Продолжение шпионских страстей

Предыстория

Сергей-4030]Довольно сильно связан. Мой дедушка на складе в компьютерном магазине работал. Да я сам мала-мала Software Developer.
И это удручает. Ну, ничего. Пройдет время, поднаберетесь опыта - и не будете с голой задницей на шашки кидаться.

 

Ах вот как, наезды пошли. Ну-ну, пройдемся, посмотрим на вашу голую задницу.

1. Стандартных почтовых протоколах, использующих шифрацию данных, как на прием, так и на передачу.
Как это вы будете широко мониторить сессии с неизвестными протоколами, а? И с какой это стати вы думаете, что нет хреновой тучи таких неизвестных протоколов, но при том ничуть не подозрительных?
Ага?

 

Так и запишем - человеку ответить нечего. Некомпетентен.

Сергей-4030]2. Проприетарных НЕ ПОЧТОВЫХ протоколах. Примеров - не счесть.
Ну-ка, поподробнее об использовании такого протокола при соединении с mail.ru.

 

Разъясняю. Про mail.ru я упомянул всего один раз - да, забыл, что mail.ru посылает данные без шифрации. Еще одна причина не пользоваться mail.ru, а пользоваться другими провайдерами бесплатной почты, более адекватными, как-то : hotmail.com ( веб-клиент - https ), gmail.com (вебклиент шифрованный, прием-передача через почтовые протоколы - тоже).

Сергей-4030]Даже сам факт передачи не зафиксируете.
Гы . Неужели телепатия?

 

Понятно, опять имеет место быть некомпетентность. OK, подставная фирма ЦРУ в США организовывает свой сайт онлайновых игр. Протокол, естественно, проприетарный. Внутри протокол шифрован. При работе с "нормальными" "легальными" клиентами используется такой-то набор команд. При работе со шпионом - добавляется еще пара/тройка команд ПЕРЕДАЮЩИХСЯ ВНУТРИ ЗАШИФРОВАННОГО СЕГМЕНТА. Сторонний сниффер содержимого зашифрованного потока не знает, т.е. не может отличить "нормальную" работу от передачи шпионских данных. Т.е. сам факт передачи не фиксируется. Не телепатия.

Сергей-4030]А если точно не знаете и прослушиваете "на всякий случай" тысячу-другую пользователей - умрете молодым, пытаясь чего-нибудь обнаружить.
А мне, сотруднику спецслужб, и не надо тысячу-другую. Мне нужен конкретный человек с конкретным адресом. Как вариант, конкретный сервер с конкретным адресом.

 

Понятно, имеет место быть некомпетентность. Разъясняю. Подставная фирма/подставной человек ЦРУ открыла сайтик про аквариумных рыбок на сервере в США, называется http://www.auqariumismylove.com (адрес, естественно, чистый, никакого отношения к ЦРУ не имеющий). Вася Иванов, занимающийся рыбками из своего дома связывается с этим сайтиком. Вопрос - что уважаемый слоник хочет здесь подозрительного обнаружить?

Сергей-4030]Уж извините. Я вам бесперестанно талдычу, как конкретно МОЖНО организовать канал, а вы вместо того, чтоб указать, как можно мой канал хакнуть, повторяете, как попугай - "крутые хацкеры из ФСБ все могут". Как это еще назвать-то?
Это назвать недопониманием. Вам в ответ беспрестанно талдычат, что в общем случае никто не станет заниматься хаканием канала. Идут либо от агента к шпиону, либо от шпиона к агенту. А Вы повторяете как попугай - "я круто организую канал, который никто не сможет хакнуть". Как это еще назвать-то?

 

Понятно, опять имеет место быть некомпетентность. Уже многократно было повторено - если агент уже под подозрением, все уже провалено. Вопрос - вы понимаете, что если вы прослушиваете сотню или тысячу подозреваемых, то вы не сможете обращать внимание на каждый запрос Васи к сайту http://www.auqariumismylove.com? Ибо если будете - то вам придется обрабатывать вообще каждый запрос?

