Pull to refresh

Comments 87

UFO just landed and posted this here
SMS — известная дырища в защите. В простых случаях мошенники легко уговаривают сотрудников сотовых операторов выпустить новую симку (на хабре полно подобных историй). В более сложных случаях правительства легко заставляют сотовых операторов отключать SMS-сервис и получать «секретные» SMS в тайне от владельца SIM-карты.
BitLocker и windows EFS Microsoft может расшифровать без ключей владельца. Про FileVault не слышал, но тоже весьма вероятно.
Что там собирает DuckDuckGo неизвестно.
Тором сильно увлекаться тоже не стоит. Конечно, это безопаснее открытого соединения, но где и как он поломан и поломан ли неизвестно. Если поломан, то рассказывать об этом не будут. Всяким орботам нужно доверять осторожно. Мало ли чего туда могли натолкать. И даже не создатели, а какие-нибудь злоумышленники (вспоминаем недавнюю историю с гадостью в transmission).
Ну и вся конфиденциальность рассыпается в пух и прах стоит только авторизоваться где-нибудь в фейсбуке, гугле или подобных сервисах.
Про разные пароли совет разумный.
BitLocker и windows EFS Microsoft может расшифровать без ключей владельца

Пруфы, пожалуйста, предоставьте
Не далее как вчера при загрузке обновилась Windows 10 на зашифрованном томе без ввода пароля! Я был в небольшом шоке.
Если на ноутбуке UEFI, то вполне нормально — он в полноценную перезагрузку не уходил
В том то и дело, что это произошло после работы в linux, т. е. после полноценной перезагрузки. Надо было перезагрузиться в windows, а он начал установку обновлений ни разу не спросив пароля (при этом windows до этого не использовалась дня 3-4).
Какой TPM в ноутбуке установлен?
Это стационарный ПК на базе asus z87-k, я не нашел информацию есть ли там TPM вообще
Каким образом тогда включали BitLocker на системном разделе? Изменяли политики безопасности?
да, это win10 enterprise с измененными политиками
Очень странно. Почти 50 машин под крылом с BitLocker — ни разу подобной ситуации не встречал.
Windows 10 хранит токен авторизации для установки обновлений (разовый вход в систему после перезагрузки)
В винде вроде есть такая фича, что если обновлениям нужно что-то сделать после загрузки, то формируется одноразовый токен для доступа к диску. Естественно, до следующей загрузки этот токен лежит где-то в открытом виде и может быть использован злоумышленником.
Отключается где-то в настройках windows update.
Не далее как вчера при загрузке обновилась Windows 10 на ЗАШИФРОВАННОМ томе без ввода пароля! Я был в небольшом шоке.

Пишите статью :)! пока шоковое состояние не прошло...

А о чем писать-то — о том как при загрузке, когда надо срочно что-то сделать в windows и работать дальше, вдруг начался процесс обновления без ввода пароля и компьютер превратился в тыкву на 1.5 часа?

нО -ведь так быть не должно быть — по соображениям безопасности — или я не прав?

пруф не пруф, но есть некие Элком софт которые вроде как торгуют специальным ПО
Начнём с того, что с BitLocker они не работают, а EFS могут расшифровать только при наличии нужных данных. Например, есть файлы, которые зашифрованы EFS, удалили пользователя, кому они принадлежали. Advanced EFS Data Recovery всего лишь просканирует жесткий диск в поисках сертификата этого пользователя. Чудес не бывает.
Не работаю в службе безопасности какого банка, но постоянно интересуюсь, как абстрактно (интересные проблемы), так и конкретно (не хочу, чтобы меня обокрали). Поэтому внимательно прочитал статью и комменты, из последних особенно заинтересовало:
SMS — известная дырища в защите. В простых случаях мошенники легко уговаривают сотрудников сотовых операторов выпустить новую симку (на хабре полно подобных историй).

