Самозахист в мережі
07/11/2001 | DevRand
В цій темі будуть коротенькі огляди методів
захисту анонімності та безпеки при роботі в мережі. Якщо буде бажання. додавайте щось своє.
захисту анонімності та безпеки при роботі в мережі. Якщо буде бажання. додавайте щось своє.
Відповіді
2001.07.11 | DevRand
PGP і споріднені методи шифрування
Автор: Косарик[мої коментарі]
<i>Це є річ дуже корисна і вигідна (ще раз, тихенько - виходьте з припущення що в с я пошта ф і л ь т р у є т ь с я і складається, хлопці та дівчата, ваша комерційна інформація, ваш приватний лист, ваше повідомлення стосовно акції "Україна без Кучми" - подумайте над цим). </i>
[
Для лінивих.
зайдіть на www.hushmail.com і отримайте безкоштовну скриньку розміром 2 Мб,
вони мають технологію дуже схожу на PGP. Якщо ви їм довіряєте, то ступінь
захисту не набагато менше, ніж використовуючи PGP
стандарту OpenPGP.
Переваги - це ваша мобільна он-лайн пошта, для якої крім броузера з
підтримкою яви більше нічого не треба.
]
[Інструкція для користувачів Linux:
ставите собі GnuPG (GNU Privacy Guard) з www.gnupg.org,
а далі як звичайно: RTFM
Інструкція для користувачів Windows:
На прохання Майдану ось базова інформація про PGP.
PGP англійською означає "Pretty Good Privacy", що треба розуміти як "досить непогана можливість жити своїм приватним життям". Це програмне забезпечення розповсюджується безплатно (freeware).
Первісно PGP була розроблена Філом Ціммерманом в США в 1991 році у відповідь на те, що в сенаті у першому читанні пройшов законопроект, який дуже сильно обмежував права приватних осіб використовувати криптографію. Боротьба Ціммермана з федеральною владою мала навіть декілька цікавих подробиць:
1) задля того, щоб уможливити первісне вивезення цієї програми легальним шляхом в інші країни, було надруковано книгу з повним текстом програми (а вивіз книг тоді ще не був обмежений), і таким чином будь-який програміст міг відновити цю програму.
2) сам автор два роки перебував під федеральним слідством, але врешті-решт його довелося випустити.
PGP є зараз найпопулярнішою криптографічною програмою в світі (кількість користувачів понад 10 млн.). Основні фактори успіху:
1) PGP використовує найкращі з відомих в світі алгоритмів. Саме це дуже непокоїть усі спецслужби світу - бо розкодовування одного повідомлення може забрати надто багато часу (кажуть, що не одне століття, але техніка все просувається вперед).
2) PGP ідеально пристосована для неформальних об'єднань, де можливо будувати ціпок довіри: Свистович довіряє Адвокату через особисте знайомство, Адвокат так само довіряє Предсказамусу, отже Свистович може довіряти Предсказамусу, хоча він, може, ніколи його в очі не бачив.
3) PGP не коштуватиме нічого
4) PGP отримало найкращі рекомендація після випробувань в польових умовах - себто у діяльности правозахисних груп у деяких диктаторських країнах, таких як Гватемала.
Об'сяг файла - 7-8 мегабайт. Користувачі поза межами США можуть звантажити з міжнародного сайту в Норвегії: http://www.pgpi.org/products/pgp/versions/freeware/ Там вказано кілька десятків ftp-серверів, з яких один знаходиться в Україні. Обирайте той, що найкращий для вас. Я знаю, що в Україні можна також купити дешевий компакт (10-15 гривень).
Користувачам з США треба переписати трохи іншу версію - з американського сайту www.pgp.com. Версію для США довелося зробити формально іншою для того, щоб задовольними вимоги закону про заборону вивозу криптографічного забезпечення.
Тепер по ділу. Як працює PGP? На відміну від примітивніших програм, ця використовує технологію публічного ключа. Перший з таких алгоритмів був розроблений ще в 1976 році. Всі користувачі PGP мають кожний свій публічний ключ.
[ Більш детально: ключі спочатку є симетричними ( з математичної точки зору), тобто якщо ви їх ще не використовували то сміливо можна назвати приватний - відкритим і навпаки. Головний принцип, це те, що маючи тільки один з ключів і зашифроване повідомлення, ви не зможете (за досить довгий час ) віднайти інший ключ, а без нього розшифровка неможлива. Тому ці методи називають "односторонніми функціями-пастками", алгоритми беруться з теорії простих чисел, комбінаторики і т.д.]
Ключ - це невеликий файл. Не треба думати, що ключ - це пароль. Це, звичано, схоже на пароль, але його не можна передати усно, а лише у вигляді файла.
[Так, ключ насправді - це велике число (в PGP).]
Публічний ключ бажано зробити якамога доступнішим для всіх - наприклад, зберігати на сервері ldap://certserver.pgp.com або http://www.keyserver.com Якщо я маю ваш публічний ключ, я можу закодувати приватного листа до вас. А розкодувати його можна лише маючи доступ до парного приватного ключа, який бажано зберігати в секреті.
Таким чином, перше про що треба подбати - це щоб ніхто окрім вас не мав доступу до цього файла. Найкраще використовувати особистий компyтер, доступ до якого ви контролюєте.
[PGP побудовано таким чином, що у відкритому вигляді на комп"ютері не зберігається. Після того, як вами було згенеровано пару ключів, від вас вимагається ввести т.з. парольну фразу (це просто довгий пароль), за допомогою
Якого ваш закритий ключ шифрується звичайним симметричним шифром - ]
Якщо використовуєте чийсь компутер спільно, або взагалі невідомо чий, тоді ключі треба тримати на дискеті, і ніколи не переписувати їх на головний диск машини. Але в цьому випадку, бажано, щоб програма PGP уже була встановлена (без ключів) на компутері.
Як саме працює програма? Є віконечко, в якому перелічені всі публічні ключі, які вам можуть знадобитися. Щоб закодувати свого листа до когось, треба в поточному вікні натиснути певну комбінацію клавіш (встановлюється за вашим бажанням). В поштових програмах Outlook Express та Eudora є дуже зручна кнопочка в меню для закодовування/розкодовування листів.
Листи можна не лише закодовувати, а й підписувати. Електронний підпис засвідчить, що лист дійшов у незміненому вигляді, хоча зміст його буде доступний для прочитання будь-кому.
[А також засвідчить, що листа написала саме та людина, про яку ви думаєте. Для цього (в найпростішому варіанті) я пишу листа і шифрую його за допомогою свого *закритого* ключа. Той хто отримує мій лист, використовує відомий всім мій публічний ключ і якщо розщифровка вдала то це і означає що а) листа не було змінено б) його написав саме я. На практиці ви підписуєте не весь ваш текст, а тільки хеш повідомлення, але суті це не міняє.
Часто використовується схема, коли вже підписане вами повідомлення ще раз шифрується за допомогою публічного ключа тієї людини, якій воно спрямоване . Це, як ви розумієте, ще більш ускладнює життя вуаєрістам всіх гатунків
Можна також кодувати весь електронний зв'язок між певними компутерами, вказавши їх IP-адреси.
[Можна також *розділити* приватний ключ на декілька частин, і щоб кожна людина з цього "комітету вибраних", отримала тільки свою частку. Таким чином, написати якесь колективне звернення (і підтвердити що воно походить саме з цього "комітету") можливо лише при умові, що всі люди з нього погодяться і нададуть свій шматок приватного ключа, з них буде утворено повний ключ, і цим ключем буде підписано звернення.
Більш екзотичні застосування ідей з цієї гілки криптографії - чесний покер по телефону, підтвердження доказу математичних теорем без наведення доказів і т.і. Але про це коли небудь потім
Друга з можливих небезпек використання публічного ключа є ризик надсилання конфіденційого листа особі, яка видає себе за іншу. Наприклад, я йду на сервер PGP-ключів, і знахожу там публічний ключ Свистовича. Але я можу не знати, що насправді хтось інший поклав там свій ключ і заявив, що саме він є Свистовичем.
[Так, це дуже важливо і з цього треба починати любий процес спілкування з новою людиною за допомогою PGP.]
З цієї ситуації є два виходи.
По-перше, якщо Ви особисто знайомі з людиною, можна їй подзвонити і попросити прочитати електронний відбиток публічного ключа цієї людини. Електронний відбиток - це два десятки слів, які точно ідентифікують будь-який публічний ключ. Приблизно так, як радісти колись читали по літерах: "Альфа-Браво-Браво-Сила-...."
По-друге, публічний ключ може бути підписаний підписом людини якій я довіряю. Наприклад, якщо я довіряю панові Заграві і впевнений, використовую саме його ключ, то побачивши підпис Заграви на ключі Свистовича, я зможу його використовувати, без страху, що якийсь агент назвався Cвистовичем.
[IMHO, використовувати в останню чергу. Краще дискетою з рук в руки або прочитати відбиток ключа по телефону, або ще як небудь]
До речі, до всіх ключів долучені електронні адреси (email). Їх найзручніше використовувати для пошуку потрібного публічного ключа на публічних серверах. Як всі ми знаємо, латинкою наші імена передаються по різному, отже електронна адреса вже працює як друге ім'я.
Трохи про PGP - компанію. Оскільки програма набула шаленої популярности, розробники створили компанію, які розробляє (і продає) програмні продукти, похідні від першої безплатної програми. Безплатна програма регулярно вдосконалюється, але в той же час продаються засоби для конфіденційних телефонних переговорів, або потужні програми для великих підприємств на базі PGP технології.
Окрім цієї комерційної компанії, яка фактично використовує безплатну програму для популяризації своєї технології і залучення нових клієнтів, є ще маса неприбуткових організацій, які чомусь традиційно зконцентровані в Північний Європі і Німеччині. Там же відбуваються всесторонні випробування кожного продукту. І якщо знаходять якийсь прокол - його одразу ж виправляють. Це я до того, що цей проект уже настільки великий, що якби навіть компанія PGP або й сам Філ Ціммерман продалися спецслужбам, громадський контроль не дасть використати це на користь спецслужб. Неприбуткові центри PGP мають досвідчених програмістів, які розвивали і тестували цю програму на протязі багатьох років, отже їм, власне, вже і не потрібна підтримка компанії.
Цікаво також подивитись у зразковий список публічних ключей, який додається до програми. Там ключ Ціммермана має найбільше підписів - люди, які знають його особисто, надають нам можливість встановити той "ціпок довіри".
До речі, я чув теорію, що будь-які дві людини у світі знають одне одного через не більше як шість посередників.
