Случаи из жизни
Интересно было бы выслушать реальные истории из опыта участников форума, когда наличие или отсутствие у них (или у их корреспондентов) средств шифрования сказывалось на их работе и жизни наиболее явственно.
Для примера (и для затравки дискуссии) могу вспомнить один подобный случай из своей личной жизни. Произошло это, дай Бог памяти, около пяти лет тому назад. В то время был в чудесных отношениях с одной замечательной женщиной, но вследствие географической удалённости общение подавляющую часть времени протекало в Сети, при этом, как часто бывает, убедить собеседника в необходимости защиты переписки не удавалось.
Переломным моментом стал обычный рабочий день, когда супруг моей собеседницы, заглянув к ней в офис и не застав её там, решил скоротать время ожидания, порывшись в текстах переписки. "Компромат" был исчерпывающий. Более того, вечером того же дня в своём почтовом ящике я обнаружил сообщение за подписью моей собеседницы и, разумеется, пришедшее с её почтового адреса, с желанием разорвать всё отношения. Обескураженность с моей стороны была полная. Уже позднее в телефонном разговоре выяснилась суть случившегося, и практически сразу мой корреспондент согласилась принять все необходимые меры для защиты переписки.
Используй мы сразу шифрование или, хотя бы, электронную подпись, этого инцидента бы не случилось. На мой взгляд, хорошая иллюстрация пользы PGP (или, иначе, вреда в его отсутствие), тем более, прочувствованная на собственной шкуре.
Чудесная история. Пара вопросов:
Сообщения он прочитал с ее компа локально или получив доступ к ящику на серваке и
считав с него?
А дальше что было (после того как она согласилась "принять меры") – не в плане ваших отношений, а в плане защиты переписки?
При локальном доступе к компу пользователя шифрование мало поможет.
А вообще использование шифрования для личной (неделовой/нерабочей) переписки – утопично.
Вы бы еще крипторимэйлеры или цифровые сертификаты предложили ей использовать.
Доступ был получен не к ящику, а к мэйл-клиенту, где вся переписка хранилась в открытом виде. Если правильно помню, там связка из Outlook+Exchange была установлена.
Имеете в виду keylogger'ы и т.п.? В целом — возможно, но не в подобной ситуации.
Не вижу повода иронизировать. После того случая ею был установлен и в течение пары дней освоен PGP. Отмеченная же Вами проблема шифрования всей личной переписки сводится лишь к нежеланию пользователей менять привычный уклад вещей и осваивать средства шифрования. Да, использование, скажем, S/MIME в Аутлуках почти прозрачно, и может выступать некоторой альтернативой PGP в защите личной корреспонденции (не в плане надёжности, конечно).
Так ей нужен был впервую очередь крипто-контейнер или шифрованный раздел диска.
PGP disk ???
unknown, зачем тратиться на более дорогое в финансовом смысле решение, когда есть бесплатное? Зашифрованная с помощью PGP переписка так в зашифрованном виде и хранится, это раз, кроме того, криптоконтейнер не решил бы проблему авторизации писем с помощью ЭЦП. Адрес-то корпоративный, письмо с него мог отправить кто угодно и без доступа к мэйл-клиенту.
Ну так без объяснения всех подробностей понять было сложно. Теперь ситуация ясна.
То есть муж отправил поддельное письмо, а не она сама, испугавшись угроз со
стороны мужа, который потребовал "разорвать отношения"... :-)
Или я опять чего-то непонял в этой мелодраме. Мыльная опера какая-то.
Угу, "санта-барбара"... Да, Вы всё правильно поняли, письмо было поддельным. Действительно, я несколько туманно это описал.
Раз вы так пропагандируете мспользование PGP в личных целях, ну попробуйте
шутки ради, повесить объявление на сайте знакомств с указанием своего ключа и
просьбой вступать в переписку только шифрованным текстом. Может тогда убедитесь,
что это утопия.
Из вашей истории можно понять, что если только с человеком произойдет такой случай, да еще
другой участник переписки будет настаивать, тогда может он и заинтересуется PGP,
Наверное вероятность такогог стечения обстоятельств – как удар молнии.
