monster of incuriosity (vishka) wrote,
monster of incuriosity
vishka

Categories:

Практическое пособие по компьютерной безопасности для российской оппозиции

Так как все статьи, написаные после очередного взлома почты Навального больше похожи на вредные советы, решил написать собственную инструкцию по компьютерной безопасности.

1. Выбор пароля. Пикрилейтед
Слово мнемоника только звучит страшно. С её помощью можно создавать длинные пароли, которые очень просто запомнить и невозможно подобрать. Они значительно надёжнее, чем набор из 8-9 случайных букв с цифрами, и значительно проще в запоминании.

Создать мнемонический пароль очень просто. Выберите какую-нибудь фразу, которую вы никогда не забудете. Подойдёт любой припев песни или четверостишие, которое вы уже помните наизусть.

Например:
Зачем существует в мире
Статья сто тридцать четыре?
Детям любить мешает,
С кем можно ― за них решает!
Если вы запишите все первые буквы этого припева вряд, а номер статьи цифрами, у вас получится замечательный 17-значный пароль: zsvms134dlmskmznr.

Выглядит сложно? Вам его не придётся даже запоминать, достаточно запомнить, что это все первые буквы из припева песни, который вы и так уже знаете.
Zachem Sushetvuet V Mire
Statya 134
Detyam Lyubit Meshaet,
S Kem Mojno - Za Nih Reshaet!
Ещё лучше записать одно слово в ряде целиком. Например, слово statya: zsvmstatya134dlmskmznr. У вас получился гигантский 22-буквенный пароль, который невозможно подобрать или подглядеть, зато вы его никогда не забудете.

Из одного припева можно собрать десятки надёжных паролей, например, выделяя не первую, а последнюю букву в словах: mtea134mttsmoaht. Но лучше для каждого нового пароля выбирать своё четверостишие.

Disclaimer: Ни в коем случае не используйте четверостишие из моего примера. После этой статьи его будут пробивать в первую очередь. Выберите своё, что-нибудь не слишком известное.
2. Шифруйте данные на компьютере.
Полицейские взломали почту Навального через изъятый компьютер. Они совершили должностное преступление (кого это удивляет?), но это не оправдание беспечности. Если бы Навальный шифровал данные, следственный комитет в обнимку с хакером Хеллом на пупе бы извертелись, а ничего бы не извлекли.

Запомните, системный пароль ни от чего не защищает. То, что вы вводите когда включаете компьютер ничего не значащая фитюлька. Защищает только шифрование данных.

На маке это делается в пару кликов встроенными средствами, вот пошаговая инструкция.

На PC лучше всего скачать TrueCrypt (UPD от 29/04/2016: Актуальная версия теперь называется VeraCrypt.) Настраивается он тоже очень просто.

Однажды зашифровав систему целиком вы можете быть спокойны, что без пароля ни один ваш файл нельзя будет прочитать. Для вас же это будет выглядить просто как обычный вход в систему. Только в отличии от системного пароля, эти программы надёжно охраняют ваши данные.

Disclaimer: При шифровке диска не забывайте, если вы потеряете пароль, то у вас не будет никакой возможности получить доступ к своим файлам. В этом и есть суть шифрования.
3. Не привязывайте номер телефона к своим аккаунтам.
Я видел, как активисты с параноидальной настойчивостью вытаскивают батарейки из телефонов перед встречей, но при этом не задумываясь вводят номер сотового на случай "восстановления пароля". Ваши телефоны уже прослушивают, прочитать СМС ― ещё проще. Один запрос пароля на телефон + перехват СМС и ваша почта компрометирована. Незамысловатый секрет крутых хакеров из центра "Э".
4. НЕ ИСПОЛЬЗУЙТЕ СЕКРЕТНЫЕ ВОПРОСЫ.
Выяснить девичью фамилию вашей матери не просто, а невероятно просто. У меня это займёт примерно 3 клика, у центра "Э" один единственный звонок.

Узнать имя вашего питомца тоже задача тривиальная. Например, на почте у Юлии Сазоновой стоит вопрос "имя моей собаки". Я его выяснил за 10 минут. Юлия, поменяйте вопрос, и пароль заодно.

Кстати, девичья фамилия её матери ― Лондон. Это к вопросу, насколько такие вещи легко вычисляются.

Лучше всего не вводить секретный вопрос вообще. Если какой-то сервис на нём настаивает ― введите заведомую белиберду (длинную!), которую невозможно подобрать.
5. Не привязывайте разные аккаунты друг к другу (особенно фейсбук к почте).
Таким образом уведя один аккаунт у вас уведут сразу все.
6. НИКОГДА не используйте русских провайдеров почты.
Все российские провайдеры электронных услуг подотчётны силовым структурам и отдадут ваш аккаунт по первому требованию.
7. Максимально используйте режим инкогнито в броузере.
Перехват cookie один из самых распространённых способов угона доступа. В режиме инкогнито все новые cookie автоматически удаляются после закрытия окна.


Это была безопасность 101. Самые азы профилактики, доступные каждому. Следующие два пункта чуть более продвинутые. Если вы выполните их тоже, ваше пребывание в сети будет пуленепробиваемым.

8. Заведите VPN заграницей.
В 2000 году тогда ещё управление "К" обязало всех операторов связи установить систему СОРМ. С тех пор спецслужбы могут отслеживать всю вашу деятельность в интернете одним нажатием клавиши.

VPN это зашифрованный туннель (сигнал) до удалённого компьютера. Всё что вам действительно нужно знать, это что с ним ваша деятельность станет абсолютно непрозрачной для вашего провайдера, а значит для российских спецслужб и хакеров. Под VPN безопасно пользоваться открытым вайфаем, выходить из незнакомых мест в сеть и не волноваться, что ваш сигнал перехватят сниффером.

Все надёжные VPN платные, но они стоят своих денег. Я настойчиво советую вам не пользоваться бесплатными сервисами, они медленные и в большинстве случаев являются сладкими ловушками.

Я использую VyprVPN, мне он достался с аккаунтом на giganews. Но есть и ещё более надёжные провайдеры:

http://perfect-privacy.com/
http://www.swissVPN.net/
http://www.strongvpn.com

VPN обезопасит всю вашу технику. Через VPN умеют работать не только компьютер, но и айфон, и айпад, и телефоны на андроиде.

Настраивается всё очень просто: инструкция для айфона/айпада, инструкция для андроида, инструкция для макинтош, инструкция для Windows 7

Однажды всё настроив от вас больше ничего не потребуется. Всё будет работать как прежде, вы не заметите разницы. Только вы будете защищены.

Дополнительный бонус ― это надёжная защита против нового закона о цензуре. Какие бы ресурсы не решили заблокировать Единая Россия и Илья Пономарёв, вам останутся доступны все запрещённые в России сайты. У вас так же будет несколько иностранных айпи на выбор в разных частях света. Вас станет невозможно выследить в сети напрямую, так как ваш след будет вести в другие страны.
9. Сделайте секретный почтовый ящик о котором никто не будет знать.
Моя публичная почта msvetov@gmail.com Этому адресу 7 лет, сюда мне приходят все письма, на него зарегистрированы все мои аккаунты. Но это только ширма, я им не пользуюсь. С него все письма автоматически уходят на совсем другой адрес, а с этого ящика тут же автоматически удаляются. Подобный автофорвардинг на гмейле очень просто настроить

На письма я отвечаю тоже с секретного адреса. Назовём его mysecretemail@gmail.com Никто из моих адресатов этого не знает, потому что в теле письма спуфится (прописывается) публичный адрес. Это тоже очень просто настраивается в том же гмейле

Таким образом для меня не существует почты msvetov@gmail.com, это технический адрес который я раздаю в сети. Я в него захожу раз в полгода поменять пароль и всё. Зато для всех остальных не существует адреса, с которого я пишу почту, пользуюсь гуглом и так далее.

Конечно, если кто-то завладеет вашим публичным адресом и изучит настройки, он узнает и ваш секретный адрес. Но перед ним будет девственно-чистая почта, ведь весь архив у вас хранится в совершенно другом месте. (В отличии от дураков, которые советуют никогда не хранить архивов, я хорошо понимаю, как важно всё сохранять). Пока взломщик будет судорожно ломать вашу секретную почту, у вас будет время спокойно вернуть публичный адрес, а архив перенести на новое место.
10. Не будьте дураком.
Не записывайте пароли на бумажке или текстовом файле. Не используйте один и тот же пароль на разных аккаунтах. Не логиньтесь на чужих компьютерах. Не качайте сомнительные файлы, не реагируйте на фишинг. А так же не забывайте, что болтун находка для шпиона.
PS: Я нарочно не стал объяснять как что работает, а только как с чем работать. Моя задача была написать максимально доступное практическое руководство. По этой же причине я не стал описывать других более задротских средств защиты. Их много, они надёжны ― но серьзно сказываются на юзабилити.

