Показано с 1 по 6 из 6

Тема: Как защититься от цензуры

  1. #1
    admin Аватар для dt52
    Регистрация
    27.05.2005
    Сообщений
    17,829
    Поблагодарил(а)
    674
    Получено благодарностей: 383 (сообщений: 282).

    Как защититься от цензуры

    Как защититься от цензуры



    За последний год ситуация с независимыми российскими СМИ значительно ухудшилась. Достаточно вспомнить надуманный предлог отключения «Дождя» от кабельного вещания, разгром редакции Ленты.ру, блокирование без каких-либо объяснений ряда «несистемных» интернет-журналов.
    И в дальнейшем вектор политики властей, судя по принимаемым законам («закон о блогерах») и бравурным заявлениям («мы можем завтра отключить фейсбук»), определённо будет направлен на усиление прессинга свободных интернет-ресурсов.
    В связи с этим мы предлагаем способы защиты своего права на свободный доступ к информации, закреплённого в статье 29 российской Конституции. Напомним, что там написано: «Гарантируется свобода массовой информации. Цензура запрещается».
    Итак, каким образом мы можем обойтись без заботливых ручонок товарищей цензоров, решающих что нам можно читать, а что нельзя? Есть два хороших способа.
    1. Самый простой
    Поставьте бесплатное расширение для своего браузера.
    В первую очередь мы рекомендуем friGate. Оно работает под Google Chrome и под Mozilla Firefox.
    Преимущество friGate в том, что оно обращается через пути обхода («прокси-сервера») только тогда, когда в этом есть необходимость. Поэтому доступ ко всем остальным сайтам не замедляется.
    Альтернативный вариант — расширение Hola, которое поддерживают Google Chrome, Mozilla Firefox, Internet Explorer и даже устройства на Android: http://hola.org/
    Если у вас Opera, попробуйте использовать режим Opera Turbo. Он создавался для более быстрой отдачи страниц, что очень хорошо. Плохая новость в том, что не все сайты разблокируются.
    2. Самый безопасный
    Поставьте программу для использования Интернета через защищённый туннель (VPN). С точки зрения безопасности — это лучший вариант, так как он защищает всю информацию, передаваемую через Интернет, позволяет оставаться при этом анонимным и (в идеале) не оставляет истории (что особенно актуально для россиян).
    Однако качественные сервисы, предоставляющие такое удовольствие, — платные.
    Из тех, которые можно посоветовать:
    Hotspotshieldhttp://www.hotspotshield.com/ru (есть бесплатная версия с рекламой, любопытная статья в Forbes).
    IPVanishhttps://www.ipvanish.com/ (от $6.49 до $10 за месяц).
    Сyberghostvpnhttps://www.cyberghostvpn.com (от $7 до $11 за месяц, есть бесплатный усечённый вариант).
    Express-vpnhttps://www.express-vpn.com/ (от $8.32 до $13 за месяц).
    Ну и, конечно, легендарный и бесплатный Torhttps://www.torproject.org/. Был бы замечательным вариантом, если бы не проблемы со скоростью.
    Не помогает?
    Возможно, провайдер поставил заслон и на уровне DNS-серверов. Решается эта проблема простым переходом на DNS-сервера 8.8.8.8 и 8.8.4.4 от Google.
    Официальное руководство (англ.).
    Быстрая настройка в картинках для Windows.
    Резюме
    Сегодня ни один из независимых сайтов не защищён от внезапной блокировки. И в первую очередь это относится к общественно-политическим площадкам — где публикуются мнения, идёт дискуссия.
    В наших силах защитить свою свободу заранее.
    Если вам известны другие удобные способы обхода цензуры, поделитесь ими в комментариях. Руфабула

    Contra factum non est argumentum

  2. #2
    admin Аватар для dt52
    Регистрация
    27.05.2005
    Сообщений
    17,829
    Поблагодарил(а)
    674
    Получено благодарностей: 383 (сообщений: 282).
    Информационная безопасность для хипстеров
    Автор:Виталий Ударников
    Социальная инженерия - на дурака не нужен взлом