Другое дело – служебная необходимость, особый род занятий или простое увлечение криптографией.
Но если вы смогли убедить женщину, далекую от всего этого использовать PGP –
можете этим гордиться. Думаю немногим это удасться повторить. Опять же должен
случай произойти, наподобие вашего.
Расскажу свою историю, в первое время когда у меня появилась выделенная линия работала она через прокси сервер на компьютере смотрящим в инет, там же силами этого же самого прокси была настроена внешняя почта, т.е. мой почтовый клиент соеденялся с прокси и отправлял письмо ему, а тот в свою очередь уже по нужному адресу, ремейлер короче.
Так вот зашел как-то разговор у меня с одним из пользователей локальной сети об этом сервере в частности и о информационной безопасности в нашей сети вобще, ну и этот человек говорит что вот настройки на сервере мягко говоря хромают, на мою просьбу как-то это обосновать мне привели дословно темы некоторых моих писем, а также смысл некоторых из них в общих чертах... было оооооочень не приятно :(
После этого случая, пытаюсь всех с кем переписываюсь заставить использовать PGP в хоть сколько-нибудь личных письмах, пока с переменным успехом.
На самом деле, ничего утопичного здесь нет. Использование шифрованных сообщений возникает тогда, когда есть что скрывать. Для первоначального зкомства это конечно перебор, но вот в последующем... Самое веселое, что в таком случае спасает только PGP. КриптоПро, на который сейчас переходят в нашем офисе (исключительно с той целью, что он сертифицированный) кодирует сообщение отправляемое – ключом адресата, а помещаемое в папку "Отправленные" – собственным ключом автора. В результате всю шифрованную корреспонденцию можно свободно прочитать при доступе к компьютеру :shock:
В PGP/GPG можно НЕ использовать
опцию "always encrypt toself",
а в криптоПро этом нельзя отключить
это дело что-ли?
Это что зашито в сам стандарт что-ли?
В стандарт это не зашито, это такая реализация. О правилах использования шифровальных средств посмотрите приказы ФАПСИ №№ 152 и 158 они утверждены в МИНЮСТЕ. Кстати там сказано, соответствующие органы "могут планировать и проводить проверки совместно с заинтересованными органами криптографической защиты" Правильность использования шифровальных средств
Дмитрий С, "орган криптографической защиты" — это подразделение организации по обеспечению информационной безопасности и ответственное за развёртывание и поддержку СКЗИ. Речь в этих приказах идёт о том, что этот самый орган может привлекать специалистов ФАПСИ (ФСБ) для проведения аудита их системы информационной безопасности.
А я и не говорил про алгоритм. Я говорил про странную реализацию. Подобная вещь, ИМХО конечно, сильно снижает стойкость системы. По крайней мере с точки зрения возможности прочесть отправленное сообщение.
Предистория: имеется локальная сеть, в сети около 40-50 человек, сеть некоммерческая поэтому админа нету, каждай юзер сам себе админ.
Теперь история:
Не далее как вчера зашел к человеку на диск D$ с логином Администратор и сложным паролем – пустой пароль.
Ну и мои руки сами потянулись к папке The Bat.. я не хотел.. они сами:) короче у него там 400!!!! МБ писем четыресто, несколько тысяч писем в отправленных и принятых... включая письма от служб восстановления пароля... я просто плакал... все равно что открыть дверь квартиры и поставить огромный указатель "хозяев нету, грабить там ->"
Ну ладно, я как честный человек ниче с этими паролями делать не стал... только зашел на сервер знакомств и с помощью его пароля подредактировал его анкету... теперь у него ориентация из гетеро стала гомо... Вот человек обрадуется новым знакомым :)))
В общем думайте сами решайте сами... Но если вы используете шифрование то уже будет не так страшно даже при краже этой информации. И даже если б я таким образом украл у него секретный ключ, то необходима и парольная фраза.
SATtva Для того чтобы было более понятно привожу цитату полностью
"70. В целях координации государственного контроля и контроля, проводимого лицензиатами ФАПСИ, федеральные органы правительственной связи и информации могут планировать и проводить проверки совместно с заинтересованными органами криптографической защиты, рекомендовать лицензиатам ФАПСИ объекты проверок.
