-
Сергей-4030: Все сообщения за 25 Января 2006 года
| Пн | Вт | Ср | Чт | Пт | Сб | Вс |
|---|---|---|---|---|---|---|
| 1 | ||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 |
| 23 | 24 | 25 | 26 | 27 | 28 | 29 |
| 30 | 31 |
Дальше смотрят адреса отправителя и получателя (это ведь проблем не вызывает?). Из банка или в банк - нормально. А вот если Вася Пупкин пишет шифровку Джону Смиту, то надо этого Васю "просветить". И сколько таких Вась наберется?
Я боюсь, что проблемы вызовутся.
Я уже приводил пример - существует подставная контора ЦРУ, называется "Мои любимые рыбки". Работает на рынке аквариумных рыбок, продает фильтры всякие, самих рыбок и т.п, никогда ни в чем не засвечена, зарегистрирована в Швеции, хостинг в Таиланде. У Васи как раз тоже аквариум. Вася частенько почитывает http://www.mylovingfishes.com - там все честь по чести, про рыбок всяких, как кормить, на каком масле жарить. Иногда Вася пописывает в ихний форум - вот как вы в здешний. Форум шифрован - бывает. Или Вася раз в месяц подписывается на free copy ихнего журнальчика - а там, чтобы заказать, нужно зайти в "корзину покупок", а она тоже шифрована - это вообще всеобщая практика. Подозрительно? Да ни в малейшей мере, половина пользователей это делают. Вскрыть-проверить? Извините, не сегодня.ЗЫ И это еще самоочевиднейшие вещи, когда Вася сам ничего не скрывает - все протоколы документированные-задокументированные, все ясно-понятно. А ведь никто не мешает ему делать штучки куда как более тонкие. Настолько тонкие, что перечисленное мною - слон в посудной лавке.
инфо
инструменты
Действительно ли это так просто, как тут утверждалось?
Пока что нет, к сожалению.
Но вот скоро ФСБ передаст ЦРУ свои рецепты чудо-троянов - и тогда-то держитесь, проклятые террористы! Мы вам в пять минут не то, что в компьютеры - в наручные часы троянов загрузим! Да что там - в каждую чугунную сковородку!
Гы
Понятно. Отец у меня году в 83-84 получал за 600, мама - под двести. 40 кг. в месяц нам нафиг не нужно было, килограмм двадцать за глаза бы хватило. Но они, значится, так вот страдали со свиньями, с картошкой своей и прочим огородом... Понятно. А вы знаете, slonik, как оно, скажем, сотку-другую целины (2-3 см дерн и перегной, потом-глина) под картошечку ручками (лопатой в смысле) вскопать? А пробовали, скажем, за свиньей убрать разочек?
Это понятно. Но я например, думаю, что при малейшем подозрении у Васи в квартире (а может, не в квартире, а даже на лестничной клетке) появляется "жучок". Который передаёт "куда надо" все нажатия на клавиатуру. И если чисто - снимается...
Так о том и речь - с какой стати с беспроводным камнем меньше подозрений появится? А Вася же может но только из дома коннектиться, правда?
PS Кстати, нажатия на клавиатуру вовсе не так легко фиксировать. На каких-то клавиатурах - да. На каких-то - хрен чего зафиксируете.
Единственный баг с картошкой - часто пропалывать надо. Полоса метров 120м*~7м проходится 5-6 людьми за 3-4 часа. Картошки хватало бабушке с дедушкой+несколько мешков в год отцу перепадало+ несколько - его сесте. Жить можно. С свинкой тоже особых проблем не припомню.
А вы все ж таки покопайте-ка целину, посмотрите. Мы в 1983 переехали в новый дом и нужно было по новой вскапывать огород (соток 10). Хуже ничего не придумаешь. А со свинкой - так вы убирали хлев за ней, или нет? Не забудьте, что всей этой фигней мой отец занимался после не слишком нормированного рабочего дня. Ну не хотел на рынок идти и все тут!
Интересно, а как у него дверки без ручек открывать?
