Как стать автором
Обновить

Комментарии 26

Несколько повысить уровень защиты вашей почты «от дурака» может шифрование текста письма и вложения (их также можно поместить в архив с паролем, например, если сам текст не содержит конфиденциальных данных, а архив — содержит). В этом случае можно использовать специальное программное обеспечение.


Кроме плагинов для браузера, в котором вы открываете почту, существует приложение для десктопных клиентов, которое также может использоваться и с онлайновыми почтовыми сервисами — PGP (Pretty Good Privacy). Метод хорош, так как использует два ключа шифрования – открытый и закрытый. А также можно использовать целый ряд программ как для шифрования данных, так и для шифрования текста письма: DriveCrypt, Gpg4win, Gpg4usb, Comodo SecureEmail и другие.


Помните, что большинство «сливов» информации происходят по вине отнюдь не хакеров, а «человеческого фактора». Вам вполне может быть достаточно использовать сложные пароли, регулярно их менять и не допускать их утраты. Следует не забывать закрывать свои сессии на чужих компьютерах, не пользоваться незащищенными соединениями при работе через Wi-Fi в общественных местах, установить галочки в настройках почтового ящика «запомнить мой IP адрес», «отслеживать IP адреса, с которых открывались сессии», «не допускать параллельных сессий».

Вы точно на ИТ-ресурс пишете? Думаю, здесь мало кого испугаешь словами PGP и Gpg4win. Ну и за советы использовать сложные пароли и закрывать сессии на чужих компьютерах спасибо. Сам бы не догадался.
Например, с паролями люди косячить, видимо, не перестанут никогда — напоминай не напоминай. Считаю, что статья по данной теме без этого момента была бы неполной — читать её могут не только ИТ-специалисты, даже здесь.
> Это говорит об использовании протоколов шифрования SSL и StarTLS, которые обеспечивают безопасное «путешествие» письма из окна браузера до почтового сервера. Вместе с тем это ничего не даёт в связи с новым СОРМ, который вступает в действие с 1 июля 2014 года.

А можно немного деталей вот по этому пункту?
Если «они» теперь все записывают, то, теоретически, по решению суда они могут у гугла взять твои ключи и расшифровать письмо. Более того, учитывая как работают наши правоохранители, возможно что даже и без решения суда. Просто тупо оборотни в погонах, промышленный шпионаж.
С технической точки зрения моё утверждение, соглашусь, несколько спорно — потому что https конечно, теоретически, можно прочитать, но явно понадобится не опер с планшетом.
Я про SSL, и его «бесполезность» всвязи с новым СОРМ.
Для этого нужно, как минимум, либо получить от Гугла их SSL сертификат, для осуществления MitM, либо логирование трафика, его анализ и взлом протокола. Оба варианта, как мне кажется, что-то из области научной фантастики…
Ну еще, в принципе, можно и конечному клиенту внедрить бяку на комп (и тут мне, почему-то, вспомнился браузер от Яндекса).
Трудно не согласиться. Однако если, пусть даже призрачная, такая возможность есть — считаю, нужно об этом сказать. Прецедентов не было, чтобы по решению суда у гугла получали эту информацию — пока что.

Я вижу процесс так: когда ты отправляешь письмо по безопасному соединению, то между двумя точками: твой комп, почтовый сервак — невозможно ничего прочитать, все зашифровано. В самом гмыле я надеюсь, они их хранят тоже в шифрованном виде. И, соответственно, когда ты или тот, кому ты послал письмо, читаешь его по безопасному соединению, то между теми же двумя точками письмо перемещается в шифрованном виде. Так что СОРМ может влезть только если им сам гугл даст свой ключ для шифрования вот что, к счастью, мало верится. Это мое видение процесса. Хотя, скорее всего — в гугле для каждого пользователя есть отдельный ключ, и по запросу органов они могут только твой ключ дать полиции или фсб, и вот тогда имея ключ и шифрованное письмо можно его расшифровать.
Ключ вообще не для каждого пользователя, а для каждого SSL-соединения. И вряд ли гугл хранит ключи от соединений, которые уже закрыты.
В моем понимании для поднятия SSL используется асимметричное шифрование а вот уже «внутри» симметричное, так что хранить ключи закрытых сессий не надо, если ты достанешь ключи асимметричного шифрования, то симметричные ты уже из расшифрованного дампа должен достать(они сеансовые).
Неверно. Ключ для симметричного шифрования получается посредством взаимодействия обоих участников (и их ключей). Чтобы расшифровать дамп, если гугл не сохранил используемый для этой сессии симметричный ключ, вам нужны оба закрытых ключа — и гугла и браузера. Это называется Forward secrecy: en.wikipedia.org/wiki/Forward_secrecy
Но это относится к гуглу. В общем случае TLS не гарантирует Forward secrecy, всё зависит от конкретных алгоритмов, которые поддерживает сервер.
Мне кажется, что не совсем верно.
Имея приватный ключ сервера можно расшифровать хендшейк и из него получить ключ сессии и расшифровать сообщение. При использовании PFS придется отдельно расшифровывать каждое сообщение, но не более того.