71. Непосредственный допуск к проверке комиссии или уполномоченного федеральных органов правительственной связи и информации осуществляет руководство проверяемых лиц при предъявлении проверяющими удостоверения (предписания) на право проверки, заверенного печатью, и документов, удостоверяющих личность. "
А " Органом криптографической защиты может быть организация, структурное подразделение организации – лицензиата ФАПСИ, обладателя конфиденциальной информации. Функции органа криптографической защиты могут быть возложены на физическое лицо. " Так что это не обязательно внутренее подразделение компании. Например это может быть компания распространяющая шифр. средства.
Реальный опыт:
Сотрудник отправил документ содержащий закрытую информацию по email соседу по комнате. Ошибся при написании адреса, документ ушел "наружу".
Результат: скандал, уволнение
Хочу рассказать одну историю, напрямую, правда, к криптографии в компьютерных сетях отношения не имеющую, и все же, на мой скромный взгляд, в чем то достаточно интересную. Историю рассказал мне мой брат, работающий начальником цеха на одном достаточно крупном предприятии.
Однажды у него и одного из его сотрудников вышел спор, в качестве приза выигравшему, по предложению моего брата, был установлен 1 килограмм мороженого. Суть самого спора была такова. Тот самый сотрудник никак не мог поверить, что обычный шифровой механический замок можно открыть не зная шифра и он отдал моему брату использовавшийся где-то в хозяйстве предприятия шифровой замок, так сказать на работу по предмету спора. Мой брат согласился за 2 вечера открыть этот замок, посчитав, что это будет не очень трудно – крутить вечером фишки замка за экраном телевизора, конечно он посчитал сначала возможное число вариантов перебора, получившееся несколько тысяч раз. Однако покрутив фишки час – полтора он решил, что ем у это надоело и замок можно открыть другим способом. Утром на работе он предложил девушкам поставленный 1 килограмм мороженого, те быстренько разузнали чей именно замок и конечно выяснили каков шифр. Через 30 минут второй споривший отказывался верить в свой проигрыш, несмотря на то, что в руках держал открытый замок. Он не успокоился и предложил на вскрытие еще один замок, на этот раз принесенный из дому. Несмотря на то, что брат мог бы отказаться, он все же решил доказать Фоме неверующему, что и второй замок он откроет. Но задачка была посложнее. В последствии, правда, на ее решение ушел 1 час времени. Мужики из цеха подсказали, что нужно делать, и сами же сделали часть работы. Просто крутить фишки – дело долгое и нудное. Пришлось растянуть замок на пружине между 2-я верстаками и потихонечку крутить фишки. При правильном попадании механизм щелкал чуть чуть иначе и на самую – самую, едва заметную, малость отпускал душку замка.
Все, кроме заядлого спорщика, остались довольны, а девушки при этом еще и съели свое мороженое.
В результате было продемонстрировано 2 метода вскрытия шифра – воровство информации и криптоанализ.
На моей памяти правда есть еще один случай из прошлого, когда один мой товарищ – мальчишка, открыл шифровой замок соседского чулана, он работал прямым перебором и потратил несколько дней, не знаю почему, но мне запомнились те цифры – 4949, может быть поэтому я в первый же день выхода в Интернет сменил пароль на подключение, выданный мне провайдером, который по своей «секретности» несколько напомнил мне цифры из детства.
Это не совсем чистый криптоанализ. Это так называемый метод "side channel attack".
Восстановление информации по утечкам из побочных каналов (в данном случае звуки щелчков).
P. S. Истории замечательные во всех отношениях.
Этим летом интернет облетела весть, что славящиеся своей надёжностью замки Kryptonite можно вкрыть без всякого ключа, а просто немного подпиленным пластмассовым корпусом одноразовой авторучки Bic. Нередко защищённость может оказаться намного слабее, чем кажется.
Не так давно по телевизору показывали передачу «Запретная зона». Не знаю, кто в эту передачу верит, кто нет, но одна из показанных историй повествовала о следующем.
