• Обратная связь: [email protected]

    Наш канал в telegram: https://t.me/ru_sfera

    Группа VK: https://vk.com/rusfera

    Пользователи могут писать на форуме ТОЛЬКО ЧЕРЕЗ 7 ДНЕЙ после регистрации

Анонимность и конфиденциальность в Интернете


Denis27

Уважаемый пользователь
Форумчанин
Регистрация
04.03.2014
Сообщения
702
Репутация
1 168
Вредоносный узел Tor в России добавляет вирусы к исполняемым файлам
Хотя известная сеть считается хорошим инструментом для обеспечения анонимного доступа в интернет, особенно востребованным после приснопамятных срывов покровов Эдвардом Сноуденом, само по себе ее использование еще не гарантирует безопасности. В этом лишний раз убеждает нас информация от разработчика Джоша Питса (Josh Pitts) из Leviathan Security Group, который обнаружил вредоносный Tor-узел, расположенный в России. С его помощью к исполняемым файлам добавляется произвольный бинарный код.
406596.png

Таким образом, злоумышленники имеют возможность прикреплять свой вирусный код к исполняемым файлам Windows, и тем самым заражать системы ничего не подозревающих пользователей. При этом, по словам Джоша Питса, атака потерпела бы неудачу в случае использования криптографического протокола и стандарта SSL/TLS для шифрования и аутентификации соединения, но даже в этом случае безопасность вовсе не гарантирована. Координаторы Tor осведомлены о вредоносном российском узле, помеченном как плохой, а пользователям указанной сити придется принять информацию о проблеме к сведению.

Источник:
 

Denis27

Уважаемый пользователь
Форумчанин
Регистрация
04.03.2014
Сообщения
702
Репутация
1 168
Российские пользователи смогут удалять свою личную информацию из Интернета
Вскоре россияне смогут удалять свою личную информацию из Интернета. Роскомнадзор готов к обсуждению идеи распространить «право быть забытым» на российских интернет-пользователей. Об этом сообщила замглавы Роскомнадзора Антонина Приезжева, выступая на международной конференции «Защита персональных данных».
В мае Высший европейский суд по итогам прецедентного судебного дела из поисковика по требованию пользователей их личные данные, если они устарели или не соответствуют действительности. Это требование распространяется и на другие поисковые системы.

«В целом Роскомнадзор поддерживает широкую общественную дискуссию по поводу «права на забвение», но при этом нужно учитывать существующие юридические и рыночные реалии», – сказала Приезжева. Прецедентов подобных дел в России, по ее словам, пока не было, Роскомнадзор использует механизмы защиты данных, основанные на досудебных решениях и саморегулировании. В то же время, по ее мнению, «право быть забытым» в условиях развития информационного общества становится в один ряд с основными правами и свободами граждан.

В настоящее время в России информация удаляется самими операторами персональных данных по требованию Роскомнадзора, причем ведомство адресует требование к первоисточнику, а не к поисковым системам. «Полноценная реализация гражданами РФ «права на забвение» осложняется тем, что иностранные компании не имеют на территории РФ представительств прав принимать юридически значимые решения, – отметила Приезжева. – При рассмотрении вопроса о закреплении в российском законодательстве этого права необходимо учитывать, что это может поставить российские интернет-площадки в заведомо неравную конкурентную позицию».

По мнению замглавы Роскомнадзора, «право быть забытым» может рассматриваться не только в отношении поисковиков, но и в отношении социальных сетей.

 

Denis27

Уважаемый пользователь
Форумчанин
Регистрация
04.03.2014
Сообщения
702
Репутация
1 168
Apple, Google и Facebook выступили в поддержку закона об ограничении слежки АНБ
Крупнейшие американские компании потребовали от сената принятия закона, который бы ограничил возможности спецслужб следить за гражданами на территории страны. Apple, Google, Microsoft, Facebook, LinkedIn и Twitter направили сенаторам письмо с требованием рассмотреть вопрос до истечения года, сообщает . Слушания в сенате по запросу компаний назначены на 18 ноября.
NSA-1.jpg

В письме, которое направили в сенат представители американских компаний, говорится о необходимости восстановить доверие к американским властям со стороны интернет-пользователей, а также о необходимости позаботиться о безопасности граждан.