Сергей-4030]Да что вы говорите? Ну, ладно, вот я скачиваю страничку. У меня, понятно, на страничке пятьдесят картинок/иконок. По каждой устанавливается отдельный коннект на верхних портах. Это подозрительно, а?
А откуда мне знать - подозрительно или нет? Этот вопрос Вы направьте в общественную приемную ФСБ - глядишь, и ответят.

 

Понятно, так и запишем - уход от ответа.

Сергей-4030]Как это вы, интересно, отследите "подозрительное" соединение на каждом из пятидесяти коннектов? А если я в день открыл пятьдесят страничек? А если таких, как я, на сегменте - примерно пять тыщ сто шестьдесят семь человек? Объясните поподробнее, пожалуйста, как это вы собрались мониторить, а?
Да проще простого. Меня интересует в первом приближении не сам канал, а сервер, куда Вы отправите инфу. А дальше я уже найду способ сузить сферу интересов.

 

Повторяю. Сервер http://www.auqariumismylove.com открыт в этот же день (или за три года до этого, но никогда не пользовался для нелегальщины, только для "честной" работы подставной фирмы). Вопрос - почему ваш фильтр обратит внимание на этот сервер?

Попробую объяснить попроще. Обрабатывать весь поток инфы в Инете - бесполезная трата времени, никаких мощностей не хватит. Значит, задача - грамотно построить систему фильтров.
Собственно, этим занимается любой аналитик больших объемов информации.

 

Спасибо за любезность. Складывается впечатление, что "попроще" надо объяснять вам.

Сергей -4030, вы можете четко изложить тезисы, которые вы хотите доказать?

Я так понимаю, первый из них-

1.Что можно зашифровать трафик так, что это не будет выглядеть подозрительно?

Насколько я понимаю, с этим спорить никто не будет...

Всем: Давайте дальше, без политики и наездов. Чисто технические задачи. Организовать очень не подозрительный канал - и сделать так, чтобы такие каналы можно было обнаружить

1.Что можно зашифровать трафик так, что это не будет выглядеть подозрительно?

 

Да, первый и единственный тезис. Принципы организации я уже неоднократно приводил (а можно придумать и поинтереснее).

Давайте дальше, без политики и наездов.

 

Не я начал наезды. Впрочем, вполне согласен дальше без наездов и политики.

---

Насколько я понимаю, с этим спорить никто не будет...

 

slonik, Chrom и ААЗ спорят.

Они, насколько я понял, спорят о том, что такой канал таки возможно относительно легко обнаружить и вскрыть - если его наличие предполагается по каким-то другим данным.

По-моему, так как раз нет. Вроде все согласились, что если агента уже взяли в проработку, то ему уже труба, хоть с беспроводным камнем, хоть с шифрованной почтой. Но Chrom утверждает, что ФСБ трояна всем запустит в пять минут. Слоник - что недокументированные протоколы малоиспользуемы. Ааз- что провайдеру ничего не стоит хакнуть https соединение его клиента.

Я думаю, что трафик людей, допущенных к секретам, периодически мониторится. И отклонения исследуются. Особенно если трафик "почему-то" шифрованный.

Не помню откуда- но ЕМНИП, библиотекарь в "секретных" местах, кроме всего, ведёт учёт получаемой литературы, и если читатель берет книги, не относящиеся к его работе - сообщает в 1 отдел о "подозрительном трафике"

Я думаю, что трафик людей, допущенных к секретам, периодически мониторится. И отклонения исследуются. Особенно если трафик "почему-то" шифрованный.

 

Как? Во-первых - не всегда очевидно, что он шифрованный. Во-вторых - всякие SSL-TLS стали абсолютно обыденным явлением. Если я, помощник инженера на заводе в 1000 человек каждодневно открываю пять https соединений - что тут такого? Если у меня ребенок играет в RuneScape какой-нибудь - это криминал? Если у меня на мэйлере PGP - это что-то необычное и подозрительное?

