Интернет-форум

Вернуться   Интернет в Санкт-Петербурге > Разное > Сетевые технологии

>> Хостинг - 2 Gb-20 Gb, CPanel, SSH, Web Disk, Softaculous, FTP, MySql, SSL сертификат, BackUP
>> VDS от 200 рублей, активация от 1 до 5 минут, OS: Debian, CentOs, Ubuntu, 10-50 Gb защита от DDoS
>> Конструктор сайтов: 198 шаблонов в 22 категориях! SSL, e-commerce, веб-почта, статистика сайта, 50 мб бесплатно!
Сетевые технологии Интернет, программное обеспечение, технологии, веб дизайн...

 
Опции темы
Старый 04.12.2015, 20:19
  #21
Мастер
 
Аватар для Smulev

Observer,
Тру крипт имеет открытый исходник. Откуда там взяться бэкдорам? Насчёт уязвимостей согласен, а кто их не имеет? Но это предполагает подготовленную профи атаку вопрос ответ, и это совсем не значит, что найденная флешка с контейнером будет расшифрована. Не согласен? Тогда приведи хоть один реальный пример взлома тру крипт найденного файла "контейнера" без пользователя и отклика. А брутфорсить его можно десятилетиями. При том что абсолютно точно знаешь что найденное именно это и есть "контейнер"
Smulev вне форума   Ответить с цитированием
Старый 04.12.2015, 20:43
  #22
Мастер

Я наверное плохо высказал свою мысль.
Копию с паролями проще носить с собой на флешке и использовать её подключаясь к компьютеру (т.е. без всяких сетевых дисков и удаленного доступа).
Как вы будете защищать эту флешку - это вопрос вашей религии.
Если флешку потеряете, то это всего лишь копия.

Другой вариант: - сохраните файл с паролями в мобильном телефоне, тогда вообще ничего никуда не надо подключать.

добавлено через 4 минуты
Цитата:
Сообщение от Smulev
Тру крипт имеет открытый исходник. Откуда там взяться бэкдорам? Насчёт уязвимостей согласен, а кто их не имеет? Но это предполагает подготовленную профи атаку вопрос ответ, и это совсем не значит, что найденная флешка с контейнером будет расшифрована. Не согласен? Тогда приведи хоть один реальный пример взлома тру крипт найденного файла "контейнера" без пользователя и отклика.
28 мая 2014 года проект был закрыт, разработка свёрнута. Все старые версии удалены, репозиторий очищен. Обстоятельства закрытия проекта вызвали множество догадок и обсуждений в ИТ сообществе.

В 2013 году начался сбор средств для проведения независимого аудита TrueCrypt, толчком к которому послужила в том числе полученная от бывшего сотрудника АНБ Сноудена информация о намеренном ослаблении спецслужбами средств шифрования. Планировалось, что в ходе проверки будет проведён анализ совместимости лицензии TrueCrypt с другими открытыми лицензиями, будет произведён криптографический анализ и будет разработана технология позволяющая делать компиляцию исходного кода программы с одинаковым результатом на разных компьютерах.

На аудит было собрано свыше 60 000 долларов. 14 апреля 2014 года завершился первый этап проверки, критических ошибок обнаружено не было.

К началу апреля 2015 года аудит был завершён. Он не выявил никаких уязвимостей или серьёзных недостатков в архитектуре приложения и показал, что TrueCrypt является хорошо спроектированной криптографической программой, хоть и не идеальной.

Последний раз редактировалось Observer; 04.12.2015 в 20:43.. Причина: Добавлено сообщение
Observer вне форума   Ответить с цитированием
Старый 04.12.2015, 20:45
  #23
Мастер
 
Аватар для Smulev

Цитата:
Сообщение от Observer
Я наверное плохо высказал свою мысль.
Ну да бэкдоры везде намекают на паранойю у типа НЕ параноика.
Как и чего носить вопрос отдельный.

добавлено через 1 минуту
Цитата:
Сообщение от Observer
мая 2014 года проект был закрыт, разработка свёрнута. Все старые версии удалены, репозиторий очищен. Обстоятельства закрытия проекта вызвали множество догадок и обсуждений в ИТ сообществе.
Ну непонятно что ли? Дети что ли малые? Прога была свёрнута из за предложения спецслужб, от которого нельзя отказаться.

Последний раз редактировалось Smulev; 04.12.2015 в 20:48.. Причина: Добавлено сообщение
Smulev вне форума   Ответить с цитированием
Старый 04.12.2015, 20:57
  #24
Мастер

Цитата:
Сообщение от Smulev
Ну да бэкдоры везде намекают на паранойю у типа НЕ параноика.
Вы что хотите от меня услышать?
Для меня достаточна любая защита даже начального уровня.
Например, запароленный архив.