    Я не претендую на звание эксперта в области компьютерной безопасности. Есть множество людей, чьи знания в этой области значительно превосходят мои пять лет опыта в разработке интернет-приложений, и я призываю людей, знающих больше, указать на существенные ошибки и недочеты в данном тексте. Однако не обязательно быть микробиологом, чтобы знать про необходимость мытья рук перед едой, также как необязательно быть экспертом по криптографии, чтобы понимать некоторые опасности, которым человек подвергает себя, выходя в Интернет. В этом тексте я попытаюсь раскрыть несколько интересных тем, связанных с работой хакеров по добыче личных данных человека, а также несколько основных правил защиты своей информации.
    Существует множество мифов по поводу сохранности личных данных на компьютере от постороннего доступа. Большинство людей не представляет себе не то что методы работы хакеров, якобы “за две минуты взламывающих сервера Пентагона”, но даже просто – что представляет собой Интернет и как один компьютер связывается с другим. Для начала, давайте посмотрим на основные методы получения доступа к личной информации.
    Атаки в сети
    Начнем с того, что такое вообще электронное шифрование, так как это основа основ, к которой мы будем возвращаться еще много раз. Шифрование бывает двухсторонним и односторонним.
    Двухстороннее: Вася хочет написать письмо Свете так, чтобы Лена, которая любит читать чужую переписку, ничего не заподозрила. Для этого:
    1. Света с помощью алгоритма, о котором можно почитать в Википедии, создает два электронных кода-ключа. Первый – открытый, отправляет всем подряд, и с помощью него они могут зашифровать сообщение, но не расшифровать уже зашифрованное. Для этого нужен второй ключ – личный, который Света хранит у себя и никому не дает.
    2. Вася получает открытый ключ и с его помощью шифрует собственное сообщение, по открытому каналу (Лена читает переписку) отправляет получившуюся абракадабру, которую никто не разберет.
    3. Света получает абракадабру и расшифровывает ее с помощью личного ключа. Лена понятия не имеет, что Вася писал Свете, хотя знает (!) что он ей все-таки писал.
    Одностороннее: каждое сообщение превращается в “хэш”. На вид абракадабра определенной длины, но у каждого файла и сообщения абракадабра своя. Это используется, например, для паролей на сайтах, то есть система проверяет не “соответствует ли ваш пароль тому что записано там”, а “соответствует ли хэш вашего пароля тому хэшу, что записан там”. Причем обратного расшифровывания (в теории) не должно быть вообще, хотя атаки на алгоритм есть.
    Написав про хэш, можно перейти к первому правилу интернет-безопасности.
    Правило 1.0: “умные” пароли
    Когда какой-то известный сайт говорит вам, что пароль должен состоять из цифр и знаков, делается это неспроста. Самый простой (после перечисленных ниже) способ узнать чужой пароль – подборка. То есть, словарные атаки. Компьютер считает с бешеной скоростью, и перепробовать все слова из словаря для него раз плюнуть.
    Получив каким-либо образом хэш вашего пароля (например с помощью SQL Injection, но об этом думать надо не вам, а создателям сайта), атакующий начнет подборку вашего пароля.
    - Если пароль состоит из текста “pencil”, атакующий узнает его за долю секунды, так как это слово содержится в словаре. Компьютер должен будет сделать всего-то, скажем, 10000 операций.
    - Если пароль слово “pencil666”, атакующий, перепробовав “словарную атаку”, начинает смотреть все слова с цифрами на конце. Если представить что на конце может быть до четырех цифр, это уже означает не 10000, а 10000х11110 повторений. Уже лучше, но все равно слабо.
    - Если пароль несловарное слово, например “puncil”, словарная атака уже не сработает. Придется пробовать все буквы алфавита на подбор. Для шести букв это уже 27 (английский) в шестой степени, что весьма неплохо. Причем, если есть заглавные буквы в пароле, узнать его становится значительно сложнее, так как это уже 54 (+ 27 заглавных) в шестой степени.
    Таким образом, если не хотите, чтобы вас так уж просто взломали, выбирайте такой пароль, как “PunciL1999”, чтобы его было несложно запомнить и очень сложно взломать. Это уже 64 (27+27+10+1(чаще всего дозволенный знак “_”)) в восьмой+ степени (если восемь знаков это 318644812890625 повторений), и подбирать данный пароль придется долго. Очень долго.
    Также не стоит на каждом сайте использовать один и тот же пароль. Но на практике это сложно осуществить, если этих сайтов много, а человек путается и в двух паролях. Просто берите хороший отдельный пароль для сайтов, связанных с работой или важными личными данными, и не используйте его для “левых” сайтов, где много рекламы.
    Если вы думаете, что эта проблема касается только обычных пользователей - вы ошибаетесь. Мне рассказывали, как один крупный менеджер компании "Мерседес" поплатился работой за то, что к своему аккаунту в корпоративной сети выбрал пароль “test”.
    Есть и другие простые способы узнать пароль пользователя.
    Итак, начнем с самого обычного случая, который рассказал мне знакомый студент-информатик. Как-то сидя в Макдональдсе с ноутбуком, он решил открыть программу прослушки соединения (Wireshark) и посмотреть на информационный трафик в сети. В записях самодельной прослушки было много интересного – незашифрованные тексты паролей, с которыми люди заходили на Facebook, куки, которые хранят информацию о доступе к различным сайтам и передаются с каждым запросом на сайт... Это то, что бросалось в глаза. Если покопаться в тысячах строк записей Вайршарка, можно было видеть вообще все, что какой-либо человек делал в Интернете.
    Причем, чтобы прослушать весь трафик - совсем необязательно быть хакером или специалистом по компьютерной безопасности, программа бесплатна и довольно проста в использовании.
    Но значит ли это, что любой хакер может читать любую переписку, сидя с вами в одной локальной сети? Совсем нет. Таким образом мы подходим ко второму правилу:
    Правило 1.1: https://
    Если перед заходом на сайт вместо привычного http://www.[сайт].com вводить https://www.[сайт].com, то трафик от вас к серверу сайта будет шифроваться автоматически, как в вышеприведенном случае с Васей и Светой. Поскольку шифры берутся от 50-ти знаков в шестнадцатеричной системе, взломать его не сможет не то что простой хакер, но даже кластер суперкомпьютеров. Есть легенды, что спецслужбы владеют более эффективными алгоритмами взлома, но многие профессора математики крайне скептичны в этом отношении.
    На данный момент большинство интернет-магазинов автоматически перенаправляют пользователя на https, иначе он стал бы открытым текстом пересылать код своей карточки, но внимательным надо быть все равно.

