id: Гость   вход   регистрация
текущее время 22:07 28/03/2024
Владелец: ДаняНадь (создано 21/11/2007 09:25), редакция от 21/11/2007 09:25 (автор: SATtva) Печать
Категории: приватность, openpgp, инфобезопасность, политика, защита email, следственные мероприятия, стандарты
http://www.pgpru.com/Новости/2007/HushmailОказалсяХанаанскимБальзамом
создать
просмотр
редакции
ссылки

21.11 // Hushmail оказался ханаанским бальзамом


При судебном разбирательстве дела о контрабанде наркотиков документально подтвердилось, что компания Hushmail передала расшифрованные сообщения полиции.


Hushmail предлагает услуги конфиденциальной переписки через веб-интерфейс, используя технологию шифрования OpenPGP.


Следователи американского агентства по борьбе с распространением наркотиков (DEA) получили от расположенной в Канаде компании три диска с расшифрованными письмами производителей анаболических стероидов. Запрос утверждает, что большинство торговцев анаболическими стероидами пользуются услугами Hushmail.


От себя: Технология и бизнес-модель Hushmail вызывал серьезные опасения задолго до этого случая. Сам факт, что они совершенно неоправданно хранили у себя на сервере секретные ключи, ставило под сомнение их честность.


Мораль сказки: Храните свои секретные ключи у себя и никогда не доверяйте их расшифровку никому и ничему, кроме ПО с открытыми исходниками.


Источники: filehttp://static.bakersfield.com/.....rod_affiliate.25.pdf, http://www.mail-archive.com/cr.....wd.com/msg08253.html, http://blog.wired.com/27bstroke6/hushmail-privacy.html


 
На страницу: 1, 2, 3 След.
Комментарии [скрыть комментарии/форму]
— mellon (23/11/2007 16:21)   профиль/связь   <#>
комментариев: 61   документов: 47   редакций: 68
О да! :)
Давно я искал такую штуку.
Надо будет посмотреть как она работает
— mellon (23/11/2007 16:30)   профиль/связь   <#>
комментариев: 61   документов: 47   редакций: 68
К сожалению, при беглом испытании некоторые функции не заработали, а кое-что реализвано не слишком безопасно.
Надо будет вникать, что там и как.
— unknown (23/11/2007 17:18)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
А по-моему обращение к функциям openPGP через браузер вообще не слишком безопасно. В чём-то это компромисс в сторону удобства как и hushmail.
— serzh (23/11/2007 18:14)   профиль/связь   <#>
комментариев: 232   документов: 17   редакций: 99
А по-моему обращение к функциям openPGP через браузер вообще не слишком безопасно. В чём-то это компромисс в сторону удобства как и hushmail.

Использование только для проверки подписей в большинстве случаев приемлемо, т.е. отдельная связка с открытыми ключами и т.д.
— mellon (23/11/2007 19:09)   профиль/связь   <#>
комментариев: 61   документов: 47   редакций: 68
Нда... зря туда смотрел... написано в стиле "авось пронесёт" и "а это зачем??"
— Гость (24/11/2007 05:52)   <#>
unknown
А по-моему обращение к функциям openPGP через браузер вообще не слишком безопасно.

Я, пожалуй, доформулирую за вас, unknown, если не возражаете :)))
Есть в принципе общая проблема в том, что юзер-спэйс софт слишком дыряв. Дабы не вдаваться можно предложить очень простой наклоеночное решение:
Под каждую прогу создаётся пользователь, суётся в чрут и ему запрещается лазить по остальным директориям. В этом смысле взлом программы приведёт не более чем к краже настроек этой программы (а не надо хренить критические вещи в ней) но не компрометирует основную учётную запись, пользовательские файлы и т.д.
Что же касается gpg в частности, схема дорабатывается следующим образом: создаётся отдельный пользователь с ограниченными по максимуму полномочиями (всё что не обязано быть разрешено – запрещено), создаётся суидный си-файл, который может выполнять некоторые фиксированные команды от имени gpg-пользователя, после чего разрешается своему обычному пользователю выполнять сей суидный файл. В этом смысле если там разрешена только подпись и шифрование/расшифрование, то извлечь закрытый ключ с помощью этих команд не получится (если не ошибаюсь). Для выполнения остальных gpg-команд делаем su->root->gpg_user и т.д. Согласитесь, в повседеневной работе и не нужны привелегии для такого серьёзного вмешательства в то же gpg.
В пределе все юзер-спейс проги будут сделаны таким образом и если злоуиышленник и сядет внезапно за ваш комп, не зная пароля рута он только ничего существенного напартачить не сможет (максимум, сделает то что доступно из интерфесов имеющихся программ, но каждая из них мало что сможет поскольку сидит в эффективной песочнице). Аналогично и взломщик, взломав вашу програму не сможет дёшево вылезти из этой "песочницы".
Здесь я описал метод как сделать это самому, а в принципе, думаю, есть и автоматизированные схемы как таким образом работать с программами.
— mellon (24/11/2007 07:43)   профиль/связь   <#>
комментариев: 61   документов: 47   редакций: 68


Для этого существует sudo.
— Гость (24/11/2007 16:23)   <#>
Для этого существует sudo.

