Так на чем погорел Павел Врублевский?
История известная, и интернет-детехтивов на эту тему наваляли множество.
Но намедни наткнулся на откровение самого Павла, где он посетовал, что он погорел, доверившись протоколу HTTPS, по которому он переписывался с сотрудницей, и эта переписка была представлена следствию в качестве улик.
Если так, то это мягко говоря – караул! Потому что стойкость HTTPS это вовсе, скажем, не стойкость шифрования паролей в Ворде!
Может, причина, в чем-то другом, в кривой реализации приложения, занесенном трояне и т.д.
Кто-то в курсе подробностей дешифрации его депеш?
комментариев: 11558 документов: 1036 редакций: 4118
В таких случаях принято ставить ссылку.
С наиболее высокой вероятностью, это.
комментариев: 9796 документов: 488 редакций: 5664
Понимание проблемы усложняется тем, что можно придумать массу способов обхода SSL, включая такие. У сайта https://www.pgpru.com реуглярно меняется сертификат. Похоже, что о смене сертификата никто, кроме пары участников нашего форума не интересуется и не следит за этим. Даже если SSL-ресурс находился бы на неподконтрольном противнику хостинге, то госпротивник мог бы получить на него левый сертификат и подменить соединение. Большинство браузеров и почтовых программ на привязку сертификатов не рассчитано и противник может скомпрометировать или принудить любой сертификационный центр выдать фальшивый сертификат так, что программа рядового пользователя ничего не сообщит о подмене соединения.
Зачем за ним следить, если УЦ (StartCom) находится в связке сертификатов Мозиллы? Если бы сертификат сайта был подписан неизвестным УЦ, тогда слежение имело бы смысл. Хотя и не совсем понятно для чего, если не регистрироваться и не держать тут свои персональные данные.
В наиболее распространённых сертификатах распространяемых Мозиллой нет российских УЦ.
При тотальном недоверии к УЦ можно использовать самоподписанные сертификаты. Но это непрактично, т.к. чтобы это имело смысл, нужно удалить стандартную связку. Если она присутствует в браузере, от атак подмены сертификата с использованием госресурсов никак не защититься.
комментариев: 9796 документов: 488 редакций: 5664
А завтра другой УЦ выпустит валидный серт на этот (просто для примера) сайт и подменит соединение. Если следить, то можно хотя бы отслеживать такие случаи и сообщать сюда или ещё куда.
комментариев: 1079 документов: 58 редакций: 59
Любая деятельность, ведущаяся от непосредственно своего имени, или компаний, с этим именем аффилированных – должна быть белая и прозрачная. В таком случае никто и ни при каком желании не впаяет 172. Этот персонаж так или иначе был связан с государством – так что удивляться нечему. Тем более со всякой шелупонью в лице Пономаревых и прочих. Государство отдельно – бизнес отдельно. Нефиг вообще связываться с властью, если сам не являешься ее представителем, нельзя никогда подписываться под гос.деньги в каком бы формате они не преподносились. Чтобы потом не удивляться ничему. Масса примеров достойных коммерсов, которые оперируют деньгами в разы больше чем Рублевский – но никто ни под что их не подводит. Потому, что нужно, как правильно сказал Володя "Отделять мух от котлет". А когда люди сами себе приговор подписывают – связываясь со структурами или государством – о чем тут речь может быть.
Мною уважаемый Михаил Гуцириев тому пример. Как бы не давили на него, гос.деньги не брал – так или иначе свое вернул.
комментариев: 11558 документов: 1036 редакций: 4118
В этих хранилищах присутствуют только корневые УЦ, без промежуточных, каковые, тем не менее, обладают точно такой же степенью доверия (просто потому, что X.509 не предполагает градаций доверия).
комментариев: 9796 документов: 488 редакций: 5664
Возможно, какие-нибудь дружественные африканские или арабские страны там фигурируют. Да и необязательно дружественные. Случаев кражи корневых сертификатов разных УЦ было более чем достаточно.
Зависит от того где он переписывался. Ранее (тут на форуме обсуждали), со ссылкой на материалы дела, упоминали переписку на фейсбуке. Следствие не рассказало методы и время получения доступа к переписке. Помимо точечной MitM или гос.троянцев, это могли быть результаты розыскных мероприятий уже после ареста и получения доступа к аккаунту в соц.сетях (у следствия были все симки подозреваемого и носители).
комментариев: 9796 документов: 488 редакций: 5664
Ressa, вы на свой политоффтоп в /comment84029, предсказуемо получили симметричный политоффтоп в /comment84034. Лучше на это ничьё время не тратить, хотя тема всё равно не особо стоящая,
пусть скатывается,не жалко потереть или заблочить.комментариев: 1079 документов: 58 редакций: 59
unknown Я не могу пока уловить эту тенденцию. Мое мнение к политоте озвучивал не раз. И про сабж – по-моему я сказал все верно. Если человек туда залез – чему тут удивляться. А приведенный тобой коммент я почитал и тупо поржал, сразу видно – настоящие "бизнесмен" пишет. Ну мыслено пожелал ему удачи в "бизнесе" и все. А на счет тенденции – ни твою, ни общую. Можешь мне нормально сказать – почему мой коммент политофтоп? Я – полностью аполитичен, не лезу туда и не полезу никогда. Но дело Врублевского ясно, как Божий день – залез в политику, получил статью. Ну т.е. в чем именно мой политоффтоп? Вот удаленный SATtva комментарий – само собой, бред на бреде и гбшники и путин и бизнеса нет и лохи – да, но у себя я его не вижу. Повторюсь – я готов перестроить формат изложения мыслей под данный форум, но в чем тут то косяк?
Просто я здесь увидел иной смысл и считаю, что бессмысленно в офтопичной теме, связанной исключительно с чуждыми всем политическими вопросами – обсуждать криптографию. Мое мнение – криптография вообще не при чем, нехер было Врублевскому лезть туда, куда не надо и все.
комментариев: 9796 документов: 488 редакций: 5664
Как сказал гость:
Можно соглашаться, можно нет, но такое мнение понятно. А расписывать все тонкости политической кухни и взаимоотношений смысла нет, всегда найдутся горячие головы или просто тролли, которые обязательно выскажут свою оригинальную точку зрения со своим видением политических нюансов.
Персонаж был замешан в какой-то политике, каких-то скандальных сделках-разборках с властными-силовыми фигурами и пр. Они всё про него знали и имели все возможности достать его массой способов помимо взлома SSL. Реальность полученных доказательств под вопросом, делать на основе распиаренных сомнительных дел выводы о (не)стойкости протоколов — глупо и т.д. Как-то так.
комментариев: 1079 документов: 58 редакций: 59
Вот – один в один. Полностью согласен и именно этой точки зрения я придерживаюсь. Что криптография тут вообще ни при чем. Про политическую кухню – я сам не в курсе, просто у меня при упоминании в жизни о политике в голове сразу сирена включается и красная лампа "Опасность!" и все, тупо не лезть туда и все будет хорошо.
Статья в Интернете называлась буквально так:
"Павел Врублевский меня подвел https"
Заново найти ее мне не удалось, но помню, что в самой статье ничего для нас интересного не было, вся конкретика в названии темы.
Целый день пытался на него зайти, и каждый раз Фокс грозился, что сертифкат просроченный (кажется, за Июнь 2013) и неподписанный, поэтому решил от него отказаться и обождать.
И это помогло – сегодня зашел нормально по нынешнему сертифкату, никакой ругни больше не было.