    Таким образом, простое решение сделает невозможным прослушку трафика, хотя атакующий все равно будет знать, что вы в данное время зашли на определенную страницу определенного сайта. От этого следует защищаться иными методами (TOR).
    Возьмем другой, более распространенный случай. "Вконтакте" незнакомая девушка пишет вам, чтобы вы оценили ее фото, предоставив на первый взгляд обычную ссылку на него. Вы нажимаете на ссылку, и перед вами открывается привычное окно "Вконтакте", с логином и паролем. Похоже на то, что у вас истек срок пребывания на сайте и пароль надо ввести еще раз...
    Это другая распространенная атака на личные данные пользователя. Создание сайта, копирующего "Вконтакте" во всем, и массовая рассылка ссылок на него, таких как “лайкни мою фотографию”, ведет к тому, что множество недалеких людей, не замечая подвоха, вводят свой логин и пароль... уже на другом сайте! То есть ваш логин и пароль отправляются на чужой компьютер открытым текстом (https тут, естественно, не поможет). И владелец этого сайта получает доступ к страницам тех, кто туда заходит, думая что он зашел на свой аккаунт. Многие наверное слышали название подобных атак: phishing (от fishing — рыбная ловля, выуживание).
    Из этого вытекает...
    Правило 1.2: будьте уверены что вы вводите свой пароль на правильном сайте
    Проще говоря, в адресной строке должно стоять vkontakte или vk.com, а не другой адрес - например, vk.t.com, vkontrakte.ru или vkantakte.com. Половина так называемых “угнанных аккаунтов” крадется подобными простыми способами.
    Следующее правило также следует упомянуть, так как об одной интересной атаке я сам узнал относительно недавно.
    Получить доступ к камере компьютера не так просто, как кажется. Adobe Flash Player, а также HTML5 функции Internet Explorer или Firefox четко прописывают невозможность получения доступа к камере компьютера для видеочата или фотографии на аватар без того, чтобы пользователь сам нажал на кнопку OK. В принципе технология довольно отработана и безопасна, если бы не одно но.
    Возможно создать флеш-приложение, которое должно будет получить доступ к камере, и оставить на странице появившееся окно с обычным “разрешаете ли вы доступ к вашей камере? Да – Нет”. Окно останется на странице, но поверх него будет размещен непрозрачный элемент. Например, видеоплеер, якобы играющий известный фильм. Нажав на кнопку в центре, человек на самом деле нажимает “Да” в окне с разрешением доступа к камере, и атакующий уже может управлять камерой пользователя без его ведома.
    Данный способ атаки называется clickjacking, и его можно использовать не только для фотографирования пользователя, но и например для получения доступа к другим функциям.
    Вот видео-демонстрация:

    Вполне возможно, данный метод атаки уже недействителен, так как Adobe клялись и божились исправить уязвимость первым же делом.
    Правило 1.3: не нажимайте куда попало где попало
    Убогие штампованные сайты с множеством рекламы – самый легкий способ подхватить электронную заразу или, что хуже, данные для доступа к сайтам, на которых вы зарегистрированы.
    При всех опасностях, связанных с техническими свойствами интернет-технологий, самый распространенный и самый опасный вид хакерской атаки вовсе не связан с компьютерами. Более того, величайшие хакеры современности являлись абсолютными мастерами данного искусства:
    Social Engineering
    Несмотря на то, что компьютер в неумелых руках подвержен периодической опасности потери личных данных, человек издавна остается самым слабым звеном в любой технологической цепи. Давным давно, еще во времена зарождения электронной почты, первые вооружившиеся компьютером мошенники поняли, что обмануть человека в сети порой бывает гораздо легче, чем обмануть его компьютер.

    - Иногда для этого достаточно прислать письмо от покойной тети из Нигерии, не все поймут, не многие вспомнят
    - Иногда достаточно прислать СМС “Привет, это я. Скинь 100 рублей на телефон, срочно надо.”
    - Иногда высокопоставленному служащему крупной компании достаточно увидеть официально-выглядящий листок с логотипом банка, чтобы заполнить его номерами счета компании и отослать на адрес похожий на адрес настоящего банка.
    Все эти виды электронного мошенничества схожи между собой тем, что используют природную наивность человека, ни разу не сталкивавшегося с мошенничеством в реальной жизни.
    Таким образом:
    Правило 1.4: доверяй, но проверяй
    Главным образом, проверяй, кто прислал сообщение и кому отправляешь ответ. И сразу -
    Правило 1.5: не доверяй СМС, вообще
    Есть множество сервисов позволяющих послать СМС.
    И они действительно работают, можете проверить, если не жалко времени и денег.

    Просто сам протокол СМС устроен так, что подменить обратный адрес - проще простого. Мой друг был довольно удивлен, узнав что ему пришло странное СМС-сообщение с собственного домашнего номера.
    Возвращаясь к социальной инженерии, хотелось бы рассказать про настоящих хакеров, которые с помощью подобных трюков если и не взламывали сервера Пентагона, то достигали ощутимых результатов:
    - Кевин Митник считается чуть ли не самым известным хакером в истории, но самые ощутимые результаты он достигал не взламывая пароли, а уговаривая жертву под разными предлогами саму предоставить пароль “новому системному администратору”. Не думаю, что стоит отдельным правилом выделять “Никогда никому не давайте ваш пароль. Админам он в 99% случаев не нужен вообще”, но отдельного замечания это определенно стоит.
    - Шейн Макдугал три раза подряд выигрывал хакерское соревнование Дефкон в категории социальной инженерии, когда участнику дается задание обмануть определенное частное лицо в сугубо академических целях. На первом соревновании хакер сумел обмануть службу информационной безопасности Форда. На втором он заставил фирму Oracle поверить, что ООН сделала для них заказ на создание системы диспетчерского контроля. На третьем он убедил владельца американского магазина, что канадская армия отправляет в его заведение целую дивизию.
    Получается, что на практике опытный мошенник с компьютером страшнее опытного программиста с коварными планами.
    В следующей статье я попытаюсь простым языком объяснить что такое СОРМ и зачем эта система нужна спецслужбам, а также что делать тем людям, которые не хотят, чтобы гебня читала их личную переписку. И, если хватит времени, как относительно безопасно качать торренты “в цивилизованных странах” и почему это лучше делать не из дома.
    Руфабула



