id: Гость   вход   регистрация
текущее время 09:32 22/07/2019
Автор темы: Мыколка, тема открыта 08/12/2005 23:46 Печать
https://www.pgpru.com/Форум/ПрактическаяБезопасность/ГдеЛучшеЗавестиПочтовыйЯщик
создать
просмотр
ссылки

Где лучше завести почтовый ящик.


Здравствуйте!


Вопрос такой: где лучше завести электронный почтовый ящик?


Уверен, что это довольно важно, ведь надёжный, защищённый ящик – одна из обязательных деталей Вашей целостной системы защиты информации.


Мелочей не бывает. "Мелочи" иногда дорого обходятся.


Если Вы знаете/используете ящик, который отвечает Вашему уровню требований безопасности – пожалуйста, напишите.
Расскажите о преимуществах.


Важен каждый комментарий.


 
На страницу: 1, ... , 16, 17, 18, 19, 20, ... , 40 След.
Комментарии
— Гость (23/08/2013 11:30)   <#>
Кто поставит оценку?

This website uses Javascript to protect E-mail addresses. If you read this text, you have javascript disabled.


Без JS не пашет.
— Гость (23/08/2013 11:52)   <#>
Хинт: фингерпринтинг шифрованного трафика. Можно фингерпринтить любой трафик, чем DPI и занимается. Разные клиенты будут иметь чуть разные профили, и этого может оказаться достаточным. Есть даже определение типа ОС по пакетам, на основе чего может приниматься решение о блокировании или пропускании трафика (это есть даже как опция в pf и iptables).

Если правильно понял, по фингерпринту шифрованного трафика на входе в Тор можно определить тип ПО и потом сравнить с тем что на выходе из него. Тогда для того чтобы найти анонима, нужна база данных по всем пользователям Тора, для каждого из которых создаётся фингерпринт. Иначе такая атака может быть только точечной, когда уже заранее известен круг подозреваемых.

Разве в squid нет поддержки parent proxy? Почему нельзя его задействовать?


Родительский прокси получит уже зашифрованный трафик от сквида. Расшифровка соединения с клиентом и последующая зашифровка соединения с веб-сервером осуществляются в одном месте. Если бы они были разнесены и между ними можно было вставить другой прокси-сервер (с продвинутой фильтрацией, ориентированной на анонимность, типа privoxy), тогда это было бы решением. А так непонятно как соединить возможности анонимизирующей фильтрации privoxy со способностью сквида делать шифрованный митм.
— Гость (24/08/2013 07:08)   <#>
кстати, не все наверное знают про арабов и израильтян. (это к теме про safe-mail и египетский почтовик.)

помимо вел. кит. фаервола есть еще вел. арабский. он не несет никакой функциональной нагрузки — так-с, пакость мелкая. блокирует почтовый трафик если из арабской страны в израиль, и если из израиля к арабам. ну, понятно, что легко обойти, зато сделали хоть ЧТО-ТО. чтобы помочь палестинским братьям.
— Гость (25/08/2013 02:57)   <#>

Не совсем так. Для начала советую прочитать эту новость и комментарии к ней. Общий смысл: разные сайты дают разный профиль в шифрованном трафике. Для каждого сайта можно создать его уникальный отпечаток, тогда ISP сможет с высокой вероятностью понять, к какому из сайтов в данный момент пользователь пытается обратиться, даже не расшифровывая трафик (и уж, тем более, не имея никакого представления о том, что происходит на exit-нодах). О том, что это возможно, было известно давно, но считалось, что против Tor атака малопрактична, пока какие-то исследователи не сделали демонстрацию, доказав обратное. После этого Tor-девы форкнули firefox, сделав TorBrowser, куда вставили патч с HTTP pipelining, который затрудняет эту атаку. Были разговоры о том, что для работы pipelining требуется поддержка со стороны сервера, и если он её не поддерживает, клиент (даже с современным TBB) оказывается бессилен. Круг этих проблем обычно подразумевается под словом фингепринтинг.

В вашем случае всё ещё хуже, потому что помимо описанного возникает ещё и фингепринтинг иного рода, со стороны exit-ноды и почтового сервера. Последние видят ваш трафик расшифрованным и тоже потенциально могут вывести некий характерный отпечаток для вашей mail-программы. Фингерпринтить ведь можно не обязательно шифрованный трафик — можно для любого трафика попытаться найти характерный паттерн. В случае с TBB этой проблемы не возникает, т.к. программа у всех одинаковая — TorBrowser, а у вас не так. Я хочу сказать, что если известно, что аноним X использует конкретную почтовую программу для чтения почты, можно разработать круг методик для выявления его трафика, даже если не знать о нём ничего, кроме самого факта использования определённой программы, причём атаковать могут все: и ISP, и экситы и почтовые сервера, к которым обращаетесь.

Вообще, если сильно заморачиваться, точность фингерпринтинга можно очень сильно повысить (комментарии к той ветке тоже прочитайте).


Ну, во-первых, база данных по всем пользователям не для каждой атаки нужна (см. выше), поскольку профилирование можно сделать и без этого. Во-вторых, любая дополнительная информация о вас может сильно улучшить атаку против кнкретно вас, даже если это очень общая информация (тип ОС и софта, к примеру).


