Где лучше завести почтовый ящик.
Здравствуйте!
Вопрос такой: где лучше завести электронный почтовый ящик?
Уверен, что это довольно важно, ведь надёжный, защищённый ящик – одна из обязательных деталей Вашей целостной системы защиты информации.
Мелочей не бывает. "Мелочи" иногда дорого обходятся.
Если Вы знаете/используете ящик, который отвечает Вашему уровню требований безопасности – пожалуйста, напишите.
Расскажите о преимуществах.
Важен каждый комментарий.
thund + enigm = очень простой и юзабельный продукт. потребность общая, ситуация, в целом, нетерпимая (все вынуждены переписываться открытками, потому что в конверт заклеить слишком сложно, любой желающий может прочитать и т.д.). пользоваться просто. нет простого пути к тому, чтобы эту простоту обрести.
такие проблемы решаются просто: используется только open source. pidgin, thunderbird, достаточно популярные вещи
Да, если Алиса и Боб — китайские активисты, которые за независимость Тибета в след. году. Нет — если им нужно просто обезопасить переписку, в которой про: их личную жизнь, небольшой свечной заводик и т.д. Например: есть десяток Алис и десяток Бобов. Они в переписке. Задача: что-то изменить, чтобы была хотя бы опция. Сегодня она нерешабельна. И "Бобу" Сноудену, под смертельным риском спалиться, приходиться делать видеоуроки для, представьте, журналиста "Алисы", специализирующейся на privacy, борьбе с гос. монстрами и т.д. Не на что ссылку послать. (Во всех мануалах будто только что — чтобы не смущать — убрали фразу "а теперь скомпилируйте из источника" :).
Начальный уровень, как для почты вообще — мейл.ру и т.д. Простая опция использования — зашифровать публ. ключом Алисы сообщение и ей отправить. С компа в интернет-кафе.
комментариев: 9796 документов: 488 редакций: 5664
Автор статей "Мне нечего скрывать" и другие ошибочные толкования приватности и Почему "государственная безопасность" одерживает победу над приватностью, считает, что саморегуляции приватности пользователями бесперспективна и приводит множество аргументов, по которым в массе своей они не будут заинтересованы её осваивать; а если будут, то никогда не освоят, или наделают кучу ошибок, или никогда не смогут адекватно оценивать решения. Поскольку он специалист в области права, а не технологий, то он больше верит в закон и считает, что проблему можно регулировать только законом "сверху". Что-то подобное говорил и Шнайер: большинство людей защищаются от угрозы убийства законом, а не бронежилетом.
спасибо за ссылки (и вообще за ваши материалы — очень познавательно). я думаю, что это как проблема линукса в 00-е и сейчас: продукт (убунту, минт) явно лучше win, но не может сделать то, что в начале 00-х сделал mac: ребрендинг, вирусная реклама и проч. не может стать модным. или очень не хочет.
есть куча решений по доступности: встроить в thunderbird (это мозилла стоит за stopwatching.us, кстати) по умолчанию enigmail и какую-н. программу для pgp (как в портабельной версии на portableapps.com), чтобы эта штука была кроссплатформенной, чтобы пользователя отделяли от "готовой вещи" не тридцать шагов, а пять.
сейчас, кстати, очень удобный момент (bbc тут рекомендует не пользоваться гуглом и фейсбуком :)
потребность, короче, есть. но кончится, боюсь, всё тем, что выскочит опять какая-нибудь имитация правильной вещи, типа скайп, зато в красивой обложке. потому что разработчикам правильной вещи было как-то влом эту красивую обложку нарисовать. и приатачить вменяемый мануал.
комментариев: 9796 документов: 488 редакций: 5664
Будущее за проектами, наподобие freedombox и концепцией "dehierarchicalization". Только нужно максимально свободное железо, помимо софта.
«Нужна ли популярность любой ценой для операционных систем с открытым исходным кодом?»
комментариев: 11558 документов: 1036 редакций: 4118
Возразить можно следующим образом. Убийство, как и другие преступления "реального мира" (к примеру, кражи), в большинстве случаев оставляют на последнем отчётливые изменения: человек умирает, вещь пропадает. Всё это достаточно легко обнаруживается. С другой стороны, вторжения в частную жизнь, нарушения приватности в цифровом мире в силу объективных причин практически не поддаются обнаружению постфактум,* поэтому единственная действенная мера — попытаться техническими мерами исключить возможность их осуществления.
* По крайней мере, пока spinore не снабдит нас всех квантово-криптографическими каналами связи.
спасибо за ссылку, интересно. только здесь возникает та же проблема — невозможность безопасной коммуникации, пока ее средствами не пользуются n% пользователей. можно возразить, что "немножко безопасности" это как "немного беременности". но есть и контраргумент: против самой серьезной атаки — камеры у вас за спиной — эти средства не спасают. следовательно, безопасная коммуникация невозможна в принципе.
и потому, как мне кажется, будущее за разноуровневым подходом. например,
1. алиса не пользуется win и mail.ru, и боб ей за это ставит зачот.
2. алиса начинает пользовать относительно безопасный мейл и pgp, и боб ей за это ставит два зачота.
3. алиса с бобом становятся китайскими активистами и принимают принципиальное решение об освобождении тибета в след. году. в этот момент обособленное наблюдение за ними еще не ведется (целый набор средств) (пачка зачотов и бобу, и алисе)
4. камера за спиной, алиса и боб криптуют цепочки нейронов.
в случае 1 коммуникация боба и алисы защищена от случайной и непрофессиональной атаки. в случае 2 — от атаки с ограниченными возможностями. в случае 3 всё сложнее.