Однажды всё настроив вы вообще не заметите разницы в юзабилити. Я вас вооружил, если вас и дальше будут ломать ― то вы сами себе дураки.
2
Как Вы думаете, при помощи какой технологии взломали почтовый ящик Навального на Гугле?
В оппозиции такая компьютерная безграмотность преобладает, что и по секретному вопросу могли. Либо через СОРМ трафик перехватили, это проще всего.
Не складывается.

При доуступе к gmail используется HTTPS, как его можно перехватить с помощью СОРМ?

А по секретному вопросу пароль нельзя узнать, его можно только поменять. То есть, ящик был бы не взломан, а украден, то есть, Навальный сам потерял бы к нему доступ (а он терял доступ только к Твиттеру).
Перехватить через СОРМ можно всё вообще

Gimly Vitaly

July 19 2012, 17:43:11 UTC 7 years ago Edited:  July 19 2012, 17:46:04 UTC

вот только расшифровать ничего нельзя :)
Разве что понаблюдать за активностью..

Вмешаться в работу https могут только те, кто "имеет доступ" к сетевым валидаторам (читай спецслужбы США - недавно "левые сертификаты" ловили в сети - ну да, все поверили, что сертификаты нагенерили иранцы),
либо к самим серверам (гугля, ага - сразу тут видим руку Кремля),
либо использует дырки конкретных программ и систем.
Скажите, Вас часто головой били об асфальт?
Если бы ломали через СОРМ, то спиздили бы все письма из разных ящиков, а не только по август 2011.
Конспирологи хуевы.
молодец, получи в кассе 85 рублей, пидор )
Ещё один клоун.
Вроде бы он сам говорил, что на фишинг повелся.
Там всё равно ничего стоящего нет. Босс Н-го профессиональный шпион и к переписке должен относиться максимально щепетильно. КГБ ж всё таки.
Могли также имитировать взлом, если Н-ый кремлёвский проект.
Все браузеры предлагают сохранять пароли и надо быть законченным параноиком чтобы не пользоваться этой фичей и каждый раз при заходе на почту вводить пароль и логин.
Думаю Навальный не параноик и на его компьютере доступ к почте всегда открыт.
Мусара всего лишь забрали его компьютер при обыске и зашли в открытую почту.
Никто ничего не взламывал.
Его прессекретарь заявил, что сразу же после изъятия пароли сменили. Так что не успели бы они.
Включили изъятый комп, зашли в залогиненный браузер и ломать ничего не надо.
поломатая почта Навального с компьютера?
если там не было кейлоггеров, то другое объяснение - перехват wifi или сорм, как правильно замечено. но само изъятие при учете того, что все пароли были поменяны через 20 минут?
Через 20 минут ПОСЛЕ ОКОНЧАНИЯ ОБЫСКА. Обыск длился, емнип, часов 10, компы и проч. технику изъяли в первую очередь.
если пароль был поменян самим владельцем, это все монописуально
никто толком не сказал, как же сломали Навального. вывод - его не ломали
Очень логичный вывод.

eigetsu

July 13 2012, 15:28:42 UTC 7 years ago Edited:  July 13 2012, 15:29:58 UTC

Еще надо добавить отключение яваскриптов в браузере. Включать только на известных сайтах. Для лисы есть аддон NoScript.
Еще надо понимать какие сслыки можно кликать, а какие нет, чтобы не попасть под CSRF уязвимость, которой подвержены даже большие известные сайты.
Можно много чего, смотрите постскриптум. Это слишком сложно для неискушённого пользователя. Моя задача была написать максимально доходчивое и эффективное пособие для тех, кто в этом совсем ничего не понимает. У половины оппозиции почту можно увести через секретный вопрос, какие уж там CSRF уязвимости.
> Еще надо добавить отключение яваскриптов в браузере.
Это все-таки бредовый совет.
Чем он бредовый?
Как говорится - "если тебя хотят убить - никакая охрана не поможет"...
Это точно, если хотят посадить и убить они это сделают. Как убили Политковскую. Пока преимущество на их стороне.
Мужайтесь.
а вы не заигрывайте с Западом и будет в безопасности )
Да-да, как жители Крымска, пассажиры Булгарии и тысячи других граждан нашей страны.
Ведь никого у нас не может сбить пьяный отморозок, знающий что отмажут, не может застрелить расстроенный полицейский, не могут посадить "на время следствия" да и случайно убить пока суть да дело, бизнес отнять не могут, попутно заведя на хозяина уголовку, ну и всё такое.

Спите спокойно, овощи.
а это тут причем? ))
не надо путать мягкое с теплым

Кстати, это овощей расстреляли в кинотеатре в Пендостане и овощу-чуваку, после того как засадили сзади пулю в голову, надевают наручники, а возмущенных полицейским беспределом жителей и мамашу с ребенком расстреляли резиновыми пулями и затравили собаками...
--->___global-avantur.livejournal.com/218672.html
Ах, как прекрасна истинная "дерьмократия" истинных овощей!
"а это тут причем? ))" При том, что безопасность у нас не гарантирована в любом случае. Можешь быть хоть по уши лоялен власти и законопослушен, но это не гарантирует тебя от произвола и катастроф и , непрерывно сопровождающих любую деятельность нынешних правителей.

"Ах, как прекрасна истинная "дерьмократия" истинных овощей!"
Да-да, а ещё у них негров линчуют.
"При том, что безопасность у нас не гарантирована"

НИГДЕ не гарантирована


"ещё у них негров линчуют"

скоро белых начнут
Говорить конечно приходится с известной долей приближения, но:
В цивилизованных странах (дерьмократических например, ага), тебя практически гарантированно известят о надвигающемся бедствии, если какие-то возможности к этому есть.
Если ты принёс в полицию найденный телефон, то тебя гарантированно поблагодарят и совершенно точно не посадят на пол года за его "кражу".
Начальник любого уровня, если он был пойман на месте преступления, скажем если он по пьяне сбил кого на авто, будет гарантированно осуждён.
Ну и так прочее.

Всё это катастрофически не так в России.
то то я смотрю как народ предупредили о цунами в Японии - на видео с вертолета хорошо видно как на машинах впарывались прям в волну...
и недавнее затопление Японии - тоже ведь не избежали жертв...

"Если ты принёс в полицию найденный телефон, то тебя гарантированно поблагодарят и совершенно точно не посадят на пол года за его "кражу""

это вы про тот случай, когда чувак нашел айпод, а его посадили?
так вы бы узнали Правду - там мутная история и всё не так как он лепечет - он не принес его сразу, а пользовался,а по сути и вышло что украл

вы плохо знаете как живут в других странах
вот например недавний случай:
>>>По свидетельству очевидцев , а дело было примерно в 16-00, светло, Мануел Диаз стоял спиной к полицейским.Сначало полицейский выстрелил в ягодицу Мануеля.Потом когда тот упал на колени второй выстрел полицейский сделал в затылок бедного парня. Пуля вышла через его лоб - это все видели свидетели.Потом уже на лежащего с дыркой на голове трупа полицейские надели наручники и вызвали Скорую, чтоб якобы он еще не умер, а по дороге в больницу...<<<

читайте продолжение -> __global-avantur.livejournal.com/218672.html

"то то я смотрю как народ предупредили о цунами в Японии"
Ваша аргументация выдаёт или крайнюю торопливость, или глупость.

Стоило малость порыть в инете по факту, прежде чем выдвигать такие предположения.
Элементарно находится информация о цунами в марте 2011

"Первое предупреждение о «большом цунами» было выдано тогда через три минуты после землетрясения.
В 14.49."
"Уже через 14 минут после землетрясения и через 11 минут после начального предупреждения цунами ударило по первой точке на японском побережье – городу Кисэннума."

Через сколько предупредили жителей Крымска? Ах да, их же не предупредили вовсе...

"он не принес его сразу, а пользовался,а по сути и вышло что украл"
Да-да, охотно верю, бизнесмен украл айфон, типа пользовался, потом принёс его в полицию. Класно. Конечно, "украденный" таким образом телефон стоит полугода в тюрьме, не смотря на многочисленные отказы от претензий со стороны владельцев телефона и выпустить его стоит не раньше чем владельцы придут в суд и лично об этом попросят.