А кто вам сказал, что дверки закрывались?
Угу. И у Васи и его американских друзей есть ПОЛНАЯ гарантия, что соответствующие люди не знают, кто является "крышей" этой конторы?
Это, извините, фигня. С какой стати он паленый? А сажать на потенциально паленый беспроводной камень - это чем лучше-то, не понимаю? Или вы думаете, что если ЦРУ организует подставную компанию, то они объявление пишут - "это подставная компания ЦРУ"? Вы вроде начали с того, что провайдер любую информацию, переданную через https как два пальца... а теперь какие-то "паленые каналы связи..."
А вот это никого не колышет. Важно, где Вася работает. Если на "Регионе" - будет взят в плотную разработку. Если торгует носками на рынке - ну, и слава богу. "Секретоносителем" не является (в первом приближении). Проверят во втором. Чист - все списано в архив с пятилетним сроком хранения.
Опять двадцать пять. ЧТО они проверят-то? (Не забываем - Вася пока не под "колпаком", проверка - не с пристрастием, просто сниффер статистику читает). Он что, не имеет права про аквариумных рыб читать?
А вот это расшифруйте, плиз...
Пожалуйста. То, что Вася на рыбный сайт вошел - видно. Какую информацию он получает/передает - снифферу не видно.
Вот только двух вещей Вы не можете понять:
1) Чем "тоньше" штучки, тем быстрее начнется "традиционная" работа вокруг этого "штучника". И занимаются фиксацией наличия таких штучек (только фиксацией - о расшифровке речь не идет) не меньше двух (это то, что я знаю) специализированных институтов, в которых работают не самые глупые люди...
2) Палка о двух концах - в сети никогда нельзя быть уверенным, что канал связи не "засветился" откуда-то "сбоку" (в т.ч. и в реале). А такая "засветка" - это уже гарантированный провал агента...
Ну-ну. Вы извините, но вроде решили без наездов. Как https работает вы не знаете, а "тонкость штучек" оценивать горазды - да еще с каким-то дурацким высокомерием, мол мы-то знаем, а вам-то не скажем. На любые конкретные вопросы у вас с Слоником один ответ - есть такие чудо-богатыри в ФСБ, им все это расшифровать - раз плюнуть. Ссылку на какого-нибудь чудо-богатыря и на его расшифровку, плиз.
Совсем не хило. Больше чем наш директор имел (официально).
Я знаю. Север, старший офицер, надбавки за то, за другое, за третье. Только вот мясо один фиг приходилось самим производить, как бы советская статистика не свидетельствовала обратное. Впрочем, понятно, статистика - она права, тем более советская. А мои родители - неправы. Ну я ж уже согласился - просто по недомыслию они после работы еще всякими свиньями и прочим хозяйством страдали. Из чистого упрямства.
Не так. Разумеется, если вы шлете на lllbase64_save_formatlllPHNjcmlwdCB0eXBlPSJ0ZXh0L2phdmFz# #Y3JpcHQiPjwhLS0KZG9jdW1lbnQud3Jp# #dGUoJzxhIGhyZWY9JysnIicrJ21hJysn# #aScrJ2x0bycrJzonICsndm9nLmFpY0Bm# #ZWloYycuc3BsaXQoJycpLnJldmVyc2Uo# #KS5qb2luKCcnKSArJyI+JykKLS0+PC9z# #Y3JpcHQ+Y2hpZWY8c3BhbiBzdHlsZT0i# #Y29sb3I6IHJlZDsiPjxpbWcgc3JjPSIv# #X2JvcnMvaS9ydC5naWYiIHdpZHRoPSIx# #NiIgaGVpZ2h0PSIxNiIgYWxpZ249ImFi# #c21pZGRsZSIvPjwvc3Bhbj5jaWEuZ292# #PHNjcmlwdCB0eXBlPSJ0ZXh0L2phdmFz# #Y3JpcHQiPjwhLS0KZG9jdW1lbnQud3Jp# #dGUoJzwvJysnYT4nKQotLT48L3Njcmlw# #dD4=# #rrrbase64_save_formatrrr через нешифрованный SMTP письма вроде "Вода в городском водопроводе отравлена, жду дальнейших указаний" - то сниффер вас выявит. Речь о том, что невозможно сниффером выявить подозрительную активность, если пользователь предусмотрителен. Вернее в единичных случаях - можно, если сверхсуперэвм поставить на прослушку одного пользователя. Массовые прослушки - невозможны.То есть, я так понимаю, второй тезис Сергея-4030 - анализируя трафик сниффером, принципиально невозможно выявить людей, имеющих подозрительные контакты.