Секунда в гугле и — получил кучу душераздирающих историй. Не думал, что такой размах! Поэтому вопросы тем, кто в теме. Некоторые банки вместо одноразовых SMS-паролей предлагают заранее генерированные одноразовые: либо на пластике, где нужно фольгу царапать, либо получить в банкомате. Насколько этот метод безопаснее в современных условиях?
Второй вопрос: одноразовые пароли — 5-6 цифр. Многие другие приложения, когда вводишь подобный пароль, говорят, что он плохой. 5-6 цифр для одноразового пароля личного кабинета в банке — надежная защита?
Достаточно надёжная, они одноразовые. Ввод кода одноразовый, не угадал — «используйте следующий код» или пройдите процедуру оплаты с начала, да ещё и количество наверняка ограничено. В отличии от приложения/сайта/контейнера, где попыток на брут существенно больше (вплоть до бесконечности).
Про симку плюсую — достаточно вспомнить шумную историю, когда у женщины несколько раз залазили в банковский счет через перевыпуск симки. Там была фантасмагория как в кино. Увод симки мало того, что ломал доступы к её аккаунтам, так ещё и давал злоумышленникам навалом времени, потому что вернуть контроль над симкой можно только в отделении с документами и личной мордой лица, а на дворе ночь и ни черта не работает.
Привязка к IMSI поможет от такого, но далеко не все банки этим пользуются.
Кажется, опсосы деньгу дерут с банка за каждую проверку привязки. Поэтому даже те, кто использует её, используют её выборочно. Лучше делать подтверждение через приложение на мобиле. Затроянить приложение стало труднее, чем увести симку.
В масштабе $0.007 за запрос. А у крупного банка, который взял себе SS7-доступ на персональных условиях — вообще скорее всего не тарифицируется.
Так что дело, скорее всего, в расходах на интеграцию решения
Как-то неаккуратно переведено. «Избежал коммунизма, изучая инженерное дело». "_Вы_ _должны_ активировать здесь двухфакторную аутентификацию. (...) Я все еще буду здесь, когда _ты_ _вернешься_."

А по существу статьи, просится то ли xckd про гаечный ключ, то ли анекдот про Неуловимого Джо…
По поводу последнего предложения не могу «пройти мимо». За недавнее время два относительно не глупых человека из числа знакомых стали жертвами со стороны телефонных мошенников. Атака производилась на основе публичных данных о человека (в одном случае это была профессиональная деятельность). Отсюда вопрос: стоит ли облегчать мошенником задачу по поиску информации о потенциальной жертве? Имея, например, доступ к переписке жертвы, мошенник всегда сможет более эффективно подготовится (чем если бы этой информации у него не было).
UFO just landed and posted this here
Разблокировка отпечатком пальца это вообще очень неоднозначная штука, надёжность которой сильно зависит от операционной системы и аппаратной реализации.

Лучше всего реализовано у Apple:
Казалось бы, необходимость хранить данные отпечатков в виде односторонней хеш-функции очевидна, но тебе это только кажется: разработчики HTC One Max решили, что хранить отпечатки можно в виде картинок в самой обычной папке в памяти устройства. Чем бы ни думали разработчики HTC, инженеры Apple такой ошибки не совершили: сканированный отпечаток пропускается через хеш-функцию и сохраняется в Secure Enclave — защищенном от доступа извне микрокомпьютере. Отдельно отмечу, что эти данные не попадают в iCloud и не передаются на сервер компании.

Что интересно, даже односторонние хеш-функции отпечатков зашифрованы, причем ключи шифрования вычисляются во время загрузки устройства на основе уникального аппаратного ключа (который также хранится внутри Secure Enclave и не может быть оттуда извлечен) и кода блокировки, который вводит пользователь. Расшифрованные дактилоскопические данные хранятся только в оперативной памяти устройства и никогда не сохраняются на диск. При этом система время от времени удаляет данные отпечатков даже из оперативной памяти устройства, вынуждая пользователя авторизоваться с помощью кода блокировки (который, напомним, даст системе возможность расшифровать данные отпечатков и возобновить работу датчика Touch ID).