    Слабые стороны спецслужб


    Прослушкой в РСФСР-РФ занимались всегда. И никаких скандалов


    В первой части своего повествования я описал некоторые особенности того, как действуют хакеры. А также базовые правила безопасности в Интернете, которые следовало бы усвоить на бессознательном уровне, как привычку чистить зубы или мыть руки. Однако последние события показывают, что опасаться стоит не только хакеров с корыстными целями, но и спецслужб родного государства. Ведь стран, которые действительно уважают свободу обмена информацией, к сожалению, попросту нет на карте. При этом, государство обладает куда большими возможностями, нежели профессиональные компьютерные преступники.
    Форензика и ее основы
    Недавно я прочитал интересную книгу о форензике, где описывались методы, которые используют правоохранительные органы при анализе «компьютерных преступлений», к каковым относятся даже такие victimless crimes, как экстремизм или интернет-пиратство.
    Некоторые пункты стоит особо выделить:
    — правоохранительные органы легко могут анализировать жесткий диск, обходя стандартную защиту паролем. Пароль для этого им не нужен;
    — государству легко получить доступ к прослушке траффика пользователя на уровне провайдера. В первой своей статье я писал о «хакере» сидящем в «Макдональдсе» с включенным wireshark — государство может так же просушивать трафик кого угодно и где угодно;
    — если государство не хочет по какой-либо причине прослушивать информационный поток, правоохранительные органы могут просто написать письмо напрямую администрации сайта или мобильного приложения и, если сервер находится в России, они будут обязаны предоставить личные данные для расследования;
    Вся эта информация общедоступна.
    В России действует система СОРМ, при помощи которой ФСБ напрямую и за короткое время получает трафик любого подозреваемого, прямо от провайдера. Американские системы «Эшелон» и «Призм» по сути представляют собой то же самое, только более продвинутый, автоматизированный вариант.
    Эти американские системы слежки включаются автоматически. Например, когда кто-то набирает в Гугле фразу «ингредиенты приготовления взрывчатки» (или антиправительственные лозунги, или ищет информацию о других людях, недовольных политикой страны, или что угодно другое — самое возмутительное, что даже сенат США не имеет доступа к подробным данным о работе этих систем). Кроме анализа трафика от провайдера, системы слежки также прослушивают информацию напрямую, получая ее с серверов крупных интернет-компаний.
    Самая сложная часть системы — это искусственный интеллект, на долю которого выпадает львиная часть работы: классификация и анализ огромного потока данных. Чтобы создать подобное чудовище, нужно много времени и денег. Поэтому более чем вероятно, что Россия пока не обладает аналогами подобных систем. И спецслужбам приходится обходиться более примитивным СОРМ.
    Также в сети подстерегают и другие опасности. Например...
    Копирасты
    Во многих странах доступ к личной информации имеет отнюдь не только государство. Множество частных юридических фирм занимаются тем, что подключаются к популярному торренту и записывают адреса тех, кто стоит на раздаче. Потом смотрят IP, пишут провайдеру. Испуганный провайдер часто соглашается предоставить личные данные частным лицам без каких-либо постановлений суда или просто официальных разрешений. Затем эти фирмы или подают в суд, или (в большинстве случаев) просто угрожают судом провинившемуся в незаконной раздаче, если тот не заплатит штраф.
    Доходы таких мелких шантажистов в Европе исчисляют миллиардами.
    Торрент сам по себе является технологией, при создании которой не особо думали о безопасности, поэтому скачивать и раздавать, скрывая свой адрес в сети, невозможно. Чтобы подсоединиться к раздающему файл, скачивающий должен открыть свой IP адрес, что и дает возможность сохранить данный адрес с последующей целью легального шантажа.
    Для того, чтобы защитить свою информацию от копирастов и им подобных, нужно делать одно из двух:
    — скачивать, пользуясь открытым wifi; таких мест достаточно во всех странах мира, те же интернет-кафе классический пример;
    — покупать проверенную отзывами VPN (внешнюю сеть), и скачивать, сначала подсоединившись к ней; ни одна юридическая конторка не станет ввязываться в историю с запрашиванием логов у провайдера из какой-нибудь Малайзии или Панамы, для которого отзывы о приватности жизненно важны в связи с ведением бизнеса.
    Использование ТОР для скачивания торрента на данный момент не предусмотрено по техническим причинам.
    Контрфорензика и Контрпрослушка
    Защитить свои личные данные от лишних глаз не особенно сложно, главное понимать как работает криптография и почему государство не может взломать все системы шифрования.
    Как я уже писал в первом тексте, шифрование создает два ключа: один для шифрования, другой для расшифровывания. Причем алгоритм программы построен так, что время шифрования и время расшифровывания без ключа относятся к разным математическим порядкам. То есть расшифровать сообщение без ключа в астрономическое количество раз дольше, чем расшифровывать то же сообщение имея ключ, а подборка пятидесятизначного ключа занимает опять же астрономическое время.
