id: Гость   вход   регистрация
текущее время 06:29 18/04/2024
Автор темы: Мыколка, тема открыта 08/12/2005 23:46 Печать
https://www.pgpru.com/Форум/ПрактическаяБезопасность/ГдеЛучшеЗавестиПочтовыйЯщик
создать
просмотр
ссылки

Где лучше завести почтовый ящик.


Здравствуйте!


Вопрос такой: где лучше завести электронный почтовый ящик?


Уверен, что это довольно важно, ведь надёжный, защищённый ящик – одна из обязательных деталей Вашей целостной системы защиты информации.


Мелочей не бывает. "Мелочи" иногда дорого обходятся.


Если Вы знаете/используете ящик, который отвечает Вашему уровню требований безопасности – пожалуйста, напишите.
Расскажите о преимуществах.


Важен каждый комментарий.


 
На страницу: 1, ... , 11, 12, 13, 14, 15, ... , 40 След.
Комментарии
— Гость (27/06/2013 13:36)   <#>
Верно и обратное: те широкие массы, которые, возможно, и начали бы пользовать шифрованием, не будут этого делать, потому что это слишком сложно.


thund + enigm = очень простой и юзабельный продукт. потребность общая, ситуация, в целом, нетерпимая (все вынуждены переписываться открытками, потому что в конверт заклеить слишком сложно, любой желающий может прочитать и т.д.). пользоваться просто. нет простого пути к тому, чтобы эту простоту обрести.

ширпотреб-продукт с каким-то шифрованием — Skype


такие проблемы решаются просто: используется только open source. pidgin, thunderbird, достаточно популярные вещи

Как бы это прискорбно не звучало, но самый оптимум, по-видимому, наблюдается тогда, когда инструмент, с одной стороны, достаточно прост, чтобы его могли освоить и безопасно настроить достаточно замотивированные пользователи, и, с другой стороны, достаточно сложен, чтобы


Да, если Алиса и Боб — китайские активисты, которые за независимость Тибета в след. году. Нет — если им нужно просто обезопасить переписку, в которой про: их личную жизнь, небольшой свечной заводик и т.д. Например: есть десяток Алис и десяток Бобов. Они в переписке. Задача: что-то изменить, чтобы была хотя бы опция. Сегодня она нерешабельна. И "Бобу" Сноудену, под смертельным риском спалиться, приходиться делать видеоуроки для, представьте, журналиста "Алисы", специализирующейся на privacy, борьбе с гос. монстрами и т.д. Не на что ссылку послать. (Во всех мануалах будто только что — чтобы не смущать — убрали фразу "а теперь скомпилируйте из источника" :).

Это как? Полностью доверить свой PGP-ключ mail-серверу? И зачем? Для этого же SSL-сертификаты и SSL-подписи есть, которые сам mail-сервер проставляет (забыл, как точно этот протокол называется, что-то типа инфраструктуры персональных сертификатов).


Начальный уровень, как для почты вообще — мейл.ру и т.д. Простая опция использования — зашифровать публ. ключом Алисы сообщение и ей отправить. С компа в интернет-кафе.
— unknown (27/06/2013 14:13, исправлен 27/06/2013 14:14)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Автор статей "Мне нечего скрывать" и другие ошибочные толкования приватности и Почему "государственная безопасность" одерживает победу над приватностью, считает, что саморегуляции приватности пользователями бесперспективна и приводит множество аргументов, по которым в массе своей они не будут заинтересованы её осваивать; а если будут, то никогда не освоят, или наделают кучу ошибок, или никогда не смогут адекватно оценивать решения. Поскольку он специалист в области права, а не технологий, то он больше верит в закон и считает, что проблему можно регулировать только законом "сверху". Что-то подобное говорил и Шнайер: большинство людей защищаются от угрозы убийства законом, а не бронежилетом.

— Гость (27/06/2013 15:17, исправлен 27/06/2013 15:20)   <#>
Автор статей...