Один доверчивый писатель и сценарист писал для местного театра свои пьесы, которые пользовались хорошим успехом зрителей. Для работы писатель использовал компьютер, по видимому пользовался каким то текстовым редактором. И вот в один из дней директор театра отказался принимать его произведения, приведя какие-то свои доводы. Писатель регулярно посещал спектакли и вот, посетив один из спектаклей, автором которого была неизвестная леди, он увидел в нем свою пьесу, в которой в сущности были изменены только имена героев. В дальнейшем, уже с другим спектаклем, история повторилась еще. Ну и решил тогда писатель поступить дешево (хотя для кого как) и сердито, позвонив по номеру известной передачи.
Как было. У писателя была подружка, на поверку оказавшаяся вором. Она приходила домой к своему «возлюбленному», а он, сидя за компьютером, упоительно читал ей отрывки своих произведений, нисколько не сомневаясь в ее порядочности. Она, прихватив носители информации, приходила домой так же и в его отсутствие и делала свое грязное дело, а после продавала его произведения директору театра, который сделал «автором» произведений свою любовницу.
Возможно, что если бы писатель использовал какое-либо средство для шифрования, и сохранил бы в тайне хотя бы пароль, то остался бы законным автором украденных пьес.
Сопоставив эти два момента, можно подумать, что раз он такой доверчивый, то пароль бы втайне не сохранил. Она бы ему трояна подбросила или подглядела бы просто. И такой поворот сюжета был бы не очень понятен массовой аудитории телезрителей.
Возможно, что Вы очень даже правы. Я вот что думаю. В любом случае он бы сильно осложнил ей задачу. Для того, что бы подбросить трояна, нужно по крайней мере знать как это сделать, я например не знаю. А подглядеть достаточно длинную парольную фразу, особенно если он печатал быстро и использовал бы какую-нибудь «кривую» букву в одном из слов, кстати о чем то подобном написано где-то в руководстве PGP, за несколько раз сложновато. Ко мне домой например, иногда приходит моя подруга и иногда проверяет свой почтовый ящик, я до сих пор не знаю ее пароля, она от меня его прячет, хотя на список входящих посмотреть всегда разрешает.
Знаете, люди, я живу в деревне. С приватностью тут... %((( Поэтому я ей очень дорожу. У меня есть знакомый в Москве, человек не хилой интеллигентности. Да-да, вот такие комбинации в жизни случаются... Так вот. Мы с ним пытались наладить личную переписку по e-mail. Даже используя риторику Данте, не говоря уже о куче фактов из жизни, мне не удаётся убедить его в необходимости использования PGP для личной переписки!!! Ему, блин, нечего скрывать! Зато мне есть, что! Но ему некогда и неохота заниматься изучением неизвестной программы, тем более, что он – ламер... Поэтому мне пришлось переписку с ним прекратить. Мне тут ещё жить... Вот вам реальный случай из жизни.
Обычно у таких людей на машине куча всяких троянов, они неправильно обращаются с ключами и т.д. Даже если бы Вам и удалось убедить его использовать PGP, это дало бы только иллюзию защищенного общения. Все-таки лучше когда у человека самостоятельно возникает интерес к защите своей информации (вот как у Вас). Так что возможно Вы приняли разумное решение, а общение Вам придется ограничить редкими личными встречами. Не стОит, наверное в своей жизни так уж полагаться на Интернет.
К сожалению, Ваша ситуация стандартная и широкораспространенная. Где-то даже была статья-исследование (и доклад на какой-то криптоконференции) на тему, почему обычные пользователи не хотят использовать PGP. Кажется называлась как-то смешно: "Почему Джонни не хочет шифровать?". Автором исследования была женщина (к сожалению мне не найти сейчас ссылки, давно я это читал). Наверное, у нее была в жизни ситуация, аналогичная Вашей.
P. S.
А вот и ссылки:
http://www.ibusiness.ru/offline/2000/124/10357/
http://www.pcweek.ru/Year2000/.....1/NetWeek/chapt4.htm[link1]
Спасибо поисковикам.
Такой вот случай...