«С тех пор, как в прессе появились сообщения о масштабной слежке в интернете со стороны властей США, прошёл год. Мы понимаем, что обязанность государства – обеспечить безопасность граждан. Однако баланс сил во многих странах склоняется в сторону властей, а правам личности уделяется меньше внимания. Это подрывает свободы, которые мы все так ценим, и это должно измениться», — говориться в обращении компаний.

Законодательный акт, о котором идёт речь, предусматривает большую прозрачность и необходимость подробного отчёта в каждом случае, когда суд даёт разрешение на слежку. Кроме того, предполагается передать сбор метаданных о телефонных звонках в введение телефонных компаний, а не АНБ. Может быть получена информация о времени звонка и его продолжительности, но не о содержании разговора.

Государству нормативным актом будет рекомендовано в некоторых случаях публиковать статистику суда по надзору за деятельностью иностранных разведок о том, каких масштабов достигает слежка за американскими гражданами.

Во время презентации новой операционной системы iOS 8 компания Apple заявила, что «все персональные данные, включая фотографии, сообщения, электронную почту, контакты и истории звонков, а также музыка в iTunes, заметки и даже напоминания теперь будут защищены паролями, которых нет даже у самой Apple. Таким образом, доступ для сотрудников компании к этой информации закрыт».

В ответ новый глава британской электронной разведки «Штаба правительственной связи» (GCHQ) Роберт Ханниган обвинил некоторые американские технологические компании в том, что их продукты являются удобными онлайн-площадками для террористов, а также обвинил их в нежелании сотрудничать в борьбе с экстремистами.

 
0

0eck

Гость
Как проверить, что Google знает о вас: 6 полезных ссылок
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 653
Где-то здесь я уже публиковал заметку про новый почтовый сервис ProtonMail (но к сожалению так и не смог найти).Когда он только открылся зарегал там два ящика.Меня попросили подождать.И вот прошло около 4-5 месяцев и ящики активировались.Скопирую статью с Хабра об этом сервисе:
ProtonMail

1b29aae759d9f7f00b3508b43af8c101.png


История , сервиса защищенной веб-почты, о котором уже было довольно много написано (в том числе и ), началась летом 2013 года, когда группа ученых из CERN (Европейская организация по ядерным исследованиям) объединила усилия в работе над улучшением ситуации с безопасностью в Интернете. Их стартап ProtonMail вышел в полуфинал 2014 . С этого момента и началось очень бурное развитие проекта. Именно данная победа послужила серьезным шагом для того, чтобы о них заговорили по всему миру.

История развития

15 мая 2014 г. началось открытое бета-тестирование. Но желающих зарегистрироваться оказалось настолько много, что им пришлось закрыть регистрацию и разместить форму для сбора заявок на получение аккаунта. Планируется отправлять приглашения на регистрацию по мере наращивания серверных мощностей.

17 июня команда ProtonMail запустили кампанию по сбору средств на развитие проекта на indiegogo.com — Целью кампании являлся сбор US$ 100 000, которые пойдут на закупку серверов и позволят команде полностью сконцентрироваться на разработке сервиса. Были разосланы письма с предложением поддержать их всем пользователям, оставившим заявку на регистрацию. Всего за несколько дней цель была достигнута. На момент написания данной статьи собрано US$ 231 088 (за первые 7 дней). Основным бонусом в благодарность за поддержание проекта является незамедлительное получение доступа к сервису.

Получение доступа к ProtonMail

Мне было очень интересно узнать, что все же представляет из себя ProtonMail. К сожалению, я не успел получить аккаунт, когда регистрация была открыта, и оставил заявку. Чтобы получить заветный аккаунт, я с удовольствием поддержал ребят через Indiegogo.