В Android, в основном, всё печально:
Вплоть до версии Android 6.0 в системе не существовало универсального API для дактилоскопической аутентификации. Нет API — нет и формальных требований Compatibility Definition, и, соответственно, нет никакой сертификации со стороны Google. С выходом Android 6.0 в Google не только разработали собственный API для аутентификации по отпечаткам пальцев, но и обновили Compatibility Definition Document, которому обязаны следовать все производители, желающие сертифицировать свои устройства для установки сервисов Google

В Китае Google под запретом, и многие полуподвальные производители совершенно не собираются заморачиваться с ненужными сертификациями. Да ты и сам знаешь, с какими прошивками зачастую приходят устройства из Китая. В угоду производительности шифрование, как правило, не включается даже в прошивках на основе Android 6.0, а загрузчик не блокируется принципиально (в случае с процессорами MediaTek) или может быть легко разблокирован. Соответственно, есть там датчик отпечатков или нет — не играет ни малейшей роли.

Даже если шифрование будет включено пользователем (маловероятно в случае дешевых устройств, но все же), у пользователя нет никакой гарантии, что датчик отпечатков интегрирован правильным образом. Особенно это касается устройств, которые продавались с Android 5 и более ранними версиями на борту, а обновление до 6-й версии Android получили позднее.

В случае с китайскими устройствами с разблокированным загрузчиком наличие дактилоскопического датчика никак не ухудшит и без того отсутствующую безопасность (впрочем, может и ухудшить: если попавший в твои руки телефон включен, а раздел данных зашифрован, то обман такого датчика — отличный способ обойти шифрование).

Полная статья размещена в октябрьском «Хакере»
если вас когда-нибудь арестуют, вы должны сразу же отключить питание вашего телефона. Когда власти снова его включат, они не смогут разблокировать его без пароля.
Кстати, после недавней истории «Apple против ФБР» iPhone принудительно запросит ввод пароля, если с момента последней разблокировки отпечатком прошло больше 8 часов. Так что у полиции будет ровно столько времени, чтобы получить ордер. Без ордера (если мы говорим про США) у них нет права принудить владельца приложить палец.
UFO just landed and posted this here
Видимо имеется в виду то, что разблокировать-то насильно можно, но потом, когда дело дойдет до суда, хороший адвокат легко развалит всё дело, как построенное на незаконных доказательствах.
UFO just landed and posted this here
Не докажут, что просто свайпали и ждали ордера… а значит с высокой вероятностью суд не примет данные сведения в качестве доказательства и если это единственные прямые улики то дело просто развалится…
UFO just landed and posted this here
Ну со свидетелями и записью уже проще т.к. уже защите придется доказывать что они поддельные. Учитывая что у них прецедентное право и любят судиться по любому поводу то наверняка есть десяток прецедентов где эту грань установили. Что впрочем не мешает её передвинуть в случае необходимости, но для этого понадобится дойти до верховного суда США… Тут как говориться кто смог доказать что он прав, а оппонент — нет, тот и прав…
Впрочем это уже оффтоп.
UFO just landed and posted this here
Как мне кажется (я не юрист), что разница между «заставить приложить палец» и «попробовать открыть изъятым ключом изъятый замочек» в том, что первое можно подвести под принуждение свидетельствовать против самого себя.
Ну если так рассуждать, то ордер тоже не может заставить свидетельствовать против себя.

А можно чуть поподробнее про Apple, если вы в курсе? У меня было вполне сложившееся впечатление, что хешей для отпечатков пока не существует в природе. То что отпечатки хранятся в отдельном чипе в шифрованном виде — это несомненно хорошо, но это все-таки немного другое, чем хранить только хеш.


Что это за хеш функция такая, которая сохраняет топологию рисунка при хешировании, и позволяет отпечатки сравнивать?

Здесь лучше обратиться к криминалистам.
Они давно работают с отпечатками и должны были первыми найти способы их хеширования (не ручками же они перебирают всю базу).

Криминалисты тут не при чем — им не очень нужно шифровать свою базу отпечатков. Они вполне могут хранить исходный образ, и сравнивать с ним.

И как Вы думаете они сравнивают исходные изображения? по битам?

Криминалисты давно создали систему из небольшого числа ключевых элементов отпечатка. Остается только немного захешировать вектор минуций (локальные признаки отпечатка) и сравнивать.