Про Америку вообще шедеврально - наиболее мясной кусок без контекста. А промеж тем :
1. Там были беспорядки беспорядки со стрельбой, с чего началось, чем продолжилось и по какому поводу - хрен знает. И вникать в это мне не интересно - это их проблемы, пусть сами и разруливают.
2. Америка, это вам не Россия, там огромная куча штатов, в каждом свои законы и практики, где лучше, а где хуже.
3. Находить самое мерзкое подальше от Рассеи и пугать им местных граждан, это у сторонников ВВП как бы на уровне инстинктов уже.
1) Япония
и как это помогло людям?
ах да - никак особо...

2) Вор
я не буду сейчас искать разбор полетов по этому делу
замечу лишь то что чувачок оказался виновен
"а как дысал, как дысал...!" (с) у себя в ЖЖ...

какой он там бизнесмен!?? ))
шняга какая-то...
и симку чужую он зачем из него вытащил? )

а вообще - вор должен сидеть в тюрьме (с)
в курсе? ))


3) ...
ну так вы же заявляете, что все беды-катастрофы-измывательства-проблемы существуют лишь в России!
вот и приходится доказывать что это не так

на что вы предсказуемо заявляете - "вникать в это мне не интересно - это их проблемы"

а вникнуть в какую-нить российскую проблему и разобраться вам религия не позволяет?
надо же скорее в ЖЖ отстучать, пожаловаться и посетовать на "эту страну"...

это у вас и вам подобных, всё на уровне инстинктов, а точнее эмоций.
а когда вас припираешь к стенке фактами, идут отмазы - одному это "вдруг" неинтересно, другой переводит разговор на другое, третий начинает оскорблять...

у вас всегда съезды в сторону в ответ на аргументы

Deleted comment

"Логика как у "

у вас личный опыт? ))

мне не хочется в сотый раз объяснять малолетним дырчатым долбо##ам, насколько они не правы...

на XYZ это там -->>>
сами найдете?...
чешите и не оглядывайтесь...
"и как это помогло людям?
ах да - никак особо..."

Это замечательно помогло людям - многие успели эвакуироваться на машинах, спастись на возвышенностях и пр.
Но однако же, каков образец логики, это эталон для чиновника от ЕР, я полагаю! Прям так и вижу в ваших устах фразу "А чо, нам их по подъездам бегать оповещать надо было?" Торопитесь! У вас шикарные шансы на прекрасную карьеру в ЕР, пока ЕР ещё существует! Скорее, время на исходе, кормушка скоро закрывается!

Всё, алес, дальше общаться с вами не вижу ни смысла, ни возможности. Ваш шедевр людоедской логики является жирной точкой в дискуссии, потому как в общем бессмысленно скажем со скорпионом в инсектарии обсуждать понятия ценности человеческой жизни или ответственности перед кем либо.
"Это замечательно помогло людям - многие успели эвакуироваться"

а погибших сколько?
вот то то и оно...


есть такое понятие как здравомыслие
но судя по всему оно вам незнакомо
у вас всегда и во всем виновата власть
даже в ваших косяках

я встречал таких на местном форуме...
правда когда эти "кричальщики-всепропальщики" сами вдруг оказывались во власти - в начальниках, то с ужасом понимали, что изнутри ситуация видится совсем по-другому!
А объяснить всё это бывшим дружкам-форумчанам как-то не получается - они тупо повторяют одно и тоже, тупо не реагируя ни на какие аргументы.
И самое мягкое, что можно сделать в отношении их, это послать на три буквы - ну как ещё общаться с идиотами?
Чувак, иди нахуй. Ты просто мудак.
понимаете, я никак не могу туда пойти
оказывается, вы там место давно заняли и вертитесь так что никому не подойти!

я в сторонке постою, на вас полюбуюсь ))
Это так, но есть и другая сторона. Если Вы сталкивались с проблемой выбора модели сейфа или входной двери, то знаете, что они отличаются временем стойкости.
Кстати, любой пароль тоже можно подобрать, но кто это будет делать если для такого подбора нужно потратить несколько десятков лет?
С сейфом конечно сложнее, но любую дверь можно обойти через окно ;)
через которое потом вынести сейф :)
Меры безопасности, в т.ч. простейшие - это хорошо, но всегда есть паяльник с напильником, и другие инструменты взлома;))
>secretsline.biz
Ещё лет 5 назад эти ребята попали под подозрение в своей связи с мусорами. Это так, к слову.
Не с нашими же мусорами.
А какими ещё? Это просто русский сервис, если что

vishka

July 13 2012, 16:28:25 UTC 7 years ago Edited:  July 13 2012, 16:28:33 UTC

Тогда фейл, сейчас заменю на другого провайдера. Спасибо.
Не за что!
Какие бы ресурсы не решили заблокировать Единая Россия и Илья Пономарёв
Вы педофил, драгдилер, подстрекаете к убийству?
а ещё экстремист и враг народа
Чистосердечное признание снижает ответственность.
признание - королева доказательств в советской юриспруденции!
Вы опоздали лет на двадцать.
Это верно. Теперь даже и признание не нужно.
У Вас ещё и паранойя...
как и вы
Мы нет, мы за эти законы.
в рашке априори виновны все из тяглового сословия. и законов никаких нет, конечно, как суда и прочих глупостей.
Жаль рашку, переезжайте к нам в Россию, у нас нет таких проблем.
Оптимист, это плохо информированный пессимист.
Ну или хорошо мотивированный профессионал.
Или объективно анализирующий ситуацию.
Статья 134, которую рекламирует автор блога в своем стишке, как раз за педофилию.
А государство заботится только о благе своего народа? И никогда не проводит репрессии? Не вводит цензуру? ;-)
загружаю фотографии на пикассу - с недавних пор сразу после загрузки, буквально в течении минуты, статистика просмотров устаканивается на 4 для каждой фотографии. И это при том, что альбом закрыт для всех, кроме меня. Более того, есть альбом который будет открыт где-то через неделю, а пока что на него грузятся небольшие партии фотографий. Картина маслом - те же 4 просмотра сразу после загрузки, а за сутки для некоторых(!), но как правило самых интересных фоток, статистика набегает до 10 и выше...

Ну ладно, МОССАД, ЦРУ, ФСБ, СБУ, это те самые первые 4 просмотра. А остальные?

???

Deleted comment

Плагинов, извесных мне, практически никаких. Сам я могу посмотреть хоть 400 раз, но счетчик этого не считает, сам проверял. Более того - когда я просматриваю, то пролистываю весь альбом, а тут же разная статистика у разных фотографий, т.е. это явно не я, к тому же этот "не я" явно обладает вкусом. На вирусы проверяюсь постоянно.
Кстати да, хватит постить скучные фото! Жирчику давай!

Anonymous

July 14 2012, 03:04:25 UTC 7 years ago

Про отправку с привязанного гмэил-аккаунта и секретный адрес. Проверь все заголовки отправленного таким образом письма на наличие в них того самого секретного адреса, я однажды так попался, гмэил его куда-то в заголовок всё-таки дописывал.

Anonymous

July 14 2012, 06:59:06 UTC 7 years ago

А двойная аутинтификация тоже неплоха в гугл, особенно если есть iPhone. На нем прогу есть для упрощения доступа.
9. Сделайте секретный почтовый ящик

он останется действительно секретным до тех пор пока вы не отправите с него письмо. Да, в почтовом ящике получателя будет отображаться ваш публичный емейл, но в хедерах этого письма информация о _реальном_ адреса отправителя исправно сохраняется.

будет это выглядеть примерно так:

Reply-To: PUBLIC@gmail.com
Sender: VERY.SECRET@gmail.com
From: PUBLIC@gmail.com
Если настроена отправка через другой SMTP сервер, то в заголовках видно только что письмо отправлено с серверов гугла и все.

Received: from [209.85.217.177] (port=61692 helo=mail-lb0-f177.google.com)
        by smtp14.mail.ru with esmtpa (envelope-from <user@mail.ru>)
        id 1Sq3PI-0011Yb-Q3
        for user@example.com; Sat, 14 Jul 2012 15:20:04 +0400
Received: by lbbgg6 with SMTP id gg6s36601211lbb.22
        for <user@example.com>; Sat, 14 Jul 2012 04:20:03 -0700 (PDT)
MIME-Version: 1.0
Received: by 10.152.144.168 with SMTP id sn8mr556345labberrtertrturghe; Sat,
 14 Jul 2012 04:20:03 -0700 (PDT)
Received: by 10.112.86.66 with HTTP; Sat, 14 Jul 2012 04:20:03 -0700 (PDT)
Date: Sat, 14 Jul 2012 20:20:03 +0900
Message-ID: <CAOe45FRZUFaGL2=jbA@mail.gmail.com>
можно ещё не использовать SMTP секретного ящика слать с открытого, тогда будет норм, сделать автоматическое перемещение отправленный писем на секретный ящик.
Спасибо за советы!