спасибо за ссылки (и вообще за ваши материалы — очень познавательно). я думаю, что это как проблема линукса в 00-е и сейчас: продукт (убунту, минт) явно лучше win, но не может сделать то, что в начале 00-х сделал mac: ребрендинг, вирусная реклама и проч. не может стать модным. или очень не хочет.


есть куча решений по доступности: встроить в thunderbird (это мозилла стоит за stopwatching.us, кстати) по умолчанию enigmail и какую-н. программу для pgp (как в портабельной версии на portableapps.com), чтобы эта штука была кроссплатформенной, чтобы пользователя отделяли от "готовой вещи" не тридцать шагов, а пять.


сейчас, кстати, очень удобный момент (bbc тут рекомендует не пользоваться гуглом и фейсбуком :)


What can you do to protect yourself?
Several websites have published advice on how to avoid Prism's reach. Suggestions include:
To avoid using any of the named tech companies' products

потребность, короче, есть. но кончится, боюсь, всё тем, что выскочит опять какая-нибудь имитация правильной вещи, типа скайп, зато в красивой обложке. потому что разработчикам правильной вещи было как-то влом эту красивую обложку нарисовать. и приатачить вменяемый мануал.

— unknown (27/06/2013 15:39, исправлен 27/06/2013 15:39)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Будущее за проектами, наподобие freedombox и концепцией "dehierarchicalization". Только нужно максимально свободное железо, помимо софта.

— Гость (27/06/2013 18:18)   <#>
продукт (убунту, минт) явно лучше win, но не может сделать то, что в начале 00-х сделал mac: ребрендинг, вирусная реклама и проч. не может стать модным. или очень не хочет.

«Нужна ли популярность любой ценой для операционных систем с открытым исходным кодом?»
— SATtva (27/06/2013 18:40)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Что-то подобное говорил и Шнайер: большинство людей защищаются от угрозы убийства законом, а не бронежилетом.

Возразить можно следующим образом. Убийство, как и другие преступления "реального мира" (к примеру, кражи), в большинстве случаев оставляют на последнем отчётливые изменения: человек умирает, вещь пропадает. Всё это достаточно легко обнаруживается. С другой стороны, вторжения в частную жизнь, нарушения приватности в цифровом мире в силу объективных причин практически не поддаются обнаружению постфактум,* поэтому единственная действенная мера — попытаться техническими мерами исключить возможность их осуществления.

* По крайней мере, пока spinore не снабдит нас всех квантово-криптографическими каналами связи.
— Гость (27/06/2013 19:19)   <#>
Будущее за проектами, наподобие freedombox и концепцией "dehierarchicalization". Только нужно максимально свободное железо, помимо софта.


спасибо за ссылку, интересно. только здесь возникает та же проблема — невозможность безопасной коммуникации, пока ее средствами не пользуются n% пользователей. можно возразить, что "немножко безопасности" это как "немного беременности". но есть и контраргумент: против самой серьезной атаки — камеры у вас за спиной — эти средства не спасают. следовательно, безопасная коммуникация невозможна в принципе.

и потому, как мне кажется, будущее за разноуровневым подходом. например,

1. алиса не пользуется win и mail.ru, и боб ей за это ставит зачот.
2. алиса начинает пользовать относительно безопасный мейл и pgp, и боб ей за это ставит два зачота.
3. алиса с бобом становятся китайскими активистами и принимают принципиальное решение об освобождении тибета в след. году. в этот момент обособленное наблюдение за ними еще не ведется (целый набор средств) (пачка зачотов и бобу, и алисе)
4. камера за спиной, алиса и боб криптуют цепочки нейронов.

в случае 1 коммуникация боба и алисы защищена от случайной и непрофессиональной атаки. в случае 2 — от атаки с ограниченными возможностями. в случае 3 всё сложнее.