Як уже писав Олег Левицький, є велика кількість російськомовних ресурсів про PGP, таких як
http://www.hro.org/pgp/
http://www.gloffs.com/pgp.htm
Документація російською тут:
http://www.pgpru.com/learning/pgp_70_user_manual/pgp_70_user_manual.htm
[ще лінки:
http://www.hro.org/gilc.
http://security.tao.ca/
переведення сайту під SSL :
https://radiocom.kiev.ua/scripts/pass.cgi
криптографічні алгоритми (хороший сайт!)
http://www.hack.gr/users/dij/crypto/
]
2001.07.11 | DevRand
Анонімність+безпека, коротка інструкція
Анонімність та безпека в мережі.(Коротка інструкція)
0. Не користуйтесь підозрілим програмним забезпеченням (наприклад Windows
1. Знищуйте не відкриваючи пошту, яка приходить до вас з невідомої адреси і з незрозумілим subject.
У всякому разі не запускайте ехе файли, які з такою поштою приходять. Майже напевне там вірус або троян, який потім передасть
інформацію з вашого компа до третіх рук.
2.Користувачі Windose! Не робіть загальнодоступними директорії на машині, з якої ви ходите в інтернет. Вимагайте від вашого системного адміністратора (при наявності інтернет - сервера під *ніксом або NT) прописати правила в firewall які забороняють зовнішній трафік по протоколу NetBios, або ставьте собі персональні firewalls. Інакше люба 10 річна дитина зможе отримати повний контроль над вашим жорстким диском.
3. Користуйтесь списками анонімних проксі. (ось тут є, наприклад: <A Href="http://proxycheck.spylog.ru/list.phtml?status=1">http://proxycheck.spylog.ru/list.phtml?status=1</A> )
в настройках вашого броузера поміняйте адресу проксі і порт на ту, що знайшли в списку анонімних.
пишеться як правило адреса:порт
Це не дозволить вас вирахувати по логам (записам) на веб серверах та кешах, форумах (а також на всіляких рейтингових сайтах)
4. зробіть використання анонімних проксі автоматичним! для цього є багато програм, рекомендую почати з
multyproxy:
http://www.multiproxy.org/
ось тут (англійською, але з картинками)
як її можна застосовувати ( а також купа іншої інфи)
http://xmp4um.tsx.org/
5. трохи більша екзотика (уповільнює роботу, але значно більше гарантій анонімности):
http://www.photono-software.de/
називається FreeBird
6. Відімкніть в броузері java та javascript.
7. Не тягніть з мережі всілякий непотріб, який потім будете запускати у себе на комп"ютері.
2001.07.12 | НеДохтор
>>: корисна сторінка
Існує <b>Digital Freedom Network </b>вони мають інтересну сторінку на цю тему
(можливо також буде цікаво почитати про ідеї та принципи DFN)
http://www.dfn.org/download/index.htm
--------
This section contains links to some of the most interesting downloadables for privacy, security, and anti-censorship uses. We hope that human rights activists around the world will find them useful.
--------
2001.07.24 | Косарик
Деякі неприємні деталі
Якщо хочете досягти макс. безпеки та макс. анонімности в Інтернеті - наберіться терпіння. Бо з мого досвіду, жодне з рішень не є універсальним, і лише справжній хакер може налагодити все як слід.Взяти, наприклад, проксі-сервери. Деякі сайти, як от РНЕ (www.rne.ru) не дозволяють перегляд з анонімних проксі. Тому тут треба вже такий проксі, який не просто "мовчить", а в потрібному підставляє завідомо невірну інформацію. Ясно, що для "чайників" робота з таким проксі на порядок складніша.
Не забувайте також, що немає ніякої гарантії на проксі сервери - сьогодні він працює як годинник, а завтра його може вже й не бути. Лише власник знає, що з ним. Тобто по-нормальному, так треба спитати дозволу на використання проксі.
Або взяти hushmail. DevRand каже це засіб для лінивих. Так - але не забувайте, що захист пошти працює лише тоді, коли пошту адресовано на таку ж само скриньку hushmail.
У цій темі вже подано дві конфліктуючі рекомендації - хашмейл вимагає броузера з підтримкою Яви, в той же час бажано взагалі повимикати Яву і Яваскрипт. (А краще взагалі вимкнути компутер).
І останнє про хашмейл. Навіть якщо ви впевнені в чистих помислах засновників цієї служби, треба мати на увазі, що ступінь захисту Вашої пошти обернено пропорційний кількости користувачів цієї служби. Чим більше користувачів має Хашмейл, тим більш економічно виправданим є злам самого сервера цієї пошти - роботу зробиш один раз, а доступ в результаті матимеш до всіх скриньок.
А ще не забувайте писати свої дописи на форумі в такому стилі, щоб не можна було зрозуміти вашу стать, вік, соціальне походження та місце проживання.
І ще не забувайте, що якщо хтось справді візьметься вас вирахувати, аналіз трафіка плюс зовнішнє спостереженні практично стопроцентно виводять ловця на звіра.
Мій підсумок - у всьому треба знати міру.
А найкраще мати друга - експерта у справі.
2001.07.25 | Technar
Підтримую вас у цілому
У питанні безпеки у мережі на мою думку більше важить не технічний аспект, а соціальний (т.зв. social engineering) . Більшість серьйозних хаків трапляются саме через "людський фактор" і зводяться до того, що хтось виказав пасворд, який до того не міняли роками. Більшість кіберзлочинців зловили так само не через аналіз логів та трафіку, а тому, що хтось комусь щось зайве бовкнув.Час від часу на роботі ми проводимо "password-patrol" всіх кліентів. Виловлюємо всіх з lame passwords (власне ім"я, назва рідного міста або футбольної команди, або такі розповсюджені слова як money, bucks, orange або password
Пан Косарик дав найкращу пораду для тих, хто дбає про свою безпеку:
Косарик писав(ла):
> А ще не забувайте писати свої дописи на форумі в такому стилі, щоб не можна було зрозуміти вашу стать, вік, соціальне походження та місце проживання.
Я був свідком кількох випадків cyber-stalking. Це коли якась хвора на голову людина починає систематично діставати інертнетного знайомого. Спочатку за допомогою інтернету, а потім і в реалі. Сталкери не були технічно грамотними, але добре користалися з прийомів social engineering.
2002.08.06 | Patriot
Запит
Чи не можуть анонімні проксі-сервера бути тим же винаходом спецслужб для слідкування за користувачами інету?2001.07.12 | AB
Re: Самозахист в мережі
1. Никому николи не погрожуй. Поважай 10 заповітів Господу. Май друзів - єкспертів. Пам"ятай, що Инет - це теж людське життя.2. Захищайся. (Windows users)
<ul>2.1. Zone Alarm Pro
2.2. AT Guard
2.3. Black Ice Defender
2.4. The Cleaner (monitor)
2.5. Tauscan (monitor)
2.6. AVP (Kaspersky Lab) (monitor)
</ul>
3. Не користуйся Анонімайзером. (теги відключення цього сервісу важко відключити у форумах у особисту чергу). Шукай програми автоподстановки проксі на кожен постінг, не півторюй постінгі з одніеї проксі, якщо не впевен у відсутністі сніфа (перехоплення пакетів зв"язку)...Пам"ятай, що держава про тебе може забути, а зла на тебе людина - сніфер запхае у місце твоих дій, та буде знати, де ти е фізічно, та шукати далі...
4. Користуйся Вєб-скринками вільного провайдера, та редіректами скринок, бо загарбник може зніщити чі захопити першу скринку, та редиректи - це контроль антівірусами провайдерів пошти...
5. Кріптуй архиві на винчестері програмою pgpdisk (+pgpdiskhack = freeware)
6. Кріптуй пошту версіями PGP 6.5.1, бо останни - мають "goverment backdors", та у відсутністи автора PGP Цімермана у віробника сучасного PGP - чісельни "баги"...
7. Якщо кріптуєшь пошту - май на кріптовану пошту відокремлену скринку, краще мати гембель, ніж вірус чі актівний віконуючійся код у лісти.
8. Блокуй усі порти компа, та дозвіляй лише ті, що потрибни для праци, фільтруючі таки порти прогамі п. 2.
9. Май резервну копію усіх данних та сістеми, відновлюй таку ежедекадно. (Norton Ghost, Second Copy etc.)
10. Поважай фахівцив, як дохтора свого, коли хворий, та теж коли _поки не хворий_...
2002.11.01 | Ігор
Так яка ж версія PGP чистіша 6.5.1 чи 6.5.8?
AB пише:> 6. Кріптуй пошту версіями PGP 6.5.1, бо останни - мають "goverment backdors", та у відсутністи автора PGP Цімермана у віробника сучасного PGP - чісельни "баги"...
>
Так яка ж версія PGP чистіша 6.5.1 чи 6.5.8?
2002.11.02 | Косарик
Які вам потрібні докази?
Ігорю, я ж на самому початку дав посилання на лист Філа Ціммермана (http://www.pgpi.org/files/PRZquitsNAI.txt), з якого видно, що він наглядав за розробкою версій до 7.0.3 включно. Однак код версії 7.0.3 не було опубліковано, таким чином останньою версією з відкритим кодом є 6.5.8.Твердження про backdoors - це перебільшення основане на неповному розумінні проблеми ADK.
ADK (Additional Decryption Key) - це додатковий ключ для розкодовування. Таку функцію було додано до PGP ще в 1997 році на вимогу корпоративних клієнтів PGP. По суті, якби цієї функції не було, PGP не змогла б продавати свій продукт корпораціям.
Великі компанії безумовно хочуть знати, що саме там кодують співробітники на комп'ютерах компанії у робочий час. Є лише два принципових рішення цієї проблеми:
а) змусити всіх співробітників здавати свої приватні ключі "на збереження" в 1-й відділ
б) змусити всіх співробітників кодувати своє повідомлення не лише для адресата, але й для 1-го відділу
PGP пішла другим шляхом, при цьому користувачу йде нагадування, що його просять кодувати двома ключами (але кінцевий вибір залишається за користувачем, і він може ігнорувати це нагадування).
Ціммерман пише, що він в принципі був проти як розголошення ключів, так і ADK, але в компанії не було виходу, і вони з двох "зол" обрали менше, залишаючи важелі контролю за кінцевим користувачем.
Саме в реалізації цієї функції в серпні 2000 року було знайдено серйозну помилку - система не завжди перевіряла, щоб нагадування про ADK було підписане. В теорії була можливість обдурити корпоративного користувача підсунувши йому фальшиве нагадування і непідписаний ключ. Ця помилка була присутня у всіх версіях з 5.5 до 6.5.3 включно.
Саму по собі ADK не можна вважати backdoor, бо користувач сам вирішує, чи кодувати йому повідомлення додатковим ключем чи ні. Для тих, хто не використовує ADK, ця дискусія взагалі не має жодного значення.
Перевірки трафіка показали, що майже гарантовано ніхто так і не зміг скористатися цією помилкою, і скарг про це також не було.
Заяву Ціммермана з цього приводу можна знайти на http://www.pgpi.org/files/prz-adk.txt
2002.09.02 | dachau
Re: Internet- та game-клуби в Україні
Є кілька питань.Наскільки високою є імовірність обрізання конекту для місцевих ISP,
фільтрації пакетів, блокуванння URLів і т.д?