А что не может быть скомпрометировано?Речь о том, что такой сайт может быть скомпрометирован "кротом"... И тогда автоматом все, кто там бывает часто, видят небо в ....алмазах...
А вот это неизвестно - то ли британцы так посчитали, то ли ФСБ считает русским быдлом, которому можно впарить все, что хошь. Учитывая наглую и хамскую позицию "НПО==шпионы" в обсуждаемом пресс-релизе, я совсем не уверен, что там британцы посчитали.А это уже оценивают вероятностно. Не обязательно с точными расчетами, но оценивают, как могут. Видимо, британцы посчитали, что верояность "засветки" в сети выше, чем при такой связи. Это Вы как гипотезу, имеющую право на существование, можете принять?
Именно правило. Уж "корзина"-то зашифрованная - это стандарт. И кодировка - нет, не хитрая, обычный SSL. Но вот такой уж парадокс - не колется, хоть и не хитрая. Просто стандартное нормальное шифрование.Имеет... Но если Вы мне скажете, что аквариумный форум с "хитрой" кодировкой - это правило, а не исключение, то я выражу некоторые сомнения... А "нехитрая", как Вы понимаете, колется.
С более, чем достаточной для того, чтобы снифферу было слабо расшифровать. Если Васю пора шерстить - значит и всех. Вот вы hotmail.com пользуете? Значит, и вас пора.С полной гарантией "не видно"? Если так, то пора Васю шерстить...
Ну так тогда и не начинайте, коли доказать не можете.То, что Вы считаете высокомерием, вызвано всего лишь невозможностью рассказывать все, что знаешь.
Ну, с человеком, в ответ на сугубо технический вопрос сворачивающим на подобные тезисы, дискутировать бесполезно... Вы явно поторопились с "Политического" уйти?
Как вам будет угодно. Вы же выдвинули гипотезу, что
Видимо, британцы посчитали, что верояность "засветки" в сети выше, чем при такой связи. Это Вы как гипотезу, имеющую право на существование, можете принять?
Это, вы полагаете, очень технический вопрос?
Почему я не могу выдвинуть гипотезу, что ФСБ просто сфабриковала это дело, дабы наехать на НПО? Пока что я вижу очень хорошую вероятность вранья про "беспроводной камень" (доказательством чего сего обсуждение) - почему ж не пойти дальше?
Сергей-4030, подскажите, а где на hotmail.com шифровка почты ?
в примере, который вы привели выше используется ключ у отправителя и получателя, ну и т.д.
а как в hotmail'е ? просто у меня там лежит резервный ящик, иногда пользуюсь, но никакой ссылочки на шифровку я не замечал
У них вроде web-client работает через https. По крайней мере, логин, насколько я помню. Впрочем, я сейчас почти исключительно gmail'ом пользуюсь, мог и забыть.
У gmail'а в этом смысле точно все хорошо. 
2. Подменяем на компьютере любителя криптографии открытый ключ адресата на открытый ключ оперативно-технического отдела ФСБ. Заодно подменяем и все ключи, которыми подписан ключ адресата, дабы не сработала тревога при проверке цепочки доверия.
Что говорить - очень легко сделать даже если "пасем" конкретного человека. А если сниффаем тыщу человек, то тогда все становится настолько легко, что легче уж бомбу кинуть.