добавлено через 9 минут
Цитата:
Сообщение от Smulev
Прога была свёрнута из за предложения спецслужб, от которого нельзя отказаться.

Немецкое Федеральное Управление по Информационной Безопасности (Bundesamt für Sicherheit in der Informationstechnik или просто BSI) заказало институту Фраунгофера аудит утилиты TrueCrypt для полного или частичного шифрования информации. Сразу возникает вопрос, зачем это нужно BSI, если TrueCrypt больше не разрабатывается, и вообще был брошен разработчиками при очень странных и подозрительных обстоятельствах. Неужели в Германии госструктуры используют для шифрования программу, разрабатываемую непонятно кем, и непонятно как? Дело в том, что некие «элементы» TrueCrypt использованы в ПО Trusted Disk компании Sirrix AG, а это уже официально одобренный инструмент для шифрования важных данных.

В общем, есть повод посмотреть. С TrueCrypt вообще странная история. Неожиданный демарш и до этого сохранявших анонимность разработчиков вызвал обоснованные подозрения, что где-то в системе шифрования может быть закладка. Проверки проводились неоднократно, в апреле группа товарищей OpenCryptoAudit закончила свою работу, и, если коротко, ничего не нашла. Недавно в коде TrueCrypt нашли две опасные уязвимости, но они также не затрагивают сам процесс шифрования. Теперь Фраунгоферовский институт по просьбе BSI провел еще одно исследование и тоже ничего, в общем-то, не обнаружил.

В отчете говорится, что при открытом доступе системы к зашифрованным данным (например, системный диск расшифровывается и дальше с него загружается и работает ОС) эти самые данные подвержены обычным угрозам — кейлоггерам, троянам и так далее. В общем-то, это такая капитанская ремарка, но «отключенный» зашифрованный том вполне безопасен.

Интересно, что у нас есть уже три достаточно авторитетных аудита TrueCrypt. Непосредственные исследования от коллектива OpenCrypto и от BSI подтверждают отсутствие закладок и прорех в алгоритме шифрования. Обнаруживший те самые «несвязанные» уязвимости Google Project Zero дает третье, хотя и косвенное подтверждение: я вот почему-то уверен, что искали они не эти уязвимости. А доверия к TrueCrypt как не было, так и нет: после событий мая прошлого года вряд ли что-то сможет его восстановить.

В англоязычной версии вики написано очень много про уязвимости, что касается аудита, то вот последнее:
According to a study released September 29, 2015, TrueCrypt includes two vulnerabilities in the driver that TrueCrypt installs on Windows systems allowing an attacker full system compromise.

Скрыто содержимое: Типа доказательства невзламываемой защиты TrueCrypt (на английском)
Operation Satyagraha
In July 2008, several TrueCrypt-secured hard drives were seized from Brazilian banker Daniel Dantas , who was suspected of financial crimes. The Brazilian National Institute of Criminology (INC) tried unsuccessfully for five months to obtain access to his files on the TrueCrypt-protected disks. They enlisted the help of the FBI , who used dictionary attacks against Dantas' disks for over 12 months, but were still unable to decrypt them.

United States v. John Doe
In 2012 the United States 11th Circuit Court of Appeals ruled that a John Doe TrueCrypt user could not be compelled to decrypt several of his hard drives. The court's ruling noted that FBI forensic examiners were unable to get past TrueCrypt's encryption (and therefore were unable to access the data) unless Doe either decrypted the drives or gave the FBI the password, and the court then ruled that Doe's Fifth Amendment right to remain silent legally prevented the Government from making him or her do so.

David Miranda
Further information: Glenn Greenwald § Detention of David Miranda
On 18 August 2013 David Miranda , partner of journalist Glenn Greenwald , was detained at London's Heathrow Airport by Metropolitan Police while en route to Rio de Janeiro from Berlin . He was carrying with him an external hard drive said to be containing sensitive documents pertaining to the 2013 global surveillance disclosures sparked by Edward Snowden . Contents of the drive were encrypted by TrueCrypt, which authorities said "renders the material extremely difficult to access." Detective Superintendent Caroline Goode stated the hard drive contained around 60 gigabytes of data, "of which only 20 have been accessed to date." She further stated the process to decode the material was complex and "so far only 75 documents have been reconstructed since the property was initially received."