Anonymous

July 14 2012, 09:35:42 UTC 7 years ago

А что можете сказать про Tor?
Этой весной в Днепропетровске были взрывы и террористы пользовались именно системой ТОR, в конце концов их арестовали, но, судя по всему, не с помощью взлома компьютеров, а "классически" при передаче денег. Но после их задержания я лично слышал как менты жаловались, что использование системы ТОR оказалось преградой для того, чтобы их задержать более оперативно.
Как ты вычислил имя собаки-то?
а моей собаки вычислишь имя?
В любой соц. сети можно зарегать фейковый аккант на твоё имя, а потом пообщаться с твоими друзьями. В процессе общения, они выдадут о тебе всё, что знают.
Один запрос пароля на телефон + перехват СМС и ваша почта компрометирована. Незамысловатый секрет крутых хакеров из центра "Э".

а вот круто не задумывался!
абсольютно рабочая схема уже много лет.
сорм для того и делался
кроме него за несколько последних лет было разработано и введено множество специализированных и ведомственных сборщиков информации.
пишут много и плотно
Думаю, эти средства защиты хороши от дилетантов, при серьезном интересе спецслужб это не поможет.
Одно время пользовался PGP, но это удобно при переписке, а не для шифровки своих файлов на компьютере.

Давно ищу какую-нибудь программы, с помощью которой можно зашифровать только ВХОД в конкретную папку - TrueCrypt это умеет?
TrueCrypt создает зашифрованный диск, в котором может быть 100500 папок
Это я понял, мне просто нужно зашифровать только ЧАСТЬ диска, потому что, боюсь, что создание виртуального диска на 500 Гигов займет очень много времени.
Создаете диск на 5 гиг или сколько нужно и пользуетесь. Я буду дольше рассказывать, чем вы просто установите и попробуйете.
Не уверен, что это именно то, что мне поможет - мне нужно ограничить доступ к 500 Гигам фалов на диске.

Очень простой вопрос - как это конкретно сделать?
Взять трукрипт из надежного источника.
Поставить трукрипт.
Создать диск размером в 500гиг.
За пару суток на современном компе перелить туда информацию.

ОЧЕНЬ НАДЕЯТЬСЯ, прямо таки молиться, что фсб не сможет это прочитать. ;-)
Логичненько, логичненько...
Спуфиг исходящего адреса у GMail работает только если настроена отправка через другой SMTP сервер. Если письмо отправляется напрямую с GMail, то настоящего отправителя видно в заголовке Sender и других.
Как я понимаю, не все бесспорно, но пост полезный, спасибо.
здесь ещё:

> Глубоко эшелонированная анонимность
http://habrahabr.ru/post/147792/
Спасибо за советы. Перепостила себе.
Я тоже кое-что нашла ранее - несколько статей (может пригодится и Вам): http://irwi99.livejournal.com/tag/интернет
1.
Самый надёжный и лёгкий для пользователя пароль — это самостоятельно выдуманное длинное слово.
larmarnkards&jon например

Если вы собрались заниматься мнемоникой, то использовать надо уже хотя бы предложения. Например — список имён и дат с ними связанных. Мнемоника для коротенького буквенного пароля — это из пушки по воробьям.

Причём выбор хитрого пароля для сервисов яндекса и мейлрушечки для оппозиционера например вообще бесполезен.

2. Для шифрования диска проще поставить например gnu/linux Mint.

4. Секретные вопросы вполне можно использовать, просто писать в них надо тоже пароль, как-то по-смыслу связанный с вопросом, но не отвечающий на него.

7. Проще использовть нормальный браузер. Ну и DNS применять заграничный.

8. Проще поставить tor и i2p. Вообще не понял, почему этого нет в статье? Tor и i2p — обязательны к установке для любого человека, не согласного с цензурой в интернете, сормопарашей и прочими чудесами тоталитаризма.

9. > с этого ящика тут же автоматически удаляются
Ха-ха-ха. Насмешил. Слушай, у людей хард сейчас терабайный, так что если не смотришь фильмы и не играешь в игры днями на пролёт каждый раз в новую, можно вообще ничего не удалять. И ты думаешь, что с твоего емейла реально что-то удаляется?
Гмайл конечно — марка, так что рядовых оппозиционеров они сдавать не будут, только каких-нибудь международных террористов, но вообще совет так-себе.

Стоит принять за аксиому: Сегодня из интернета не удаляется ничего.
Дилетантский вопрос: возможно ли сочетание VPN и какого-то "облачного сервиса"?
Облачные сервисы — это маркетинговый термин.
VPN — технический термин.

Доступ к серверам, на которых находятся «облачные сервисы» можно получать через VPN, если вы это имели в виду.
Очень хорошо.
А какие подобные серверы вы могли бы рекомендовать оппозиционерам?
Не советую пользоваться облаками вообще.

С почтой (фактически облачным сервисом) и то проблем с приватностью хренова туча уже, а вы предлагаете ещё что-то хранить за пределами собственных карманов.

Напоминаю: Сегодня из интернета не удаляется ничего. А облака у нас где?
Спасибо! Это важное замечание.
1. Слово гораздо проще подбирается брутфорсом. Если речь о системном пароле, это играет важную роль. Подглядеть слово проще, чем набор букв. Я, например, запросто считываю что человек печатает.

Мнемоника оптимальное средство для создания пароля, потому что у каждого есть стих/песня/реплика которые он помнит наизусть. Здесь нет никакой пушки по воробьям, это не требует особенной концентрации. Про русских провайдеров почты я написал отдельным пунктом.

2 Не проще. Это текст нарочно написан для обывателей, им не подходит линукс. Он вообще мало кому подходит, кроме сетевых задротов (в хорошем смысле) и админов/программистов.

4 Это более сложная рекомендация чем не использовать вопрос вообще. Повторю, что этот текст нарочно написан для обывателей. Чтобы последовать вашему совету и составить хороший секретный вопрос/ответ требуется гораздо большая дисциплина и понимание предмета, чем предложение его игнорировать.

7 DNS сложное слово, большинство его не слышало. Тем более, они не знают где его брать. Это хороший совет сам по себе, но я прошу вас ещё раз обратить внимание на целевую аудиторию этого туториала.

8 Не проще. Я нарочно не стал ничего о них писать. Во-первых, TOR и i2p невозможно шифровать сигнал с мобильных устройств (именно ими активисты пользуются 90% времени). Во-вторых, они серьёзно сказываются на скорости и на мой взгляд малопригодны для чего-либо, кроме сетевой конспирации. Но этот текст не для орды анонимусов, они без меня знают как себя обезопасить. Этот текст для активистов, которые не прячут своё лицо, но хотят спрятать информацию.

9 Это уже совсем явное трололо. Речь о том, чтобы случайный хакер или российские спецслужбы не получили доступ к архиву. Что там хранит в тайне от меня гугл мне, в общем-то, всё равно. Я за открытую информацию и никогда бы не стал писать ничего подобного, если бы не российская власть.

dmitry1903

July 14 2012, 15:14:53 UTC 7 years ago Edited:  July 14 2012, 15:16:05 UTC

Правильно ли я понимаю, что СОРМ не может считать информацию, только если она зашифровывается в первом компьютере и расшифровывается в последнем (как при использовании Skype или VPN).
Если так - получается, что теоретически TOR от СОРМ не помогает.
Если точка выхода тора стоит в сети, которая под сормом, то можно будет ее отснифить, но не будешь знать кто это ходит.

dmitry1903

July 14 2012, 16:43:15 UTC 7 years ago Edited:  July 14 2012, 16:45:16 UTC

В начале цепочки - провайдер, у которого есть аппаратура СОРМ.
Вероятно, он может перехватить незашифрованные запросы с моего компьютера и то, что на него приходит.
1. Выдуманное слово брутфорсом?

2. > обывателям не подходит линукс
Это из оперы подбора выдуманных слов брутфорсом.
Хотя может у вас есть модуль для ИИ, способный придумывать слова? Интересно было бы посмотреть, но я что-то сомневаюсь.

