?

Log in

No account? Create an account

Previous Entry Share Next Entry
Gmail СОРМ не берет?
июль 2011
irek_murtazin
Признаюсь, я полный профан в кибер-технологиях и понятия не имею, какие на сегодняшний день имеются системы защиты информации, передаваемой через интернет, чтобы до нее не могли добраться нехорошие люди. И вот сегодня мне говорят, что у почтового сервера gmail стоит система кодирования https, которую ни один СОРМ не в состоянии проконтролировать. Это правда?

И еще вопрос: что может означать, если человек прекрасно разбирающийся в интернет- технологиях, пишет: «Силовики не только читают вконтактик, аську и прочее, но и защищенный со всех сторон почту! Сервис Gmail тут вообще не исключение…. Получается, что всякие прокси, гмыло, и прочие безопасные средства связи сливают еще на старте, не давая вообще никакой гарантии безопасности»? Это он так шутит, решив попугать таких профанов типа меня? Или это сознательная дезинформация? Если деза, то ради чего или кого?

promo irek_murtazin июль 28, 2014 17:01 317
Buy for 5 000 tokens
Амнистий больше не будет. Почему не будет, написал вот здесь... Но если кто считает, что его забанили по ошибке, или, он погорячился в пылу разговора, использовав мат, можно написать в мой резервный журнал murtazin2011, где я завел специальный пост… Если доводы покажутся мне вескими,…

Про Gmail точно могу сказать, что никому они инфу не сливают. Потому что не любят Россию и её спецслужбы. А вот соцсети да, читают.

Гугловский Gmail - может пойти на раскрытие частной переписки по запросу правоохранительных органов с представлением решения суда. В штатах случаи были по исламистским террористам. В РФ такой практики не замечено, говорят не обращались. Китайцы для вскрытия почтовых ящиков китайских оппозиционеров на Gmail.com привлекала хакеров, - кончилось международным скандалом, гугл дыры в коде закрыл, безопасность серверов увеличил.
Соц.сети - это вообще кладезь информации для спецслужб - люди сами о себе раскрывают данные, сами составляют досье, сами очерчивают круг своих контактов, сами раскрывают круг своих интересов, сами выкладывают фото и компрометирующие материалы. Думаю что Однокласникам, Вконтакте сходит с рук такой массовый нелегальный контент в частности и потому что ФСБ, МВД имеет доступ к личным данным и переписке пользователей.

записать обмен информацией могут, расшифровать нет

Я не спец, но товарищи меня поправят. Рассказываю по собственному опыту общения с сотрудниками некоторых крупных российских интернет-компаний.

HTTPS (HTTP Secure) - это протокол передачи данных. Его шифрование значит, что при перехвате пакетов, их надо ещё будет расшифровать, а не просто видеть как открытый текст. Поэтому соединение по этому протоколу частично гарантирует только безопасность передачи данных.

При отправке же есть ещё две стадии: собственно набор и приём/хранение. На каждой из них возможны утечки. Трояны воруют нажатия кнопок (так часто крадут пин-коды от кредитных карт и пароли на почту/соц. сети/личные кабинеты и т.п.) А на стадии хранения данных всё ещё проще: письма лежат на сервере, откуда их можно изъять или украсть.

Соответствующие службы обычно не заморачиваются и просто снимают данные с конечного сервера. Даже если протокол передачи шифрованый, то на сервере письма раскодируются (иначе вы их сами не сможете прочитать) и лежат либо прямо так, либо кодируясь известным серверу способом (читай - при доступе к серверу уже известным). С российских почтовиков почту снимают регулярно именно с конечного хранилища.

Ну и не забывайте ещё про перехват пакетов (у вас WiFi работает?), не забывайте про промежуточные серверы, через которые идёт трафик (мало кто открывает прямое соединение - дорого). Да и смысл: от шпаны помогает шифрование, а кому надо снимут почту без проблем с конечного сервера.

Ну и вдогонку: вы же понимаете, что невскрываемых замков, невзламываемых сейфов и неломаемых шифров не бывает.