вот мне кажется, что ситуацию 2 вполне реально сделать более или менее общей. не наиболее вероятный вариант, но наиболее вероятно-приемлемый :).

каким образом? например, крупный игрок (mozilla) примет решение о поддержке.
— unknown (27/06/2013 21:16, исправлен 27/06/2013 21:19)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

А это по сути даже не возражение, а переизложение части позиции. Оценка рисков приватности столь контритуитивна обычному человеческому опыту, что потребность разбираться даже в простейших технологиях у человека не возникает или он может элементарно наделать непредусмотренных глупостей даже в них.



Принципиально нет смысла привязываться к политической мотивации, да ещё какой-то конкретной. Пусть гипотетические сторонники геноцида Тибета и/или присоединения Сибири к Китаю тоже пользуются этими же технологиями с другой стороны баррикад. А также те, кто ни к каким Тибетам ни в каких странах отношения не имеет. А просто хочет тайно опубликовать похождения кошки главы АНБ своей соседки, к примеру.

— Гость (27/06/2013 23:36)   <#>
всего-то, поставить один аддон в thunderbird и программу.
Поставить – ДА, а вот настроить.. я б не сказал, что домохозяйке это будет легко сделать. TheBat! просто и то, только со встроенным модулем. А если захотите прикрутить к Бату портабельный gpg/pgp софт, то это уже не считается легкой задачей.

thunderbird + enigmail + pgp
А почему Вы из enigmail выделяете pgp?
— Гость (27/06/2013 23:41)   <#>
не будут этого делать, потому что это слишком сложно. На рынке был всего один ширпотреб-продукт с каким-то шифрованием — Skype
В первом случае нет коробочного решения, где простой пользоваетль одной кнопкой будет включать режим шифрования, а в Скайпе вообще пользователю ничего не надо было делать, все было украдено установлено до нас.
— Гость (28/06/2013 01:13)   <#>

На фоне массовых The Bat и Outlook — вряд ли.


Всем движет минимизация собственных затрат и расходов. Если риски и убыль от утечки информации оцениваются как незначительные, то и инвестировать в ИБ становится невыгодно. ИБ превращается в одну из тысяч деталей, которые «хорошо бы знать, но всего не охватить», и на том конец.


Да, есть такой момент. Чисто визуально защищённая связь от незащищённой ничем не отличается с точки зрения интерфейса. Стандартный аргумент — «раз работает и так, зачем что-то менять?». Противоположная сторона — когда начинают тупо верить всему, что написано в интерфейсе. Раз галочка стоит, или надпись высвечивается, значит, «всё безопасно». Что при этом происходит на самом деле, пользователь даже не задумывается.


По вашей же ссылке
bbc тут рекомендует не пользоваться гуглом и фейсбуком
наткнулся на другую, про межгосударственный рынок эксплоитов. В рамках пропаганды паранои на pgpru, ряд цитат оттуда:

more the government spends on offensive techniques, the greater its interest in making sure that security holes in widely used software remain unrepaired.

A spokesman for the NSA agreed that the proliferation of hacking tools was a major concern but declined to comment on the agency's own role in purchasing them, citing the "sensitivity" of the topic.

The Department of Defense and U.S. intelligence agencies, especially the NSA, are spending so heavily for information on holes in commercial computer systems, and on exploits taking advantage of them, that they are turning the world of security research on its head

Some national-security officials and security executives say the U.S. strategy is perfectly logical: It's better for the U.S. government to be buying up exploits so that they don't fall into the hands of dictators or organized criminals.

But exploits can't be counted on to work once the holes they rely on are disclosed. That means contractors are constantly looking for new ones that can be swapped in to a particular program after the original vulnerability is fixed. Some security firms sell subscriptions for exploits, guaranteeing a certain number per year.

"My job was to have 25 zero-days on a USB stick, ready to go," said a former executive at a defense contractor that bought vulnerabilities from independent hackers and turned them into exploits for government use.