Если же приватного ключа сервера нет и используется PFS, придется подбирать ключи для всех сообщений, что увеличивает стоимость операции в разы. Вероятнее всего за это время актуальность информации потеряется.
Спасибо. Поправили.
Без упоминания S-MIME статья выглядит неполной
Спасибо! Чуть позже добавлю.
Паранойя во мне говорит, что все, что подключено к сети и использует какой-то софт широкого назначения, по умолчанию заражено.
Откуда мне знать, что нажатия кнопок не передаются куда-то еще до того, как я начну что-то шифровать?
Почитайте про OTR, там ключи надо подтвердить альтернативным путём, к примеру, послать с нарочным в письме.
Хотя от параноии это не поможет.
При использовании корпоративной почты переписка защищается силами IT-службы, которые могут установить очень строгий Firewall. И, тем не менее, это тоже не спасёт, если недобросовестный сотрудник «сольёт» информацию. Речь идет не обязательно о системном администраторе – злоумышленнику достаточно оказаться «внутри» корпоративной сети: если он настроен серьезно, остальное – дело техники.


Не подскажите, как «технично» взломать Microsoft Exchange Server 2010 на котором стоят все последние апдейты? Очень интересует техника взлома, ага :D и я думаю не мне одному лол.
— Мань, «Рога и копыта» договор прислал?
— Да, а что?
— Перешли мне пожалуйста, шеф просил кое-что глянуть...


Что против этого сделает Microsoft Exchange Server 2010 с последними апдейтами?
Меня всё же дело техники™ интересует а не методы социнжениринга ;)
Т.е. допустим у Мани нет договора, ваш ход?
Мне кажется, «дело техники» тут упоминается как поговорка. То есть, если человек внутри, то он всегда найдёт способ добыть информацию.
А мне кажется, что автор статьи немного м-м-м… скажем так, ошибается ;)
При всём уважении.
Возможно, не совсем в тему, но полностью зашифрованный и анонимный IM, которым было бы удобно пользоваться, уже есть и называется torchat. В e-mail можно обменяться логинами от torchat, а всю важную информацию, включая документы, передавать через него. Безопасники, обрезающие сотрудникам Tor, будут в ужасе, но зато никакие конкуренты на канале не засядут и из почтовика информацию не достанут.
Как ни печально, продвинутая техника шифрования, как бы легка в использовании и красива она ни была, не спасёт, если, например, в вашем компьютере поселят backdoor, который делает снимки экрана и отправляет их в сеть. Поэтому лучший способ шифрования – не писать писем. Девиз «Надо чаще встречаться» приобретает в этом контексте новое звучание.

Если Вы совсем параноик — создаёте специальную виртуальную машину, с которой будете писать письма. Настраиваете правило файерволла на реальной машине, запрещающее этой виртуалке доступ куда-либо, окромя IP мыльного сервера. Дублируете его на роутере. Возвращаете машинку к снапшоту после использования.

Правда, это Вас не спасёт в случае:
1. Зловред повысит привелегии с виртуальной машины на реальную (которая лучше бы должна быть на линуксе) и отменит правила файерволла. Потом пролезет на роутер, похакает его и там тоже правила поменяет. Потом похакает весь интернет через Вас — чего уж там мелочиться в фантазиях.
2. От человека, который стоит за плечом и подсматривает за Вами в подзорную трубу. Так что пишите письма из тёмного подвала. Правда, есть видеокамеры, которые умеют снимать в ночи. Поэтому понадобится ещё и охрана — нанятые Вами люди, которые будут этот подвал проверять на электронные жучки.
3. В случае использования против Вас Терморектальный криптоанализатора

P.S. Почитайте на досуге Защита информации от несанкционированного доступа в современных компьютерных системах. В частности, обратите внимание, что задача защиты — в том, чтобы атакующему было экономически не выгодно производить атаку, обходя обустроенную защиту информации. А не в том, чтобы это было в принципе невозможно. Ибо такого никогда не будет в силу теоремы о бесконечных обезьянах.
А когда освоите это — поинтересуйтесь на тему модели злоумышленника. Может, прозреете
Как ни печально, продвинутая техника шифрования, как бы легка в использовании и красива она ни была, не спасёт, если, например, в вашем компьютере поселят backdoor, который делает снимки экрана и отправляет их в сеть.


Поселите бекдор в мою убунту…
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.