И вспомните, несколько лет назад был скандал именно со стороны служб (http://www.gazeta.ru/news/lastnews/2011/04/08/n_1784533.shtml), что они не могут слушать Скайп и Гмейл. Голактеко опасносте: давайте запретим их использование, вдруг террористы чего удумают. Ну не закрыли же. Скайп, кажется, даже признал открыто, что открыл доступ.

HTTPS соединение перехватывается с помощью Man-In-The-Middle Attack. Вот, например, ссылка: http://www.redline-software.com/rus/support/articles/security/authentication/man-in-the-middle-attacks-part4.php.

Соответственно, весь трафик доступен атакующему компьютеру.

"Защита от перехвата SSL: Необходимо убедиться в том, что используется защищенное HTTPS подключение - когда выполняется вышеописанная атака, она убирает все аспекты защиты подключения, что можно увидеть в браузере. Это означает, что если вы входите в свой банковский аккаунт через интернет и замечаете, что это простое HTTP подключение, высока вероятность того, что что-то не так. Независимо от модели браузера, необходимо уметь различать защищенные подключения и незащищенные."

А вот еще полезная ссылка небезызвестного тролля НТВ. http://ntv.livejournal.com/272969.html.

Предлагается использовать.
1. VPN клиент. Платно.
2. ТОР браузер. http://ru.wikipedia.org/wiki/Tor
3. сеть I2P

Китайцы точно ломали, в том числе и почту тех, кто находился в других странах.

++
плавали,знаем.

Если ошибаюсь, пусть специалисты поправят

Данные по протоколу https шифруются не в моем компьютере, а уже на сервере gmail.

Т.е. от меня через провайдера (где и подключена СОРМ) к серверу идут незашифрованные данные.


Насколько я понимаю, для защиты своих данных от несанкционированного доступа надо использовать VPN, предусматривающий шифрование данных в компьютере пользователя.
Как пользоваться VPN, могут рассказать специалисты.

Skype шифрует данные в компьютере пользователя, но я не уверен в его полной надежности после того, как его приобрел Microsoft.
В Китае Skype идет на поводу у властей:
<http://obschenie.com/news/213_kitaiskii-skype-voruet-informaciu-polzovatelei.html>

Re: Если ошибаюсь, пусть специалисты поправят

Ошибаетесь. Протокол HTTPS шифрует именно данные между клиентом и сервером.

Edited at 2013-01-23 02:15 pm (UTC)

подтверждаю. читают и г-мыло и соц-сети. :-)
ради нашего же блага.
(интересно, будет ли это сообщение удалено)

я вообще редко удаляю коменты. Только тогда, когда в комментарии немотивированный мат и оскорбления в отношении других читателей

если компьютер подключен к интернет,
быть уверенным на 100% в защищённости информации невозможно.

нет, не пошутил. согласно СОРМ-2 все ваши хождения по инету протоколируются у оператора связи. прочитать жмайловую почту в момент отправления больших проблем не составляет, если задача такая стоит. про соцсети и т.п. вообще говно вопрос - владельцы сами все сольют, если в канале перехватить не удалось.
Проблема безопасной коммуникации через инет очень сложная и для чайников в ИБ нерешаемая. Не понимая сути (или не имея "куратора") никаие торы и т.п. не помогут

p.s. ваши - имелось ввиду не лично Муртазин И, а просто человек, подключенный к инету :)
P.P.S. Это кстати везде так, у пиндосов и бритов еще хуже.

прочитать жмайловую почту в момент отправления больших проблем не составляет, если задача такая стоит

Допустим, я выше написал бред, и данные шифруются между клиентом и сервером, как и положено.

Ну, объясните, если вы такой шибко умный, как же спецслужбы gmail-почту в момент отправления могут прочесть?

Имея доступ к физическому оборудованию все можно, и ссл не спасет.

Ирек, у меня нет недоверия к Гуглу, но я бы всем советовал не заниматься чем-либо незаконным в Интернете. Гугл пока входит в Российское правовое поле, начиная с офиса в Москве, отсюда взаимодействие со спецслужбами в ускоренном режиме. Ни GMail, ни HTTPS, ни SSL/TLS панацеей для настоящих взломщиков не является. Я уже не говорю о том, что подавляющее большинство Интернет пользователей сидят под вечно дырявой затрояненной виндой. Более менее "вне нашего правого поля" можно назвать почтовик ZOHO. Есть в РФ и службы, предоставляющие довольно уникальные услуги секретной связи, даже подключившись к которым, невозможно ничего доказать.