Судо слишком небезопасно...
Там есть много тонких моментов с ним.
— mellon (24/11/2007 17:05)   профиль/связь   <#>
комментариев: 61   документов: 47   редакций: 68

Там есть много тонких моментов с ним

Можете привести хотя бы один в контексте рассматриваемой ситуации?
— unknown (24/11/2007 17:39)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Здесь я описал метод как сделать это самому, а в принципе, думаю, есть и автоматизированные схемы как таким образом работать с программами.

Selinux или его альтернативные реализации
— SATtva (24/11/2007 19:48)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Под каждую прогу создаётся пользователь, суётся в чрут и ему запрещается лазить по остальным директориям.

Чрут для повседневной работы — крайний перебор (лучше, на мой взгляд, вообще за систему не садиться, если исходить из допущения о столь законченной дырявости). Но, в принципе, всё уже придумано за нас: filehttp://www.cs.columbia.edu/~smb/papers/subos.pdf.

Судо слишком небезопасно...

man sudoers? Можно до кучи ещё и проблемы стандартного chroot вспомнить, но это уж совсем офф-топик.
— Гость (25/11/2007 09:11)   <#>
mellon
Можете привести хотя бы один в контексте рассматриваемой ситуации?

Несмотря на тот факт что sudo используется в оффициальных зандбуках по UNIX-подобным системам, что-то там не гладко.

=> не в базе а порт. Доверие к портам меньше.
Неоднократно рассказывали как недостаточно умелая настройка sudo приводит к тому что угоняется root-доступ, в частности из-за кэширования пароля. Возможно, есть и другие тонкие моменты, я её никогда не использовал. В любом случае, если ваш аккаунт ломают и могут выполнить любое действие из-под вашего юзера, которому позволено без пароля запускать sudo, то противник получит те же права на судо. Ничего приятного я здесь не вижу. Пользуюсь только su -l для таких случаев.
— Гость (25/11/2007 09:23)   <#>
unknown
Selinux или его альтернативные реализации

Для решения описанной задачи изучать 100.000 правил Selinux порой может показаться сродни бойне по воробьям из пулемёта.

SATtva
Чрут для повседневной работы — крайний перебор (лучше, на мой взгляд, вообще за систему не садиться, если исходить из допущения о столь законченной дырявости).

Не думаю. Те, кто используют одну "малоизвестную" операционную систему с "небезызвестным" браузером хорошо знают путь откуда приходят вирусы, трояны, черви и прочая живность. Так не в том ли дело что мы так много позволяем браузеру? В чрут его нужно как минимум...

Но, в принципе, всё уже придумано за нас: http://www.cs.columbia.edu/~sm.....kquote><!--escaped-->
Угу, но это пока на бумажке... хотя вот это в тексте:
3.1 Implementation
For our development platform we decided to use the
OpenBSD operating system [2]. OpenBSD provides an at-
tractive platform for developing security applications be-
cause of the well-integrated security features and libraries
(an IPsec stack, SSL, KeyNote, etc.). However, there is
nothing inherent in the SubOS architecture that limits us to
UNIX like operating systems, so similar implementations
are possible for operating systems like Microsoft Windows.
The main advantage of our kernel implementation is that the
additional security mechanisms will be largely transparent
to the applications. Specifically, although the applications
may need to be aware of the SubOS structure, they will not
need to worry about access control or program containment.

меня очень даже позабавило. Стоит заметить что нет почему-то слов по лялих и селинукс в тексте :))) OpenBSD – это наше всё...
— Гость (25/11/2007 10:04)   <#>
[offtopic]
SATtva

SATtva, а вы на самом деле учили санскрит?
Заинтересовался в связи с тем что начал осваивать хинди :)
[/offtopic]
— Гость (25/11/2007 10:52)   <#>
Вы не привели ни одного конкретного примера. снова пустая болтавня.

PS
Огорчу, В OpenBSD тоже нужно упорно вникать и кропотливо настраивать.
На страницу: 1, 2, 3 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3