Где лучше завести почтовый ящик.
Здравствуйте!
Вопрос такой: где лучше завести электронный почтовый ящик?
Уверен, что это довольно важно, ведь надёжный, защищённый ящик – одна из обязательных деталей Вашей целостной системы защиты информации.
Мелочей не бывает. "Мелочи" иногда дорого обходятся.
Если Вы знаете/используете ящик, который отвечает Вашему уровню требований безопасности – пожалуйста, напишите.
Расскажите о преимуществах.
Важен каждый комментарий.
Без JS не пашет.
Если правильно понял, по фингерпринту шифрованного трафика на входе в Тор можно определить тип ПО и потом сравнить с тем что на выходе из него. Тогда для того чтобы найти анонима, нужна база данных по всем пользователям Тора, для каждого из которых создаётся фингерпринт. Иначе такая атака может быть только точечной, когда уже заранее известен круг подозреваемых.
Родительский прокси получит уже зашифрованный трафик от сквида. Расшифровка соединения с клиентом и последующая зашифровка соединения с веб-сервером осуществляются в одном месте. Если бы они были разнесены и между ними можно было вставить другой прокси-сервер (с продвинутой фильтрацией, ориентированной на анонимность, типа privoxy), тогда это было бы решением. А так непонятно как соединить возможности анонимизирующей фильтрации privoxy со способностью сквида делать шифрованный митм.
помимо вел. кит. фаервола есть еще вел. арабский. он не несет никакой функциональной нагрузки — так-с, пакость мелкая. блокирует почтовый трафик если из арабской страны в израиль, и если из израиля к арабам. ну, понятно, что легко обойти, зато сделали хоть ЧТО-ТО. чтобы помочь палестинским братьям.
Не совсем так. Для начала советую прочитать эту новость и комментарии к ней. Общий смысл: разные сайты дают разный профиль в шифрованном трафике. Для каждого сайта можно создать его уникальный отпечаток, тогда ISP сможет с высокой вероятностью понять, к какому из сайтов в данный момент пользователь пытается обратиться, даже не расшифровывая трафик (и уж, тем более, не имея никакого представления о том, что происходит на exit-нодах). О том, что это возможно, было известно давно, но считалось, что против Tor атака малопрактична, пока какие-то исследователи не сделали демонстрацию, доказав обратное. После этого Tor-девы форкнули firefox, сделав TorBrowser, куда вставили патч с HTTP pipelining, который затрудняет эту атаку. Были разговоры о том, что для работы pipelining требуется поддержка со стороны сервера, и если он её не поддерживает, клиент (даже с современным TBB) оказывается бессилен. Круг этих проблем обычно подразумевается под словом фингепринтинг.
В вашем случае всё ещё хуже, потому что помимо описанного возникает ещё и фингепринтинг иного рода, со стороны exit-ноды и почтового сервера. Последние видят ваш трафик расшифрованным и тоже потенциально могут вывести некий характерный отпечаток для вашей mail-программы. Фингерпринтить ведь можно не обязательно шифрованный трафик — можно для любого трафика попытаться найти характерный паттерн. В случае с TBB этой проблемы не возникает, т.к. программа у всех одинаковая — TorBrowser, а у вас не так. Я хочу сказать, что если известно, что аноним X использует конкретную почтовую программу для чтения почты, можно разработать круг методик для выявления его трафика, даже если не знать о нём ничего, кроме самого факта использования определённой программы, причём атаковать могут все: и ISP, и экситы и почтовые сервера, к которым обращаетесь.
Вообще, если сильно заморачиваться, точность фингерпринтинга можно очень сильно повысить (комментарии к той ветке тоже прочитайте).
Ну, во-первых, база данных по всем пользователям не для каждой атаки нужна (см. выше), поскольку профилирование можно сделать и без этого. Во-вторых, любая дополнительная информация о вас может сильно улучшить атаку против кнкретно вас, даже если это очень общая информация (тип ОС и софта, к примеру).
Не могу прокомментировать, т.к. со squid почти не работал, но всё же: а не поможет ли двойное заворачивание, т.е., клиент → squid-1 → squid-2 → сеть? У каждого squid будет свой конфиг. Один будет MITM'ить, другой — фильтровать.
комментариев: 1 документов: 0 редакций: 0
Основным моментом, на которой хочется остановить особое внимание, являются следующие слова владельца сервиса электронной почты Lavabit Лэйдара Ливайзона: «Американские компании не имеют возможности предложить пользователям по-настоящему конфиденциальный почтовый сервис или даже защищенное от несанкционированного доступа программное обеспечение». Так что дать 100% верный совет на этот счет, на мой взгляд, трудно.
комментариев: 9796 документов: 488 редакций: 5664
и тема плавно зацикливается:
/forum/anonimnostjvinternet/lavabitumerkakiealjternativy
комментариев: 11558 документов: 1036 редакций: 4118
Цитата
немало позабавила. Право-то у них есть, только кто ж им даст? ;)
Смутно припоминаю, что с безопасностью у lavabit было не очень. Всё на доверии. Вроде они в одном месте пишут, что у них нет возможности что-то расшифровать самим, и тут же пишется про существание главного приватного ключа. Как это совместить?
Не очень красит Левисона и то, что он всё-таки выдал ключ, хоть и на бумаге (А в чём проблема, что они так заарканились? Автоматических распознавалок текста сейчас полно). Можно, конечно, пофантазировать, что в том ключе было несколько намеренных опечаток, делающх его бессмысленным. Тем не менее, раз он ключ выдал, значит ли это, что предыдущую зашифрованную переписку теперь власти смогут расшифровать? Значит ли это, что за shutdown сервиса он сядет в тюрьму?
комментариев: 11558 документов: 1036 редакций: 4118
В материалах речь идёт о ключах SSL. Не знаю, как у них всё было организовано на самом деле (тут есть общее описание), но это вполне мог быть ключ аутентификации, если использовался PFS.
Получил штраф за неуважение к суду: по $5000 в день до исполнения требования суда. Через 2 дня сдался.
Как же тошнит от этих фраз. Всё то же гопническое "он на меня косо посмотрел". А с какого х он должен уважать суд? Суд — это такой же слуга народа, как продавщица в магазине или владелец автомойки. Они оказывают госуслугу, но не более того. Требовать их любить и уважать — это слишком.
комментариев: 11558 документов: 1036 редакций: 4118
Как меня можно принудить не разглашать? Я не военный, формы не подписывал. Хочу — могу помочь следствию, не хочу — расскажу в этот же день, кто ко мне приходил, с каким ордером и что требовал. Согласие на получение секретной информации я не давал.
комментариев: 11558 документов: 1036 редакций: 4118
Кляп-ордером (gag order).
/Библиотека/Основы/SSD/ДанныеВПередаче/Государство/ОрдерНаПрослушивание
/Библиотека/Основы/SSD/Контрразведка/FISA
Уничтожить сайт или поставить его на тотальную прослушку за пределами США вообще-то гораздо проще. Тут для того же АНБ нет совсем никаких законодательных ограничений, которые действуют на операции в отношении граждан страны. Если перенести ситуацию на Lavabit, то не было бы даже никакого суда, сайт был бы скомпрометирован, продолжал работу, но все пользователи были бы под колпаком.