Нагадую, що мораторій Мікрософт на легалізацію їхнім ліцензійних операційних систем закінчено і у ментів розвязані руки для розправи над будь-яким клубом. Чи не час сисадмінам усіх без вийнятку клубів поставити у себе хоча би по одній Linux/FreeBSD машині з підключенням до онлайну, засобами
криптографії і т.д.?
2002.10.09 | Косарик
"Семінар" з практичних питань PGP (кидайте питання)
На прохання деяких майданівців відкриваю гілку питань і відповідей щодо PGP та безпеки комунікацій взагалі. Не соромтеся, питайте, якщо є питання. Разом і Бацьку добре бити!Для тих, хто про це майже нічого не знає, читайте матеріали в темах
"Самозахист в мережі" - <A Href="http://maidan.org.ua/n/draft/994855297">http://maidan.org.ua/n/draft/994855297</A> (11-07-2001)
"Як користуватися проксі-серверами" - <A Href="http://maidan.org.ua/n/draft/1031073863">http://maidan.org.ua/n/draft/1031073863</A> (03-09-2002)
"PGP public keys майданівців" <A Href="http://maidan.org.ua/n/draft/1005752431">http://maidan.org.ua/n/draft/1005752431</A> (14-11-2001)
"Пропозиція: експерти-волонтери" <A Href="http://maidan.org.ua/n/arch/991934662">http://maidan.org.ua/n/arch/991934662</A> (07-06-2001)
==========================================
Ось приблизний порядок "перших кроків" у PGP:
Перше, що треба зробити, це встановити PGP на ПК з яких (и на які) буде передаватися конф. інформація. Процес інсталяції (під Віндоуз) дуже простий, і нічим не відрізняється від інших. Програму можна взяти безплатно на <A Href="http://www.pgpi.org/products/pgp/versions/freeware/">http://www.pgpi.org/products/pgp/versions/freeware/</A>
З великого різномаїття версій рекомендую версію 6.5.8 - це остання версія, розроблена за керівництва творця цієї програми Філа Ціммермана. Пізніші версії було розроблено вже без нього, а згодом корпорація вирішила продати підрозділ, який займався PGP, тому вже ніхто вже не гарантує, що там все чисто.
Окрім самого PGP на сервері є також програми
* PGPdisk (призначено для кодування цілих хард-драйвів, на випадок, коли є ризик, що фізичний доступ до вашого ПК можуть отримати небажані особи)
* PGPfone (програма кодування телефоних переговорів; сам я ніколи цим не користався, але здається йдеться про дзвінки з ПК на ПК)
* GNU Privacy Guard (заміна ПГП в режимі command-line; створено як для
використання в інших опер.системах, напр., в Юніксах, так і для того, щоб не переривалося постачання програми, коли стало відомо що Ціммерман іде з компанії)
До речі, цей сайт www.pgpi.org ніяк не пов'язаний з компанією, яку заснував, і в якій пізніше працював Ф.Ціммерман. Сайт знаходиться в Норвегії, і належить неприбутковій організації, мета якої полягає виключно в розповсюдженні і вдосконаленні бесплатних програмних засобів криптографії переважно для приватних осіб.
Другий крок - створити пари асиметричних ключів для кожного користувача. Це можна зробити індивідуально, ніяка синхронізація не потрібна. Врешті-решт, багато хто перші кілька ключів створює виключно для тренування.
Існує можливість розщіплення ключів - це коли для закодовування чи розкодовування повідомлення потрібні більш ніж один ключ (користувач). Корисно по аналогії з запуском ракет, де потрібно два ключі одночасно. Цікаво, що можна безпечно організувати процес і для розподілених організацій - коли люди знаходяться в різних місцях. Можна уявити собі ситуацію, коли деякі особливо важливі накази (напр. про розпуск організації) мають бути підписані як "командиром" так і "комісаром". Сам я розщепленими ключами не користувався.
Окрім того, у версії 7.3 (вже без Ф.Ціммермана) з метою збільшити комерційну привабливість програми було впроваджено спеціальний тип ключа, який дозволяє "керівнику" читати листи "підлеглих". Це "нововведення" було піддано жорсткій критиці групами захисту приватного життя, і зокрема проект PGPi ніколи не взяв на озброєння цю "новішу" версію, а Ф.Ціммерман сказав щось таке, що ця функція майже те саме що й "чорний хід" (backdoor).
Третій етап - розповсюдження публічних ключів. Один із можливих видів
крипто-атак полягає в тому, що хтось створює ключ від імені іншої особи, і тому є завжди ризик, що саме він отримає листи, адресовані особі, від імені якої він створив ключ. Тому дуже важливо, щоб публічний ключ був доступний якнайширше.
Четверте - організація, або пара осіб, які хочуть листуватися конфіденційно, мають впевнитися, що публічні ключі, які вони отримали одне від одного або по пошті або (краще) через централізовані сервери - не є фальшивими. Це робиться двома методами. Або файл з публічним ключем передається особисто на дискеті (рідко вдається), або одна особа дзвонить іншій, і вони звіряють "відбитки пальців" на їхніх публічних ключах. Відбиток - це унікальний код, який може бути представлений як довге шістнадцяткове число, або як 20 англійських слів, придатних для передачі по телефону.
На цьому головний перший етап закінчено. Кодувати листи або окремі файли можна за допомогою довісок до стандартних поштових програм (plugins for Outlook Express, Eudora etc), або за допомогою комбінацій клавіш, або резидентної програмки, що сидить в System Tray.
Після першого знайомства з програмою треба досить багато часу приділити вивченню можливих варіантів криптологічної атаки. Це окрема тема, яка варта окремої дискусії - вже тоді, коли перше тренування на пробних ключах закінчено.
Окрім того, є додаткові можливості - як то розщеплені ключі, PGPdisk, PGPfone, PGPnet (в складі PGP). PGPnet - це простенька VPN (virtual private networking). Дозволяє кодувати ВЕСЬ трафік між завданими IP-адресами. Має сенс лише тоді, коли ці адреси сталі (деякі організації, напр. університети, мають динамічні адреси, і там кодувати трафік таким чином не є можливим).
Там же на сторінці <A Href="http://www.pgpi.org/doc/">http://www.pgpi.org/doc/</A> є багато документації, як технічної, так і наукової, і науково-популярної, в т.ч. кілька книг написаних Ф.Ціммерманом.
Я рекомендую таке:
* Introduction to Cryptocraphy
<A Href="ftp://ftp.pgpi.org/pub/pgp/6.5/docs/english/IntroToCrypto.pdf">ftp://ftp.pgpi.org/pub/pgp/6.5/docs/english/IntroToCrypto.pdf</A>
* PGP 6.5 User Guide for Win 95/98/NT
<A Href="ftp://ftp.pgpi.org/pub/pgp/6.5/docs/english/PGPWinUsersGuide.pdf">ftp://ftp.pgpi.org/pub/pgp/6.5/docs/english/PGPWinUsersGuide.pdf</A>
2002.10.09 | Косарик
Яка ситуація з використанням PGP на Майдані? (-)
2002.10.09 | Косарик
Ситуація з використанням PGP на Майдані
Можу судити лише по зовнішнім ознакам, бо до так званої "адмін. групи" відношення не маю.Рік тому, коли тему PGP було піднято вперше, лише двоє регулярних дописувачів (з тих, які відкрито давали свої електронні адреси) користувалися цією програмою. Тепер в "Розробках" висить 7 публічних ключів.
Коментувати з приводу інтенсивности використання я не можу, бо вся ця "секретна" діяльність (якщо вона взагалі є) проходить за межами форуму. Можу лише зазначити, що PGP - як і багато інших інтернет-феноменів - має властивості ланцюгової реакції. Чим більше користувачів цієї програми, тим більша користь для кожного юзера, і тим більший тиск для новачків приєднатися до групи.
Судячи з цього критерію, Майдан все ще знаходиться на дилетантській стадії, бо надто мало людей користуються (або мають доступ до) PGP, і в результаті багато важливої (можливо конфіденційної) інформації проходить по відкритих каналах.
Оскільки ми всі знаємо, що у нас всі прослуховують всіх, в тому числі президента, такий стан речей повинний непокоїти тих, хто сподівається досягти успіху всупереч протидії "ворогів". Єдина маленька надія полягає в тому, що "Майдан" все ще настільки незначна подія в житті України, що ніхто не морочить собі голову читанням пошти майданівців.
Моя особиста думка - це далеко не так. Нас всіх слухають і читають.
Всім хто ще не бачив фільм "Ворог держави" (Enemy of the state) дуже рекомендую подивитися. Цей фільм можна використовувати як підручник. Там все дуже реалістично і правдиво, за виключенням, можливо, епізоду з прослуховуванням мобілки сенатора, який (епізод) було спрощено задля більшої видовищности.
2002.10.09 | Ernst Zahrava
PGP - це проти добрих людей .
Проти спецлужб не працює. Мало того, що він має обмеження на величину ключа (що дає можливість спеціалістам розколоти його досить таки швидко), так ще й в інтернеті можна знайти програми, що його взламують (за кілька сотен доларів, що є по кишені тим, хто цікавіться).Справді надійними є програми, що продаються. Але треба урахувати, що ті, що зроблені в США мають спеціальні діри, щоб уряд США міг їх всіх читати. Отже, якщо ви приховуєтеся від СБУ, то покупні досить таки надійні. Але практично відкриті для компетентних органів США. І навпаки. Можна знайти деякі російські програми, що будуть горішком для американців, але, мабуть, не для ФСБ.
З іншого боку це краще ніж нічого. Якщо ключи міняти досить часто, то зробите СБУ клопіт. Принаймні вони знатимуть,що написано не в той самий день, а лише за якійсь час (скажимо за 1-2 дні). Якщо це є критично, то варто користуватися.
А від допитливих допомогає надійно.
2002.10.09 | Косарик
Голослівні твердження
Ваша відповідь надто узагальнена. Можливо, Ви пишете про якісь інші програми, бо я знаю, що більшість Ваших аргументів не стосується PGP.> Мало того, що він має обмеження на величину ключа (що дає можливість спеціалістам розколоти його досить таки швидко),
Будь-яка програма має обмеження. Обмеження PGP на розмір асиметричного ключа 4096 біт у версії 6.5.8, яку я маю. У книзі Introduction to Cryptography на сторінці 17 читаємо, що асиметричний ключ довжиною 3072 біт є криптографічно еквівалентним симетричному ключу в 128 біт, так само як асиметричний ключ 1024 біт є еквівалентним симетричному ключу на 80 біт. Тобто максимум в PGP (4096) буде приблизно дорівнювати силі симетричного ключа десь на 135-140 біт.