Сергей-4030] Нет, неочевидно. Впрочем, вы же мне объясните, правда? Итак, десять тысяч человек ежедневно просят провайдеров (ну, или агентов ФСБ - как угодно) отнести зашифрованные письма то туда, то сюда - в банк, другу, куда заблагорассудится. А шпионское - взяли и сразу разглядели. Механизм не подскажете?
Дальше смотрят адреса отправителя и получателя (это ведь проблем не вызывает?). Из банка или в банк - нормально. А вот если Вася Пупкин пишет шифровку Джону Смиту, то надо этого Васю "просветить". И сколько таких Вась наберется?

Дальше смотрят адреса отправителя и получателя (это ведь проблем не вызывает?). Из банка или в банк - нормально. А вот если Вася Пупкин пишет шифровку Джону Смиту, то надо этого Васю "просветить". И сколько таких Вась наберется?

 

Я боюсь, что проблемы вызовутся. Я уже приводил пример - существует подставная контора ЦРУ, называется "Мои любимые рыбки". Работает на рынке аквариумных рыбок, продает фильтры всякие, самих рыбок и т.п, никогда ни в чем не засвечена, зарегистрирована в Швеции, хостинг в Таиланде. У Васи как раз тоже аквариум. Вася частенько почитывает http://www.mylovingfishes.com - там все честь по чести, про рыбок всяких, как кормить, на каком масле жарить. Иногда Вася пописывает в ихний форум - вот как вы в здешний. Форум шифрован - бывает. Или Вася раз в месяц подписывается на free copy ихнего журнальчика - а там, чтобы заказать, нужно зайти в "корзину покупок", а она тоже шифрована - это вообще всеобщая практика. Подозрительно? Да ни в малейшей мере, половина пользователей это делают. Вскрыть-проверить? Извините, не сегодня.


ЗЫ И это еще самоочевиднейшие вещи, когда Вася сам ничего не скрывает - все протоколы документированные-задокументированные, все ясно-понятно. А ведь никто не мешает ему делать штучки куда как более тонкие. Настолько тонкие, что перечисленное мною - слон в посудной лавке.

Это понятно. Но я например, думаю, что при малейшем подозрении у Васи в квартире (а может, не в квартире, а даже на лестничной клетке) появляется "жучок". Который передаёт "куда надо" все нажатия на клавиатуру. И если чисто - снимается...

Любая защита прочна настолько, насколько прочно её самое слабое звено...

Бесплатно дарю ещё идею.
Жучок в ... блоке питания компа.... вынос инфы - по 220 в....

Это понятно. Но я например, думаю, что при малейшем подозрении у Васи в квартире (а может, не в квартире, а даже на лестничной клетке) появляется "жучок". Который передаёт "куда надо" все нажатия на клавиатуру. И если чисто - снимается...

 

Так о том и речь - с какой стати с беспроводным камнем меньше подозрений появится? А Вася же может но только из дома коннектиться, правда?

PS Кстати, нажатия на клавиатуру вовсе не так легко фиксировать. На каких-то клавиатурах - да. На каких-то - хрен чего зафиксируете.

Сергей-4030] Я уже приводил пример - существует подставная контора ЦРУ, называется "Мои любимые рыбки".
Угу. И у Васи и его американских друзей есть ПОЛНАЯ гарантия, что соответствующие люди не знают, кто является "крышей" этой конторы? Потому как если такой гарантии нет, то сажать ценного агента на потенциально "паленый" канал связи - это уже, как Вы понимаете, можно только в обсуждении на форуме...

Сергей-4030] У Васи как раз тоже аквариум.
А вот это никого не колышет. Важно, где Вася работает. Если на "Регионе" - будет взят в плотную разработку. Если торгует носками на рынке - ну, и слава богу. "Секретоносителем" не является (в первом приближении). Проверят во втором. Чист - все списано в архив с пятилетним сроком хранения.

Сергей-4030] Подозрительно? Да ни в малейшей мере, половина пользователей это делают.
Что именно? Шляется по малоизвестным форумам аквариумных рыбок?