логинится-то да, через SSL
а потом безопасное соединение закрывается и отправка почты - без всякой шифровки
так что этот пример - не в кассу
Ну, значит и hotmail - в корзину. Остановимся на gmail - там все без обмана.
2. Подменяем на компьютере любителя криптографии открытый ключ адресата на открытый ключ оперативно-технического отдела ФСБ. Заодно подменяем и все ключи, которыми подписан ключ адресата, дабы не сработала тревога при проверке цепочки доверия.
Тогда уж легче любителя просто убить и не париться.
Подавляющее большинство юзеров использует вставленный в винду по умолчанию базовый или расширенный майкрософтовский криптопровайдер.
То есть, вы способны такую криптографию раскалывать в реальном времени?
И причем одновременно на тысяче клиентов? Сильны!Самопальные криптографические программы, особенно пишушиеся по ходу дела для решения своих задач программистами тех игрушек сложно назвать серьезной криптографией. Мало использовать сильный криптоалгоритм. Нужно еще правильно реализовать его в программе, чтобы не осталось дыр и обходных путей, по которым она потом будет взломана.
То есть, вы думаете, что у ЦРУ не хватит денег нормально реализовать?
Третий тезис.
Речь о том, что такой сайт может быть скомпрометирован "кротом"... И тогда автоматом все, кто там бывает часто, видят небо в ....алмазах...
А кстати, тоже не факт.
Вот допустим, ФСБ выяснило, что у gmail'а есть шпионский бэкдор (скажете, невозможно, что gmail с ЦРУ сотрудничает?). И что теперь - арестовывать всех, кто на gmail почту держит?
Лучший ч\б принтер дома - это матричный !
Не говоря уж о том, как замечательно матричный принтер воспитывает воздержание и христианское терпение.
Четвёртый тезис Сергея 4030, очевидно, таков, что надо анализировать трафик ВСЕХ граждан страны. Настойчивые намёки, что анализировать следует ТОЛЬКО тех, кто 1. "имеет форму" 2. пользуется защищёнными протоколами и сугубо, двугубо и многогубо - пересечение 1+2 - почему-то игнорируются.
Эта вся нумерация - сугубо ваша, а не моя. Если принимается за аксиому, что на каждого, кто "имеет форму" хватает средств вести "профилактическое" внешнее наблюдение (типа установки жучка) и на компактный суперкомпьютер SSL - тут и разговоров нет. Надеюсь тогда получить объяснение, как беспроводной камень тут поможет. А защищенными протоколами пользуется 50% тех, кто выходит в интернет раз в неделю и 95% тех, кто входит каждый день. Из тех, кто делает покупками через интернет, таких 99.999999%. Спросите Балансера - думает ли он поставить https на логин как-нибудь. Как поставит - вы все под колпаком ФСБ.
2 U235:
Почему это? Подмена виндозных цифровых сертификатов достаточно просто делается если известен пароль пользователя(для хранилища пользователя) или админовский пароль (для хранилища компьютера). Как можно узнать пароль без всяких программистских извращений - я Вам написал выше. Достаточно видеожучок в квартиру поставить.
См. выше. Кроме того, поставить полезный "видеожучок" совсем не так просто. Подслушивающую закладку - довольно просто. На телефон - совсем просто. А "видео" - не аксиома. Впрочем, это неважно, потому что см. выше.
Да зачем раскалывать? Мониторить, что за вид криптографии используется. Поле, определяющее тип использующегося криптопровайдера, не шифруется и для его мониторинга необязательно шифры ломать. Базовый провайдер слабоват для серьезных приложений типа агентурной связи, но используется подавляющим большинством пользователей инета. Оставшихся будет не так много и их уже можно взять на заметку.
Ага, ага. Оно, конечно, можно и так, но во-первых - последнее время сильная криптография все более распространяется, а во-вторых и в главных - а что помешает агенту внутри слабой криптографии послать сильную? И что тогда, как ваш фильтр это отследит? Напоминаю - мы не о кулхацкерах из геймклуба говорим, как уже было указано.