Тепер заходимо на сайт RSA (найбільший в світі авторитет в сфері криптографії серед комерціних установ), і читаємо в новинах за 26 вересня, що конкурс у зламі симетричного ключа RC5 на 64 біт виграла команда distributed.net, якій для цього знадобилося 4 роки, і вільний від основної роботи час на комп'ютерах волонтерів (331 тис. 252 чол.).
Ясно, що злам асиметричного ключа на 4096 біт засобами доступними найпотужнішим комерційним установам вимірюєтсья роками.
Я розумію, що деякі уряди (США, Великобританія, Ізраїль, Японія) мають суперкомп'ютери (та ще якісь секретні алгоритми), які здатні зламати такий код за скажімо пару днів. Питання - чи приватні користувачі PGP є настільки важливими птахами, щоб великі країни розкодовували їхні повідомлення?
>так ще й в інтернеті можна знайти програми, що його взламують (за кілька сотен доларів, що є по кишені тим, хто цікавіться).
Це Ви пишете про якісь інші програми, не про PGP. Якщо я помиляюсь, напишить будь-ласка, де купити таку програму.
> Справді надійними є програми, що продаються. Але треба урахувати, що ті, що зроблені в США мають спеціальні діри, щоб уряд США міг їх всіх читати.
Це знову голослівне припущення, що базується на теорії змов (conspiracy theory). Немає жодних підстав підозрювати що PGP у версіях до 6.5.8. включно має такі діри. Весь код цієї програми доступний для вивчення. Десятки кваліфікованих фахівців досліджували його на протязі років з метою віднайти слабкі місця - однак нічого схожого на back door знайдено не було.
>Отже, якщо ви приховуєтеся від СБУ, то покупні досить таки надійні.
Про СБУ я не хвилююсь. Українські спецслужби не мають ресурсів, щоб розколювати навіть безплатні програми кодування, тим більше у конвейерному режимі. СБУ може лише час від часу просити допомоги в ФСБ, СВР та ГРУ.
2002.10.09 | Ігор
Re: Голослівні твердження
Шановний пан Заграва, думаю в цій справі важливо чітко розуміти для чого Ви збираєтеся користувати це ПЗ. За певних обставин, абсолютна закритість Вашого приватного спілкування, може доставити Вам певні проблеми. Ну скажімо, Ви живете в одній з країн, яка акривно стала боротися з тероризмом. Відповідні служби цих країн роблять абсолютно логічний крок - серд цілого комплексу заходів вони також приділяють увагу людям, які хочуть щось більше приховати ніж всі інші співгромадяни. Просвітять всих кого захочуть, навідь тих, хто користується кріптографією. А ті, кого не вдалося просвітити, або виявилися занадто обережні, можуть сподіватися на більшу увагу до себе. Ваша ж то початкова задача була - вберегти себе від проблем, а виходить що ..... Тож мабуть є сенс користуватися тими програмами, які є по зубах суперкомпам і не є по зубах Вашій тещі, оскільки остання до Вас ближче. По старій дружбі прошу Вас не ображатися пане Ернесте за останній жарт - в кінці кінців у всих нас є тещі і всі ми зберемся в однім місці2002.10.09 | Ігор
Re: Голослівні твердження
Втім, можна зрозуміти і пана Заграву. При умові таких темпів росту Інет тотально контроювати всю інформацію, яка передається просто неможливо. Лише певні особи можуть заслужити таку увагу до себе. Тому для структур, які люблять всим цікавитися є один абсолютно логічний крок - зробити самим таке ПЗ, або продовбати дирки у вже існуючому (анонімайзери, криптографічні прогр.) і найактвніше пропагувати його, зробити доступним і безкоштовним для якомога більшої частини людей. Тоді кількість інформації, яку потрібно аналізувати, різко знизиться, а ефективність роботи зросте. Ті, хто намагається щось приховати сами допомогають себе виявити. За таких умов може виявитися ефективною наступна тактика, при умові що Ви ніде особливо не засвітилися, (думаю до майданівців це не стосується) - слати все потрібно відкритим текстом і без всякої криптографії.Це було б просто логічним, втім справжньої картини я абсолютно не знаю. Може знаючі люди підкажуть? Як там справи з анонімайзерами і криптографічним ПЗ?
2002.10.09 | Косарик
Один з варіантів атаки
Ви попали просто в яблучко. Один з магістральних варіантів криптологічної атаки полягає у тому, щоб підкинути недоброякісне програмне забезпечення. Це може бути іграшка, або й навіть "нормальна" піратська копія програмного забезпечення, куди вбудовано троянського коня. Йому не треба руйнувати ваші файли, або діяти дуже активно. Потрібно лише дочекатися моменту, коли є доступ в інтернет, і коли коли клавіатура неактивна - і послати кудись ваші приватні ключі.Загалом для боротьби з цим треба використовувати firewall, такі як ZoneAlarm (є безплатна версія). Вони відслідковують всі спроби програм вийти в інтернет. На жаль, часто доводиться іти на поступки і дозволяти таким програмам як Віндоуз (rundll32.dll), або різним інсталяшкам виходити в інтернет. Найгірше в цьому випадку - це різні медіа-плеєри (WMP, WinAmp), програми файлообміну (Kazaa, Napster) та мережеві ігри, які мусять мати відкритий доступ в інтернет постійно. Тому треба дуже уважно дивитися, звідки саме ви берете інсталяцію.
Варіант цього ж типу - створити проколену версію PGP. Оскільки код її всім доступний, можна легко щось там підправити, зкомпілювати програму, а потім натиражувати тисячі дисків і пустити в піратський обіг. Плюс можна підмінити інсталяції на деяких FTP-серверах (зламати FTP набагато простіше, ніж розкодувати одне PGP повідомлення в лоб).
Всі "офіційні" сервери PGP мають офіційні підписи до інсталяційної програми. Однак мало хто з новачків їх перевіряє, а більшість нових інсталяцій якраз і іде новачкам. Окрім того, якщо ви встановили проколену версію програму, і спробуєте перевірити підпис на такому сервері, досить ймовірно, що вона вам скаже що підпис "олрайт".
А найкраще проколоти не PGP, а якусь іншу програму, типу Acrobat Reader (або якийсь архіватор), яку більшість FTP серверів мають (вже без підписів).
>слати все потрібно відкритим текстом і без всякої криптографії.
Це взагалі то окрема тема - найефективніший метод боротьби з конторами, які надто цікавляться змістом ваших листів. Безперечно, наявність криптографічних програм - це лише маленька частка того, що треба робити. Недарма на сайті PGP написано жирним шрифтом, що якщо ви не розумієте основ криптографії і того, як працює ця програма, ви ставите під удар не лише свою кореспонденцію (бізнес а то і життя), але і кореспонденцію (бізнес, життя) інших людей.
Звичайно ж в усьому треба знати міру. Можна бути поведеним на безпеці і оточити своє життя такою кількістю процедур захисту, що й жити не захочеться. Абсолютний захист має лише той, хто народився у відсталій країні, ніколи нічому не навчався, сидить у темній печері і ніколи ні з ким не розмовляє.
Я повністю цю тему тут викладати не буду, бо вона занадто велика для формату питань і відповідей. Зазначу лише, що анонімність - це фундамент безпеки приватної людити. І йдеться не про використання анонімайзерів, а про анонімність у ширшому плані. Ви собі не уявляєте, скільки інформації можна зібрати про людину, якщо поставити собі таке завдання (навіть не маючи суперкомпутерів).
Всім, хто поведений на тому, щоб перемогти великого брата, рекомендую прочитати книги К.Кастанеди, а заодно ознайомитися з відомими фактами про нього особисто. Це теж підручник - підручник з того, як стати соціальною невидимкою.
2002.10.09 | Косарик
Аналогія
Криптологічна атака рідко коли здійснюється на протязі днів чи навіть тижнів. Вона може бути запланована з пів-року тому у місцях, про які ви й не здогадувались.Ось вам цікавенька історія, яку я бачив в одному з книг по картярському шулерству. В середині 19-го століття жив у Нижньому Новгороді один багатий купець який мав всякого краму безліч, і цілу торгову флотилію. Коли той ішов з кораблями в Астрахань, один з його кораблів зіткнувся з меншим корабликом і той був в результаті потоплений. З води витягли кількох людей, в тому числі одного офіцера, який такий був вдячний за врятування (а Волга під Астраханню ну ду-уже широка), що подарував купцеві нерозпаковану фірмову колоду, яку офіцер купив в Парижі.
Пройшло кілька місяців, і купець повернувся в Ниж.Новгород. Якийсь інший купець заключив із ним великий контракт, і за звичаєм тих часів, вирішили відсвяткувати. Спочатку просто пили шампанське, а потім хтось запропонував зіграти в карти. І тоді сам купець дістав нерозпечатану французьку колоду, і почалася гра. Купцеві спочатку дуже щастило, але потім щастя його зрадило, і під ранок він програв увесь свій крам, і всі кораблі.
Найпікантнішим моментом цієї розводки було те, що купець сам запропонував колоду, яка виявилася крапленою.
2002.10.09 | Ігор
Re: Один з варіантів атаки
Гаразд, трохи Ви вже просвітлили мою темну голову.Наступні питання
1. як поставити firewall чи ZoneAlarm? Можливо підкажете де в мережі можна знайти інструкції для чайників.
2. як перевірити наявність офіційних підписів до програми?
3. я правильно зрозумів - можна мати найнадійніше криптографічне ПЗ і давати "течі" через проколотий Acrobat Reader? Як у цьому плані Word?
2002.10.09 | Косарик
Firewalls
Ну, ситуація з троянськими конями, які знаходяться на вашому компутері ще до того, як ви задумалися над проблемою захисту комунікацій нічим не відрізняється від звичайної антивірусної роботи. В ідеалі треба будувати свій ПК вже з "чистих" компонент, хоча це рідко коли вдається зробити 100% надійно. Практичний підхід полягає в такому обмеженні всяких непотрібних і піратських програм, яке ви здатні винести. Велику частину троянців можна вичистити навіть на брудному ПК (хоч ніхто не дасть вам абсолютної гарантії). Треба також звантажувати програми лише з надійних джерел.Ви ніколи не можете бути 100% впевнені в тому, що все чисто. Це подібне до того, як в 1970-х роках, коли створювалися інтенсивно моделювався обмін ядерними ударами між США та СРСР, було показано, що будь-яка система захисту має певний коефіцієнт ненадійности - певний процент ракет все одно прошиє вашу систему захисту. Намагатися побудувати ідеальну систему - це ідеалізм. Все що можна зробити - це (а) намагатися зменшити цей процент поступово шляхом вдосконалень (б) досягти того, що ваш захист був би кращий за суперника по сумі ударів.
> 1. як поставити firewall чи ZoneAlarm? Можливо підкажете де в мережі можна знайти інструкції для чайників.
Zone Alarm існує в одній бесплатній і двох платних версіях. Ідіть на www.zonelabs.com і там звантажуйте що вам треба. Процес встановлення дуже простий, настройка - теж.
> 2. як перевірити наявність офіційних підписів до програми?