Guardian contributor Naomi Colvin concluded the statements were misleading, stating that it was possible Goode was not even referring to any actual encrypted material, but rather deleted files reconstructed from unencrypted, unallocated space on the hard drive, or even plaintext documents from Miranda's personal effects . Glenn Greenwald supported this assessment in an interview with Democracy Now! , mentioning that the UK government filed an affidavit asking the court to allow them to retain possession of Miranda's belongings. The grounds for the request were that they could not break the encryption, and were only able to access 75 of the documents that he was carrying, which Greenwald said "most of which were probably ones related to his school work and personal use."

James DeSilva
In February 2014, IT department employee James DeSilva was arrested on charges of sexual exploitation of a minor through the sharing of explicit images over the Internet . His computer, encrypted with TrueCrypt, was seized, and DeSilva refused to reveal the password. Forensics detectives from the Maricopa County Sheriff's Office were unable to gain access to his stored files.

Последний раз редактировалось Observer; 04.12.2015 в 21:12.. Причина: Добавлено сообщение
Observer вне форума   Ответить с цитированием
Старый 04.12.2015, 21:32
  #25
Долгожитель

Цитата:
Сообщение от Observer
Без обид, но это параноидальный бред.
Потерять можно что угодно.
Без обид, так без обд :-). Речь не про то, что с потерянной флешки кто-то что-то будет взламывать -- это как раз паранойя. Речь про то, что хранить на флешке рабочие данные, с которыми каждый день работаешь, не очень удобно, если эти же данные можно хранить на локальном винче. В защищённости разницы нет -- данные запаролены, а вот удобства пользования на стороне локального винча, а не флешки. И по надёжности хранения данных (не в смысле безопасности) флешка проигрывает.

добавлено через 14 минут
Цитата:
Сообщение от Smulev
Тру крипт имеет открытый исходник. Откуда там взяться бэкдорам?
Открытый исходник полезен, если кто-то туда заглянул и тщательно проанализировал код. При появлении новой версии каждый раз этот кто-то должен находиться и анализировать. Иначе открытый код -- фиговый листочек от кутюр, ничего не гарантирующий.

В открытый код легко внедрить безобидную ошибку с переполнением буфера (тип ошибки не важен), предварительно протестировав её работу. В дальнейшем это будет замаскированный бэкдор. Если кто-то затем эту ошибку обнаружит, это будет выглядеть именно как ошибка, а не как бэкдор. Разработчик извинится и выпустит патч. Остальные внедрённые ошибки останутся, ожидая своих хакеров. Причем, хакер, анализируя код, ищет иголку в стоге сена, а разработчик имеет на руках 3D карту иголок с полным описанием каждой.

Комментарии к сообщению (репутация)
Haruhi , положительно: Полностью согласна про открытый код.

Последний раз редактировалось Yegor001; 04.12.2015 в 21:32.. Причина: Добавлено сообщение
Yegor001 вне форума   Ответить с цитированием
Старый 04.12.2015, 23:16
  #26
Рассказчик
 
Аватар для SvS

Цитата:
Сообщение от Yegor001
Её можно потерять, а потом удивиться сложности восстановления данных :-).
Она сдохнуть может совершенно внезапно. Не, это вообще не вариант!

добавлено через 2 минуты
Цитата:
Сообщение от Observer
Копию с паролями проще носить с собой на флешке и использовать её подключаясь к компьютеру (т.е. без всяких сетевых дисков и удаленного доступа).
По-моему, при налчии сети это - маразм. Постоянно тыкать туда-сюда флешку и думать, где какая версия файла (а потом по запаре перезаписать и потерять несколько часов работы)

добавлено через 1 минуту
Цитата:
Сообщение от Observer
сохраните файл с паролями в мобильном телефоне, тогда вообще ничего никуда не надо подключать.
Это всё равно что поставить везде пароль 123456 и вообще не париться )))

добавлено через 7 минут
Цитата:
Сообщение от Yegor001
Открытый исходник полезен, если кто-то туда заглянул и тщательно проанализировал код. При появлении новой версии каждый раз этот кто-то должен находиться и анализировать.
Ну, во-первых - есть множество параноиков, которые именно этим постоянно и занимаются. А во-вторых - можно же не обновлять какое-то приложение, пока параноики не проверят на уязвимости )))
Да и софт разный бывает... Одно дело - закладки в веб-сервере и совсем другое - в шифровальщике. Это очень разные вещи!