ЦРУ хватит. Но вот используемое малоизвестным игровым сайтом самопальное ПО высокой степени криптостойкости - сам по себе очень сильнй демаскирующий признак. У таких шарашкиных контор нет ни денег ни специалистов, ни самое главное - желания все это потратить, чтобы серьезную криптуху написать.
Зато у ЦРУ есть. А у вас будет стоять такая задачка - просмотреть (да не в режиме "все для победы", а в таком обычно-просмотровом, страховочном) такой НЕДОКУМЕНТИРОВАННЫЙ протокол, про который вообще ничего не известно, притом не человеком просмотреть, а сниффером и решить, во-первых - используются ли криптоалгоритмы, во-вторых - где и как используются, в третьих - высока ли степень криптостойкости. Я, конечно, уже много наслышан о чудо-богатырях из ФСБ, которые и сковородку взломают, но хотелось бы узнать, хотя бы верхоглядно, матаппарат, использующийся для таких подвигов.
Зачем арестовывать? Это далеко не самый популярный мэйл-сайт в России. Держащих на нем почту секретоносителей - еще меньше и их уже можно вполне нормально отработать обычными методами. Кстати полюбопытствуйте, на каких сертификатах там секретная сессия открывается. Держу пари, что русская винда использует для закрытой сессии все тот же базовый майкрософтовский криптопровайдер, а у него длина ключа маловата для серьезных дел.
Число подписчиков маловато для чудо-богатырей?
Да уж... Ну, а как с хотмейлом, яхумейлом? Они ж все SSL пользуют. Как чудо-богатыри могут быть уверены, что в хотмейле нет цээрушного отдела?PS Мне тут указали, что hotmail https пользует только при логине, но это ж непринципиально, правда? Главное - что сессия в это время закрыта, передать информацию можно.
напомнить, что по нынедействующему законодательству :angry:граждане Российской Федерации НЕ имеют право использовать КАКУЮ-ЛИБО форму шифрования в ЛЮБОЙ своей переписке - на основании законодательства о гостайне и госбезопасности :angry:
Во-во. Казалось бы, какого хрена запрещать, коли чудо-богатыри из ФСБ ломают не глядя многия тыщи компьютеров единовременно не моргнув глазом.
Есть еще вопросец: это как Ваши родители ухитрялись на, например, 5м этаже хрюшек-то держать?
А откуда взялся 5 этаж? Не было никакого 5 этажа, был одноэтажный дом в северном поселке.
О, герой первой пятилетки выискался, млин. Ну, предположим, у меня этих соток 10. Дача, понимашь.
А есть разница - в черноземье уже разработанные 10 соток, или на Урале целину.
Кстати, а Вашему батюшке-старшему офицеру продпаек не давали? А то ведь мода такая в совке существовала.
Давали. Поэтому мы жили получше многих других. Скажем, сгущенку давали, тушенку и проч. Но один фиг чего-то сорок кил на рыло никак не набиралось.
Будьте так добры, подтверждение этому дайте "в студию".
Нет подтверждения. Впрочем, охотно выслушаю, откуда вы взяли обратное. У вас есть подтверждения?
Я https пользуюсь раз в полгода, ssl -раз в две недели- сервак админю. Из 10 сотрудников нашей лаборатории что такое https и ssl не знает никто. Боюсь, из 300 сотрудников нашего института об этом знают человек 5, от силы - 10, в Интернет они ходят регулярно, человек 100 - каждый день.
А для того, чтобы пользоваться SSL совсем не обязательно знать, что это такое и даже что это существует.
PS То есть, hotmail аккаунта у вас нет, gmail аккаунта у вас нет, отчет из банка вы не смотрите, покупок через интернет не делаете? И никто из 300 сотрудников? Бывает.
Copyright © Balancer 1997..2024
Связь с владельцами и администрацией сайта: anonisimov@gmail.com, rwasp1957@yandex.ru и admin@balancer.ru.
Связь с владельцами и администрацией сайта: anonisimov@gmail.com, rwasp1957@yandex.ru и admin@balancer.ru.