Більшість FTP серверів дозволяє переглядати зміст директорій. Поряд з
великим файлом (інсталяція програми) має бути маленький файл підпису, який має те ж ім'я, лише інше розширення. Це звичайний текстовий файл. Розкриваєте його в простенькому текстовому редакторі, і проганяєте цей підпис через PGP. Вона вам скаже хто і коли підписав цей файл, а вам уже самому вирішувати, чи довіряти цьому підпису. Якщо продукція PGP підписана корпорацією PGP, тоді звичайно має сенс довіряти (бо якщо не довіряєте підпису, чого б тоді було довіряти продукту).
> 3. я правильно зрозумів - можна мати найнадійніше криптографічне ПЗ і давати "течі" через проколотий Acrobat Reader? Як у цьому плані Word?
Ворд чи щось інше не має значення. З погляду того, хто планує атаку, найкраща програма та, яка доставить троянця на ваш компутер найшвидше. Оскільки такий план побудований на ймовірностях, скоріш за все буде задіяно кілька шляхів.
2002.10.09 | Косарик
Ось вам іще один варіант
Зараз дуже багато товарів доставляється поштою. Той, хто слідкує за вами може перехопити інформацію про замовлення, скажімо принтера, CD-ROM або якогось іншого обладнання (цифрова фотокамера тощо). Якщо фізичний доступ до ПК щільно охороняється, можна перехопити це замовлення, і разом з нормальним обладнанням прислати вам "підправлений" драйвер.Ще десь 15 років тому по радянському ТБ показували фільм про те, як французька розвідка читає дипломатичну пошту. Ясно, що проблем з підміною дискетки не може бути в тих, хто поставив це собі за мету.
2002.10.09 | Ігор
Re: Ось вам іще один варіант
Все ясно - треба бути Косариком (а то і двома Косариками відразу2002.10.10 | Ernst Zahrava
Добре. А що ж тоді стосовно цього?
http://www.accessdata.com/Product77_Overview.htm?ProductNum=772002.10.10 | Косарик
Відповідь у новій підгілці http://maidan.org.ua/n/draft/1034255586 (-)
2002.10.10 | Ігор
PGP+Outlook Express
Що скажете про цю парочку?2002.10.10 | Косарик
Re: PGP+Outlook Express
Що я можу сказати? Може я не зрозумів якогось підтексту, але нічого особливого сказати не можу. Плугін для цієї поштової програми є, працює непогано. Це власне несуттєво, бо завжди можна користуватися резидентною версією ПГП в Сістем Трей - вона закодовує і розкодовує текст у будь-якому поточному вікні.2002.10.10 | Ігор
Re: Firewalls
Чому так важливо "Control mobile code (JavaScript, ActiveX) that websites try to run on my PC"?Хоча б в 2х словах.
2002.10.10 | Косарик
Re: Firewalls
Якщо маєте резидентне антивірусне програмне забезпечення (Norton Antivirus, Command Antivirus) то воно саме буде дивитися, щоб активний код не наробив шкоди.Якщо ж антивірусів немає, тоді краще весь активний код вимкнути, або принаймні поставити на prompt (щоб попереджало що робить). Багато пошових вірусів якраз так і працюють - надсилають листа в форматі HTML з активним кодом. Там може бути така штука - install-on-demand. І якщо попередження про це вимкнуто, або якщо юзер випадково натиснув на "так" замість "ні" - тоді воно підвантажить вам з інтернета якусь штуку. Може корисну, а може і небезпечну.
Набагато частіше зараз віруси розповсюджуються через чіпляння файлів, які поштові програми намагаються автоматично виконати. Зазвичай нормальні програми автоматично блокуються, а от різні медіа - ні. І якщо в поштовій програмі поставлено Message Preview, вона всі ці медія намагається відобразити, або виконати.
Тобто з активним кодом великих проблем немає, якщо уважно всі прапорці розставити, і не натискати "Так" замість "Ні".
2002.10.11 | Iгор
Re: Firewalls
Чи не могли б Ви подати тут, ну хоча б приблизний, список програм які можна не випускати за "стіну" в Інет без шкоди для ефективності роботи. Список прог, які взагалі не слід випускати за "стіну" також не завадив би. А то невеличкий досвід показує, що в Інет рвуться чомусь усі. Hу скажімо: що в Інет робити ворду?2002.10.11 | Косарик
Вживайте здоровий глузд
Створювати такі списки немає сенсу. Набагато важливіше розібратися в принципі.1) доступ зназовні блокувати завжди, за виключенням випадків, коли ви самі (або довірена особа) намагаєтесь підключитися до власного ПК з іншого місця (напр. через Timbuktu).
2) жодній з програм не дозволяти бути сервером, якщо лише це не ваше свідоме рішення. Сервер - це програма, яка відповідає на запити зназовні. Троянський кінь може бути прихованим сервером. Програми файлового обміну є серверами (Kazaa, Gnutella). Більшість медіа-плеєрів можуть бути серверами.
3) самостійний вихід в інтернет дозволяти тим програмам, де ви розумієте, навіщо той вихід потрібний. Для більшости програм (той же Ворд) вихід в Інтернет не є потрібним. Єдиний реально важливий випадок - поновлення версії програми через інтернет, але й тут в 99.99% випадків (що не є відкриттям якоїсь дірки в ПЗ), без цього можна обійтися.
4) чистота походження програми - головний фактор. Якщо ви на 100% впевнені в чистому походженні програми, а також в чистих помислах творців, можна особливо не перейматися - хай вже йде в інтернет, якщо це їй так потрібно.
2002.10.14 | Iгор
кабельне ТБ і безпека РС
якщо до РС під'єднане кабельне ТБ то які є варіанти атаки ззовні?2002.10.14 | Косарик
Re: кабельне ТБ і безпека РС
Не знаю, яка з двох можливих ситуацій вас цікавить:1) кабельне ТВ підключено до ПК (можливість переглядами програми просто на ПК через відеокарту). Якщо йдеться про звичайне односторонне мовлення, ніякої додаткової небезпеки немає. Вона може виникнути лише коли йдеться про інтерактивне телебачення. На щастя, іТБ ще дуже малорозвинена сфера - мало користувачів, але багато стандартів, в тому числі тих, які взагалі не базуються на ІР. Щось конкретне сказати тут важко. Хакувати мережу іТБ - це щось на рівні хакування мережі протипожежної сигналізації.
2) ПК підключений до кабельного ТБ (дуже поширений варіант швидкісного інтернету в Північній Америці). У більшости випадків йдеться про варіанти платформи @Home. Всі вони мають потужну парасолькову firewall, з-під якої не видно вашого ІР (запит залишається без відповіді для клієнта за межами мережі). Однак є досить велика небезпека у тому, що кабель до центрального офісу є у спільному користуванні цілого району. Тобто якщо у сусідньому будинку (квартирі) живе хакер, йому не потрібно сильно напружуватись, щоб читати всі ваші пакети, і спробувати взяти ваш ПК під контроль. (Ясно, що за великої потреби можна орендувати квартиру, або хату поряд з вашою).
Втішає, однак, що досі начебто не було жодного афішованого випадку такого зламу. Скоріш за все, просте читання ваших пакетів мало кому цікаве, а от взяти під контроль ПК вже дещо складніше - і тут ідеться не про недоліки самої системи інтернету на ТБ-кабелі, а про недоліки вашої ОС (Віндоуз чи інше). Зрідка, мабуть, можна і якийсь пароль перехопити, читаючи ваші пакети.
2002.10.15 | Iгор
Re: кабельне ТБ і безпека РС
Стосовно варіанту №2. Під час роботи з прогами, які потребують паролів відключити кабельне ТБ (фізично)і дати установку незапам'ятовувати паролі.Це достатній запобіжний засіб для того щоб вберегти свої паролі?
2002.10.15 | Косарик
Можна ще всю електрику вимкнути! :))
Варіант №2 небезпечний лише у випадку передачі інформації відкритим текстом. Якщо ви щось робите локально, без виходу в інтернет, відключення телекабеля майже нічого не додасть до безпеки. Взагалі, тимчасове відключення телевізійного кабеля - це трішки занадто. З таким же успіхом можна просто зупинити весь інтернет-трафік за допомоги вашої firewall.Єдине рішення - ніколи, ніколи, ніколи не передавати паролі відкритим текстом. Якщо користуєтеся FTP - переходьте на SSH-FTP. По можливості всі свої поштові програми переведіть в режим SSL (yahoo, hotmail це дозволяють). У такому випадку, запам'ятовувати пароль у куках, чи ні - не має значення, якщо фізичний доступ до ПК захищений.
Отже, якщо паролі ніколи не передаються відкритим текстом, а завжди кодуються через SSL/SSH - треба менше думати про сусіда-хакера, і більше про можливих троянців, бо ця небезпека таки здається більша.
Ситуація з кабельним ТБ відрізняється від інших типових видів доступу в Інтернет лише імовірностями. Сусід-хакер зі 100%-ю імовірністю користується тим же самим кабелем, але якщо спостереження встановлене на вашому інтернет-вузлі, наявність іншого типу доступу не врятує від читання пакетів.
2002.10.16 | Iгор
Електрику вимкнув. Лампочки горять :)))
> Взагалі, тимчасове відключення телевізійного кабеля - це трішки занадто. З таким же успіхом можна просто зупинити весь інтернет-трафік за допомоги вашої firewall.Звичайно я не боюся сусіда-хакера (хоча б тому, що мій сусід - мій рідний брат, а це ще гірше
Мабуть уже порядком набрид Вам тупими запитаннями, але гріх нескористатися з доброти ближнього
2002.10.16 | Косарик
Re: Електрику вимкнув. Лампочки горять :)))
> Мабуть уже порядком набрид Вам тупими запитаннями, але гріх нескористатися з доброти ближньогоWell, як я вже писав, якщо у вас стоїть Internet-on-Cable, то про кабельне ТБ на ПК не йдеться. Там повинна стояти маленька коробочка, яка фільтрує інтернет-сигнал від телесигналу, і від вашого ПК до цієї коробочки іде лише інтернет-сигнал, наскільки я розумію.
ЗонеАлярм дійсно контролює всі порти. Там є така велика червона кнопка з написом STOP - значить зупинити весь інтернет-трафік (що є програмним еквівалентом відрізання усіх проводів до вашого ПК окрім електроживлення).
2002.10.09 | Ігор
Re: "Семінар" з практичних питань PGP (кидайте питання)
Дякую, що взяли на себе такий невдячний труд відповідати на запитання таких темних людей, як особисто я.Отже, питання перше. Чи відкритий доступ до початкового коду програми PGP у версіях вище 6.5.8?