Через 6 часов на мой почтовый ящик поступило сообщение со ссылкой, по которой я активировал аккаунт. Регистрация заняла около минуты.

Создание аккаунта ProtonMail

Для создания аккаунта предлагается задать два пароля: для доступа к аккаунту и почтовый пароль.

Пароль для доступа к аккаунту используется на стороне сервиса для авторизации, как это делают многочисленные сервисы в Интернете, в том числе и предоставляющие веб-почту. Данный пароль можно изменить в настройках аккаунта.

Почтовый пароль не отправляется за пределы компьютера пользователя и используется в процессе генерации ключа для шифрования в последующем. Данный пароль не подлежит “восстановлению”. Если он утерян, то доступ к содержимому почтового ящика будет утерян вместе с ним. Забегая немного вперед, следует отметить, что изменить данный пароль не представляется возможным, о чем сказано на странице вопросов-ответов.

Can I change or reset my Mailbox password? 
No. Your MailBox Password is tied to all of your emails because it’s used to encrypt all of your messages. If you were allowed to change this, then all of your current and past messages would be undecryptable and unreadable.

Пароль для входа в аккаунт можно изменить на странице настроек в личном кабинете.

Для входа необходимо сначала авторизоваться с использованием основного пароля, а затем ввести почтовый пароль, который будет использоваться для дешифровки содержимого писем уже прямо на вашем компьютере. Это позволяет обеспечить отсутствие доступа к содержимому писем со стороны сервиса и делает это физически невозможным. Здесь стоит скептически отметить, что это “в теории”, а “на практике”…

Как же выглядит и работает ProtonMail?

ProtonMail является исключительно веб-почтой. Поддержки POP3/IMAP/SMTP нет, так как вся криптография реализована на стороне веб-браузера на JavaScript.

Заходим в аккаунт и видим приветственное сообщение от команды ProtonMail. В нем кратко объясняется, какая информация шифруется, можно ли использовать ProtonMail для общения с пользователями других почтовых сервисов (например, Gmail или Hotmail).

441e31ab01f1982f999b4730fa94be45.png



Из основных моментов следует отметить:
  • Письма между пользователями ProtonMail шифруются всегда и автоматически.
  • Прикрепленные файлы не шифруются, о чем говорится в приветственном письме, но пишут, что планируют добавить такую возможность в будущем.
    044d2c3f9a5b8b6ac364bd6500eb3f83.png
  • Наличие возможности отправить зашифрованный email любому получателю за пределами ProtonMail. В этом случае получателю приходит письмо со ссылкой, перейдя по которой он видит предложение ввести пароль для доступа к содержимому письма. Данный пароль задает отправитель перед отправлением письма с сервиса ProtonMail.
  • Возможность задать время хранения письма. Данная возможность доступна при переписке с другими пользователями ProtonMail и отправке шифрованных писем на сторонние почтовые сервисы (получателю приходит ссылка для чтения письма на сайте ProtonMail). По истечению данного времени письмо удаляется.
  • Возможность получать письма от сторонних сервисов. В данном случае содержимое писем должно быть в открытом виде, как и в случае использования обычной веб-почты.

Интерфейс

Поддерживаются базовые опции форматирования писем: жирный шрифт или курсив, заголовки, списки и возможность редактирования письма непосредственно в HTML.

Все письма распределяются по папкам: полученные, отправленные и черновики. Просмотреть можно только отдельно выбранное письмо. Отображение отдельной переписки целиком (в виде списка) отсутствует.