Обновление софта вовремя не поможет:

Zero-day exploits will work even when the targeted software is up to date

Many zero-day exploits appear to have been produced by intelligence agencies. But private companies have also sprung up that hire programmers to do the grunt work of identifying vulnerabilities and then writing exploit code. The starting rate for a zero-day is around $50,000, some buyers said, with the price depending on such factors as how widely installed the targeted software is and how long the zero-day is expected to remain exclusive.

Cerrudo said he regrets selling to a research institution in Europe he won't name that he later realized received a great deal of funding from a national government.

A Paris-based security company called Vupen sells tools based on exploits to intelligence, law-enforcement and military authorities in most of the world.

Until 2010, Vupen often notified software vendors for free when it found vulnerabilities, said chief executive Chaouki Bekrar. That has now changed. "As our research costs became higher and higher, we decided to no longer volunteer for multi-billion-dollar companies," Bekrar said. When software makers wouldn't agree to a compensation system, he said, Vupen chose to sell to governments instead. "Software vendors created this market by not decently paying researchers for their hard work."

In Bekrar's estimation, Vupen is doing good. "Exploits are used as part of lawful intercept missions and homeland security operations as legally authorized by law," he said, "to protect lives and democracies against both cyber and real world threats."

The company is one of the most visible players in the business. Vupen sent a dozen researchers to an elite April conference ... The only larger contingents were one from the conference's organizer, zero-day reseller Immunity Inc, and one from the U.S. government.

ReVuln's founders, Italian researcher Luigi Auriemma and former Research in Motion vulnerability hunter Donato Ferrante, declined to say anything about their customers. In an email interview, they said they sold some exploits exclusively and others more widely. Asked if they would be troubled if some of their programs were used in attacks that caused death or destruction, they said: "We don't sell weapons, we sell information. This question would be worth asking to vendors leaving security holes in their products."

Major players in the field include Raytheon Co, Northrop Grumman Corp and Harris Corp, all of which have acquired smaller companies that specialize in finding new vulnerabilities and writing exploits. Those companies declined to discuss their wares.

Reuters reviewed a product catalogue from one large contractor, which was made available on condition the vendor not be named. Scores of programs were listed. Among them was a means to turn any iPhone into a room-wide eavesdropping device.

Linux тоже не спасёт:

There were tools for getting access to computers or phones, tools for grabbing different categories of data, and tools for smuggling the information out again. There were versions of each for Windows, Apple and Linux machines. Most of the programs cost more than $100,000, and a solid operation would need several components that work together. The vast majority of the programs rely on zero-day exploits.

Что нужно делать при обнаружении ботнета? Правильно, вы угадали: машины надо не лечить, а переподчинить себе и возглавить (почему бы не прирастить собственный ботнет куском ботнета своего врага?):

Some of Endgame's activities came to light in purloined emails published by hackers acting under the banner Anonymous. In what appear to be marketing slides, the company touted zero-day subscriptions as well as lists of exactly which computers overseas belonged to specific criminal "botnets" – networks of compromised machines that can be mobilized for various purposes, including stealing financial passwords and knocking websites offline with traffic attacks.

The point was not to disinfect the botnet's computers or warn the owners. Instead, Endgame's customers in the intelligence agencies wanted to harvest data from those machines directly or maintain the ability to issue new commands to large segments of the networks, three people close to the company told Reuters.

Kleiner partner who sits on Endgame's board, said he couldn't comment on the company's classified business. But he defended the idea of captive botnets.

Вот такой вот 0day-бизнес с кучей фирм, реселлеров и покупателей. Интересно, эксплоиты на произвольный клиент OpenSSH там уже есть? На фоне этого новость про уязвимость в IPSec OpenBSD начинает играть другими красками.