Последний раз редактировалось SvS; 04.12.2015 в 23:16.. Причина: Добавлено сообщение
SvS вне форума   Ответить с цитированием
Старый 04.12.2015, 23:21
  #27
Мастер

Цитата:
Сообщение от Yegor001
Речь не про то, что с потерянной флешки кто-то что-то будет взламывать -- это как раз паранойя. Речь про то, что хранить на флешке рабочие данные, с которыми каждый день работаешь, не очень удобно, если эти же данные можно хранить на локальном винче. В защищённости разницы нет -- данные запаролены, а вот удобства пользования на стороне локального винча, а не флешки. И по надёжности хранения данных (не в смысле безопасности) флешка проигрывает.
Писалось о том чтобы на флешке хранить копию текстового файла с логинами-паролями и больше ни о чем.

Цитата:
Сообщение от Yegor001
Открытый исходник полезен, если кто-то туда заглянул и тщательно проанализировал код.
Я вижу словосочетание "открытый исходный код" на вас действует как глаза удава.

добавлено через 4 минуты
Цитата:
Сообщение от SvS
По-моему, при налчии сети это - маразм. Постоянно тыкать туда-сюда флешку и думать, где какая версия файла (а потом по запаре перезаписать и потерять несколько часов работы)
Ты читать умеешь? О какой "работе" идет речь?
Прочитай в конце концов первое сообщение, а потом лезь в обсуждение.
Человеку нужен доступ к файлу с логинами-паролями, которые он запомнить не может.
Я предлагаю этот файл (или не этот, а другой в котором будут записаны пароли) хранить на флешке, не более того.

Последний раз редактировалось Observer; 04.12.2015 в 23:21.. Причина: Добавлено сообщение
Observer вне форума   Ответить с цитированием
Старый 04.12.2015, 23:29
  #28
Рассказчик
 
Аватар для SvS

Цитата:
Сообщение от Observer
Ты читать умеешь? О какой "работе" идет речь?
Прочитай в конце концов первое сообщение, а потом лезь в обсуждение.
Вообще-то первое сообщение - моё )))
Цитата:
Сообщение от Observer
Человеку нужен доступ к файлу с логинами-паролями, которые он запомнить не может.
Так пароли периодически менятся и база пополняется. Вот я сейчас по наличию времени перетряхиваю огромную базу, много лет хранящуюся в браузерах и у гугла (что-то не доверяю я ему больше)

добавлено через 5 минут
Есть еще интересное решение по теме - seafile. Почитайте, кому интересно...
Это "не для всех", конечно, но мне понравилось, пользую понемногу на своём серваке )))

Последний раз редактировалось SvS; 04.12.2015 в 23:29.. Причина: Добавлено сообщение
SvS вне форума   Ответить с цитированием
Старый 04.12.2015, 23:52
  #29
Мастер

Цитата:
Сообщение от SvS
Вообще-то первое сообщение - моё )))
Бывает.

Цитата:
Сообщение от SvS
Так пароли периодически менятся и база пополняется.
Синхронизировать можно, если изменение не такие частые.
Не нравится флешка, можно носить HDD или SSD, но это дорогое решение и диски сейчас говно по надежности.

Цитата:
Сообщение от SvS
хранящуюся в браузерах
Это точно дыра, хоть мастер-пароль в браузере создан?
Observer вне форума   Ответить с цитированием
Старый 04.12.2015, 23:56
  #30
Рассказчик
 
Аватар для SvS

Цитата:
Сообщение от Observer
хоть мастер-пароль в браузере создан?
На рабочей машине есть. Но, что забавно, если пароль проигнорить - всё равно логинится из памяти ))) Т.е смысла в этом особого нет.
Цитата:
Сообщение от Observer
Синхронизировать можно, если изменение не такие частые.
По-разному. Но, в любом случае - об этом надо постоянно думать, что напрягает. И так голова всякой хренью забита, особенно - на работе )))
SvS вне форума   Ответить с цитированием
Ответ

Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
пропала файловая система MaZguL Технические проблемы 5 02.03.2011 10:53
Отключилась сетевая карта frolrep Технические проблемы 2 05.06.2010 15:40
Цивилизация 3 - сетевая игра POL Флейм 1 02.01.2010 01:01
Сетевая карта Genius GF100TXR II 10/100 Zetruger Купля/Продажа 4 10.03.2008 00:47
Wi-Fi сетевая карта Globus Сетевое оборудование 27 27.11.2007 20:22


Часовой пояс GMT +3, время: 19:22.


DSLnet.ru © 2004-2012. Все права защищены.
vBulletin® Version 3.8.2 Copyright ©2000 - 2018, Jelsoft Enterprises Ltd.
Rambler's Top100 Рейтинг@Mail.ru