Можно задать получателей копии письма: CC (все видят, кому отправлена копия) и BCC (получателей из данного списка другие получатели не видят в списке копий).
d6201d099f47e26f23774b7d9572323d.png



Стоимость сервиса

Сервис предоставляется бесплатно, но имеются ограничения на объем хранимых писем (100 мегабайт) и ежемесячное общее количество писем (500 писем). Планируется запустить платные бизнес-аккаунты, у которых будет доступен 1 гигабайт для хранения писем и не будет ограничений на количество писем. В будущем планируется добавить возможность использовать собственный домен для бизнес-аккаунтов.

Интеграция с другими сервисами и приложениями

Интеграция с другими сервисами и приложениями отсутствует. Весь функционал реализован на стороне веб-браузера на JavaScript. Открытого API нет.

Хранение писем

Полученные и отправленные письма между пользователями ProtonMail хранятся на сервере в зашифрованном виде. На стороне клиента ничего не кешируется и не сохраняется.

Если письмо получено в открытом виде со стороннего сервиса, то даже после его прочтения оно все равно остается в Inbox в открытом виде.

Если письмо отправлено на сторонний сервис в открытом виде, то оно сохраняется в папке с отправленными письмами сразу в зашифрованном виде.

Возможность экспорта писем в архив для скачивания отсутствует.

Поиск

Поиск по письмам ищет по имени отправителя, теме письма и по тексту писем, которые хранятся в открытом виде. Напомню, что в открытом виде хранятся только письма, полученные со сторонних сервисов (в незашифрованном виде).

Хранение ключей шифрования

Закрытый ключ хранится на серверах сервиса, но защищен вашим почтовым паролем. Это требуется, чтобы была возможность использовать различные устройства (и/или веб-браузеры) для доступа к почте ProtonMail. На стороне веб-браузера клиента в Local Storage ключ не сохраняется.

Возможность импорта / экспорта ключа отсутствует.

Техническая реализация

Основой сервиса стала библиотека . На время рабочей сессии почтовый пароль хранится в полностью открытом виде (без обфускации) в .

Сервис использует асимметричное шифрование (систему шифрования с использованием открытых ключей), реализованную на стороне веб-браузера пользователя на JavaScript.

На Wikipedia есть , но, к сожалению, довольно тяжело читается для обычного пользователя без специальных технических знаний.

Безопасность

Про безопасность подобных решений на стороне пользователя, когда программный код выдается сервисом при каждом обращении, в интернете можно найти массу обсуждений и статей. Например, статья на английском от Matasano security.

Краткое резюме всех дискуссий и доступных материалов заключается в том, что в любой момент сервис может отдать измененный программный код (например, по запросу правоохранительных органов), который отправит им почтовый пароль пользователя.

Команда ProtonMail подчеркивает, что они находятся в Швейцарии, где, как они пишут, законодательно их не могу обязать установить backdoor. Полный текст их объяснения доступен по адресу . Но это “в теории”, а “на практике” пока нет широко известных публичных прецедентов.

В любом случае возможность изменить программный код в любой момент со стороны сервиса является очень серьезным недостатком, так как эти изменения могут быть нацелены на конкретных пользователей. В случае, когда криптография реализована в программном продукте или вообще на уровне операционной системы, то подобные обновления, нацеленные на конкретных пользователей намного менее вероятны и намного тяжелее в реализации. Хотя, как известно, нет 100% безопасных решений, но надо стремиться к максимально возможному необходимому в данной ситуации уровню безопасности.

Исполняемый код Javascript на стороне браузера может быть подвержен XSS-атакам. В случае с ProtonMail, как и любой другой веб-почтой, можно отправить специально сформированное письмо в обход встроенной защиты от XSS-атак и исполнить вредоносный код, который получит доступ к почтовому паролю пользователя или просто будет перехватывать расшифрованное содержимое сообщений.

ProtonMail в защите от XSS-атак полагается на библиотеку . Но помимо фильтрации содержимого письма есть еще и служебные почтовые заголовки, которые можно аналогично сформировать специальным образом при отправлении писем со сторонних сервисов пользователю ProtonMail. А возможность получать письмо со сторонних сервисов есть у всех аккаунтов ProtonMail и запретить ее в настройках аккаунта нельзя.