Решил я как-то завести себе очередной е-ящик. Ну, имя придумал покрасивше, а сервис говорит "есть уже такой". Я другое имя – "есть уже". Третье, четвёртое, пятое... Короче, нашёл имя свободное, пароль забил простенький и завёл ящик. Вышел из "почты", вхожу, чтобы проверить работоспособность...
А имя ЗАБЫЛ... Крутится в голове с десяток имён, только что перебиравшихся, а нужного нет! Ну, ввожу очередное, пароль (типа – 111), вхожу(!), ё-моё, ящик ЧУЖОЙ!
Ну, чё делать, раз такая халява, дай, думаю, почитаю... Весь ящик забит спамом, страниц пятьдесят!
Всё перечитал, ничего не тронул, вышел. Ну, думаю, пусть хозяйка(!) увидит вскрытые конверты и сменит пароль...
Хрен! Недели две ждал, нету никого. Ладно, думаю, приватизирую, но пароль оставлю старый, може очнётся... Собственно это и был nemo@e-mail.ru .
Мораль, пароли не должны быть простыми.
Кстати, мне на этот ящик не пришло подтверждение о регистрации и на omen – тоже. Чё за фигня? Я, конечно, не настаиваю, но "абыдна, да?"
Ну, я их и удалил...
На некоторых сервисах сообщения робота о регистрации принимаются за спам и безжалостно фильтруются. Бороться с этим со стороны форума трудно. Получателю проще forum собака pgpru точка com забить в белый список.
SATtva, сенкс.
Если будет писательский зуд, може ещё попробую.
Не могу врубиться: чтобы переписываться в шифре надо сначала обменяться паролями обычной почтой, что ли? В конвертах?SATtva,
Нет, надо любым способом обменяться открытыми шифровальными ключами — передать из рук в руки на дискетах, переслать по мэйлу, голубиной почтой, фельдйегерской службой или службой экспресс-доставки — как угодно.
Почитайте по этим ссылкам:
http://www.pgpru.com/faq/common/#1
http://www.pgpru.com/manuals/intro/02.shtml#3_2
А потом это может так увлечь, что пользователь на специальные встречи ходить начнет:
http://ivlad.unixgods.net/gpg-.....-party-howto-ru.html[link2]
У меня реальная потребность в секретности возникла при торговле по eBay. Пользоваться для платежей услугами PayPal я категорически несогласен, зато в Канаде есть такая система — Interac email payments, для переводов по всей канадской банковской систетме. Вот как это работает: тот, кто платит, указывает email адрес получателя, вопрос и ответ на него. Получатель получает весточку со ссылкой на https-страницу, где он вводит свой номер счета и ответ на вопрос. Если все правильно — деньги переводятся.
Так вот, если ответ "сильный", то система достаточно безопасна. Даже слишком большой сложности не требуется, так как это краткосрочный (оперативный, тактический, или как там его по-русски) секрет. Только вот как договориться с незнакомцем, если у того нет PGP и нет желания ничего устанавливать (подавляющее большинство)?
Ясно, что я никак немогу передать никакой секрет неизвесному, так что и в том, и в другом направлении платежей пароль должна придумать и мне по секрету сообщить другая сторона.
Первое решение было выставить на https-страничке форм для ввода кода сделки по eBay, и ответа для банковского перевода (вопросом служил сам код сделки). Для того, чтобы не напрягать другую сторону, я сразу генерировал случайный ответ из 8 чисел. Отсюда мне шло сообщение по зашифрованной почте. Как ни странно, почти все по 3-4 раза посылали информацию, каждый раз меняя всякие мелочи, или просто небыли уверены в том, что я получил. Без обратной связи люди теряют уверенность.
Так что как ни странно, но лучше всего зарекомендовал себя следующий способ: https форм, который вместо того, чтобы послать зашифрованное сообщение мне, дает его на экран того, кто его заполнил, с инструкцией послать зашифрованное сообщение мне по email. Таким образом уже до меня доходило только то, в чем другая сторона уверена. До сих пор пользуюсь.
Вообще-то я с Ианом Григгом согласен в том, что шифрование электронной почты должно быть по умолчанию, с оппортунистическим обменом ключей, и автоматическим генерированием собственной пары при установке. Только как в этом убедить Microsoft? ;-)
Обычно в таких "user friendly" подходах резко возрастает риск уязвимостей.