Подумалось насчёт Linux'а: возможно, самая распространённая система из открытых — не лучшая для безопасности, т.к. все тулы и эксплоиты будут затачиваться, в первую очередь, под неё. Нужно что-то среднее между популярностью и проверенностью сообществом(?), BSD какую-нибудь, чтоб не ленились разрабатывать target expoit под конкретную ОС с нуля, раз им так хочется, а то юз автоматизированных эксплоитов совсем их обленит.


Я ещё за то не рассчитался, а вы уже QKD заказываете. :-)
— Гость (28/06/2013 01:42)   <#>
Принципиально нет смысла привязываться к политической мотивации


возвращаясь к топику. топикстартер хотел сказать (ну, он выразил это другими словами :) о способах реализации нашего конст. права на частную переписку. это право не абсолютно, оно ограничивается санкциями суда, обысками и т.д.

есть средства техн. реализации. тоже не абсолютные, но существенно снижающие риски. и есть очень большой gap между потребностью и юзабилити.

это право невозможно реализовать в частном порядке, оно должно быть реализовано с другой стороны коммуникативной цепочки в той же мере. то есть и алиса и боб должны стоять на одном уровне его реализации.

и основная проблема — необходимость этот gap заполнить. или смириться с тем, что мы живем в стеклянном доме и можем выражать мнение только при личной встрече, шепотом и на ухо.

а если уходить в моральную проблематику, то сразу возникает огромное количество нерешабельных философских вопросов (это потенциальная бесконечность :). мое личное мнение, что абстрактные идеалы (всеобщее право на любое публичное анонимное высказывание и т.д.) могут служить только путеводной звездой. а заведомо ограниченные и четко сформулированные цели достижимы.

There were tools for getting access to computers or phones, tools for grabbing different categories of data, and tools for smuggling the information out again. There were versions of each for Windows, Apple and Linux machines.


ловите другую, более оптимистичную цитату:

Question:
Is encrypting my email any good at defeating the NSA survelielance? Id my data protected by standard encryption?
Answer:
Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it.


делов-то, разобраться с endpoint security :). (держать private key на машине в соседней комнате, которая не подключена :)

«Нужна ли популярность любой ценой для операционных систем с открытым исходным кодом?»


дело в том, что мы с ними состоим в переписке, если компрометируется та сторона, то компрометируется вся коммуникация. нам очень выгодно, чтобы все пользовали open source :).

А почему Вы из enigmail выделяете pgp?


enigmail только связывает программу и клиент.
— Гость (28/06/2013 03:10)   <#>
ловите другую, более оптимистичную цитату
Это древний баян недельной давности.
— Гость (28/06/2013 03:58)   <#>
держать private key на машине в соседней комнате, которая не подключена :)

Те, против кого был направлен Stuxnet, тоже так думали. Прямого подключения к сети у атакованных машин, насколько я понял, не было, зловред распространялся через флэшки и т.п. носители.
— unknown (28/06/2013 10:03, исправлен 28/06/2013 10:06)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Если параноить дальше, то в команды разработчиков Open Source могут быть внедрены агенты, как было с подозрением по поводу ФБР и OpenBSD (вроде как неподтвердившимся). Они могут или целенаправленно внедрять уязвимости, замаскированные под случайные ошибки в открытом коде, или пользоваться краткосрочной инсайдерской информацией для того, чтобы передать службам эксплойт, время жизни которого хотя бы несколько часов для осуществления атаки, которая нацелена на жертву в ждущем режиме.


Кроме того, АНБ может использовать TEMPEST и прослушку для кражи приватных ключей разработчиков программ и сборщиков дистрибутивов, чтобы немассово, но хотя бы целенаправленно подсовывать отдельным жертвам протрояненные версии.


Наконец, что будет, если ФБР попросит приватный ключ, которым подписывается программа или дистрибутив под подписку о неразглашении (кляп-ордер), якобы для поимки опасного террориста? А заодно провернуть на этом ещё парочку десятков операций против каких-либо других неугодных в обход официальных дел?

На страницу: 1, ... , 11, 12, 13, 14, 15, ... , 40 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3