4,7 > этот текст нарочно написан для обывателей
Я тоже в своё время оправдывал ущербность своего диплома тем, что он для непонятливых.

Обыватель не идиот. Если вы не будете давать ему информацию вместе с семантическим ноцебо, он всё вполне переварит и сделает как надо, а не «как проще для дебилов».

8. > TOR и i2p невозможно шифровать сигнал с мобильных устройств
Для андроида, айфона и маэмо полностью готовые решения есть.

> они серьёзно сказываются на скорости
Именно потому, что вместо того, чтобы объяснить суть и пользу от технологии, вы отнимаете у людей возможность даже с ней познакомиться, с порога заявляя, что «это всё для вас слишком сложно» (© Путин — про выборы) и «это не будет работать». Когда надо говорить: «Ставьте ноды тора и i2p себе на компьютеры, это увеличит скорость проекта как минимум в вашем городе, так что когда тор понадобится навальному, чтобы отправить сигнал о захвате смольного, сеть будет работать и будет работать с достаточно хорошей скосротью.»

9. > Это уже совсем явное трололо.
Троллефобию я тебе не излечу, но посмотри видео: «Privacy is Dead» от Рамбама с конференции HOPE. Впрочем если ты обыватель, то наверное это будет слишком сложно для тебя, так что не смотри.

11. Не технически разговор, так что продолжать его я не буду.
1. пароль длиннее 16 знаков практически невозможно подобрать. я бы просто советовал длинные пароли, независимо от содержания. просто пароль типа "mydogatetwoapplesyesterday" уже дает практически полную защиту. можно еще рандомные знаки в середину закинуть.

2. оптимальная связка - это шифрование и виртуальная система. например virtualbox, и загоняем его файл в шифр-контейнер.
Я, например, запросто считываю что человек печатает.

Как-то специально тренировался, или от природы такой взгляд орлиный?
Я сколько не пытался, никогда не получалось.
> Во-первых, TOR и i2p невозможно шифровать сигнал с мобильных устройств

https://www.torproject.org/docs/android.html.en
https://www.torproject.org/docs/N900.html.en

(с андроидом 4 не очень пока работает, требует рутинга, а так все ок)
вне политики, говоришь
Где тут политота?
Защита личной информации - общечеловеческая ценность.
Простите если грубо прозвучал. Вы всё правильно написали, но не взяли в расчёт целевую аудиторию туториала. Это текст не для сетевых активистов/анонимусов, это текст для оффлайновых активистов для которых компьютер просто ещё один бытовой прибор и средство связи. Все ваши советы требуют большой дисциплины и знания предмета (или хотя бы желания узнать). Ожидать этого от людей которые с компьютером на вы -- wishful thinking.
У людей есть айпед или андройд. Если они могут разобраться с ними, разбируться и с тем, что я выше описал.

Им даже не надо ничего настраивать.

По поводу выборки людей. Лично я встретил у изберательного участка тётеньку под 40, которая работает с компьютером исключительно в командной строке, при этом являясь совершенным гуманитарием. Просто её муж ей не объяснил, что командная строка — это слишком сложно.
Уже понятно, что Вы, маморгант, умнее. Но речь не об этом. У меня вот нет ни айпода, ни андроида. И с командной строкой я был знаком только в ДОСе. Да, я лох, чайник и лентяй. И признателен автору поста за помощь. Вы же меня просто отпугиваете. Честно. Глядя на Ваши комменты, мне не хочется их воспринимать. Лучше уж что-то почитать на английском о криптологии и защите компьютера. Но не Вас. И все - только лишь из-за Вашего тона.
я тоже ничего не поняла, уважаемый Маморгант. извините. Автор рулит, так как с уважением относится- вернее, учитывает, то что я способна ничего не понять даже и в том, что написал автор.
Не привязывайте номер телефона к своим аккаунтам.
<...>
Один запрос пароля на телефон + перехват СМС и ваша почта компрометирована. Незамысловатый секрет крутых хакеров из центра "Э".


Насколько я помню, сейчас gmail при создании почтового ящика ТРЕБУЕТ номер мобильника (и затем высылает SMS для подтверждения).
При входе в аккаунт - пока только просит, но что они придумают завтра - неизвестно.

Есть ещё Yahoo, но у них только что были большие неприятности (www.securitylab.ru/news/427014.php).

А трудно ли связаться с техподдержкой gmail или Yahoo?
Вам наверное не техподдержка, а официальный представитель нужен для таких вопросов.

Техническую поддержку стараются сейчас спихнуть на сообщество, создав портал вопрос-ответ, где пользователи сами друг-другу помогают.
Пока мне не было нужно связываться с техподдержкой Yahoo или gmail
Но если у кого-то украдут пароль, написать туда придётся.

Я не Навальный и не Шибанова.
Вряд ли спецслужбы мною так же сильно интересуются.
Один раз мне напакостил непосредственно "хакер Хелл" (а это не спецслужбы - он "работает" на структуры АП), и пришлось обращаться вначале в mail.ru, потом в ЖЖ:
http://
lj.rossia.org/users/anti_myth/311727.html
По вопросам пароля ничего не скажу.

Микросовтовский хотмейл в своё время ничего не делал с угоном почтовых ящиков, через которые угонялись красивые и короткие icq-номера.
Израильский владелец icq мираблис с угоном номеров тоже ничего не делал, американский провайдер AOL традицию игнора факта угона номеров полностью перенял.

Так что практика с паролями ничего хорошего не сулит.

Лично я советую рассчитывать только на надёжные пароли.

Можно ещё чуть-чуть укрепить надёжность пароля плагином, который для фаерфокса называется https-finder. Зашифрованное соединение — не ахти какая защита, учитывая то, что сертификаты постоянно воруют и подменяют, но может и помочь. А надёжная дверь — это, как известно, не та дверь, которую невозможно взломать, а та дверь, ломать которую сложнее, чем соседскую.
Спасибо.

ocabee

July 14 2012, 17:31:42 UTC 7 years ago Edited:  July 14 2012, 17:32:03 UTC

Не требует Gmail телефон. Там есть ма-асенькая кнопочка, позволяющая отказаться от предоставления телефона :)
При регистрации?
Да.
Он его конечно спрашивает... Но не более того.

Только что проверил.
В гмыле есть два варианта 2-х факторной аутентификации - через СМС и через аппликацию на смартфоне, которая генерирует одноразовые пароли. Второй вариант предпочтительнее (ничего по воздуху не передается), им пользуются сами работники гугля для захода в корпоративную сеть.

Техподдержки в гугле и яхе не существует (кроме на случай уж совсем больших катастроф).
Спасибо, очень важная информация, особенно об отсутствии техподдержки в этих двух сервисах.

Но смартфона у меня нет, поскольку пока не нужен.
Я всё-таки хочу понять: могу ли я при желании зарегистрировать gmail-почту без использования SMS?

При пользовании бесплатной почтой в итоге я сам отвечаю за неприкосновенность своих аккаунтов.
Поэтому считаю, что имею право сам решать: нужен мне второй ключ в виде SMS или нет.

Что касается двойной аутентификации - мне кажется, было бы лучше сделать два постоянных последовательно вводимых пароля (можно сказать иначе: не совпадающий с открытым ником (секретный) логин плюс пароль).
Но, видимо, для бесплатной почты это нерентабельно.
Надо различать два варианта:

Gmail может потребовать SMS-подтверждения при регистрации ящика, это происходить если каким-то образом зацепить анти-спам защиту. В таком случае можно и подтвердить, это одноразовая процедура, на защищенность от взлома она не влияет. Если очень не хочется пользоваться SMS, то можно зайти с другого компьютера, в режиме инкогнито, Скорее всего, пройдет нормально (если конечно вы на самом деле не спамите)

Второй случай - двухфакторная аутентификация. Это дело сугубо добровольное. Можно включить, можно выключить, можно включить, а потом выключить. Как я говорил, лучший вариант - через смартфоновскую аппликуху, ибо канал sms канал не очень надежен и не очень конфиденциален.