Если система сложная, то пользователю придется ее изучить и у него должна быть серьезная для этого мотивация. В случае ошибки можно переложить вину на самого пользователя. Это как управление сложным самолетом. Конструкция правильная, а пилот плохо обучен или не справился.
Если же система простая и рассчитана на массовое коммерческое использование, то изучать как с ней работать бесполезно. Скорее всего в ней будет большое число дыр в реализации, она будет проста для пользователя, но очень неудобна для разработчика.
Для опытного пользователя система, которая делает, что ее не просят (opportunistic conception), тоже плоха, не гибка.
Нашли кого убеждать. Уж они то сделают такое opportunistic encryption, что потом никто не будет знать как от этого избавится.
Это ровно то, что делает PGP Universal и последняя версия PGP Desktop. Конечно, это ещё не часть системы, и пользователь всё равно должен что-то покупать и ставить.
Если нешифрованную почту может читать мой админ, и я начну шифровать, он ведь это заметит, и начнет какие санкции применять, может быть покопается в моей машине в поисках ключа и тп, а именно общий вопрос – раз никто не шифрует, то шифрование вызывает подозрение и доп внимание?
И правильно сделает. Может Вы фирменные секреты конкурентам сливаете? ;) Всё, что Вы делаете на работе, для работодателя должно быть открыто, и это правильно. Для личных целей есть домашний компьютер. И вот уже читать его почту неоправданно с любых точек зрения. И уголовно наказуемо, собственно.
Но суть вопроса ясна. Об этом писали и Циммерман, и Шнайер, и другие. Поэтому и возлагаются надежды на оппортунистическое шифрование. Когда зашифрована только толика почты, любое такое сообщение вызывает подозрение и интерес. Если зашифрована вся, никто к ней не присматривается.
Такое впечатление, что тут обсуждаются нужные только участникам форума вещи. Обычным же пользователям до них далеко-далеко...
Когда кого-то пытаешься посвятить в шифрование электронной почты, встречаешь не то что трудности с освоением, непонимание, а просто сопротивление. Люди считают, что это нужно только специалистам и фанатам OpenPGP, «а мне это не надо, изучать не хочу — я же не могу всё на свете знать».
Признаю, случается такое. За пинки в идеологически верном направлении был бы признателен.
... И узок был круг декабристов и страшно далеки они были от народа.
не панемаю
Начало здесь[link3], продолжение упирается в реальную жизнь...
Вот здесь главное. Если кто-то захочет к Вам обратиться, а не Вы к нему.
Мне же часто приходится обращаться к кому-то, а не кому-то — ко мне. И приходится играть по его правилам — ICQ безо всякого шифрования. :( :( :(
Ну тут и так всё понятно: криптография обычных людей, тем более использующих не Jabber, a только ICQ, никак не интересует.
Самое интересное, что в этом трудно убедить не только людей, использующих инет дома в личных целях, а даже на предприятиях, которые сейчас активно используют электронную почту для пересылки документов, на часть из которых вполне можно ставить гриф "конфидециально". Да что говорить, отдельных и совсем не обьязательно глупых (мозги у человека под другую науку заточены) пользователей с трудом удается научить пользоваться самой обычной, нешифрованной почтой. На мой взгляд на предприятиях как правило (даже не как правило, а практически 100-процентно) недостаточно развиты идеи информационной безопасности.
Не так давно, правда в большей степени в целях разведки, я предпринял попытку провести идею защиты почты на родном предприятии. Администратор сети отреагировал с разумением, однако сказал, что будет совсем не просто убедить в необходимости реализации этой идеи множество ответственных и очень занятых людей. Я поговорил с техническим руководителем и отправил наиболее интересные выдержки статьи Циммермана человеку, отвечающему за делопроизводство. Реакции не последовало, и я понял, что данное направление нужно именно пробивать, что особенно сложно с учетом необходимости убеждения в этом внешних корреспондентов.