    Таким образом, без паники: можно точно сказать, что сохранная передача данных возможна. Проблема остается в сфере безопасности реализации самих методов шифрования. Например, насколько «непредсказуем» алгоритм создания случайного ключа? Бывали случаи, когда алгоритмы многих методик шифрования, применяющихся в широко известных программах, имели уязвимость , позволявшую предсказывать случайный ключ, зная время его создания и определенное число, на которое это время умножалось (к сожалению — это не единственный пример).
    Была ли эта уязвимость намеренной — остается загадкой. Но сам факт такой возможности намекает, что до совершенства в плане безопасности многим программам еще далеко. Находить и исправлять такие уязвимости — это целая наука, которая создает и меняет алгоритмы каждый день. Так что, полезно следить за обновлениями в программах и постоянно скачивать новые версии. Никто не знает, какие ошибки могли содержаться в старых.
    Хотелось бы еще написать подробнее про шифровку электронной почты, но здесь достаточно почитать про OpenPGP (для Windows), который работает по тем же принципам, что и https. Единственная разница — надо вручную обмениваться ключами с получателем сообщения, чтобы он мог написать зашифрованное письмо. В деловой переписке пользоваться подобной программой обязательно (пользуясь случаем, передаем привет Алексею Навальному, прим. редакции).
    Но вернемся к общей теме шифрованной передачи данных. Не так давно американские исследователи от оборонной промышленности работали над способом безопасной передачи данных американских дипломатов по открытым каналам связи. Задача состояла не только в том, чтобы сами данные невозможно было прочитать, не зная ключа (что достигается с помощью HTTPS), но и в том, чтобы невозможно было отследить, куда эти данные передаются. Продуктивной идеей стало создание сети электронных «брокеров» информации, передающих пакеты данных друг другу. Путь через эти узлы связи создается случайным алгоритмом так, чтобы цепочка от передающего компьютера к конечной цели была неизвестна потенциальному подслушивающему. То есть, даже в том случае, если СОРМ или ПРИЗМ прослушивает весь трафик вашего компьютера, они не будут иметь возможности понять, что и куда вы пытались послать.
    После того, как правительство отказалось от данной технологии, исходники решили выложить в открытый доступ, чтобы результат долгой работы не пропадал. На базе данных исходников энтузиасты и создали уже современную систему ТОР, состоящую из миллионов узлов по всему миру, по которым передают зашифрованные данные — всех тех, кто желает безопасности для своих сообщений, а это люди как хорошие, так и плохие. Как журналисты, сливающие компромат на Викиликс и крупные бизнесмены, ведущие тайные от конкурентов переговоры, так и педофилы с наркоторговцами. В России многие сумасшедшие («охотники за головами», «георгиевская дружина» и т.д.) давно предлагают запретить использование данной технологии — сделать так, чтобы запросы на ТОР блокировались на уровне провайдера, обосновывая это тем, что педофилы пользуются ТОР для распространения детской порнографии (хотя это капля в море по сравнению с этичными методами применения данной технологии). Но, к счастью, депутаты просто не понимают весь потенциал ТОР (особенно в эпоху 3Д-принтеров и Биткоина), иначе по советской привычке его бы давно запретили.
    На узел ТОР (называемый также «луковицей») можно даже поставить ДНС сайта, таким образом возможно создание адресов, перенаправляющих на сам IP сайта через ТОР. То есть, тор-адрес (что-то типа onion://fdfsddfsdfsdffvvfdfewe) будет маскировать настоящий IP сайта, и сам сайт будет невозможно найти. Многие, наверное, слышали про SilkRoad, своего рода ebay для «запрещенных товаров». Подобные сайты работают именно так, и именно поэтому «вычислить хозяина по IP» не может даже полиция.
    Но и у ТОР есть своя слабость. Вдруг один из узлов настроен так, чтобы записывать всю информацию, протекающую через него? Это сделать проще простого, учитывая, что исходники программы открыты. Причем, если дополнительно не используется HTTPS, то информация, проходящая через узел ТОР, может сохраняться в логах, из которых можно узнать токены, логины и пароли, а также — куда направляется пакет данных.
    Так что единственный способ оградить себя от прослушивания российскими спецслужбами при использовании ТОР и настроенного ТОР-браузера — указать в настройках, чтобы программа не подсоединялась к российским, украинским и белорусским узлам. Маловероятно, чтобы ЦПЭ, ФСБ или российские копирасты имели настроенные узлы за пределами СНГ, с их точки зрения это было бы слишком сложно осуществить со слишком ничтожным результатом.
    Можно подвести итог:
    — HTTPs нельзя расшифровать, но можно узнать, куда и откуда направлены данные ;
    — С ТОР можно быть уверенным, что никто этого знать не будет;
    — ТОР и HTTPs следует использовать вместе. Даже в ТОР-браузере следует смотреть, чтобы сайт начинался на https:// а не просто http://
    — Все, что лежит в социальных сетях, могут просматривать спецслужбы;
    — Изъятый жесткий диск или телефон проще простого просмотреть, пароли не помогут.
    При этом крайне эффективна программа TrueCrypt, шифрующая весь жесткий диск разом.
    — Электронная почта изначально не шифруется, для шифровки надо пользоваться программами OpenPGP.
    Данные способы защиты информации обезопасят с высокой вероятностью не только от хакеров, но также от СОРМ и ПРИЗМ. Ведь даже спецслужбы бессильны против законов математики.
    Руфабула