Сергей-4030] Вскрыть-проверить? Извините, не сегодня.
А вот это расшифруйте, плиз...

Сергей-4030] А ведь никто не мешает ему делать штучки куда как более тонкие. Настолько тонкие, что перечисленное мною - слон в посудной лавке.
Вот только двух вещей Вы не можете понять:
1) Чем "тоньше" штучки, тем быстрее начнется "традиционная" работа вокруг этого "штучника". И занимаются фиксацией наличия таких штучек (только фиксацией - о расшифровке речь не идет) не меньше двух (это то, что я знаю) специализированных институтов, в которых работают не самые глупые люди...
2) Палка о двух концах - в сети никогда нельзя быть уверенным, что канал связи не "засветился" откуда-то "сбоку" (в т.ч. и в реале). А такая "засветка" - это уже гарантированный провал агента...

У системы есть только один принципиальный недостаток - она "заткнется", если вдруг значительное количество пользователей целенаправленно начнет заниматься подобными "тонкими штучками" просто для прикола. Но это никому на фиг не надо...

Угу. И у Васи и его американских друзей есть ПОЛНАЯ гарантия, что соответствующие люди не знают, кто является "крышей" этой конторы? Потому как если такой гарантии нет, то сажать ценного агента на потенциально "паленый" канал связи - это уже, как Вы понимаете, можно только в обсуждении на форуме...

 

Это, извините, фигня. С какой стати он паленый? А сажать на потенциально паленый беспроводной камень - это чем лучше-то, не понимаю? Или вы думаете, что если ЦРУ организует подставную компанию, то они объявление пишут - "это подставная компания ЦРУ"? Вы вроде начали с того, что провайдер любую информацию, переданную через https как два пальца... а теперь какие-то "паленые каналы связи..."

А вот это никого не колышет. Важно, где Вася работает. Если на "Регионе" - будет взят в плотную разработку. Если торгует носками на рынке - ну, и слава богу. "Секретоносителем" не является (в первом приближении). Проверят во втором. Чист - все списано в архив с пятилетним сроком хранения.

 

Опять двадцать пять. ЧТО они проверят-то? (Не забываем - Вася пока не под "колпаком", проверка - не с пристрастием, просто сниффер статистику читает). Он что, не имеет права про аквариумных рыб читать?

А вот это расшифруйте, плиз...

 

Пожалуйста. То, что Вася на рыбный сайт вошел - видно. Какую информацию он получает/передает - снифферу не видно.

Вот только двух вещей Вы не можете понять:
1) Чем "тоньше" штучки, тем быстрее начнется "традиционная" работа вокруг этого "штучника". И занимаются фиксацией наличия таких штучек (только фиксацией - о расшифровке речь не идет) не меньше двух (это то, что я знаю) специализированных институтов, в которых работают не самые глупые люди...
2) Палка о двух концах - в сети никогда нельзя быть уверенным, что канал связи не "засветился" откуда-то "сбоку" (в т.ч. и в реале). А такая "засветка" - это уже гарантированный провал агента...

 

Ну-ну. Вы извините, но вроде решили без наездов. Как https работает вы не знаете, а "тонкость штучек" оценивать горазды - да еще с каким-то дурацким высокомерием, мол мы-то знаем, а вам-то не скажем. На любые конкретные вопросы у вас с Слоником один ответ - есть такие чудо-богатыри в ФСБ, им все это расшифровать - раз плюнуть. Ссылку на какого-нибудь чудо-богатыря и на его расшифровку, плиз.

Сергей-4030] Это, извините, фигня. С какой стати он паленый?
Еще раз: какие гарантии могу существовать, что этот канал не "засвечен"?

Сергей-4030] А сажать на потенциально паленый беспроводной камень - это чем лучше-то, не понимаю?
А это уже оценивают вероятностно. Не обязательно с точными расчетами, но оценивают, как могут.
Видимо, британцы посчитали, что верояность "засветки" в сети выше, чем при такой связи. Это Вы как гипотезу, имеющую право на существование, можете принять?