Думаю причина такого положения дел в инерционности человеческого мышления, от которого и мы с Вами думаю не избавлены. С детства людей учат прежде всего писать на бумаге, а при написании письма прятать бумажное письмо в конверт, потому что это нужно, удобно, в конечном счете на конверте пишется адрес. А электронное письмо и так "никто не видит", и "железный" конверт потому не нужен, и почтальон в лужу такое письмо не уронит. Написал, нажал на кнопку и все, красота и просто неимоверные удобства!
Я думаю, что осознание необходимости сокрытия почты придет еще не скоро, тогда, когда компьютерная грамота пропитает психологию большинства людей так, как сейчас обычная, бумажная. Однако даже при таком раскладе общая компьютерная грамота не выделяет вопроса информационной безопасности как одного из приоритетных. Возможно для того, что бы помочь данному процессу действительно придется вводить в обиход такие почтовые программы, хотя я сомневаюсь, что это произойдет по крайней мере в ближайшее время, которые просто не будут работать без использования средств криптографии, либо (чего по видимому не будет никогда) пока законодательством не будет установлено обязательное применение средств шифрования в деловом обороте.
В новостях у нас мелькало сообщение про то, что сотрудники американских секретных служб (связанных в т.ч. борьбой с терроризмом и предположительно охраной президента) используют нешифрованную почту, имеют незащищенную учетную запись у обычного провайдера и вся их информация была доступна хакерам.
Это еще неизвестно что хуже. Могу угадать что там узаконят и кому от этих законов будет выгода и госзаказы.
Возможно. Именно поэтому необходимо популялизировать такие системы как OpenPGP, дабы было меньше соблазна стандартизировать нечто недостойное.
Вот черт, не разобрался пока с недавно установленным Outpost. Блокирует куки, надо бы более тонко настроить, хотя на странице было видно, что я вошел под своим именем. :roll:
Не только в компьютерной среде, но и в реальной жизни люди не уделяют должного внимания безопасности. Переходят дороги в неположенных местах, ставят некрепкие замки на квартиры и т.п. К сожалению, или пока петух в мягкое место не клюнет.
Это не безопасность. Это невоспитанность.
Начало здесь[link4], продолжение упирается в реальную жизнь...
Не согласен. Если у Вас повредится PGP Disk, это очень скоро будет заметно. Если украдут номер ICQ (сменив пароль, естественно), то Вы тоже это очень скоро заметите. А если перехватят e-mail, то Вы, возможно, вообще никогда об этом не узнаете.
Обычные пользователи тоже не склонны полагать, что их почта представляет для кого-то какую-либо ценность. И они ни за что её не будут шифровать.
Это же не параноидальная модель получается. Странно от Вас услышать то же самое, что и от пользователя, не шифрующего почту.
Рискну предположить, что Вы не поняли иронии насчет наивных представлений простых пользователей (который Sattva как бы пародирует) и принципа "слабого звена": если протокол сам по себе слабый – бесполезно так уж сильно беспокоиться о дополнительной его защите.
Ладно, поделюсь своей реальной историей.
Как то звонит мне знакомый и просит прийди на шашлычек, меня это предложение немного удивило, т.к. не часто он меня в гости то звал, ну ладно думаю, значить что-то надо.
Прихожу присели, выпили, закусили, о том о сем поговорили, потом не выдержал я говорю – зачем звал.
Ну и вот его расказ вкратце.
Хотел парень имигрировать в другую страну, а денежка у него водилась.
Нанял он адвоката, тот начал вести его дела,
И как обычно адвокат по мере надобности задает вопросы, и вот один из вопросов был а какой суммой вы любезный располагаете. Перечислите...
Ну он и давай ... перечислять ... отправив письмо через smtp.
На слудующий день ему звонит кум, давай типа встретимся, разговор имеется.
Встречает его и матом кроет, ты че говорит совсем плохой стал, ты че делаеш идиот!
Это хорошо что ко мне твое письмо попало, а если бы нет!
Тебе что проблемы нужны!
Кум у него был понятно думаю откуда.
Так вот, поставил я ему по полной, переустановка windows под drivecrypt + почта только через safe-mail и т.п.