Два пароля - это практически то же, что и один пароль двойной длины. Если есть возможность украсть один пароль (кейлоггером, сниффером, восстановлением), то и второй увести не проблема. Фишка же двух-факторной аутентификации как раз в том, что используется два _разных_ канала, которые надо ломать по отдельности. Например, пароль на компе и пароль на телефоне.
Вообще бесят эти смешные системы авторизации в тч на гмэйле. Нужно уже давно ввести второй-третий пароль по которому можно было бы производить только какие-то текущие действия но не лазать в историю или менять настройки. Чтобы слитый с айпада, подключенного к фэйковой вайфай точке, доступ не дал злоумышленнику ничего кроме возможности посмотреть письма за пару недель и отправить десяток писем. При этом запалив свой не авторизованный вход.
https позволяет не оставлять фейковой вайфай точке ничего.
Для спецслужб https не ахти какая проблема, а вот для хакера с фейковыми вайфаями преграда зачастую непреодолимая.
думаю что можно как-то поиграться с днс и фэйковой выдачей... когда в твоих руках канал связи -- возможно многое. см фильм девушка с тату дракона )))
Поиграться можно с чем угодно, но пока что способ только один — подменить или украсть сертификат у того, кто его выдаёт.
Спецслужбы это смогут сделать, если там есть грамотные специалисты (КГБ таких может нанять), хакер с карманной точкой с этим ничего не сделает.

Поэтому хакер будет ломать не сложные умные технологии, а глупых людей.
Например сделает http-страницу, с баннером, на котором будет написано что-то вроде «спасибо, что смотрите рекламу и помогаете сделать наш интернет бесплатным». Тогда все соединения, осуществляющиеся через эту страницу будут нешифрованными.

Социальная психология взломает что угодно.

Шестого например можно было бы нарядить несколько (а может даже всех) протестующих в омоновцев. Отличный был бы хак.
Браво :)
Используйте TAILS. Анонимно, не оставляет следов и невозможно ничего доказать. Совмещает операционную систему, закамуфлированную под XP, TOR, переговорник, и кучу утилит
Хороший вариант. Шпионский набор практически.
Да, именно для таких целей. Удобство в том, что можно использовать практически любой комп на пути.
Шпионка Аня не заморачиваясь просто отдала свой связной компьютер служивому американцу.
Ну, профессура подтянулась.
Роисся - родина слонов :)
Огромное спасибо! Вопрос: вначале поста Вы пишете о кавычках - верно ли я информирован, что кавычки обязательно должны быть "латинские"?
И еще: есть ли инструкция для ХР про?

Anonymous

July 14 2012, 17:53:48 UTC 7 years ago

Норм инструкция
А у меня такой вопрос. Недавно я поменяла систему. До перемены у менябыл системный пароль, т.е. когда я заходила на свой рабочий стол, я вводила пароль.

Тот, кто переносил файлы, не спросил меня, что файлы запаролированы моим паролем, переустановил систему, перенёс файлы, но они не открываются. То есть, они есть, старый рабочий стол и Мои документы, но не открываются из-за пароля, как он мне сказал. Так что делать?
Выяснить девичью фамилию вашей матери не просто, а невероятно просто. У меня это займёт примерно 3 клика,

3 клика куда??) Это с открытых сайтов можно снять??

с части сайтов да. Дофига валяется по тырнетам ресурсов с парсенными данными с тех же соц. сетей. Уж не говорю про утёкшие базы из гос. организаций (хотя это реже)
Некоторые умудряются в Одноклассниках свою маму зарегать и отметить, что вот она - моя мама. А у мамы в профиле и актуальная, и девичья фамилия указаны :-)
Нет, из паспортных баз и баз разных служб. Но они тоже ищутся на раз два.
Можно использовать вымышленную фамилию.
Я фото пордужки запихал в зип, запоролил...А зип глюканул, и фот больше нет блеать!!!!
так не в одном же экземпляре хранить.
Хорошая попоболь - лучший стимул делать бекапы )))
1. Взломали-то Google-аккаунт, а там письма хранятся, но не шифруются.
2. Скажи мне девичью фамилию моей матери, раз это три клика.
3. VPN снижает скорость.
4. "За границей" пишется раздельно.
1. Ну да, но если бы он свой публичный аккаунт сделал техническим, то архив почты никому бы не достался.

2. Валентина Ивановна Горбунова.

3. Если ВПН быстрый, то сколько-нибудь заметно падает только пинг. Если не играть в игры это почти незаметно. Я под ВПН сижу 90% времени, так что свидетельствую по личному опыту.

4. Спасибо.
А девичью фамилию моей матери, плиз? (только в личку, пожалуйста).
Плюс Навальный же утверждает, что почту у него взломали именно через изъятый компьютер. Если бы он был зашифрован, полиции бы ничего не досталось.
Если навальный спец в криптографии - как его взломали?
Если он лох в криптографии - как можно верить его словам о методе взлома?
Хахаха - дяденька, и мне фокус покажи, пожалуйста)))
По-моему, в России действует закон, что использование несертифицированных ФСБ криптографических средств (то есть, неподконтрольных быстрому взлому спецслужбами), к которым относится и TrueCrypt, запрещено и карается уголовным кодексом. Так что нужно ещё и скрытый раздел делать, чтобы даже сам факт существования зашифрованных данных был неочевиден/недоказуем
Тут есть маленькая тонкость - почтовый сервер exchange все равно распознает адрес "секретной почты", при всех верных настройках в gmail

khanid

July 16 2012, 13:33:35 UTC 7 years ago Edited:  July 16 2012, 13:34:01 UTC

Есть ещё хороший вариант защиты.
Собирается нечто, вроде livecd, с полным набором нужного софта, и используется он. Хранится целиком в оперативке.Нет электричества - нет данных

Suspended comment

ну я же написал. С полным набором нужного софта. Работает. Делал сборку на 2м курсе универа, что-то типа курсовой. Тогда ещё winxpe+браузердля безопасного гугления+выходы на прокси+впн+ещё какие-то свистелки.
Вполне себе анонимненько получилось.
для этого есть тор
тор тоже нешифрованный, если вы именно это имеете в виду.
как же он нешифрованный, когда весь смысл тора - луковичное шифрование?
ТОР не шифрует, он разбивает и ПЕРЕРАСПРЕДЕЛЯЕТ траффик. Во всяком случае это то, что я знаю.
Из википедии
"Onion Routing" refers to the layered nature of the encryption service: The original data are encrypted and re-encrypted multiple times, then sent through successive Tor relays, each one of which decrypts a "layer" of encryption before passing the data on to the next relay and, ultimately, its destination. This reduces the possibility of the original data being unscrambled or understood in transit
C cайта ТОРа.

....Note, however, that there are situations where Tor fails to solve these privacy problems entirely: see the entry below on remaining attacks).

Can exit nodes eavesdrop on communications? Isn't that bad?

Yes, the guy running the exit node can read the bytes that come in and out there. Tor anonymizes the origin of your traffic, and it makes sure to encrypt everything inside the Tor network, but it does not magically encrypt all traffic throughout the Internet.

This is why you should always use end-to-end encryption such as SSL for sensitive Internet connections. (The corollary to this answer is that if you are worried about somebody intercepting your traffic and you're *not* using end-to-end encryption at the application layer, then something has already gone wrong and you shouldn't be thinking that Tor is the problem.)
в незашифрованном виде проходит только траф от последнего нода тора до вебсайта.

То есть опасность есть только когда сайт находится под наблюдением и не используется HTTPS. Gmail вполне безопасен в таком разрезе.

Для совсем параноидальных, есть tormail.org (http://jhiwjjlqpyawmpjx.onion/ в торе), который работает, как скрытый сервис, где весь трафик многослойно шифруется и даже местоположение серверов остается неизвестным.

Deleted comment

Вы безусловно, отлично защищены.
Еще вам нужно обязательно установить Remote Admin или Team Viewer с паролем qwerty
Для более лучшей © защиты
Вы просто неуловимый Джо :-)
Вы просто неуловимый Джо :-)
Полицейские взломали почту Навального через изъятый компьютер

Нет. Секретарь Навального сообщала, что через несколько после взлома парли были поменяны.

К тому же первый раз почта Навального была взломана более года назад, ещё до всяких обысков.

Deleted comment

Терморектальный криптоанализ - позволяет вскрывать системы защиты любой сложности.

PS

от кейлогеров не спасает даже линукс.
Ну вы же оппозиция, кормитесь в ГосДепе. Неужели сложно попросить гугль сделать еще один пароль - при вводе которого вся информация аккаунта бы безвозвратно стиралась (ну ладно - хотя бы блокировалась для доступа. В том числе и с легальными паролями).

Делов то...

