поэтому на 2013 год АНБ планировало либо встроить аппаратный бэкдор в чипы шифрования»
Ы, а я предсказывал! XD ( habrahabr.ru/post/187422/#comment_6517130 )
Ы, а я предсказывал! XD ( habrahabr.ru/post/187422/#comment_6517130 )
Если кто еще не успел прочесть, рекоменду, роман Джорджа Оруэлла «1984» Книга была запрещена в СССР до 1988 года. В наши дни её сюжет приобретает новое звучание…
Цитата с вики:
Цитата с вики:
Книга была написана в 1949 году. В ней изображена тоталитарная система, пришедшая на смену капитализму. При этом новое общество полностью отрицает свободу и автономию личности. Для него характерны: мобилизация всех сил для реализации глобальной цели; концентрация власти в руках одной партии, направляемой вождём; безраздельная монополия на средства коммуникации; считаемая единственно верной идеология; полный контроль за общественной и частной жизнью; жестокое насилие в отношении всех инакомыслящих и несогласных; постоянные поиски врагов, с которыми ведется непримиримая война; материальная нищета и всеобщий страх
А не кажется ли вам господа что это просто массовое, заразное помешательство америкосов, они там все думают что за ними слежка, мужик звонящий в службу безопасности АНБ и просящий восстановить удаленное письмо в гугле это ваще жесть, я под столом… им там походу реально уже снится что за ними следят… безусловно есть конечно какие то общие методы борьбы с IT преступлениями… отслеживанием всяких данных и безусловно есть отделы курирующие безопасность сетей, возможность прослушки и про смотра трафика магистралей и т.п.… но мне кажется америкосы явно сильно перегибают палку, ведь это все базовые вещи которые обязательно должны быть в любой стране которая хочет контролировать ситуацию и порядок, а не как в египте, списались в фейсбуке — пошли свергли правительство. Но по поводу взломов SSL и всяких там бекдоров. как то мне не вериться что у Cisco есть какие то бекдоры, давно бы уже нашли.
Мне так не кажется: тотальная слежка это мечта многих властей, но ранее это натыкалось на технические трудности, такие как необходимость содержать большой штат агентов, устанавливать прослушивающие устройства и прочие ограничения. Сейчас же, когда есть возможность через ограниченное количество мест проводить сбор данных, это естественно, что будет делаться, как например, у нас с помощью СОРМ.
Такие громкие крики в Америке только потому, что они не привыкли думать, что живут в тоталитарном государстве (в процессе становления) и пытаются как могут этому противостоять.
Такие громкие крики в Америке только потому, что они не привыкли думать, что живут в тоталитарном государстве (в процессе становления) и пытаются как могут этому противостоять.
безусловно есть конечно какие то общие методы борьбы с IT преступлениями…Понятие IT-преступления надуманное. У таких «преступлений» слишком шаткая доказательная база. Если бы соблюдалась тайна переписки, право хранить молчание и презумпция невиновности, то такое «преступление» не удалось бы доказать при достаточной осторожности «преступника». А ведь эти вещи намного важнее, чем охота за головами. Следовательно, наличие IT-преступлений — юридический баг. Кстати, помните, как кот скачал ДП, а человека наказали? :-)
ведь это все базовые вещи которые обязательно должны быть в любой стране которая хочет контролировать ситуацию и порядок, а не как в египте, списались в фейсбуке — пошли свергли правительствоМне кажется, что базовая вещь — это тайна переписки и свобода собраний, а не безопасность правящей верхушки.
Sign up to leave a comment.
Сноуден пролил свет на ситуацию со взломом криптографии. Все плохо