Было я скажу вам это уже давно, неколько лет прошло, было кстати не в России, в одной из стран exUSSR, и парень тот уже давно уехал, и даже кума за собой утащил :)
Плохо, что даже не пишет гад, как там, наверно все хорошо :) Хотя мне это особо и не надо.
Представляю какие возможности сейчас!
Прошло то ведь пять лет!
PGP принципиально не пользуюсь – стучит гад на хозяина, первые три буквы контейнера привет передают...
Пользуйтесь TrueCrypt, он не стучит на хозяина...
http://www.pgpru.com/soft/#disks
О стойкости симметричного крипто и социальной инженерии :)
На выходных праздничных днях ко мне приезжали брат с женой и рассказали интересный случай.
У них есть 5-ти летний сынишка – мой племянник, которого им иногда приходится оставлять дома. Для безопасности родителями был придуман пароль на открытие двери.
Однажды мама мальчика торопилась домой и неизвестно по каким причинам забыла пароль. На вопрос сынишки она перебрала все пришедшие в голову варианты сказочных героев, но правильного ответа так и не вспомнила. Несмотря на все уверения через железную дверь, что она его настоящая мама, она лишь услышала его шаги в сторону детской комнаты. В квартиру удалось попасть только после того, как папа сообщил ей действующий пароль. :) :) :)
За этим поколением будущее. Шнайер недавно приводил данные одного исследования пользовательских паролей и там была довольно значительная корреляция между возрастом пользователя и стойкостью его пароля: молодёжь, более просвещённая о специфике ПК и реалиях интернета более склонна выбирать сложные пароли.
А касаемо соц. инженерии можно ещё вспомнить сказку про волка и семеро козлят. ;-)
А я хочу рассказать про будущий случай. Есть у меня подруга, и я знаю, что шифрование ей будет очень кстати, но у неё нет своего компа, и освоить ей тяжеловато это всё будет... Единственное, в чём я её убедил – так это никогда не проверять свой почтовый ящик из дома, пароль на секретный ящик поставить отличный от обычного и т.п. Ибо если кто-нить заподозрит – всадит кейлоггер, и всё раскроется в тот же вечер :(
У неё дома ревнивый муж? ;-)
Не прятать книгу Шнайера под подушкой. Это сразу же вызовет подозрения. Лучше под благовидным предлогом ходить в библиотеку.
На всякий случай извините, если мой юмор был неуместен, может я чего не так понял про Ваш с подругой будущий случай.
Да, что-то в этом определённо есть такое :)
Да я даже сам его не читал!
Хотя доля истины в этом есть. Иногда знакомым объясняешь что, зачем, как, а в ответ: да кому это всё нужно... зачем вообще шифровться так сильно? Ничего же столь секретного нет...
Случай к вопросу шифрования телефонных переговоров.
Когда я, довольно давно правда, заключал договор с вневедоственной охраной нашего города на охрану квартиры, мне рассказали такой случай. В то время при входе в квартиру нужно было отзовнится на пульт охранной сигнализации и назвать присвоенный квартире номер и следом пароль. Так вот в одну из квартир вошли, отзвонились, назвали правильный пароль и унесли очень немало разного добра, включая деньги и золото. Рассказали мне это к тому, что бы я никому не говорил пароль, даже друзьям, а так же не произносил его при посторонних людях. Хозяин тогда ничего добится не смог. Квартиру открыли без взлома, назвали правильный пароль. Охрана соответсвенно не побеспокоилась.
Трудно конечно гадать как в ворам попал этот пароль, возможно подслушали из-за двери, возможно еще как-то, но не исключен случай, что его подслушали просто подключившись к проводам телефонной связи. Очевидно, что охота за паролем велась целенаправленно.
Да, вспоминаются старые добрые времена, когда четырехзначный пароль считался надежным.
Пароль (название города) появился значительно позже, а сначала называли только присвоенный номер. Кстати сигнализация не всегда корректно включалась, и было правило перезванивать на пульт с телефона-автомата (таксофона). Так, что грабители могли просто подслушать код – у телефонной будки. А еще, многие перезванивали от соседей (экономили две копейки) – так, что и сосед мог ограбить!