А от кейлогеров спасет однажды настроенный лайв-сд.
в п.6 - "НИКОГДА не используйте русских провайдеров почты" - может всё-таки "российских", а не "русских"?
На самом деле - любых. Пиндосы точно так же идут на встречу спецслужбам, и нашим тоже.
тем, кто не понял, объясняю - провайдер не может иметь национальность - "русский". Он может быть российским провайдером, а не русским.
:):):) Grammarnazi?
Не. К ошибкам отношусь легко. Не люблю, когда кого-то обижают.
Всё было бы хорошо, но все коммерческие ОС имеют backdoor-ы для спецслужб. И если вам вашу винду выдали не в Ленгли или Пентагоне, шифруй, не шифруй - вы начали работать с шифрованными данными, товарищ капитан тоже получил к ним доступ.

Кстати, использование систем стойкой криптографии - прямое нарушение указа Президента РФ № 334 от 03.04.1995: штраф и конфискация.
Вам лучше задуматься, для чего они это делали. Потом прочитайте, чем закончился данный случай для арестанта.
1) И для чего же?
2) Посадили на 10 лет "за попытку подкупа полицейского".
3) Конфиденциальная инфа осталась невзломанной и никаких последствий от обладания ей органами в зашифрованном виде не было ни для кого.

Spammed comment

Какое отношение всё это имеет к предмету разговора (нерасколотому фбр-ом трукрипту и посаженному за взятку бразильцу)?
Какое отношение имеет какая бы то ни была тулза к безопасности данных?
Для бразильца тулза Trucrypt оказалась решающей в том, что его данные не прочли полицейские Бразилии и ФБР. А потому не смогли его (и других) посадить ни из-за этой инфы, ни из-за тулзы, а посадили из-за "взятки полицейскому". Т.е. если так хотели посадить - всё равно посадили, но посадили только его одного.

Spammed comment

1) Если сидит за "что-то" - это одно. А если сидит за инфу - это другое, т.к. "сам виноват, не обезопасил себя". Бразилец себя обезопасил - и сидит за "что-то" постороннее.
2) Если полиция и ФБР не расшифровали диски - то из-за них они никого не посадили.
3) Вы ещё напишите бред про "терморектальный анализ". Есть законы, а есть беспредел. Но и у беспредела есть границы - по беспределу возможно убить человека, но невозможно добиться у него ключ, если он грамотно сделан и физически уничтожен, или есть обманный ключ, который можно выдать, не паля настоящий.
4) Подводя итог:
ВЫ НЕСЁТЕ ЗАВЕДОМУЮ ЧУШЬ.
Потому смысла с вами говорить нет никакого.

kazarov

July 24 2012, 18:36:36 UTC 7 years ago Edited:  July 24 2012, 18:40:14 UTC

Ключевое слово - ЗАВЕДОМУЮ. Все дети ЗАВЕДОМО знают, что взрослые несут чушь.
Использование трукрипта не является подсудным (см. цитату ниже).
Так что не надо ляля разводить.



Нормативно-правовые основы использования гражданской криптографии
Д.В. Огородов,
к.ю.н., член Экспертного совета
Комитета Государственной Думы РФ по безопасности

В основе использования криптографических средств частными лицами лежат как общие гарантии экономической деятельности*(21), закрепленные в ст. 18, ч. 1 ст. 34, ч. 3 ст. 55 Конституции РФ, так и ряд положений ГК РФ (см. выше) и других нормативно-правовых актов. Имеется также некоторая судебная практика.*(22)

Практический интерес представляет проблема соотношения публичного и гражданского права в этой сфере. Практиков интересует, прежде всего, вопрос: необходимы ли специальные разрешения, лицензии и прочие формальности публично-правового характера, чтобы приобретать и использовать средства электронной цифровой подписи, либо чтобы шифровать свою коммерческую или личную тайну?

... (целиком тут:http://habrahabr.ru/post/97646/#comment_3001078)

Таким образом, можно утверждать, что сегодня приобретение и использование СКЗИ в собственных интересах (без оказания услуг третьим лицам) свободно, и не требует получения лицензий или выполнения иных формальностей публично-правового характера.

Spammed comment

Ну и? Вы сами-то прочитали то, на что ссылку даёте?
О10, например. О17, 24, 31

Spammed comment

Вы дали ссылку на юриста - вот и учитесь у юриста. А указ президента отменён федеральными законами в тех частях, в которых он им противоречит. Без всяких специальных объявлений. Просто потому, что федеральные законы главнее указов президента.
Что-то новое в юриспруденции? Конституцию не читали?

man_with_dogs

July 24 2012, 20:37:48 UTC 7 years ago Edited:  July 24 2012, 20:42:44 UTC

Для вас очевидно в юриспруденции вообще всё в новинку. В самом указе написано главенство федеральных законов:
"В целях обеспечения безусловного исполнения Закона Российской Федерации "О федеральных органах правительственной связи и информации"..."


Вот вам подробно объясняют почему указ президента не действует в части наложения ограничений на частное использование шифрования - потому, что использование шифрования для своих нужд (а не для оказания услуг) не подлежит сертификации вообще.

www.pgpru.com/forum/politikapravorealjnyjjmir/kriptografijairossijjskoezakonodateljstvo?show_comments=1&p=2#Comment1457
Я бы поостерёгся приводить в качестве аргумента пресловутый Указ Президента №334 от 03.04.95 по причинам чисто юридическим.

П. 4 названного Указа запрещает деятельность юридических и физических лиц по эксплуатации СКЗИ без лицензии, выданной ФАПСИ при Президенте РФ. В соответствии с п. 1 ст. 1 Федерального закона "О лицензировании отдельных видов деятельности" от 08.08.2001, "закон регулирует отношения, возникающие между федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, юридическими лицами и индивидуальными предпринимателями в связи с осуществлением лицензирования отдельных видов деятельности в соответствии с перечнем, предусмотренным пунктом 1 статьи 17 настоящего Федерального закона".
В то же время перечень лицензируемых на территории РФ видов деятельности, предусмотренный п. 1 ст. 17, не включает положения о лицензировании деятельности, связанной с эксплуатацией СКЗИ. Это раз.

УК не предусматривает наказания за эксплуатацию несертифицированных СКЗИ. Это два.

С КоАП ответ не столь очевиден. Согласно п. 2 ст. 13.12 КоАП от 30.12.2001, "использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), – влечет наложение административного штрафа на граждан в размере от пяти до десяти МРОТ с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц – от десяти до двадцати МРОТ; на юридических лиц – от ста до двухсот МРОТ с конфискацией несертифицированных средств защиты информации или без таковой".
В то же время, п. 1 положения "О сертификации средств защиты информации", утверждённого постановлением Правительства РФ №509 от 23.04.96, гласит: "Настоящее Положение устанавливает порядок сертификации средств защиты информации в Российской Федерации и ее учреждениях за рубежом. Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации. Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации".
С точки зрения данного положения PGP и иные СКЗИ, не предназначенные для защиты сведений, составляющих государственную тайну РФ, выходят из-под требований обязательной сертификации, благодаря чему административная ответственность за их эксплуатацию невозможна. Это три.

О судебных прецедентах возложения ответственности на юридических или физических лиц за эксплуатацию несертифицированных СКЗИ в РФ мне неизвестно. Это четыре.
Вот следователю всё это и расскажите при случае. Вместе посмеётесь, или поплачете - в зависимости от настроения.

Но на вашем месте, я бы всё-таки почитал конституцию - полезная книжечка.
Следователю достаточно будет узнать о существовании 51 статьи из этой "полезной книжечки". Если он о ней сам забудет.
:) Действительно, у вас знаний ОРМ явно недостаточно.
Похоже, что вы сами не знаете, о чём пишете.
:):) Ну вы то всё на себе уже проверили, пуд соли съели, сто лет лагерей за плечами :)
Всё проще. Если некто (вы, например) пишет пустопорожнюю брехню (т.е. неконкретно и бездоказательно) - то нет смысла эту брехню даже рассматривать. Нет предмета для разговора.
Так и не разговаривайте. :)

Вы что, правда думаете, что меня может заинтересовать мнение человека
а) явно малолетнего, что следует из ЗАВЕДОМости предубеждений в существенности мнении оппонента :-D
б) патологически влюблённого в некую тулзу :-D
в) не желающего внимательно прочитать первоисточники :)
г) имеющего некие, явно телепатические, каналы общения с FBI и зарубежной полицией ;-D
д) не знающего элементарных правил русского языка?