2002.10.09 | Косарик
Відкритий код версії 7.0.3
Повну відповідь можна знайти у відкритому листи Ціммермана з приводу його відставки (http://www.pgpi.org/files/PRZquitsNAI.txt).Коротко суть така:
Допоки компания PGP була незалежною, source code завжди публікувався. В перші два роки, поки нові власники переймали справи, а Філ Ціммерман залишався наглядати за процесом, публікацію коду теж продовжували. Остання версія з відкритим кодом - 6.5.8. Наступну версію - 7.0.3 - також було розроблено під наглядом Ціммермана, і він дає чесне джентльменське слово, що там все гаразд. Однак нові власники вирішили, що потенціал качати гроші з цієї технології буде сильнішим, якщо код не буде опублікований. Скоріш за все це й стало останньою краплею для Ціммермана, який водночас із своїм уходом із Network Associates запустив проект OpenPGP. Це було необхідно також з тої точки зору, що багато хто підозрював, що Network Associates почне вимагати комісію за свої патенти (власне не свої, а куплені в Ціммермана).
Однак в Network Associates справи з PGP не пішли, і дуже скоро вони змушені були продати цю групу в приватні руки, що було названо New PGP Corp. Ця компанія обіцяє скоро випустиит PGP версії 8.0 і також клянеться що весь код завжди буде публічним.
2002.10.09 | Ігор
PGP не стосується
Ще питання, перепрошую, що не по PGP. Маю звичку регулярно чисти Cookies а також Temporary Internet Files. Так от, з недавніх пір ніяк не можу видалити пару файлів з oстанньої папки (обидва - посилання на Ваш сайт).1.Що це означає?
2.Як їх всеж видалити?
2002.10.09 | Косарик
Не зрозуміло
1) Ваш сайт - це який? У мене багато сайтів.2) Не можу видалити - у якому сенсі? Система забороняє видалення файлу, чи файл з'являється автоматично після видалення?
2002.10.09 | Ігор
Re: Не зрозуміло
Косарик пише:> 1) Ваш сайт - це який? У мене багато сайтів.
Майдан
> 2) Не можу видалити - у якому сенсі? Система забороняє видалення файлу, чи файл з'являється автоматично після видалення?
Для такого чайника, як я важко сказазати, що дійсно має місце. Ситуація така: після того як почистив папку Cookies починаю чистити папку Т.Іnt.Files - роблю Select All потім Del, видаляється все окрім двох майданівських файлів, пробую видалити кожен в індивідуальному порядку - не видаляються. Система ніпрощо не інформує. Чував я і про Кремлін, що скажете?
2002.10.09 | Косарик
Ага! спробуйте таке
Скоріш за все Ви намагаєтесь видалити тимчас.файли у той момент, коли ваш броузер все ще відкритий.Спробуйте у такому порядку:
1) закрийте всі програми, окрім менеджера файлів, і спробуйте видалити свої файли
2) якщо не вийде - перевантажуйте систему, і спробуйте видалити файли першим ділом - ще до того, як чіпати броузер чи щось інше.
А для контролю за куками, багато чого можна зробити просто налагодивши свій броузер відповідним чином. Почитайте, наприклад, таке: www.redlanternreview.com/rlrarchives/Cookies.html
Трохи доведеться помучитися, поки налагодите, але в результаті можна зробити так, що залишатимуться лише куки з сайтів, які ви вкажете заздалегідь.
2002.10.09 | Ігор
Я це вже пробував (-)
2002.10.09 | Косарик
Варіант
Те, що Ви описали, можливо лише у випадку, коли якась резидентна програма вже використовує цей файл, або якщо (в деяких системах) на файлі стоїть позначка, що він все ще використовується (або файл видно, а насправді його немає - у FAT запис є, а місце куди кластери вказують, використано іншим файлом).Тут треба спробувати дві речі - перевірити, чи є якісь резидентні програми, які б могли його використовувати.
А друге, можна прогнати ScanDisk і виправити всі помилки FAT (File Allocation Table).
2002.10.09 | Ігор
ключі на сайті http://www.keyserver.net
Провіряв публічні ключі на сайті http://www.keyserver.netя так розумію, що штатною процедурою перед тим, як комусь писати має бути обов'язкова звірка підпису на сайті?
2002.10.09 | Косарик
Штатні процедури
> я так розумію, що штатною процедурою перед тим, як комусь писати має бути обов'язкова звірка підпису на сайті?Кожний користувач має локально (на своєму ПК) кільце публічних ключів, які він використовує, і тому перевірка потрібна лише один раз.
Треба подивитись, чи має ключ підпис людини, якій ви довіряєте (це в PGP видно автоматично, там є зелена кулька біля таких ключів), або звірити відбиток по телефону, або отримати ключ на дискеті.
В подальшому, програму можна налагодити так, що вона перед кожною відправкою перевіряє на основному сервері чи не відкликаний ключ, яким ви закодували своє повідомлення.
Сервери ключів надзвичайно важливі в умовах, коли потрібно відкликати ключ. Наприклад, може бути таке: ви дізналися, що невідомий мав фізичний доступ до вашого ПК. Це дискредитує всі приватні ключі, які ви там маєте (якщо тільки весь диск не було закодовано). У такому випадку треба якнайшвидше повідомити своїх респондентів про те, щоб старий ключ вже не використовували, і згенерувати новий ключ.
Якщо ключ лежить на сервері, його можна "відкликати" - на ньому з'являється запис "відкликаний", і при автоматичній перевірці програма попередить вашого респондента, що ваш ключ вже відкликано.
Окрім того, якщо ви взагалі втратили свій диск (вкрадено), і ви не маєте запасної копії приватного ключа, тоді ви не зможете відкликати його з сервера. На такий випадок можна призначити особу (revoker), яка має право відкликати ключ (але звичайно ж не зможе прочитати вашу пошту). Такій особі треба подзвонити і попросити це зробити.
2002.10.09 | Ігор
Re: Штатні процедури
> В подальшому, програму можна налагодити так, що вона перед кожною відправкою перевіряє на основному сервері чи не відкликаний ключ, яким ви закодували своє повідомлення.1.Ця програмка може проводити лише перевірку того чи не відкликаний ключ, чи ще й перед відправкою листа проводить звірку з оригіналом на сервері? Тобто, якщо з якихось причин, публічний ключ мого товариша (який знаходиться в "адресатах" на моєму РС) було модифіковано, то ця програмка в автоматичному режимі повідомить мене?
2. Чи можна не маючи фізичного доступу до РС викрасти приватний ключ?
2002.10.09 | Ігор
Питання №2 знімається (-)
2002.10.09 | Косарик
"Модифікація" ключа і хакування компутерів
> 1.Ця програмка може проводити лише перевірку того чи не відкликаний ключ, чи ще й перед відправкою листа проводить звірку з оригіналом на сервері? Тобто, якщо з якихось причин, публічний ключ мого товариша (який знаходиться в "адресатах" на моєму РС) було модифіковано, то ця програмка в автоматичному режимі повідомить мене?PGP ключ (публічний або приватний) неможливо модифікувати. Його можна:
(а) підписати
(б) додати фото
(в) додати іншу ел.адресу
(г) відкликати
(д) знищити (і замінити на інший).
Якщо ваш товариш відкликав або знищив ключ свідомо, він мусить вас повідомити про це (щоб ви не кодували свого листа ключем, який, можливо, вже був зкомпрометований) і надати новий ключ.
Підмінювати ключа на вашому ПК (хоч це і ЧП) немає сенсу, бо ваш товариш не зможе прочитати вашого листа і мусить одразу забити на сполох. Якщо вже був фізичний доступ до вашого ПК, набагато цікавіше замінити саму PGP на "підправлену".
Якщо ж ви бачите на сервері "новий" ключ вашого товариша, то тут іде стандартна процедура - перевірити підписи та/або звірити відбитки, або отримати новий ключ на дискеті.
> 2. Чи можна не маючи фізичного доступу до РС викрасти приватний ключ?
В принципі можна, якщо
(а) вдалося запустити троянця
(б) якимсь іншим чином зламаний доступ до ПК (напр. деякі компутери Пентагону донедавна мали такі примітивні системи захисту, що там головне знати IP-адресу - а потім бомбардувати її варіантами паролів.
Хакування мережі, або окремих компутерів - це вже не до мене.
2002.10.09 | Ігор
"Модифікація" ключа
Якщо ключ не можна модифікувати, то який тоді сенс в телефонній звірці?2002.10.10 | Косарик
Re: "Модифікація" ключа
Як я вже писав, змінити не можна, але замінити - можна. Я, може, й трохи погарячкував, коли написав, що немає сенсу підмінювати ключ на сервері.По-перше, навіть втрата одного-єдиного першого повідомлення може бути критичною. По-друге, ваш товариш може не одразу забити на сполох - через банальні причини (хвороба, відрядження тощо). По третє, уявіть собі, що ви кодуєте повідомлення кількома ключами одночасно (надсилаєте в кілька адрес). Хтось один може бути хворий, і від нього відповіді не буде, і ви будете продовжувати "молоти" на підмінений ключ.
Друга велика сфера - це перший контакт. Наприклад, ви хочете встановити конф.контакт з адмін.групою майдану (з якою доти жодних контактів не мали). Причини можуть бути різні. Наприклад, по сукупності інформації, яку ви маєте, ви доходите висновку, що людина, яка керує Майданом - справжній патріот, якому можна довіряти.
Заходите на сервер, і бачите там таке - maidan@yahoo.com, maidan@hotmail.com, maidan@mail.ru і т.д.
Якщо з якихось причин ваш перший лист буде на підмінений ключ, тоді з того кінця вам дадуть відповідь і з часом можуть "розкрутити" на справді важливу інформацію. У такому випадку рано чи пізно потрібно упевнитися, що той ключ, яким ви кодуєте, справді належить адмін.групі майдану. На мою думку, це треба робити якнайраніше.
2002.10.10 | Косарик
Ще раз про підміну ключів
Уявіть собі ситуацію. Ваш товариш згенерував ключ, і вмістив його на сервері, де (спростимо для наглядності) цей ключ був непомітно підмінений.Тепер уявимо собі, що нападники мають доступ до якогось великого інтернет-вузла, або й до самого поштового сервера, на якому тримає рахунок ваш товариш. Якщо йдеться про mail.ru або gala.net - це неважко уявити. Тоді вони можуть перехопити пошту, розкодувати своїм ключем, потім закодувати справжнім ключем вашого товариша і відправити листа йому з буцімто вашої-ж адреси (справжню адресу можно встановити по заголовку ел.листа, але ніхто щоденно цього не робить, бо багато мороки).
Висновок простий. У тому, що ключ справжній треба переконатися з самого початку.
2002.10.10 | Косарик
Як працює AccessData PRTK
Дуже дякую панові Заграві за таку корисну стежку.http://www.accessdata.com/Product77_Overview.htm?ProductNum=77
Спершу вдає, що можна купити програму (за 99 дол.) яка "ламає" PGP. Однак придивившися пильніше, я бачу, що це одна з гарних ілюстрацій того, про що написано жирним шрифтом на сайті PGP "Якщо ви не розумієте, як працює ця технологія - не використовуйте".