Сергей-4030] Вы вроде начали с того, что провайдер любую информацию, переданную через https как два пальца...
Вы мне не приписывайте, плиз, того, что я не говорил. Я всего лишь сказал, что есть возможность отследить "нетипичные" контакты - и не более того...

Сергей-4030] Опять двадцать пять. ЧТО они проверят-то? (Не забываем - Вася пока не под "колпаком", проверка - не с пристрастием, просто сниффер статистику читает). Он что, не имеет права про аквариумных рыб читать?
Имеет... Но если Вы мне скажете, что аквариумный форум с "хитрой" кодировкой - это правило, а не исключение, то я выражу некоторые сомнения... А "нехитрая", как Вы понимаете, колется.

Сергей-4030] То, что Вася на рыбный сайт вошел - видно. Какую информацию он получает/передает - снифферу не видно.
С полной гарантией "не видно"? Если так, то пора Васю шерстить...

Сергей-4030] Вы извините, но вроде решили без наездов.
Если Вы это так восприняли, то примите мои извинения.

Сергей-4030] Как https работает вы не знаете,..
А Вы полагаете, что знание работы https дает достаточные преимущества для обсуждения таких нюансов безопасности?

Сергей-4030] ...а "тонкость штучек" оценивать горазды - да еще с каким-то дурацким высокомерием, мол мы-то знаем, а вам-то не скажем.
То, что Вы считаете высокомерием, вызвано всего лишь невозможностью рассказывать все, что знаешь.

Сергей-4030] ...есть такие чудо-богатыри в ФСБ, им все это расшифровать - раз плюнуть.
Насчет "чудо-богатырей" не знаю, но кое-какие контакты из одного института у меня были...
То, что мне в свое время объяснили "на пальцах", по мере возможности стараюсь просто воспроизвести.

Сергей-4030] Ссылку на какого-нибудь чудо-богатыря и на его расшифровку, плиз.
Вам самому не смешно? Тут вон выражали сомнения даже в "правомерности" цитирования н/с инструкции 10-летней давности...

Я же просил без наездов....

То есть, я так понимаю, второй тезис Сергея-4030 - анализируя трафик сниффером, принципиально невозможно выявить людей, имеющих подозрительные контакты.

Третий тезис - что надёжной может быть связь через специально организованный сайт с подставным контентом.

---

По поводу второго тезиса.

Начальнику 1 отдела кастрюльного завода №4 МинСредМаша.
В ходе плановой проверки отдела 24 (системы кондиционирования) проанализирован трафик Петьки, Машки, Сашки, Равиля, Кима , Кольки и Наталки.

Все лазают на google, холостяки Петька и Сашка еще - по бабам на ххх сайты, Равиль сидит на Sukhoi.Ru (он там модератор), музыкант-любитель Ким - по сайтам англоязычной эстрады (в основном http://lyrics.com), и периодически на сайт BBC (http://news.bbc.co.uk). Равиль качает гигабайты видео, Колька постоянно ходит на сайт сайте https://talksaboutweather.uk, Наталка на 7я.ру: все о детях и семье. Семейный портал: семья, беременность и роды, дети, образование, карьера, красота и здоровье, дом, путешествия, досуг и хобби., Машка на at Crossstitch.com

Кого будем проверять дальше?

---

Третий тезис.
Речь о том, что такой сайт может быть скомпрометирован "кротом"... И тогда автоматом все, кто там бывает часто, видят небо в ....алмазах...

То есть, я так понимаю, второй тезис Сергея-4030 - анализируя трафик сниффером, принципиально невозможно выявить людей, имеющих подозрительные контакты.