P.S. естевенно, не криптографическим хешем, ниже ссылка на пример перцептивных хэшей изображений.
Где-нибудь можно почитать про реализацию в Нексусах-Пикселях?
В полной версии статьи в указанном номере журнала (вроде бы, это она). Вкратце — у эталонных гугловских устройств, которые выходили сразу с Android 6, всё почти отлично
как бы вы не хвалили Apple, но на чужом iphone запосто можно скачать приложение приложив свой палец, который до этого в этом телефоне не сканировался, явно уязвимости перехвата предачи хэша отпечатка пальца всплывут
> Но у них есть быстрый доступ, позволяющий получить зашифрованные поиски в Google, если они вам нужны.
Когда инженер Смолл смазан, вода в звонках подогревается.
Картинка ужаснула О_о
За статью благодарность!
Настройками по-умолчанию: в Телеграме надо создавать секретные чаты, а у Сигнала изначально E2EE.
Нечем, обоим Вы верите на слово. Для защиты переписки лучше использовать открытые решения: или что-то навроде Tox, который изначально задуман защищенным или что-то навроде XMPP с шифрованием поверх (GPG, OTR).
Доверять проприетарным закрытым средствам шифрования диска от Эппл и Майкрософт…
Вы серьезно?!
Гораздо больше меня умиляет предложение использовать Gmail.
| Signal бесплатен, его можно приобрести в магазинах приложений…
Шта?
Не забывайте, что если телефон заблокирован паролем, то при его вводе на стекле остаются следы. Посветив на стекло ультрафиолетом в тесноте, можно увидеть, из каких знаков состоит пароль.
> приватность
> мессенджер, использующий идентификацию по номеру телефона

Ну да, ну да

> Спасибо за чтение данного руководства конфиденциальности. Если он вам понравился, нажмите на сердечко ниже, чтобы другие люди могли увидеть это.

Покажите сердечко!
UFO just landed and posted this here
UFO just landed and posted this here
Впрочем, она в открытую хранится на почтовых серверах, так что шифрование каналов тут не сильно поможет.

Пользуйтесь protonmail.
UFO just landed and posted this here
> я бы накорябал сам нечто аналогичное но с криптой по сильнее, просто чтобы быть уверенным
что этим уж точно не будет пользоваться никто из тех, с кем вы могли бы там переписываться. Понятно, что токс безопаснее телеграма, но какой в этом смысл, если им никто не пользуется.
У кого какая модель угроз.

1. Двухфакторная аутентификация: нужна в следующем сценарии — злодей угадал/подсмотрел пароль (например, построил сервер с котиками на котором вы засветили свой пароль, сделал фишинговый сайт, шантажировал вашу бабушку etc) и хочет забрать доступ к десятку сервисов (facebook, twitter, amazon, aliexpess тысячи их), которые завязаны на ваш Gmail. Некоторые из этих сервисов оперируют реальными деньгами, а доступ к другим вам нужен и им можно вас шантажировать.
С двухфакторной аутентификацией злодею сложнее — ему придется делать дубликат симки и кучу разных других телодвижений. Поскольку ему вряд-ли нужны лично вы, то ему проще переключится на другого человека (не нужно бежать быстрее медведя, нужно бежать быстрее геолога).
Естественно, если вы боретесь с условным КГБ/ФСБ/ФБР, то двухфакторная аутентификация абсолютно бессмыслена. Но каждый день бороться с ФБР как правило не надо, а вот фишинг и прочее — это угроза на каждый день.
2. Шифрование диска. Опять же — модель угроз такая: у вас украли ноут и далее см. пункт 1. В этом смысле доверять МС и яблоку можно полностью. Они вряд-ли будут сотрудничать с пацанами из условного Солнцево.
UFO just landed and posted this here
Я, кстати, недавно проводил эксперимент — на несколько недель поставил себе DuckDuckGo поиском по умолчанию.
К сожалению, в среднем поисковая выдача у неё намного хуже гугловской. Даже если я знаю, что именно хочу найти и ввожу практически точные цитаты — она выдает что-то своё. А гугл и яндекс находят слёту.
Хотя в некоторых случаях (самые коммерчески горячие запросы) её выдача бывает наоборот адекватнее, поскольку не заспамлена сеошниками. Но это редко.
У меня тоже утка стоит по умолчанию. Я бы сказал, релевантность 50/50. Или находит или нет :) Иногда, если нужно что найти по теме, без конкретики — пользоваться вполне можно. Если ищешь что-то определённое, конкретную статью или что-то такое — практически никогда не находит.
Можно попробовать Startpage. Они используют выдачу гугла и не следят за вами (по их утверждению).
Не знал о таком.
Сейчас попробовал бегло — что-то какой-то он медленный очень…
То ли потому что сервер слабый, то ли по самой природе прокси?
Энди Гроув был венгерским беженцем, который избежал коммунизма