Экий образчик детской самоуверенности :)
сразу видно переведена инструкция, изначально напечатанная на английском причём специально для русских.
1) "Сладкое место" - это автогр так перевёл honey pot - разновидность сервера, который сам собирает о тебе данные, записывает как ты что куда и каким образом. На этой основе помогают усиливать безопасность чей-то системы. У меня товарищ в сбере когда работал понаделвывал таких, сбрасывал туда файлы с надписью "пароли" и смотрел как юные кулхацкеры с радостью качают их ))
2) VPN какой бы то ни был будет контролироваться в той стране, где находится сервер. А оттуда вас также будут контролировать в случае чего. Операция подставь своего обычная тема.
Оно конечно спасибо.
Но по моему главное в том что мы не должны бояться, именно этому учат нас и они и к сожалению вы.
Все что я делаю - вещи публичные, не потому что я не боюсь их "наказаний" а только потому что я их "наказаний" НЕ ПРИЗНАЮ.
узнайте фамилию моей мамы.
за три клика.
до осени м.б. закроют жужу, твиттер - где брать инфу, куда бежать? Не сделаете такую же методичку?
Забавно, оппозиционер - и педофил (см. стишок).
Собственно, ничего удивительного.
Спасибо за пособие. Озаботился сегодня, хотя и скрывать вроде бы нечего.
И антивирусы нормальные ставить! ;)
в нынешнее время, когда версии вирусов генерируется отдельно под каждую жертву, они только создают только ложное чувство защищенности.
И отключить Flash + Java + Adobe Acrobat - через них заливается 80% эксплоитов.

Проще всего воспользоваться TorBrowser-ом (https://www.torproject.org/projects/torbrowser.html.en) - это клиент Tor + файрфокс с максимальным уровнем защиты
Вот тут кратко описывается как работает коммерческий сервис по взлому почты
http://forum.antichat.ru/thread198626.html

А здесь подробнее
http://forum.antichat.ru/thread125722.html

Алексей Мальцев

July 22 2012, 20:13:22 UTC 7 years ago Edited:  July 22 2012, 20:14:00 UTC

Вы не обижайтесь но их, простите, "коммерческий сервис по взлому почты" рассчитан на взлом почты девочек из вконтакте.
Все их указанные "методы" не сработают, если пароль будет серьезным, а сам человек более-мене внимательным. Будут взламывать брутом до посинения веков так этак 100 )))

Умилили отзывы ниже. ))))) 146% - писал один и тот же человек, причем без особой фантазии.
Что мне то обижаться? я в случайный тред на ачате ткнул.

Впрочем, как показывает опыт, защищенность среднестатистического пользователя не отличается от защищенности девочек вконтате. Даже нашумевшие политические взломы тоже все проводились дедовскими методами: через фишинг и угадывание секретных вопросов (насколько я знаю).
Все правильно говорите. От этого и печально.
В офисе (таки серьезной компании,собственные патентованные разработки), совершенно случайно с поличным поймал бухгалтера кричащего соседке свой пароль на всю бухгалтерию... Я такую телегу накатал генеральному, что аж на следующий день был внутренний приказ о хранении и использовании учетных данных ))) Бухгалтеру премия минусом.

Самое обидное, начинаешь объяснять на пальцах зачем это нужно, как правильно делать и т.п. - не хотят не то, что учиться, не хотят даже попытаться понять.
Нет там фишинга по определению.
Я имею в виду "нашумевшие политические взломы тоже все проводились дедовскими методами".
Никого не смущает педофильский стишок автора?

Алексей Мальцев

July 22 2012, 19:45:56 UTC 7 years ago Edited:  July 22 2012, 19:50:06 UTC

Не совсем согласен с точкой зрения автора в плане формирования пароля. Безусловно, самый лучший пароль - сгенерированный пароль. Однако возня с мнемоникой - не самый оптимальный, по моему мнению, вариант для запоминания.
Удивлен, что никто не сообщил о другом, простейшем способе составить отказоустойчивый к взлому пароль...

Есть истины:
- пароль не должен быть словарным словом (словами);
- пароль не должен быть менее 8 символов (хотя, я считаю, что это уже устаревшее правило, ввиду безумного развития компьютерных мощностей);
- пароль должен содержать верхний и нижний регистры, спец-символы и цифровые символы.
- не пользуйтесь одним и тем же паролем более, чем в одном месте.

Это четыре золотых правила. Есть еще одно, о нем позже.

Теперь, как создать отказоустойчивый к взлому пароль и в то же время запомнить его?
Да очень просто! Пишем пароль кириллицей в латинской раскладке, добавляем несколько цифр и ВСЕ!

Вот ПРОСТЕЙШИЙ пример: Gbplf,jkmyfz{etnf{etn0156 - (переведите в русскую раскладку, и вы удивитесь насколько легко запомнить такой пароль. Только сильно не ругайтесь ))) )

Чтобы ваш пароль случайно не попал в словарь, придумывайте самые нелепые словосочетания, например, образуйте уменьшительно ласкательное или нарочно делайте кучу орфографических ошибок в словах. Кстати, для этих целей можно (точнее НУЖНО) использовать русский, простите, мат. Можно составить такие трехэтажные выражения из него, что никому другому такое выражение просто не придет в голову.
Используйте в каждом слове из выражения верхний регистр, например в первом или последнем символе каждого слова.

Прошу обратить внимание на тот факт, что пароль набираемый в латинской раскладке, но глядя на русскую, набирается очень быстро, особенно обычными пользователями, потому как русскую раскладку они знают лучше. Это уменьшит вероятность "подглядывания со спины".

Ну и еще одно правило (удивлен, что автор не упомянул о нем) - пароль меняется, ну как минимум, один раз в три месяца. Частота смены пароля определяется высотой вероятности его утечки.
Много паролей? Не беда, используем свободное ПО, например KeePass для их хранения, тогда достаточно запомнить всего один пароль.

Немного непонятна замута с электронным ящиком. Зачем вообще хранить что-то на сервере? Все храним только и только на своем компьютере + периодическая шифрованная резервная копия в другом государстве. Thunderbird и подобные в помощь!

В остальном, автор неплохо рассказал о мерах безопасности при работе за компьютером. Единственное, что я хочу добавить, что если ты играешь в игры с государством, или ты серьезный бизнесмен или просто параноик, или (не дай Боже) уважающий себя системный администратор, то ни о какой, простите, windows на рабочей машине и речи быть не может! НИКАКОЙ!

Используйте Linux, TrueCrypt, jabber, https, i2p или tor, но и не забывайте, что паяльников никто не отменял. Кстати, truecrypt может помочь даже и от паяльника! Главное правильно его применить! ;)

Вот и все!
П.2

А как это будет выглядеть с точки зрения дискового пространства?
я вообщем по такому же принципу организовал работу почты, с той разницей что она вся пушится через BIS (сервера находятся в Англии) + там же BBM в телефоне с AES256 ключом для приватной переписки...
добавлю лишь касаемо почты, что в yahoo.com есть функция виртуального адреса почты, привязанного к реальному ящику, тоже в помощь..
Автору спасибо, но можно было не демонстрировать степень владения языком невероятного противника и разместить : инструкцию к TrueCrypt на русском
Поздравляем! Ваш пост был отобран нашими корреспондентами и опубликован в сегодняшнем выпуске ljournalist'а.

Deleted comment

наверное, через 0-day уязвимость в интерфейсе
наверное, через 0-day уязвимость в интерфейсе
А вот что уважаемые авторитеты посоветуют под iPad?
Мало того, что ты пидарас в плохом смысле этого слова, так ты еще и педофил.
Ищо умных мыслей, от гетеросекуала, ищо!

(картавя)Жги, Ромик.

gnom_nebesniy

October 26 2012, 09:56:15 UTC 7 years ago Edited:  October 26 2012, 09:56:51 UTC

полезная информация, но ты все равно пидарас
Если вы пишите, что информация полезная, и при этом считаете автора тем кем вы его назвали, то смею вас уверить, вы сам и есть тот о ком вы говорите. Причём неблагодарный.

alkor_

October 31 2012, 09:01:36 UTC 7 years ago Edited:  October 31 2012, 09:01:51 UTC

Дважды два будет равно четырём даже если это напишет Михаил Светов.

Если дурак и сволочь говорит что-то умное и дельное, умное и дельное не становится от этого менее умным или менее дельным. Просто оно странно выглядит, когда его дурак и сволочь озвучивает.

PS: В сексуальной ориентации гражданина Светова, кстати, ничего плохого не вижу. И что на него все так за это накинулись? Всё-таки, гомофобия -- это постыдная болезнь нашего общества.
"тебя посодют, а ты не воруй" (с)
Все это какая то ерунда!