 

Не так. Разумеется, если вы шлете на lllbase64_save_formatlllPHNjcmlwdCB0eXBlPSJ0ZXh0L2phdmFz# #Y3JpcHQiPjwhLS0KZG9jdW1lbnQud3Jp# #dGUoJzxhIGhyZWY9JysnIicrJ21hJysn# #aScrJ2x0bycrJzonICsndm9nLmFpY0Bm# #ZWloYycuc3BsaXQoJycpLnJldmVyc2Uo# #KS5qb2luKCcnKSArJyI+JykKLS0+PC9z# #Y3JpcHQ+Y2hpZWY8c3BhbiBzdHlsZT0i# #Y29sb3I6IHJlZDsiPjxpbWcgc3JjPSIv# #X2JvcnMvaS9ydC5naWYiIHdpZHRoPSIx# #NiIgaGVpZ2h0PSIxNiIgYWxpZ249ImFi# #c21pZGRsZSIvPjwvc3Bhbj5jaWEuZ292# #PHNjcmlwdCB0eXBlPSJ0ZXh0L2phdmFz# #Y3JpcHQiPjwhLS0KZG9jdW1lbnQud3Jp# #dGUoJzwvJysnYT4nKQotLT48L3Njcmlw# #dD4=# #rrrbase64_save_formatrrr через нешифрованный SMTP письма вроде "Вода в городском водопроводе отравлена, жду дальнейших указаний" - то сниффер вас выявит. Речь о том, что невозможно сниффером выявить подозрительную активность, если пользователь предусмотрителен. Вернее в единичных случаях - можно, если сверхсуперэвм поставить на прослушку одного пользователя. Массовые прослушки - невозможны.

Речь о том, что такой сайт может быть скомпрометирован "кротом"... И тогда автоматом все, кто там бывает часто, видят небо в ....алмазах...

 

А что не может быть скомпрометировано?

---

А это уже оценивают вероятностно. Не обязательно с точными расчетами, но оценивают, как могут. Видимо, британцы посчитали, что верояность "засветки" в сети выше, чем при такой связи. Это Вы как гипотезу, имеющую право на существование, можете принять?

 

А вот это неизвестно - то ли британцы так посчитали, то ли ФСБ считает русским быдлом, которому можно впарить все, что хошь. Учитывая наглую и хамскую позицию "НПО==шпионы" в обсуждаемом пресс-релизе, я совсем не уверен, что там британцы посчитали.

Имеет... Но если Вы мне скажете, что аквариумный форум с "хитрой" кодировкой - это правило, а не исключение, то я выражу некоторые сомнения... А "нехитрая", как Вы понимаете, колется.

 

Именно правило. Уж "корзина"-то зашифрованная - это стандарт. И кодировка - нет, не хитрая, обычный SSL. Но вот такой уж парадокс - не колется, хоть и не хитрая. Просто стандартное нормальное шифрование.

С полной гарантией "не видно"? Если так, то пора Васю шерстить...

 

С более, чем достаточной для того, чтобы снифферу было слабо расшифровать. Если Васю пора шерстить - значит и всех. Вот вы hotmail.com пользуете? Значит, и вас пора.

То, что Вы считаете высокомерием, вызвано всего лишь невозможностью рассказывать все, что знаешь.

 

Ну так тогда и не начинайте, коли доказать не можете.

Сергей-4030] А вот это неизвестно - то ли британцы так посчитали, то ли ФСБ считает русским быдлом,..
Ну, с человеком, в ответ на сугубо технический вопрос сворачивающим на подобные тезисы, дискутировать бесполезно... Вы явно поторопились с "Политического" уйти?

Ну, с человеком, в ответ на сугубо технический вопрос сворачивающим на подобные тезисы, дискутировать бесполезно... Вы явно поторопились с "Политического" уйти?

 

Как вам будет угодно. Вы же выдвинули гипотезу, что

Видимо, британцы посчитали, что верояность "засветки" в сети выше, чем при такой связи. Это Вы как гипотезу, имеющую право на существование, можете принять?

 

Это, вы полагаете, очень технический вопрос?

Почему я не могу выдвинуть гипотезу, что ФСБ просто сфабриковала это дело, дабы наехать на НПО? Пока что я вижу очень хорошую вероятность вранья про "беспроводной камень" (доказательством чего сего обсуждение) - почему ж не пойти дальше?