"Я уже не говорю о том, что подавляющее большинство Интернет пользователей сидят под вечно дырявой затрояненной виндой".
+++
Я уже писал о том, что нужно с флешки линукс пускать, для вступления в "порочащие связи".

И Гугл и Скайр по требованию ФСБ России слили все свои коды безропотно примерно год тому назад.
"Касперский" может защитить только от тупых самоучек хакеров.
Практичести для рядового юзера секретность в сети всего лишь фикция.
Если уже взламывали сайты Пентагона США, то...

Ирек, если сайт gmail'а отображается у Вас с зелёным замочком, то от банального перехвата «человек посередине» Вы защищены. Но! По нашему закону все средства шифрования подлежат обязательной сертификации в ФСБ. Сертификация подразумевает предоставление универсальных ключей для дешифровки. Помнится у MS IE были большие проблемы с этим в своё время. И в итоге они выпускали различные версии браузеров для России и для остального мира. По идее, firefox и chrome, как браузеры с исходным кодом, должны быть свободны от подобных фсбэшных закладок. Кроме того, можно пользоваться дополнительными средствами шифрования типа pgp или свободного gpg.
Но использование несертифицированных средств шифрования в нашей стране — само по себе уже криминал.

Протокол HTTPS просто не подразумевает универсальных ключей. Математически.

Даже имея доступ ко всем роутерам на пути к https://gmail.com - вариантов всего три:
1) кейлоггер на компе-клиенте, установленный втихую агентами охранки. Что делать - носи с собой флешку с линуксом, зашифрованным truecrypt, грузись с нее и читай почту только из этого линуха.
Вариант - читать с шифрованной андроид-таблетки.
В старину еще писали видео от фонового излучения ЭЛТ-мониторов, не в курсе как там нынче с этим.
2) подстановка левого сертификата (файл с ключами и подписью) на пути от клиента к серваку - "человек в середине". В принципе возможно, но с большим гемором. Нужна целая спецоперация по хаканию агенства по выдаче сертификатов и украсть у них например действительный сертификат *.google.com (как однажды и проделали). Одноразовая операция с кучей расходов. Совкам от ФСБ - имхо шибко слабо, можно пренебречь вероятностью оного события.
3) хакнуть гугловые серваки или иным способом поиметь с них почту. ФСБ тут скорее всего обломится - если через ФБР не сумеет договориться. Тут все зависит от конкретного провайдера почты. Но имхо - экс-совкам от западных провайдеров ничего не обломится.

Параноик может поднять сервак с почтой где нибудь на дешевом облачном сервисе вроде амазона и зашифровать вообще все, самопальными сертификатами с охрененно длинными ключами.
Если Амазон не пишет логи терминальных сессий - то ФСБ, ФБР и остальные спецслужбы мира вынуждены будут использовать вариации терморектального криптоанализа, а при физической недоступности клиента - сосать лапу.

Ни кто не написал про то, что сами ключи шифрования на операционных системах специально ослаблены, например, вместо 128 бит реально переменные 46, остальные числа константы.

Могу порекомендовать использовать TOR. Он сейчас уже достаточно быстр и удобен.
https://www.torproject.org/

СОРМ пишет на диск все буквы, которые Вы набиваете на клавиатуре, программа-робот сканирует их на ключевые слова УБИТЬ ПУТИНА, БОМБА, ЧЕЧЕНЦЫ и некоторые другие :-)
Для более-менее конфиденциальной переписки можно использовать VPN , тогда, кстати, россиянский список экстремистских материалов будет вам неактуален.
Стоит это удовольствие от 20 долларов (в месяц или в год, в зависимости от набора услуг)


"СОРМ пишет на диск все буквы, которые Вы набиваете на клавиатуре"
А еще залезает в мозг и подсаживает туда обновленную версию марсианина.