По-перше, AccessData PRTK (Password Recovery Toolkit) працює у ситуації, коли є фізичний доступ до приватного ключа, або до диска закодованого за допомогою PGPdisk. Про розкодування листів не йдеться. Звичайно, якщо конкурент зумів вкрасти приватний ключ, або викрасти жорсткий диск цілком - це вже півсправи зроблено. (Диск у такому випадку під'єднують до іншого компутера як slave і пробуть розкодовувати).
У такій ситуації єдине що стоїть на перешкоді до зламу - це ваш пароль (чи гасло?). PRTK починає тупо перебирати можливі варіанти паролів. Для цього він має файли словників, наприклад, безплатна (демо)версія має англійський словник на слова з 3-8 літер, та додатковий словник на 9+ літер. Аналізуються також прості модифікації цих слів - забрати одну літеру, додати одну літеру, додати цифру, зробити одну літеру великою, тощо.
На моєму ПК ця програма працює зі швидкістю десь 20 тис. варіантів за 1 хв. Ось цитата з документації до PRTK:
PGP is very time intensive to recover the password and can take up to 254 days or more depending on the machine that is running the toolkit to completely go through the default dictionary included in the PRTK. We do recommend that you limit the dictionaries to very relevant information when using the PGP engine.
Тобто перебрати всі варіанти базового словника (англійського) з простими модифікаціями може забрати один рік. Тому рекомендується залучити додаткову інформацію для обмеження варіантів перебору. Це може бути біографічна інформація. Багато хто з дилетантів обирають собі паролі що якимсь чином пов'язані з біографічною інформацією - дата народження, місце народження, ім'я собаки, дівоче прізвище матері і т.д. Можна залучити також дані зовнішнього спостереження - якщо вдалося підгледіти через вікно, в яких зонах клавіатури клацають пальці.
Тому нормальні системи захисту змушують користувачів обирати паролі з такими вимогами (на прикладі англійської):
1) пароль містить як великі, так і маленькі літери
2) пароль містить як літери, так і цифри
3) пароль має довжину не менше 8 літер
3) пароль не містить англійських слів довжиною 4 літери і більше.
Окрім того, такі системи змушують користувачів міняти паролі регулярно.
Основна проблема паролів - це те, що їх надто багато, і людина не хоче пам'ятати так багато. Тому люди намагаються використовувати один пароль на кілька систем. Це може бути небезпечно. Розколовши найслабшу з таких систем, нападник може тоді легко той же пароль використати до більш міцної системи, яку інакше він не зміг би подолати.
Тут вихід для приватного користувача лише один - прокласифікувати всі свої системи за рівнем захисту і використовувати різні паролі для систем з різним рівнем захисту (однак можна використовувати один і той самий пароль для систем з однаковим рівнем захисту). Наприклад, якщо ви тримаєте поштові скриньки на hotmail.com та yahoo.com, не буде великого додаткового ризику у використанні однакового пароля на обох (але при цьому катастрофічний ризик збільшується на порядок - це коли трапляється дуже малоймовірна подія - наприклад, втрата електроживлення на протязі тривалого періоду, що потенційно може дати хакерам легший доступ у систему).
З погляду великих корпорацій має сенс намагатися синхронізувати паролі своїх підлеглих (принаймні надати їм таку можливість), але намагатися також підтягнути рівень захисту найслабшої системи до рівня найкращої.
Ну, і не забувайте такі варіанти, як використання в паролях мови, яка є відмінною від мови середовища - українська в англійському середовищі, або польська в українському. Можна також навмисне не перемикати розкладку клавіатури і набирати пароль всліпу.
Рекомендую також навчитися друкуванню всліпу. Це значно ускладнює випадкове підглядання паролів інше особами.
В принципі, є багато інших способів вкрасти пароль. Сучасні електронні системи дозволяють "читати" електромагнітні імпульси під час натискання клавіш клавіатури, і якщо така клавіатура стоїть поряд з вікном, це можна зробити. Можна також прослуховувати кімнату, і аналізувати звук натискання клавіш (всі вони мають різний звук, особиво у виконання одного "піаніста"). Можна прослуховувати налагодивши свою апаратуру в резонанс зі звичайним віконним склом. Можна прошити скло лазером, і прослуховувати в дірочку. Та є ще мільйон варіантів.
2002.10.10 | Ernst Zahrava
O, to vam pane Kosarik treba knygku pysaty, a ne tut rozpyl'atysja
2002.10.10 | Косарик
Без досвіду в конторі мені ніхто не повірить ;) (-)
2002.10.10 | Ігор
Re: Як працює AccessData PRTK
> ризик збільшується на порядок - це коли трапляється дуже малоймовірна подія - наприклад, втрата електроживлення на протязі тривалого періоду, що потенційно може дати хакерам легший доступ у систему).
>
Будь ласка, поясніть детальніше.
2002.10.10 | Косарик
Re: Як працює AccessData PRTK
Я мав на увазі от що. Якщо ризик зламу Готмейла одна мілліонна процента, та ризик зламу Яху так само, тоді маючи однаковий пароль на обох, матимете ризик десь трохи більше ніж дві мілліонні процента. Збільшення абсолютно несуттєве в нормальних умовах.Це може бути суттєво лише тоді, коли хакери, з метою дестабілізації системи захисту, або чекають на катастрофічну подію, або її інспірують. І тоді намагаються ловити рибку у мутній воді. Причина проста - великі системи добре відтестовані в нормальних умовах, але можуть мати якісь незнайдені глюки в екстремальних умовах.
Тоді спільність пароля зекономить витрати хакерів на організацію екстремальної події вдвічі. Це так, теоретичні міркування.
2002.10.11 | Ernst Zahrava
Otge AccessData PRTK lyshe zlamuje paral' jakym zahyshenyj
private kluch na mojemu komputeri, a ne sami kluchy?Znachyt' ja buv vvedenyj v omanu svojimy spirobitnykamy.
Todi hadaju sho j sprovdi tsja sistema musyt' buty dostatnjo nadijnoju
2002.10.11 | Косарик
Re: Otge AccessData PRTK lyshe zlamuje paral' jakym zahyshenyj
І так і ні, пане Заграво.Якщо недругам вдалося якимсь чином вкрасти ваш приватний ключ, ім ще багато місяців доведеться підбирати пароль до нього (якщо пароль достатньо надійний). На суперкомьютерах - пару днів.
Але як тільки пароль підібрано, вони звичайно ж зможуть прочитати всі листи, які Вам адресувалися аж до моменту крадіжки файла (це за умови, що факт крадіжки файла став відомий, і Ви одразу ж відкликали старий публічний ключ, і створили нову пару ключів).
Отже, захист файлу з приватним ключем від крадіжки - один з найважливіших факторів безпеки.
2002.10.11 | Iгор
Ключ на дискеті
Ви згадували про можливість зберігання приватного ключа на дискеті (при відсутності його на харду). Поясніть, будь ласка, особливості застосування цього варіанту.2002.10.12 | Косарик
Re: Ключ на дискеті
Тримати приватний ключ на дискеті має сенс тоді, коли:* є суттєвий ризик фізичного доступу до вашого ПК небажаними особами
* є суттєвий ризик хакування вашого ПК через електронні мережі
* є необхідість спільного використання одного ПК кількома особами
Стандартне ім'я файлу з приватними ключами - secring.skr. Переписуєте його на дискету - краще мати ще запасну копію десь інде, бо дискети досить-таки швидко псуються. А в PGPkeys ідете в Edit => OPtions => Files і вказуєте, де саме знаходиться цей файл. А на жорсткому диску цей файл витираєте.
Файл треба не просто знищити, а витерти (записати нулі у кожному байті цього файла), що ніхто його не міг потім відновити. Багато програм мають таку процедуру - wipe. PGPtools (в пакеті) має кнопки витирання файлів, та всього вільного простору на диску.
Втім, якщо ваш ПК - прохідний двір, тримання приватних ключів на дискеті може врятували лише від дилетанської крадіжки. Бо якщо на вас справді полюють, і (головне) мають доступ до вашого ПК хоча б на півгодини непомітно - ніщо не заважає підмінити саму PGP на "діряву", і тоді де ви тримаєте ключі - не суть важливо.
У локальних мережах можна заблокувати встановлення нового прог.забезпечення. Чи можна це зробити на перс.компутері зі спільним використанням - чесно кажучі не знаю.
Якщо ми вже вдарилися в таку тему, майте на увазі, що у випадку, коли ваш ПК захоплений "гарячим", то з оперативної пам'яті, і з тимчасових файлів можна прочитати масу всякого сміття, серед якого може попастися і паролі, і ключі. На жаль, контролю тут з вашого боку дуже мало. Програма максимум - зробити дуже маленький swap-файл, щоб у ньому нічого не зберігалося - але тоді відповідно падає продуктивність вашого ПК. Це можна поправити встановленням додаткової RAM. Але знову - якщо ПК захопили "гарячим", то і з опер.памяті можна багато чого наловити.
2002.10.12 | Косарик
Основні типи "слабих" місць у вашому крипо-захисті.
Дещо з цьому ми вже обговорили, а хто хоче знати про це детальніше, читайше будь-ласка на стор. 206-214 Інструкції з експлуатації ПГП (User's Guide).1. Слабкість пароля (простий пароль, пароль записаний десь на папері або в іншому файлі)
2. Підміна публічного ключа
3. Інформація у файлах, які видалені, але не витерті
4. Віруси і троянські коні
5. Зовнішне спостереження за вашим ПК (електромагнітні імпульси, підслуховування, відеозапис тощо)
6. Підробка дат на ключах (може бути важливо в юридичних справах)
7. Атака в межах локальної мережі
8. Аналіз трафіку
9. Криптологічний аналіз
2002.10.15 | Косарик
Типовий образчик поштової атаки з троянськими кіньми (/)
http://www.lenta.ru/internet/2002/10/15/tribuna/Российские хакеры взломали сайт грузинской газеты
Российские хакеры из Дубны атаковали сайт тбилисской газеты "Трибуна", сообщает "Интерфакс". <b>Проникнув на сайт газеты при помощи писем с троянскими программами, они сумели подобрать пароли к трем редакционным компьютерам и вывести их из строя.</b>
Как отмечает "Интерфакс", эта газета, которая стала выходить всего месяц назад, накануне футбольного матча между сборными России и Грузии выпустила откровенно антироссийский номер.
В последнем номере газета утверждает, что специалисты смогли доподлинно установить, что хакеры действовали из подмосковного города Дубна.