Сергей-4030, подскажите, а где на hotmail.com шифровка почты ?
в примере, который вы привели выше используется ключ у отправителя и получателя, ну и т.д.
а как в hotmail'е ? просто у меня там лежит резервный ящик, иногда пользуюсь, но никакой ссылочки на шифровку я не замечал

В винде дырок полно, через которые можно троянов пустить. Да и не только одним программированием дело ограничиваться может. Можно, к примеру, поставить скрытую видеокамеру и снять процесс набора всех ваших паролей на клавиатуре. Тут уж вобще никаким программированием не спасешься. Очень многие защиты обходятся загрузкой со своего системного диска. Антивирусы вообще-то не очень хорошо находят неизвестные им трояны, особено если их писал умеющий человек. Эффективность эвристического поиска у троянов - так себе.

Подавляющее большинство инета пользуется достаточно небольшим набором криптографических протоколов: SSMTP для шифрованной почты, TLS и SSL - для сайтов, VPN и IP-Secure для защищеных сетей. Есть еще кое-что, но не суть важно. В основе вышеперечисленой криптографии лежит инфраструктура Windows-PKI с ее цифровыми сертификатами пользователя и устанавливаемыми в винду модулями криптографии - криптопровайдерами. Вся эта байда очень легко идентифицируется хотя бы по обмену стандартными ключевыми сертификатами. Так же легко определяется и тип используемых криптопровайдеров. Подавляющее большинство юзеров использует вставленный в винду по умолчанию базовый или расширенный майкрософтовский криптопровайдер. Более сильными модулями пользуются немногие и это уже признак, по которому можно выделять клиентов, стоящих повышенного внимания и усиленного мониторинга. Рассмотрим другую ветвь криптографии для масс - это PGP. Этот тип криптографии используется в электронной почте, а в других приложениях встречается крайне редко и совершенно не используется для шифрования на сетевом уровне. Так же легко идентифицируем по обмену связками ключей и стандартным форматам шифрованных файлов. В настоящее время уступает свои позиции в связи с сильной конкуренцией со стороны более универсанльной и простой для пользователя Widows-PKI и недостаточной поддержки его серьезными программистскими компаниями. По сути все держится на энтузиастах, а их становится все меньше.

Вот, в общем, практически и все из реально использующейся в сети серьезной криптографии. Отсальное либо реализовано на базе этих решений, либо встречается очень редко и представляет собой ну очень специфический софт для очень специфических задач. Самопальные криптографические программы, особенно пишушиеся по ходу дела для решения своих задач программистами тех игрушек сложно назвать серьезной криптографией. Мало использовать сильный криптоалгоритм. Нужно еще правильно реализовать его в программе, чтобы не осталось дыр и обходных путей, по которым она потом будет взломана. Такие программы часто напоминают сейфовый замок, висящий на ветхих деревянных воротах и дырявом заборе.

Теперь после лирического отступления вернемся к нашим баранам, т.е. троянам. Конкретно с криптографией можно много чего намутить. К примеру большинство современных программ шифрования шифруют траффик симметричным криптоалгоритмом на случайно сгенеренном сеансовом ключе шифрования, который затем шифруется несимметричным алгоритмом на постоянном открытом ключе получателя и пересылается вместе с сообщением. Вмешательтвом в операционную систему(если программа использует системный датчик случайных чисел) или подменой самой программы или ее части можно добиться того, что случайный сеансовый ключ будет не совсем случаен и переписка будет доступна для чтения. Причем самое интересное: обе стороны это могут никогда не заметить. Так же можно поиграться с подменой сертификатов или связок ключей шифрования. Это называется атака "человек посередине" и выглядит примерно так:

1. Залезаем на комп любителя секретов и копируем себе открытый ключ адресата, которому он шлет шифрованные письма.