    Contra factum non est argumentum

  3. #3
    Новичок
    Регистрация
    17.02.2018
    Сообщений
    21
    Поблагодарил(а)
    0
    Получено благодарностей: 0 (сообщений: 0).
    Спасибо за информацию. Только не думаю, что она реально поможет.

  4. #4
    Старожил форума Аватар для Steel
    Регистрация
    19.09.2010
    Сообщений
    7,778
    Поблагодарил(а)
    1,313
    Получено благодарностей: 1,095 (сообщений: 897).
    Проше установить бесплатную версию(вполне хватает) румынского софта.Универсальная для всех браузеров
    CyberGhost VPN
    - меняет страну и получаешь доступ к запретному "плоду" информации
    Скачать и почитать пока ещё можно с ресурса https://www.comss.ru/page.php?id=3026
    Если браузер Google то установить расширение CyberGhost VPN Free с магазина webstore
    https://chrome.google.com/webstore/d...llaogb/related
    «Не произнесёт он единого слова, иначе чтобы не записал его страж, приставленный к нему».(сура Каф, 18)
    Габриэл Джабушонори.Хевсурский поэт."Москва делала всё, чтобы ввязать в борьбу с ингушами, чеченцами, соседей Кавказа"
    "Сила правительства держится на невежестве народа, и оно знает это и потому всегда будет бороться против просвещения. Пора нам понять это."Л.Н. Толстой
    «Худший враг любой пропаганды — интеллектуализм».Геббельс Й.Рехсминистр.

  5. #5
    Новичок
    Регистрация
    17.02.2018
    Сообщений
    20
    Поблагодарил(а)
    0
    Получено благодарностей: 0 (сообщений: 0).
    3. Света получает абракадабру и расшифровывает ее с помощью личного ключа. Лена понятия не имеет, что Вася писал Свете, хотя знает (!) что он ей все-таки писал.
    Одностороннее: каждое сообщение превращается в “хэш”. На вид абракадабра определенной длины, но у каждого файла и сообщения абракадабра своя. Это используется, например, для паролей на сайтах, то есть система проверяет не “соответствует ли ваш пароль тому что записано там”, а “соответствует ли хэш вашего пароля тому хэшу, что записан там”. Причем обратного расшифровывания (в теории) не должно быть вообще, хотя атаки на алгоритм есть.
    Написав про хэш, можно перейти к первому правилу интернет-безопасности.
    Правило 1.0: “умные” пароли
    Когда какой-то известный сайт говорит вам, что пароль должен состоять из цифр и знаков, делается это неспроста. Самый простой (после перечисленных ниже) способ узнать чужой пароль – подборка. То есть, словарные атаки. Компьютер считает с бешеной скоростью, и перепробовать все слова из словаря для него раз плюнуть.
    Получив каким-либо образом хэш вашего пароля (например с помощью SQL Injection, но об этом думать надо не вам, а создателям сайта), атакующий начнет подборку вашего пароля.
    - Если пароль состоит из текста “pencil”, атакующий узнает его за долю секунды, так как это слово содержится в словаре. Компьютер должен будет сделать всего-то, скажем, 10000 операций.
    - Если пароль слово “pencil666”, атакующий, перепробовав “словарную атаку”, начинает смотреть все слова с цифрами на конце. Если представить что на конце может быть до четырех цифр, это уже означает не 10000, а 10000х11110 повторений. Уже лучше, но все равно слабо.
    - Если пароль несловарное слово, например “puncil”, словарная атака уже не сработает. Придется пробовать все буквы алфавита на подбор. Для шести букв это уже 27 (английский) в шестой степени, что весьма неплохо. Причем, если есть заглавные буквы в пароле, узнать его становится значительно сложнее, так как это уже 54 (+ 27 заглавных) в шестой степени.
    Таким образом, если не хотите, чтобы вас так уж просто взломали, выбирайте такой пароль, как “PunciL1999”, чтобы его было несложно запомнить и очень сложно взломать. Это уже 64 (27+27+10+1(чаще всего дозволенный знак “_”)) в восьмой+ степени (если восемь знаков это 318644812890625 повторений), и подбирать данный пароль придется долго. Очень долго.
    Также не стоит на каждом сайте использовать один и тот же пароль. Но на практике это сложно осуществить, если этих сайтов много, а человек путается и в двух паролях. Просто берите хороший отдельный пароль для сайтов, связанных с работой или важными личными данными, и не используйте его для “левых” сайтов, где много рекламы.
    Если вы думаете, что эта проблема касается только обычных пользователей - вы ошибаетесь. Мне рассказывали, как один крупный менеджер компании "Мерседес" поплатился работой за то, что к своему аккаунту в корпоративной сети выбрал пароль “test”.
    Есть и другие простые способы узнать пароль пользователя.