Как по первому предложению определить, что статья — перевод.
Энди Гроув был венгерским беженцем, который сбежал от коммунистического режима
В который раз читаю комментарии к статьям про ИБ и прихожу к одной и той же мысли: давайте разделять крайности «как параноику укрыться от всемирной слежки» и «как обычному пользователю не пострадать в на ровном месте».

Обычному человеку помогут вышеуказанные советы в обычных жизненных случаях. Приведу примеры:
— 2FA для почты на gmail поможет, если у человека один пароль на 100500 сервисов, один из них взломали… ну хоть почту следом не угонят.
— Шифрование встроенное поможет, если ноут забыл в кафе / утащили из машины: хотя бы личные фоточки или коммерческие планы с работы (сохранненные с рабочей почты) в паблике потом не всплывут.
И по остальным советам в целом ровно то же самое (ну разве что кроме сомнительного мессенжера). Да, всегда можно сделать «еще немного безопаснее». Но средства безопасности нужно подбирать исходя из рисков, а не по принципу «я хожу в интернет только через tor из-под tails, которая запущена из-под virtualbox в другой ОС tails с выходом в сеть с симки на узбека в одноразовом телефоне в другом конце города....»

Безопасность обычного человека должна быть простой и user-friendly, а не такой, как часто описывают в комментариях господа, опасающиеся слежки ФБР, НКВД и Ми6 одновременно.

p.s. и по приведённым примерам не нужно писать «а не надо сохранять файлики, а вот лучше бы truecrypt, а вот если отдельную симку и так далее». Не тот это usercase.
Обычному человеку вообще достаточно не делать откровенных глупостей типа использовать пароли вида 111, записывать пин коды на карточках или вбивать свои карточные данные на подозрительных сайтах. Чтобы было на душе спокойно, достаточно использовать менеджер паролей (включая проприетарные) с мудренным master паролем и хранить секретные записи там. Добавить двухфакторную авторизацию для почты и основных банковских счетов. Все что больше — для важных персон и параноиков, ИМХО. Народ выше вот из соц сетей удаляется, почтой, поисковиками не пользуется, использует звонилки вместо смартфонов — это же ппц. Шапочки из фольги еще не хватает.
Современное ИТ само создаёт проблему с безопасностью — почта становится единой точкой отказа, универсальной отмычкой, как метко заметил автор. При этом каждый первый сервис пытается раскрутить тебя на персональные данные и просит оставить емейл. Якобы для безопасности. Только вот безопасности больше не становится — в ответ на предложение ввести емейл я иду на сервисы, предоставляющие мусорную почту на 10 минут. В результате клиенту лишний геморрой и меньше безопасности.
>я иду на сервисы, предоставляющие мусорную почту

Где вы их берёте?? Я даже пытаться перестал — любые левые говносайты теперь стали прошаренные на эту тему и мусорные е-мэйлы не принимают.
Вбиваю в гугл 10 minutes mail. Первые три сайта в выдаче обычно уже забанены, но дальше идут рабочие.
Когда я что-то такое пытался проделать последний раз, после где-то десятого отвергнутого е-мейла плюнул и завёл отдельный мусорный аккаунт на гмайле. А пусть будет, я его не проверяю, когда надо где-то зарегистрироваться — захожу туда, подтверждаю регистрацию и выхожу. Заодно всё-таки посекьюрнее, чем одноразовый мейл, и пароль можно будет сменить, если сервис окажется не настолько бесполезен, как сначала казалось.
Можно так же попытать удачу на http://bugmenot.com
Вот оттуда обычно всё давно забанено.
В mail.ru сделали генератор временных ящиков.
mailinator.com — у них довольно много доменов есть
UFO just landed and posted this here
UFO just landed and posted this here
я бы с радостью пользовался Signal, если бы он работал без аккаунта Гугла на телефоне. по-моему отличная идея этим маленьким штрихом перечёркивается полностью.
Sign up to leave a comment.