В начале июня была найдена уязвимость у сервиса ProtonMail, позволяющая исполнить произвольный JavaScript код на компьютере ничего неподозревающего пользователя и получить полный доступ к его почтовому ящику.

Данную уязвимость нашел Mike Cardwell, о чем сообщил команде ProtonMail. После исправления уязвимости он опубликовал информацию об этом на . ProtonMail разместил его имя в списке благодарностей на своем сайте — , что подтверждает данный факт.

Сейчас данная проблема в безопасности ProtonMail уже исправлена, но сколько еще таких возможностей для хакеров таит в себе реализация криптографии на стороне браузера на JavaScript?

Подобные проекты

— проект с открытым исходным кодом, активно развивается, является почтовым веб-клиентом (аналогично ProtonMail работает в веб-браузере на JavaScript), который должен сделать доступным использование криптографии пользователям без специальных технических навыков.

Отдельно следует отметить уникальную возможность данного проекта — поддержку полноценного поиска по зашифрованным сообщениям. На пишут, что создается индекс, а само содержимое индекса хранит в виде хешей.

Не уточняется, это обычные MD5/SHA хеши или MAC. В случае обычных хешей данное решение по поиску может быть крайне небезопасным из-за возможности установить, какое ключевое слово встречается в зашифрованном тексте, посчитав хеши слов по словарю. Безопасность очень зависит от реализации данного способа.

— сервис безопасной веб-почты аналогично ProtonMail. Криптография реализована на JavaScript, код исполняется в веб-браузере.

— открытый исходный код, реализован на базе OpenPGPjs (аналогично ProtonMail), но относительно молодой проект и не так бурно развивается. Я указал его в этом списке, чтобы дать более полное представление о имеющихся сервисах на рынке.

— шифрование реализовано при помощи плагина OpenPGP к проекту почтового веб-клиента Roundcube. Закрытый ключ сохранятся в Local Storage браузера.

— использует свою собственную реализацию, есть сервис обмена текстовыми сообщениям и голосовые звонки. Имеются клиенты для мобильных платформ и десктопов.

Unseen используется также Roundcube с плагином OpenPGP.
Из десктопных клиентов смотрел версию для Ubuntu и Mac. Это нативные приложения-обертки, в которые внутри встроен “веб-сайт”.

Что же делать?

Использование отдельного приложения для работы с почтой (почтового клиента), использование общеизвестных реализаций криптографии и ряд специальных ограничений ради безопасности (например, отсутствие возможности принимать почту со сторонних ресурсов, чтобы минимизировать количество возможных атак) являются наилучшим решением.

Кто сможет реализовать использование криптографии с открытыми ключами в доступном (легком) виде для обычных рядовых пользователей с использованием известных почтовых клиентов (Apple Mail, Microsoft Outlook, встроенные в мобильные ОС почтовые клиенты и другие), тот завоюет любовь пользователей и, безусловно, станет самым успешным сервисом!

UPD: Большое спасибо за комментарии к статье и вопросы! Дополнил статью.
 
0

0eck

Гость
Специалисты разработали анонимный BitTorrent-клиент, который невозможно отключить
Он сконструирован таким образом, что остается активным даже в случае отключения поисковых систем торрентов, индексов и трекеров.

Один из самых крупных интернет-ресурсов The Pirate Bay исчез из Сети в результате полицейского рейда, что повлекло за собой отключение нескольких популярных BitTorrent-сервисов. Этот пример наглядно иллюстрирует, насколько уязвимой на самом деле является экосистема BitTorrent. Команда исследователей из Дельфтского технологического университета, Нидерланды, нашла способ, как решить эту проблему, сообщает портал TorrentFreak.

Вместе с Tribler специалисты разработали добротный BitTorrent-клиент, который не полагается на центральные серверы. Он сконструирован таким образом, что остается активным даже в случае отключения поисковых систем торрентов, индексов и трекеров.