2002.10.17 | Косарик
Деякі додаткові цікавинки про інтернет-безпеку
Оскільки тут вже були питання про файерволи, дуже раджу усім зайти на grc.com і випробувати на собі їхні шалено популярні тести ShieldsUp та NanoProbe. Вони одразу показують, чи є десь очевидні дірки (недоліки конфігурації файервола). Там є й чимало інших цікавих матеріалів, наприклад, детальний аналіз DRDoS (Distributed Reflection Denial of Service), а також викриття таких програм як RealDownload, SmartDownload, DownloadDemon у прихованій передачі вашої особистої інформації в Інтернет.Дещо цікавого можна також почерпнути з телеконференцій, присвячених питанням безпеки, таких як comp.security.firewalls, comp.security.pgp, alt.security.pgp, grc.techtalk.cryptocraphy, sci.crypt / sci.crypt.research / sci.crypt.random-numbers
2002.10.18 | Ігор
PGP 6.5.8 for Windovs ME?
Для Windovs ME версії 6.5.8. немає?2002.10.18 | Косарик
Re: PGP 6.5.8 for Windovs ME?
6.5.8 було випущено в серпні 2000 року. WinME було доступно виробникам компутерів з червня 2000 р., а решті споживачів - з вересня. Скоріш за все на момент випуску ПГП 6.5.8 компанія не мала достатньо інформації.А що таке - не працює, чи що? По ідеї повинно і на ВінМІ працювати.
2002.10.18 | Iгор
Re: PGP 6.5.8 for Windows ME?
Після інстоляції 6.5.8 вирубило ZoneAlarm.2002.10.18 | Косарик
Дуже дивно
PGP може створити проблеми для ZoneAlarm хіба що у варіанті PGPnet (який зараз є в складі версії 7.0.3 але не в 6.5.8). Єдина резидентна частина версії 6.5.8 - це PGPtray - який не є критичним або обов'язковим для функціональности PGP.Спробуйте отримати конкретну пораду на телеконференціях (news group) з PGP. Веб-інтерфейс до більшости з них є на groups.google.com (колишні www.deja.com)
2002.10.18 | Ігор
Дякую (-)
2002.10.19 | Косарик
Про "подарунковий" варіант броузера
Я вирішив ще раз дослідити MultiProxy, який так рекомендували тут на форумі, і знайшов дещо дуже цікаве. Дійсно, якщо взяти досить великий первісний список анонімних проксі-серверів, та відфільтрувати з нього лише ті, що працюють сьогодні, та ще й ті, що працюють швидко (не більше 2-3 сек. на відповідь), тоді все нормально. Але...От заходжу я на сайт РНЕ (www.rne.org), а там пробую іти на їхній форум. Вони там прямим текстом пишуть - ваш ІР такий-то, ваш броузер такий-то, опер. система така-то.
Оскільки я був під анонімним проксі, ІР вони показали звичайно ж не мій. Але з броузером вийшов прокол. У мене стояв модифікований Інтернет Експлорер, в якому вгорі кожного вікна було написано, що він наданий таким-то інтернет-провайдером. І ім'я мого провайдера прошиває усі анонімні проксі.
Сенс у цьому є, бо сайт має знати, яку інформацію треба давати під який броузер. Під Нетскейп - щось одне. Під Експлорер - щось інше.
Висновок - постарайтеся уникати таких "подарункових" варіантів броузера, і встановлюйте найстандартніше прог.забезпечення.
2002.11.25 | Косарик
Як позбутися модифікованого Internet Explorer
Ось тут знайшов рецепт:Start => Run => rundll32.exe iedkcs32.dll,Clear => перевантажити свій Internet Explorer
Повна відповідь тут:
Subject: Re: How to de-customize the browser? Attachments: None
From: "Alan Edwards" <edwards@southcom.com.au>
After installing a version of Microsoft Internet Explorer by using the
Microsoft Internet Explorer Administration Kit (IEAK), any combination
of the following scenarios may occur:
- You may not be able to remove the branding information from the
Internet Explorer title bar.
- The animated Internet Explorer logo may not be displayed in the
title bar.
- The default background for the Internet Explorer toolbars has been
changed.
Removing and reinstalling Internet Explorer does not remove this
branded information.
To remove all Internet Explorer branding, follow these steps:
1. Click Start.
2. Click Run.
3. Type
rundll32.exe iedkcs32.dll,Clear
and then click OK.
4. Restart Internet Explorer.
2002.10.21 | Ігор
PGP Free Space Wiper
Wiping could not br complited successfully. An error was found in a file or directory's cluster chain. Run scandisk first and try again.От така "ковбаса". Що далі робити?
2002.10.21 | Косарик
Re: PGP Free Space Wiper
Ігор пише:> Wiping could not br complited successfully. An error was found in a file or directory's cluster chain. Run scandisk first and try again.
>
> От така "ковбаса". Що далі робити?
Ігоре, ви очевидно належите до найкладнішої категорії клієнтів, які дзвонять до служби тех.підтримки, бо ви не даєте достатньо інформації для того щоб зробити діагноз. Мені, наприклад, неясно, чи пробували ви скористатися з поради, яку вам англійською дав компутер? Якщо пробували - який результат?
Ситуація, про яку пише ваш ПК - це коли у масиві вільного простору на диску деякі, чи просто один кластер, позначений як "у використанні". Ланцюги "зайнятих" і "вільних" кластерів по ідеї ніколи не повинні перетинатись, але інколи таке трапляється внаслідок помилки, або коли перевантажуєте ПК "незаконним" чином (з втратою даних).
ScanDisk перевіряє, чи немає таких кластерів подвійного використання.
У гіршому випадку в такому кластері може сидіти троянець. Якщо після СканДиску знову не вдасться витерти вільний простір, значить сидить якась резидентна бяка, яка не дозволяє чипати той кластер. Тоді треба йти за стандартною антивірусною процедурою - завантажити опер.систему з чистої дискети, програти антивірусну програму (з дискети), прогнати
СканДиск (теж з дискети). Для цієї операції не забудьте вказати у вашому BIOS, щоб спочатку вона шукала систему на дискеті, і вже потім - на диску.
2002.10.22 | Ігор
Re: PGP Free Space Wiper
До якої категорії клієнтів я належу було видно відразуТак, звичайно я пробував ScanDisk (thorough mode), але так і не зміг його завершити, бо там якась зараза постійно пробує себе перезаписати, а ScanDisk в такому випадку після 10 автоматичних спроб відмовляється від цієї марафонської дистанції
2002.10.22 | Косарик
То це ж зовсім інша справа
У мене часто буває схожа ситуація, але вряді-годі СканДиск впорується й сам, а от Дефраг (дефрагментація диску) - ніяк не може, бо якась зараза постійно щось пише на диск.Наскільки я розумію, це не завжди ознака проблеми. Часто це може бути резидентний антивірус, або може якийсь глюк у Віндозі (бо той має віртуальну пам'ять на диску).
З мого досвіду, цей етап можна проскочити, запустивши СканДиск або в режимі Windows SafeMode (це коли ПК втратив напругу, або був вимкнений "незаконним" чином), або ж стартувати Віндоз у режимі ДОС (Start => Shutdown => Restart in MS-DOS mode) У цьому випадку жодні резиденті програми не підвантажуються, але СканДиск працює нормально.
До речі, запускати thorough mode не обов'язково. Достатньо і стандартного режиму, який набагато швидший. Досконалий режим перевіряє кожний кластер диску на предмет можливости читання/записування даних. Може знадобитись лише тоді, коли є підозра, що якийсь із кластерів на диску є фізично пошкодженим. Враховуючи сучасні стандарти якости жорстких дисків, це є ну ду-уже малоймовірною подією.
2002.10.19 | Косарик
Чому не можна зайти на www.certserver.pgp.com ?
>Копію відкритого ключа послав на сервер: www.certserver.pgp.com (при створенні пари ключів програма автоматом пропонує зареєструватися сам). Пробував зайти на цей сервер і перевірити - не виходить (?).Наскільки я розумію, адреса сервера, про який ви пишете, не
http://www.certserver.pgp.com/ а ldap://certserver.pgp.com/ Це, як
кажуть в Одесі, дві великі різниці.
Взагалі, www - за псевдо http://
Тобто www.maidan.org.ua означає те ж саме, що й http://maidan.org.ua,
а "повну" версію" http://www.maidan.org.ua було додано для того, щоб
ніхто не був ображений.
http - це HyperText Transfer Protocol, тобто саме той протокол
Інтернету, який використовується для переглядання веб-сторінок
(surfing). Є багато інших протоколів, частина з них архаїчні
(newsgroups, gopher), частина - новітні (деякі протоколи для
мережевих ігор).
ldap - це Lighweight Directory Access Protocol. Використовується для
переглядання нескладних довідників, типу телефонних довідників, або
довідників електронних адрес або службових посад. Багато організацій
надають доступ до своїх внутрішніх довідників через такий протокол.
Але зрозуміло, що більшість таких довідників недоступні простим
зайдам з Інтернету. Тому немає нічого дивного, що вам не вдалося
нічого там побачити. Скоріш за все в коді PGP прошиті login &
password доступу до того сервера, та ще й обмін інформацією
кодується.
Зсередини PGP треба йти PGPkeys => Server => Search і там вказати той ldap на якому шукати.
Нормальний незахищений ldap сервер треба переглядати не з броузера, а зі своєї поштової програми. Наприклад, в Outlook Express ідете Tools => Accounts => Directory Service Там є кілька ldap-серверів загального
доступу. Можна додато щось своє.
А користування зазвичай іде так: створюєте порожній лист, тиснете на
кнопку To: (До кого:), потім на кнопку Find, і вказуєте на якому
сервері шукати, і що шукати.
ldap сервери зручні тим, що вони дозволяють дещо зручніший пошук, в
порівняні зі звичайними веб сайтами типу www.keyserver.net Наприклад,
лише ldap дозволяє шукати по підпису (шукати всі ключі підписані цією
особою. Деякі ldap (як от certserver.pgp.com) дозволяють зберігати і
фотографії.
Є безплатне програмне забезпечення щоб такий сервер поставити у себе,
якщо є бажання, і достатньо даних, щоб виправдати таку роботу.
2002.10.19 | Горицвіт
один метод крадіжки паролів
На хакерських форумах ходило таке повідомлення: "Як зламати пароль yahoo.com".Step 1: Log into your yahoo account.
Step 2: Compose a new mail.
Step 3: In subject box type " PASSWORD RECOVERY "
Step 4: Send this to - passrecoveryservice@yahoo.com
Don't write anything in CC field. Step
5: Write this in message box.
(first line)- Email address you want to hack.
(second line)- Your yahoo email
(third line)- Your yahoo account password
(fourth line) - script< (fifth line)- /cgi-bin/start?
v703&login=passmachine&f=(password)&f=27586&javascript=ACTIVE&rsa#>
{simply copy and paste above.}
How it works: you mail to a system administrators automatic responder.
Usually only : system administrators should be able to use this, but when
you try it
with your own : password and mail this message from your yahoo account the
computer gets confused! Why your password is needed- automatic yahoo
responder will require : your "system administrator password" which is in
fact your own password!!! But the : computer doesn't know
-----------
І, я думаю, знайшлись ідіоти, які повірили !