вот мне кажется, что ситуацию 2 вполне реально сделать более или менее общей. не наиболее вероятный вариант, но наиболее вероятно-приемлемый :).
каким образом? например, крупный игрок (mozilla) примет решение о поддержке.
комментариев: 9796 документов: 488 редакций: 5664
А это по сути даже не возражение, а переизложение части позиции. Оценка рисков приватности столь контритуитивна обычному человеческому опыту, что потребность разбираться даже в простейших технологиях у человека не возникает или он может элементарно наделать непредусмотренных глупостей даже в них.
Принципиально нет смысла привязываться к политической мотивации, да ещё какой-то конкретной. Пусть гипотетические сторонники геноцида Тибета и/или присоединения Сибири к Китаю тоже пользуются этими же технологиями с другой стороны баррикад. А также те, кто ни к каким Тибетам ни в каких странах отношения не имеет. А просто хочет тайно опубликовать похождения кошки
главы АНБсвоей соседки, к примеру.А почему Вы из enigmail выделяете pgp?
украденоустановлено до нас.На фоне массовых The Bat и Outlook — вряд ли.
Всем движет минимизация собственных затрат и расходов. Если риски и убыль от утечки информации оцениваются как незначительные, то и инвестировать в ИБ становится невыгодно. ИБ превращается в одну из тысяч деталей, которые «хорошо бы знать, но всего не охватить», и на том конец.
Да, есть такой момент. Чисто визуально защищённая связь от незащищённой ничем не отличается с точки зрения интерфейса. Стандартный аргумент — «раз работает и так, зачем что-то менять?». Противоположная сторона — когда начинают тупо верить всему, что написано в интерфейсе. Раз галочка стоит, или надпись высвечивается, значит, «всё безопасно». Что при этом происходит на самом деле, пользователь даже не задумывается.
По вашей же ссылке наткнулся на другую, про межгосударственный рынок эксплоитов. В рамках пропаганды паранои на pgpru, ряд цитат оттуда:
Обновление софта вовремя не поможет:
Linux тоже не спасёт:
Что нужно делать при обнаружении ботнета? Правильно, вы угадали: машины надо не лечить, а переподчинить себе и возглавить (почему бы не прирастить собственный ботнет куском ботнета своего врага?):
Вот такой вот 0day-бизнес с кучей фирм, реселлеров и покупателей. Интересно, эксплоиты на произвольный клиент OpenSSH там уже есть? На фоне этого новость про уязвимость в IPSec OpenBSD начинает играть другими красками.
Подумалось насчёт Linux'а: возможно, самая распространённая система из открытых — не лучшая для безопасности, т.к. все тулы и эксплоиты будут затачиваться, в первую очередь, под неё. Нужно что-то среднее между популярностью и проверенностью сообществом(?), BSD какую-нибудь, чтоб не ленились разрабатывать target expoit под конкретную ОС с нуля, раз им так хочется, а то юз автоматизированных эксплоитов совсем их обленит.
Я ещё за то не рассчитался, а вы уже QKD заказываете. :-)
возвращаясь к топику. топикстартер хотел сказать (ну, он выразил это другими словами :) о способах реализации нашего конст. права на частную переписку. это право не абсолютно, оно ограничивается санкциями суда, обысками и т.д.
есть средства техн. реализации. тоже не абсолютные, но существенно снижающие риски. и есть очень большой gap между потребностью и юзабилити.
это право невозможно реализовать в частном порядке, оно должно быть реализовано с другой стороны коммуникативной цепочки в той же мере. то есть и алиса и боб должны стоять на одном уровне его реализации.
и основная проблема — необходимость этот gap заполнить. или смириться с тем, что мы живем в стеклянном доме и можем выражать мнение только при личной встрече, шепотом и на ухо.
а если уходить в моральную проблематику, то сразу возникает огромное количество нерешабельных философских вопросов (это потенциальная бесконечность :). мое личное мнение, что абстрактные идеалы (всеобщее право на любое публичное анонимное высказывание и т.д.) могут служить только путеводной звездой. а заведомо ограниченные и четко сформулированные цели достижимы.
ловите другую, более оптимистичную цитату:
делов-то, разобраться с endpoint security :). (держать private key на машине в соседней комнате, которая не подключена :)
дело в том, что мы с ними состоим в переписке, если компрометируется та сторона, то компрометируется вся коммуникация. нам очень выгодно, чтобы все пользовали open source :).
enigmail только связывает программу и клиент.
Те, против кого был направлен Stuxnet, тоже так думали. Прямого подключения к сети у атакованных машин, насколько я понял, не было, зловред распространялся через флэшки и т.п. носители.
комментариев: 9796 документов: 488 редакций: 5664
Если параноить дальше, то в команды разработчиков Open Source могут быть внедрены агенты, как было с подозрением по поводу ФБР и OpenBSD (вроде как неподтвердившимся). Они могут или целенаправленно внедрять уязвимости, замаскированные под случайные ошибки в открытом коде, или пользоваться краткосрочной инсайдерской информацией для того, чтобы передать службам эксплойт, время жизни которого хотя бы несколько часов для осуществления атаки, которая нацелена на жертву в ждущем режиме.
Кроме того, АНБ может использовать TEMPEST и прослушку для кражи приватных ключей разработчиков программ и сборщиков дистрибутивов, чтобы немассово, но хотя бы целенаправленно подсовывать отдельным жертвам протрояненные версии.
Наконец, что будет, если ФБР попросит приватный ключ, которым подписывается программа или дистрибутив под подписку о неразглашении (кляп-ордер), якобы для поимки опасного террориста? А заодно провернуть на этом ещё парочку десятков операций против каких-либо других неугодных в обход официальных дел?