Кроме того, последняя версия Tribler, которая вышла 18 декабря этого года, содержит встроенную сеть Tor, что позволяет пользователям публиковать и делится файлами без обнародования своих IP-адресов. Однако повышение анонимности требует увеличения пропускной способности, поскольку пользователь сам выступает в качестве прокси-сервера и должен пересылать файлы другим. В добавок, использование функции анонимности снижает скорость передачи, в зависимости от количества пользователей, которые желают поделиться видео- или аудиофайлами.

Еще одной основной функцией Tribler является децентрализация. Поиск медиафайлов может осуществляться изнутри приложения, которое находит торренты посредством других программ, а не через центральный сервер.

Разработчики позиционируют проект как противовес возрастающим случаям нарушения конфиденциальности, с которыми сталкиваются пользователи Интернета. Специалисты надеются, что таким образом им удастся хоть немного обезопасить Сеть для посетителей торрент-ресурсов.


Подробнее:

 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 653
Криптографический MegaChat от Кима Доткома

00256-700x352.jpg


Ким Дотком новостью о том, что он ещё жив и даже продолжает разработку новых сервисов, в дополнение к криптохостингу Mega. Его новая инициатива — защищённый чат MegaChat.
Сервис открыт для бета-тестирования сегодня утром. Ссылка на него появилась на основном портале в главном меню, которое возникает после авторизации на сайте.
Со свойственной ему амбициозностью, Ким Дотком позиционирует MegaChat как конкурента Skype. Зашифрованные коммуникации работают в браузере. Первым начал работать видеочат, вскоре добавят передачу текстовых сообщений и аудиозвонки.

ХХХХХХХХХХХ

Пока что сервис работает с небольшими глюками, иногда невозможно установить соединение, не всплывают сообщения о входящих вызовах, TechCrunch. Однако, если соединение всё-таки удалось установить, то качество видео и звука совершенно не уступают Skype. Существующие дефекты наверняка устранят в ближайшее время.

В чате есть встроенная функция обмена файлами. Она работает без сбоев. MegaChat применяет технологию под названием «контролируемое шифрование» (User Controlled Encryption, UCE), когда отправитель передаёт получателю ключ для дешифровки.

Преимущество MegaChat в том, что не требуется установка дополнительных программ, всё работает в браузере. Этот сервис нацелен на тех пользователей, которые опасаются прослушки их разговоров в Skype. Есть все основания опасаться этого, ведь опция прослушки Skype встроена во многие вредоносные программы, в том числе в те, которые используются правоохранительными органами.
Источник:
 

carioca_cat

^•-•^
Форумчанин
Регистрация
16.08.2013
Сообщения
188
Репутация
570
Вчера обновил VPN программу ( версия для Андроид), в новой версии появилась возможность подключаться через SSL VPN ( при использовании TCP port 443 ).
IMG_20150516_135547.jpg
Собсно, возникший вопрос: есть ли целесообразность подключаться через SSL VPN, дает ли это какой-то дополнительный уровень защиты, скажется ли это на скорости передачи данных?
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 194
Репутация
8 325
Собсно, возникший вопрос: есть ли целесообразность подключаться через SSL VPN, дает ли это какой-то дополнительный уровень защиты, скажется ли это на скорости передачи данных?
А мне вот тоже непонятно, т.е. получается просто VPN, делает только-лишь туннель и данные не шифруются-так ?

По логике тогда SSL VPN - шифрует данные, по идеи так безопасней-да, потому-что уже никто не перехватит данные...

Но-да немножко может тормозить, но это зависит уже от сервиса, кто предоставляет VPN, я так понимаю !Не въехал!!!
 
0

0eck

Гость
Антивирус AVG может продавать историю веб-браузинга и поисков пользователя рекламодателям
 
Автор темы Похожие темы Форум Ответы Дата
Иван Грозный Защита приватной информации 0
Верх Низ