Не могу прокомментировать, т.к. со squid почти не работал, но всё же: а не поможет ли двойное заворачивание, т.е., клиент → squid-1 → squid-2 → сеть? У каждого squid будет свой конфиг. Один будет MITM'ить, другой — фильтровать.
— Гость (25/08/2013 03:01)   <#>
P.S. На тему торификации почтовой программы был отдельный изрядно зафлуженный топик. Можете полистать его, если после вышесказанного вас это всё ещё интересует.
— Валентин77 (26/08/2013 14:07)   профиль/связь   <#>
комментариев: 1   документов: 0   редакций: 0
Мы все используем различные сервисы электронной почты. В связи с этим Вам может быть интересна новость, опубликованная РИА Новости 22.08.2013 г. «В США закрыт почтовый сервис, которым пользовался Сноуден»(http://www.rg.ru/2013/08/22/livaizon-anons.html).
Основным моментом, на которой хочется остановить особое внимание, являются следующие слова владельца сервиса электронной почты Lavabit Лэйдара Ливайзона: «Американские компании не имеют возможности предложить пользователям по-настоящему конфиденциальный почтовый сервис или даже защищенное от несанкционированного доступа программное обеспечение». Так что дать 100% верный совет на этот счет, на мой взгляд, трудно.
— unknown (26/08/2013 15:02)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
/comment68317
и тема плавно зацикливается:
/forum/anonimnostjvinternet/lavabitumerkakiealjternativy
— SATtva (04/10/2013 09:03)   профиль/связь   <#>
комментариев: 11543   документов: 1036   редакций: 4088
Накануне опубликовали материалы закрытого судебного процесса, по которому проходил Lavabit. Выжимка:

Yesterday the court unsealed the documents, so we now have a better idea of what happened. The court ordered Lavabit to turn over metadata (to, from, size, date/time information) on all of the email of an unspecified account (presumably Snowden’s). Lavabit had refused, and prosecutors responded by asking the court to order Lavabit to disclose Lavabit’s primary private key—which would give the government the ability to spy on every single Lavabit user. The court granted this request. After some gamesmanship—which got Lavabit fined for contempt of court—Lavabit shut itself down, making the private key disclosure moot.
— Гость (05/10/2013 03:04)   <#>

Цитата

“[The] government’s clearly entitled to the information that they’re seeking, and just because you-all have set up a system that makes that difficult, that doesn’t in any way lessen the government’s right to receive that information just as they could from any telephone company or any other e-mail source that could provide it easily,” said Hilton.

немало позабавила. Право-то у них есть, только кто ж им даст? ;)

Смутно припоминаю, что с безопасностью у lavabit было не очень. Всё на доверии. Вроде они в одном месте пишут, что у них нет возможности что-то расшифровать самим, и тут же пишется про существание главного приватного ключа. Как это совместить?

Не очень красит Левисона и то, что он всё-таки выдал ключ, хоть и на бумаге (А в чём проблема, что они так заарканились? Автоматических распознавалок текста сейчас полно). Можно, конечно, пофантазировать, что в том ключе было несколько намеренных опечаток, делающх его бессмысленным. Тем не менее, раз он ключ выдал, значит ли это, что предыдущую зашифрованную переписку теперь власти смогут расшифровать? Значит ли это, что за shutdown сервиса он сядет в тюрьму?
— SATtva (05/10/2013 08:21, исправлен 05/10/2013 08:31)   профиль/связь   <#>
комментариев: 11543   документов: 1036   редакций: 4088
Вроде они в одном месте пишут, что у них нет возможности что-то расшифровать самим, и тут же пишется про существание главного приватного ключа. Как это совместить?

В материалах речь идёт о ключах SSL. Не знаю, как у них всё было организовано на самом деле (тут есть общее описание), но это вполне мог быть ключ аутентификации, если использовался PFS.


Значит ли это, что за shutdown сервиса он сядет в тюрьму?

Получил штраф за неуважение к суду: по $5000 в день до исполнения требования суда. Через 2 дня сдался.

— Гость (05/10/2013 08:35)   <#>

Как же тошнит от этих фраз. Всё то же гопническое "он на меня косо посмотрел". А с какого х он должен уважать суд? Суд — это такой же слуга народа, как продавщица в магазине или владелец автомойки. Они оказывают госуслугу, но не более того. Требовать их любить и уважать — это слишком.
— SATtva (05/10/2013 08:38)   профиль/связь   <#>
комментариев: 11543   документов: 1036   редакций: 4088
Это юридическая формулировка, означающая неисполнение судебного ордера.
— Гость (05/10/2013 08:40)   <#>

Как меня можно принудить не разглашать? Я не военный, формы не подписывал. Хочу — могу помочь следствию, не хочу — расскажу в этот же день, кто ко мне приходил, с каким ордером и что требовал. Согласие на получение секретной информации я не давал.
— Гость (05/10/2013 08:42)   <#>
Вообще, люди, которые делают такие сервисы, должны были начать со смены юрисдикции для своей 5-ой точке, а не с веры в великий справедливый американский суд.
— SATtva (05/10/2013 08:51, исправлен 05/10/2013 08:55)   профиль/связь   <#>
комментариев: 11543   документов: 1036   редакций: 4088
Как меня можно принудить не разглашать?

Кляп-ордером (gag order).
/Библиотека/Основы/SSD/ДанныеВПередаче/Государство/ОрдерНаПрослушивание
/Библиотека/Основы/SSD/Контрразведка/FISA


Вообще, люди, которые делают такие сервисы, должны были начать со смены юрисдикции для своей 5-ой точке, а не с веры в великий справедливый американский суд.

Уничтожить сайт или поставить его на тотальную прослушку за пределами США вообще-то гораздо проще. Тут для того же АНБ нет совсем никаких законодательных ограничений, которые действуют на операции в отношении граждан страны. Если перенести ситуацию на Lavabit, то не было бы даже никакого суда, сайт был бы скомпрометирован, продолжал работу, но все пользователи были бы под колпаком.

На страницу: 1, ... , 16, 17, 18, 19, 20, ... , 40 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3