Некоторые провайдеры начали предоставлять Услугу: «Бесплатный антивирус DrWeb» – основанную на новом продукте от Игоря Данилова Dr.Web AV-Desk.
Как вы думаете, может ли этот продукт содержать модули слежения за пользователями, собирать личные данные, или предоставлять удаленное управление компьютером? И если да, то представляете сколько людей добровольно (погнавшись за халявой) установили себе на комп трояна, которого, не найдут ни сторонние антивирусы, ни отрежет фаэрбол.
Как говорится: «Бойся Данайцев, дары приносящих».
[link2] http://getfiregpg.org/
[link3] http://bugs.getfiregpg.org/
[link4] https://www.pgpru.com/biblioteka/statji/ktoboitsjamellorivuljfa
[link5] https://www.pgpru.com/biblioteka/slovarj/atakachelovekposeredine
[link6] http://www.computerra.ru/think/kafedra/360853/
Как вы думаете, может ли этот продукт содержать модули слежения за пользователями, собирать личные данные, или предоставлять удаленное управление компьютером? И если да, то представляете сколько людей добровольно (погнавшись за халявой) установили себе на комп трояна, которого, не найдут ни сторонние антивирусы, ни отрежет фаэрбол.
Как говорится: «Бойся Данайцев, дары приносящих».
Ссылки
[link1] https://www.pgpru.com/novosti/2006/1227pitergutmanrezkoraskritikovaldrmvista
[link2] http://getfiregpg.org/
[link3] http://bugs.getfiregpg.org/
[link4] https://www.pgpru.com/biblioteka/statji/ktoboitsjamellorivuljfa
[link5] https://www.pgpru.com/biblioteka/slovarj/atakachelovekposeredine
[link6] http://www.computerra.ru/think/kafedra/360853/
Это может делать любой проприетарный продукт, и в первую очередь Windows.
Лучше представьте сколько людей за свои же деньги установили себе на комп трояна от Microsoft напичканого всякими DRM и шпионскими модулями.
Вряд ли компания «Доктор Веб» будет так рисковать своей репутацией, пока есть люди, умеющие пользоваться сниффером и дизассемблером.
Да, проги от старинны Билли, вызывают много сомнений, но они проверенны в течение семи лет (я, имею в виду XP). И люди, не торопятся устанавливать Висту. К тому же, меня больше волнует утечка информации в отечественные спецслужбы, нежели басурманские.
Вы уверенны? Этот вариант антивируса постоянно лезет в сеть, проявляет подозрительную активность, в отличие от обычного DrWeb 4.33, который только обновляет базы. Да и судя по описанию сервиса «Dr. Web AV-Desk», он подразумевает удаленный контроль. Более того, компания «Доктор Веб» выиграла недавно, тендер по защите серверов госучреждений – подозрительно!
Любая программа, исполняемая на Вашем компьютере, может делать всё, что ей угодно. Выполняет ли данная конкретная программа какие-то неблагонадёжные операции, я не знаю и скорее всего никто на этом форуме.
Об аппаратных брандмауэрах слышали? А если программа доставляет Вам столько беспокойств, удалите её (в идеале после этого ещё переустановить ОС), есть помимо неё куча коммерческих антивирусов и даже пара бесплатных. Что ещё Вы хотите у нас узнать?
Я, собственно, ничего у вас узнавать то и не хотел. Я, просто поделился своими соображениями по поводу возможной тотальной слежки за неосведомленными юзерами. А в ответ услышал очередные выпады в адрес Майкрософт. Да намеки на то, что я «типа» полный ламер во всех областях IT. Создается впечатление, что здесь собрались одни теоретики криптографии, а все остальное вам до лампочки.
Я лично, не пользуюсь подобными (онлаин) программами, да и вам не советую.
Кстати появилась и вторая ласточка из разряда «бесплатный антивирус» – «Антивирус Касперского для Я онлаин» совместно с Yandex.ru. В последнее время, появилось чересчур много онлаин сервисов, что явно определяет тенденцию на переход прикладного софта в сеть. Хотите отредактировать договорник – пожалуйста, вот вам онлаин Офис; хотите подретушировать фотку (где вы с однополчанами на фоне секретного объекта) – милости просим в онлаин Фотошоп; хотите просканировать все диски, на наличие вирусов – панацея от заразы онлаин Антивирус. Люди, будут сами разбазаривать свои конфиденциальные данные и никто им, не поможет: ни Брюс Шнайер; ни Фил Циммерман; ни вы, многоуважаемый SATtva.
Тут я с Вами согласен. Единственное, что способно отчасти изменить ситуацию — просветительская работа. Некоторые просто не осознают рисков, связанных со "службами-по-требованию"; остальным просто до фени и их большинство (и этот "пациент" скорее мёртв, чем жив, ему точно ничем не поможешь).
Жаль, что у Вас сложилось именно такое впечатление. Просто я подумал, что Вы спрашиваете для себя, а не поднимаете проблему как таковую.
А Microsoft – стратегический партнёр РосАтома!
По моему она[link1] их заслуживает в гораздо большей степени, чем наши компании, поскольку ещё и монополист де факто.
Имхо, пока можно уехать в другую страну, но нельзя улететь на другую планету, глобального правительства стоит опасаться больше, чем местного.
Грустно... :( Нехорошая тенденция, однозначно – типа перешлите нам свои файлы, а мы посмотрим и решим есть среди них зараженные.
Гость, если у вас есть предложение что можно сделать напишите в тему
https://www.pgpru.com/forum/offtopik/chtodelatjs
SATtva, согласен с Вами, это самое плохое – пока человек сам не захочет сделать свою жизнь лучше, никаких изменений в позитивном направлении не будет – только в "обратную" сторону.
в продолжении
Пока вы живете в конкретной стране, опасаться стоит именно месного, не важно кто за ним стоит.
Вот когда все местные правительства окончательно утратят самовластие, бежать будет некуда! Сосредотачиваясь на борьбе за независимость именно от своего правительства, вы приближаете это время.
И чем же ухудшает свою жизнь пользователь он-лайн сервисов, если не считать непонятной для него приваси (которую к слову сказать в лицензионном соглашении эти сервисы немного да обещают, кроме стандартных случаев силы закона и т.д.). Почитайте доводы этих жителей стеклянного дома, почти каждый как мантру произносит следующее: мои документы, частное фото властям не нужны, подумаешь по службе глянут как я хорошо провел время, только террористы/преступники/мыслеотступники могут что-то скрывать (от государства).
А ведь так и есть, ну кому они нужны. Только вот однажды проснутся (если) и они, но будет поздно. Кстати весь форум пронизан предчуствием и неотвратимостью приближения Большого Брата. Так что др.зло или еще какая компания это капля воды в море утопляющего завтра.
Верно, не надо с ним бороться. Надо беречь свою свободу и своё будущее. Вот только если собственное государство отнимает это, тогда есть только два пути или бороться чтобы его исправить, или идти в стадо к жителям стеклянных домов.
Если это "собственное", то можно уехать, а утечка активных "мозгов" не в государственных интересах, поэтому не здесь угроза. А если это будет делать глобальное государство, то таки да. Так что переходите из космополитов в альтерглобалисты! ;)
Весь вопрос в том – кто, как и где будет проводить эту работу. Возьмем, к примеру, школьную программу информатики. На деле это какой то бред с переводом чисел из двоичного кода в десятичный да экскурс в древние языки программирования. А по поводу безопасности, рассказывают исключительно о том какую страшную заразу можно подцепить на порносайтах и варезниках. При этом весь лицензионный (коммерческий) софт преподносится как безопасный де-факто. Интересно, сейчас школьникам рассказывают про Linux, а так же о криптографии и системах PGP? Наверное, нет.
И что прикажете делать? Обежать все школы, техникумы, университеты и на каждом столбе повесить объявление с призывом не пользоваться онлаин-сервисами, продуктами от Майкрософт и соблюдать бдительность.
PS Товарищи ;-), похоже вы опять ушли в полный офтопик. Здесь надо обсуждать анлаин-сервисы и что сними делать, а не борьбу с тоталитарными режимами. Для этого есть форум «Что делать».
Кто: всё, кто считает нужным, кто сколь-нибудь понимает в вопросе, т.е. все постоянные посетители сайта.
Как: объясняя и наставляя на путь истинный.
Где: везде и всегда при любом удобном случае.
В этом году Linux внедряется в школах трёх пилотных регионов (в том числе и в моей Томской области). В следующем году на Linux будут переведены все школы, а к 2010 — все гос. учреждения. Но я не считаю, что школьникам надо знать о криптографии, PGP и прочем: их и без того мало в школе грузят? Те, кому интересно, и сами разберутся в теме.
ИМХО А мне кажется, что именно со школьной скамьи необходимо учить людей: Безопасности в сети, Защите информации, Юриспруденции, Самообороне. Замес-то некоторых ненужных предметов: Пение и Рисование (рисовать и петь на них все равно, не учат), Физ-ра (заменить, на уроки рукопашного боя) – можно и еще выкроить учебное время.
Может и стрельбе из автоматическое оружия? Строевой подготовке?
Ну, это уже лишнее, хотя…
Не будут в наших школах учить ничему из вышеперечисленного!
Задача "образовательной системы" воспитать посредственных людей, которые будут решать стандартные задачи стандартными способами!
Там вас никогда не научат ДУМАТЬ, решать задачи нестандартными методами и находить решения нестандартных задачь. Зачем системе думающие люди?! Не нужны они ей!
Второе. Пусть перечень предметов плох, но что еще хуже, со школа закладывается ложная система оценки! Типа выучил – молодец-5, невыучил – садись-2. ИМХО такой подход отбивает у человека стремление "как сделать что-то правильно", вместо этого подсовывает "как сделать что-то чтобы тебе поставили 5". Мало кто на это обращает внимания, но у человека не формируется самооценка, а вместо этого учат жить по оценко со стороны. Spinore, извини, но религию я отношу тоже к ложным учениям (не путать с верой).
В массовых не будут, и не тотько у нас. А будут в элитных.
Золотые слова.
Рассказать об идее криптографии – максимум один урок. А вот техническую сторону дела реально можно оставить за кадром. Следует понимать, что чем больше пользователей PGP в мире, тем больший урон глобальному контролю.
.
А уметь постоять за себя кому-то мешало? Я бы не отказался, если б в своё время меня этому в школе учили. И параллели ради вспомните, что криптография – это тоже оружие, как и анонимные сети.
Согласен с вами на все 100%, очень хорошо сказали. Только по поводу религии не соглашусь :)
SATtva, вот лично Вам бы... айкидо в школе помешало? :)
ps: мне – нет.
Основы криптографии как науки можно преподавать на факультативных уроках математики. К информатике это никакого отношения не имеет. Равно как и системное администрирование (читай: компьютерная безопасность). Ну не обязан нормальный человек знать все эти вещи. Знать их должны ненормальные специалисты по ИБ вроде нас с вами.
Ну да, классе так в 6ом, в качестве примера того, зачем нужна теория чисел – её как раз в это время проходят.
Да, но раз матиматикам не до того, заботу на себя могли бы взять и информатики. Чем хорошо рассказать об этом на информатике – есть возможноть дать пощупать-потрогать, показать как это работает, продемонстрировать полезность.
Так и не надо. Нормальный человек должен лишь усвоить следующее: за всеми следят, но этого можно при желании защититься криптографией. Ключевые слова по теме: асимметричное/симметричное шифрование, AES, PGP (как-то так). Аналогично и про компы: нормальный человек должен осознавать, что выполнение программ с закрытым кодом есть полное доверие всей информации произодителям ПО. Однако, и это этого есть противоядие: Linux и открытое программное обеспечение. Ничего кроме только что сказанного нормальному человеку для жизни не требуется, далее те, кому надо – сами раскопают. Учитель же может продемонстрировать какой-нить эксперимент, типа машина выходит за натом через сервер, и показывается, как крипто влияет на перехватываемую на сервере информацию. На всё про всё – максимум минут 20.
Паразитное следствие стандартного школьного подхода в том, что дают слишком много частностей, слишком много деревьев, а лес сам не показывают. Но нет никакого смысла в частностях – их можно найти и в книгах, сам же лес в книгах пока что редко где описывается. Грубо говоря, требуетя лишь "дать идею" – всё.
Гость (28/06/2008 22:25), не вижу ничего дурного в том, что Вы говорите. Если форум читают настоящие школьные учителя или у читателей есть знакомые учителя, хотелось бы узнать их мнение по обсуждаемому вопросу.
"Математику уже затем учить нужно, что она ум в порядок приводит!"
М. В. Ломоносов
Лично у меня – уже нет.
После предложения учить криптографии в школе? ;-)
У меня есть старинный приятель, часто с ним переписываемся. Предложил ему пользоваться PGP. Он меня послал и посоветовал обратиться к психологу, мол у меня мания преследования. А еще предупредил, что он лучше перестанет со мной общаться, чем станет разбираться в мудреном и некому, не нужном ПО. Вот так то!
Хорошо ещё не пригрозил донести на вас в соответствующие органы. :)
Пока не будет решения "для блондинок" – зашёл по ссылке, сказал "Установить", и всё – вряд ли шифрованная переписка получит широкое распространение.
Можно было бы доделать FireGPG[link2] до совершенно прозрачного состояния, чтобы после установки ключи сам сгенерировал и отослал на сервер ключей, скачал оттуда что можно из адресной книги, и прозрачно шифровал/дешифровал почтовые web-страницы. Вот тогда может быть...
Wait for the next version, there will be an api and a inline detector
http://firegpg.tuxfamily.org/forum/viewtopic.php?id=311
decrpyt-in-place is a good idee, we will do it...
http://firegpg.tuxfamily.org/forum/viewtopic.php?id=112
– it would be nice to have a key manager to add, remove, search in public servers, and such actions with keys.
– Allready planed
http://firegpg.tuxfamily.org/forum/viewtopic.php?id=43
ЗЫ
Это не совсем оффтоп, потому как некоторый ответ на вопрос, что можно делать с онлайновыми сервисами. ;)
Думается мне что криптография это не то, что может быть приведено к пригодному для употребления "блондинками" виду. В любом случае от пользователя требуются осознание того, что именно он делает и зачем, что можно делать и что нельзя. Не бывает one-click криптографии, точнее бывает, но защита у неё соответствующая. Техническая сторона может быть сколь угодно грамотная, но остаётся "всемогущий" пользователь, который может и пароль на бумажке записать, и "настроить" по чьему-нибудь "доброму" совету всё наперекосяк.
И это правильно. В первую очередь нужно понимание и желание разобраться, а потом уже использовать крипто. Иначе получится только false sense of security, до первой атаки.
Вот и надо его исключить, сделав полностью прозрачную и самонастраивающуюся систему, чтобы ни о каких ключах пользователь и не думал. Типа как в SSL. Уменьшение надёжности скомпенсируется широтой распространения. И в первую очередь нужно это не "блондинкам", а тем, кто с ними общается (и не может уговорить).
зы
Предложения по улучшению плагина FireGPG можно слать сюда[link3].
А ещё лучше несколько уровней "экспертности", крайний из которых – полная прозрачность.
А может и не лучше.
Какой замечательный пример. Вы знаете что бывает с теми пользователями которые "ни о каких ключах и не думают" используя SSL?
https://www.pgpru.com/bibliote.....boitsjamellorivuljfa[link4]
https://www.pgpru.com/bibliote.....kachelovekposeredine[link5]
"Блондинка" не должна думать о ключах, иначе её не уговорить. О ключах пусть думает её партнёр.
И ещё помните, чем меньше группа, тем больше у некоторых искушение её "прихлопнуть" разом – чем меньше людей пользуются зашифрованной перепиской, тем легче её запретить.
или, для начала, поставить на особый учёт.
А от "человека в середине" при установлении новых контактов вообще трудно спастись. Матрица вот верифицируема? Или можно ли опровергнуть солипсизм?
Какие хорошие ссылки :))
Вся проблема в том, что большинство простых юзеров не понимают, зачем им предлагают пользоваться криптографическими продуктами. Так же им не понятно, что плохого в таком «красивом» и «удобном» Windows и почему нужно переходить на какой-то для них неизвестный Linux. Чем плохи, онлаин-сервисы. Для чего нужно шифровать жесткий диск, если есть «парольчик» в Виндосе, зачем шифровать почтовую переписку, если у них и так есть пароль от почтового ящика и тд. А все попытки объяснить, что «парольчики» обычная видимость защиты обрывают фразами о том, что им нечего скрывать и что они не «Штирлицы» чтобы «шифроваться» А онлаин-сервисами пользуются все их знакомые и еще никто не жаловался. Кстати для многих людей криптография и шифрование это «Пляшущие человечки» из рассказов Артура Конан Дойла, да фраза из фильма «Семнадцать мгновений весны» про славянский шкаф.
Ведь были в советское время плакаты: Товарищ, береги оружие; Болтун – находка для шпиона и тп. Может, скинемся и выпустим тираж агитационных листовок. А еще можно рассылать спам с призывами пользоваться «криптографией» и Linux.
Не надо придумывать заговор, надо смотреть на выгоду. Бесплатный антивирус выгоден провайдерам снижением количества зомби-компьютеров в их сети. Плюс некоторое маркетинговое преимущество. Все.
Да плевать им на зомби-компы, это проблемы абонента (так написано в любом типовом договоре). И почему они не повышают цены (во всех тарифных сетках) на предоставляемые услуги? Или Доктор Вэб предоставляет свои услуги бесплатно? Это что щедрость такая? Обычная лицензия 1ПК\1 месяц 140.00 руб. Было бы понятно если бы они предоставляли DEMO-ключ, ну скажем, на три месяца и если абоненту понравится, то предоставляли скидку в 50% на покупку обновления. А то бесплатно, на халяву и не обычный DrWeb, а какой-то «мутный».
А что вы скажете насчет остальных онлаин-сервисов – тоже маркетинговое преимущество.
Нет, просто перестал пересекаться с народом :-D
pgpru – единственный сайт, на котором общаюсь ежедневно :)
Стандартные фразы. Но после какого-то времени такие люди всё же осознают, если с ними поработать :) Я так одного доканал, что вновь присылаемую от меня ссылку ему он не открывает, а начинает спрашивать у меня "чё там". Когда говорю "а что, трудно новость прочитать?" говорит "сильно не хочется портить себе настроение плохими новостями". В общем, страусинный подход это тоже не дело :)
Это болезнь англоязычных наций. Английский язык непоправимо ломает моск.
Пожалуй, не соглашусь. Дефолты должны быть такими, чтобы 99% юзеров были в безопасности. Даже если по себе судить – пользую систему портов, но никогда не задумывался на основе чего происходит верификация. Потом как-то поднял шум, начал разбираться, как сверяются подписи, где хранится ключ и т.д. и т.п. В итоге оказалось что софт не подписывается, но скачивается по ssh с доверенного хоста, фингерпринт которого поставляется вместе с системой и хранится в /etc/ssh/. К счастью система сработала бы даже если я это и не знал. Но всё равно надо стремиться к автоматизации – чем больше ручныхнастроек тем выше риск что-то забыть и не настроить должным образом. Вот когда secure by defalult – другой разговор. Юзайте OpenBSD и будем вам счастие :)
На форуме пробегала ссылка на модуль для jabberd делающий MITM по otr :) Софт, осуществляющий MITM для ssh существует в природе. Если же подходить как выше процитировано, то можно распространить вплоть до "вероятность того, что отсутствие шифрование переписки принесёт проблемы исключительно мала". Однако, если это не так дорого сделать чтобы обезопаситься, то почему бы и нет ...
К счастью, по своему опыту судя, должен отметить, что желающих иметь волшебную кнопку "стать защищёным" и "зашифровать" великое множество, но многие не начинают с этим разбираться до тех пор, пока не прийдёт конкретная необходимость этого ...
Я писал в начале этого обсуждения: есть люди, которых Вы не заинтересуете никогда. Ну и оставьте их в покое. Помните, что Морфиус говорил? Некоторые настолько погрязли в Матрице, что будут драться за неё. ;-) Однако, всё это не повод опускать руки.
Григг — финансовый криптограф, его дело отрабатывать инвестиции в ИБ-инфраструктуру. Он прав — не было успешных атак на криптографическую компоненту SSL, что, однако, не мешает фишерам благополучно его обходить, подделывать значки о "зашифрованном соединении" в хроме браузеров (через уязвимости в них), делать копии защищённых сайтов на левых доменах, получая SSL-сертификаты от обычных УЦ. Это всё атаки на инфраструктуру SSL. Вот и думайте, есть ли прок от такой "прозрачной" криптографии для госпожи Клавы Мышкиной, не осознающей рисков, щёлкающей по присланным ссылкам и остающейся с обчищенным счётом.
Криптография может быть прозрачной для пользователя только если всю непрозрачную часть выполняет за него системный администратор/интегратор. В противном случае криптография становится прозрачной для злоумышленника.
Не надо этого делать.
Итак, в провайдерской сетке есть энное количество зомбированных машин, рассылающих спам. RBL-списки банят сеть данного провайдера, в следствие чего почта обычных пользователей оказывается недоставленной. Пров встаёт перед дилеммой: отключить пользователей с зомбированными машинами от сети, теряя и долю выручки от них, ИЛИ предоставить за собственный счёт инструмент проверки и устранения заражений. По-моему, пров имеет кровную заинтересованность в подобном сервисе. И, между прочим, именно провайдеры, как никто другой, могут справиться с проблемой заражённых машин. Как-то, вот, и Шнайер последние 2-3 года о том же упорно толкует.
В пику:
А вот как это было[link6] веке так в XIX...
Тот же Шнайер когда-то предлагал такой юмористический способ: придумайте (обязательно сами) хорошую шутку и отправьте зашифрованным письмом (только зашифруйте так, чтобы никто кроме вас не мог расшифровать). Если в один прекрасный день вы эту шутку услышите от кого-то ещё, стало быть, почту каким-то образом прочитали, и шутка зажила собственной жизнью.
А теперь угадайте с трех раз почему не было. Правильно – потому что SSL предполагает защиту от MITM атак по умолчанию. Не будет защиты – будут и атаки. Поэтому ваш "финансовый криптограф" несет чушь и делает далеко идущие выводы на неправильных предпосылках.
Оцените стоимость MITM-атаки для аутсайдера (в смысле, не для интернет-провайдера) даже для простого HTTP-трафика (в силу исторических причин, для проводного соединения). А затем сравните полученный результат со стоимостью отмеченных мной атак на инфраструктуру SSL. Надеюсь, тогда станет понятно, почему SSL не соответствует заявленной модели угрозы: потому что не будь даже в нём изначально предусмотрены средства защиты от MITM, взломщик никогда бы не стал проводить MITM-атаку вследствие наличия более дешёвых альтернатив.
Ещё проблема в том, что консультантам по ИБ хочется кушать. :)
Хочется, не спорю, только это мои доводы не опровергает. ;-)
Для "пики" был бы нужен другой вопрос: "Опасаетесь ли, что у вас произойдёт утечка ..."