2. Подменяем на компьютере любителя криптографии открытый ключ адресата на открытый ключ оперативно-технического отдела ФСБ. Заодно подменяем и все ключи, которыми подписан ключ адресата, дабы не сработала тревога при проверке цепочки доверия.

3. На узле провайдера нашего доморощенного штирлитца перехватываем шифрованный траффик и блокируем его дальнейшую передачу. Затем расшифровываем его своим ключом, что несложно, т.к. пользователь-то думая, что шифрует на адресата, на самом деле шифрует подмененным ключом на чекистов. После этого расшифрованный траффик подшиваем к делу, а чтобы никто ничего не заподозрил - шифрем его теперь уже на адресата(его открытый ключ ведь у нас есть) и отправляем по назначению.

Т.к. все российские провайдеры подконтрольны спецслужбам, то технически нет ничего невозможного в том, чтобы встроиться в траффик и перешифровывать его на узле российского провайдера при необходимости.

В общем, там много чего можно наворотить имея доступ к компьютеру даже несмотря на сильные криптоалгоритмы. Сам по себе стойкий криптоалгоритм - это не панацея, есть очень много методов его обхода. Пару этих методов я Вам описал.

Сергей-4030, подскажите, а где на hotmail.com шифровка почты ?
в примере, который вы привели выше используется ключ у отправителя и получателя, ну и т.д.
а как в hotmail'е ? просто у меня там лежит резервный ящик, иногда пользуюсь, но никакой ссылочки на шифровку я не замечал

 

У них вроде web-client работает через https. По крайней мере, логин, насколько я помню. Впрочем, я сейчас почти исключительно gmail'ом пользуюсь, мог и забыть. У gmail'а в этом смысле точно все хорошо.

логинится-то да, через SSL
а потом безопасное соединение закрывается и отправка почты - без всякой шифровки
так что этот пример - не в кассу

логинится-то да, через SSL
а потом безопасное соединение закрывается и отправка почты - без всякой шифровки
так что этот пример - не в кассу

 

Ну, значит и hotmail - в корзину. Остановимся на gmail - там все без обмана.

---

2. Подменяем на компьютере любителя криптографии открытый ключ адресата на открытый ключ оперативно-технического отдела ФСБ. Заодно подменяем и все ключи, которыми подписан ключ адресата, дабы не сработала тревога при проверке цепочки доверия.

 

Тогда уж легче любителя просто убить и не париться.

---

Подавляющее большинство юзеров использует вставленный в винду по умолчанию базовый или расширенный майкрософтовский криптопровайдер.

 

То есть, вы способны такую криптографию раскалывать в реальном времени? И причем одновременно на тысяче клиентов? Сильны!

---

Самопальные криптографические программы, особенно пишушиеся по ходу дела для решения своих задач программистами тех игрушек сложно назвать серьезной криптографией. Мало использовать сильный криптоалгоритм. Нужно еще правильно реализовать его в программе, чтобы не осталось дыр и обходных путей, по которым она потом будет взломана.

 

То есть, вы думаете, что у ЦРУ не хватит денег нормально реализовать?

---

Третий тезис.
Речь о том, что такой сайт может быть скомпрометирован "кротом"... И тогда автоматом все, кто там бывает часто, видят небо в ....алмазах...

 

А кстати, тоже не факт. Вот допустим, ФСБ выяснило, что у gmail'а есть шпионский бэкдор (скажете, невозможно, что gmail с ЦРУ сотрудничает?). И что теперь - арестовывать всех, кто на gmail почту держит?

Сергей, я просил без политики. Это ЕЩЁ раз.

Четвёртый тезис Сергея 4030, очевидно, таков, что надо анализировать трафик ВСЕХ граждан страны. Настойчивые намёки, что анализировать следует ТОЛЬКО тех, кто 1. "имеет форму" 2. пользуется защищёнными протоколами и сугубо, двугубо и многогубо - пересечение 1+2 - почему-то игнорируются.

Я думаю на Базе есть люди от провайдеров, способные выдать статистику - какие сайты с https посещают их клиенты. И какой процент в общей массе составляет этот трафик.