  6. #6
    Старожил форума Аватар для Steel
    Регистрация
    19.09.2010
    Сообщений
    7,778
    Поблагодарил(а)
    1,313
    Получено благодарностей: 1,095 (сообщений: 897).
    Сдулись блокировщики?

    Глава Минкомсвязи признал неэффективность блокировки в интернете
    Глава Минкомсвязи назвал блокировку незаконного контента в интернете неэффективной. Об этом Николай Никифоров заявил, выступая в ходе правительственного часа в Госдуме, передает корреспондент РБК.

    «Интернет и цифровые технологии развиваются таким образом, что метод блокировок не позволит нам достичь желаемого результата, и на каждую блокировку всегда будет оперативно придумана технология, позволяющая ее обойти», — сказал министр, добавив, что «мы действуем по старинке».


    «В случае блокировок наше население очень быстро учит матчасть, устанавливает различные программные продукты, которые, проще говоря, выполняя команду пользователя, получают запрещенную информацию с помощью сервера, расположенного в другой юрисдикции, где наш закон не действует», — добавил глава Минкомсвязи.Сама система блокировок, которая активно развивается в РФ в последние годы, является «нежизнеспособной», подчеркнул чиновник.

    Никофоров убежден, что более правильно было бы «не загонять всех в зашифрованные каналы, а внимательно следить, кто искал ту или иную информацию, осуществлял доступ к тому или иному противоправному контенту».

    Ранее, в начале октября, глава Роскомнадзора Александр Жаров сообщил, что ведомство создало специальный департамент, который изучает и анализирует способы блокировки сайтов и интернет-сервисов, а также пути обхода этих блокировок. Сам закон о запрете анонимайзеров и VPN-технологий и сервисов, позволяющих получить доступ к заблокированным сайтам, был подписан президентом в июле.

    Подробнее на РБК:
    https://www.rbc.ru/rbcfreenews/59e746b39a79476534cacd36
    «Не произнесёт он единого слова, иначе чтобы не записал его страж, приставленный к нему».(сура Каф, 18)
    Габриэл Джабушонори.Хевсурский поэт."Москва делала всё, чтобы ввязать в борьбу с ингушами, чеченцами, соседей Кавказа"
    "Сила правительства держится на невежестве народа, и оно знает это и потому всегда будет бороться против просвещения. Пора нам понять это."Л.Н. Толстой
    «Худший враг любой пропаганды — интеллектуализм».Геббельс Й.Рехсминистр.

Похожие темы

  1. ЦЕНЗУРЫ СЕЯТЕЛЬ МАШИННЫЙ
    от Steel в разделе Аналитический материал по России
    Ответов: 0
    Последнее сообщение: 26.12.2013, 16:02
  2. "Тихий Дон" впервые издадут без цензуры
    от dt52 в разделе Свободные Темы
    Ответов: 0
    Последнее сообщение: 21.03.2011, 21:56
  3. Народное вожделение цензуры
    от Ваш знакомый в разделе Свободные Темы
    Ответов: 0
    Последнее сообщение: 02.07.2008, 09:19

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •