Лектор crowe
(19:19:36) crowe: Всех приветствую сегодняшняя лекция будет посвящена шифрованию, так что разберем все основные аспекты, а так же поговорим о шифрование в целом.
(19:20:04) crowe: Я бы хотел обсудить и разобрать фундаментальные основы шифрования, мы изучим симметричное и асимметричное шифрование, так же слегка затронем такие понятия как: хеши, SSL, TLS, сертификаты, перехват данных при помощи утилиты SSLStrip и слабости, связанные с шифрованием. Это фундаментальные знания, необходимые для выбора подходящих средств обеспечения безопасности с целью снижения рисков.
(19:20:19) crowe: Многие из вас если копнуть глубже вообще не имеют ни малейшего представления о своей безопасности и конфиденциальности. Они лишь только слепо могут возражать, основываясь на мнениях других людей.
(19:20:38) crowe: Но когда речь идет о безопасности и о вашей конфиденциальности. Только Вы можете выступать гарантом своей безопасности, и никто другой.
(19:20:55) crowe: Но наверняка уже некоторые смышленые ребята зададутся вопросом: "А как я могу выступать гарантом своей безопасности если я ничего не знаю о ней?"
(19:21:10) crowe: Один из принципов который вы должны освоить - это принцип планирования. Все ваши действия должны быть четко спланированы.
(19:21:23) crowe: Но для того чтобы что-то спланировать необходимо разбираться в данной области, да и ответить себе на вопросы, а что это такое и для чего это надо?!
(19:21:37) crowe: В целом, шифрование состоит из 2-ух составляющих зашифровывание и расшифровывание.
(19:21:47) crowe: С помощью шифрования обеспечиваются 3-и состояния безопасности информации:
(19:21:54) crowe: 1. Конфиденциальность – шифрование используется для скрытия информации от не авторизованных пользователей при передаче или при хранении.
(19:21:58) crowe: 2. Целостность – шифрование используется для предотвращения изменения информации при передаче или хранении.
(19:22:03) crowe: 3. Идентифицируемость – шифрование используется для аутентификации источника информации и предотвращения отказа отправителя информации от того факта, что данные были отправлены именно им.
(19:22:16) crowe: Для того, чтобы прочитать зашифрованную информацию, принимающей стороне необходимы ключ и дешифратор ( устройство, реализующее алгоритм расшифровывания ).
(19:22:44) crowe: КСТАТИ: Идея шифрования состоит в том, что злоумышленник, перехватив зашифрованные данные и не имея к ним ключа, не может ни прочитать, ни изменить передаваемую информацию.
(19:23:32) crowe: Давайте представим закрытою дверь на замок, для того чтобы узнать, что находится по ту сторону двери нам необходимо открыть ее ключом от этого замка.
(19:23:45) crowe: Так и в случае шифрования данных. Только вместо замка у нас выступает алгоритм шифрования данных, а вместо ключа секретный ключ ( пароль ) для дешифровки данных.
(19:24:05) crowe: Цели шифрования
(19:24:30) crowe: Основная цель шифрования применяется для хранения важной информации в зашифрованном виде.
(19:24:36) crowe: Вообще шифрование используется для хранение важной информации в ненадежных источниках и передачи ее по незащищенным каналам связи. Такая передача данных представляет из себя 2-а взаимно обратных процесса:
(19:24:44) crowe: 1. Перед отправлением данных по линии связи или перед помещением на хранение они подвергаются зашифровыванию.
(19:25:01) crowe: 2. Для восстановления исходных данных из зашифрованных к ним применяется процедура расшифровывания.
(19:26:37) crowe: Шифрование изначально использовалось только для передачи конфиденциальной информации. Однако впоследствии шифровать информацию начали с целью ее хранения в ненадежных источниках. Шифрование информации с целью ее хранения применяется и сейчас, это позволяет избежать необходимости в физическом защищенном хранилище ( usb, ssd диски ).
(19:27:24) crowe: КСТАТИ: Примеры мы разберем в методах шифрования и уже наглядно увидим всю суть, так что не переживайте по этому поводу.
(19:27:28) crowe: Какие имеются методы шифрования:
(19:27:38) crowe: 1. Симметричное шифрование – использует один и тот же ключ и для зашифровывания, и для расшифровывания.
(19:27:52) crowe: 2. Асимметричное шифрование – использует 2-а разных ключа: один для зашифровывания ( который также называется открытым ), другой для расшифровывания ( называется закрытым ) или наоборот.
(19:29:01) crowe: Эти методы решают определенные задачи и обладают как достоинствами, так и недостатками. Конкретный выбор применяемого метода зависит от целей, с которыми информация подвергается шифрованию.
(19:29:49) crowe: Для того чтобы сделать правильный выбор в подходе по шифрованию, какой метод шифрования где применять, и ответить на другие сопутствующие вопросы, Вам будет необходимо понимать, что такое шифрование, как я и говорил ранее.
(19:30:05) crowe: Исходя из инфографики выше (ссылка), мы можем наглядно разобрать принцип работы шифрования
(19:30:09) crowe: — Отправитель отправляет зашифрованное сообщение: "Привет, Marfa"
(19:30:12) crowe: — Злоумышленники перехватывают данное сообщение, но так как у них нет ключа для дешифровки они лишь видят набор символов: "%#&$!"
(19:30:16) crowe: — Получатель, имея ключ дешифровки, с легкостью может прочитать сообщение которое отправил отправитель в зашифрованном виде, и он уже видит текст отправителя в первозданном виде: "Привет, Marfa"
(19:31:01) crowe: Не будет преувеличением сказать, что шифрование – это самый лучший инструмент, который только есть в нашем арсенале для защиты от хакеров и слежки.
(19:31:16) crowe: Шифрование – это метод преобразования данных, пригодных для чтения человеком, они называются незашифрованным текстом, в форму, которую человек не сможет прочитать, и это называется зашифрованным текстом. Это позволяет хранить или передавать данные в нечитабельном виде, за счет чего они остаются конфиденциальными и приватными.
(19:31:34) crowe: Дешифрование – это метод преобразования зашифрованного текста обратно в читабельный человеку текст. Если вы осуществите простой поиск в Google, то увидите здесь надпись HTTPS и наличие зеленой иконки замка, это означает, что все содержимое веб-страниц недоступно для чтения людям, которые отслеживают передачу данных по сети.
(19:31:51) crowe: Проще говоря или симметричное шифрование
(19:32:02) crowe: Есть два основных компонента шифрования:
(19:32:10) crowe: 1. Алгоритм шифрования – известен публично и многие, многие люди тщательно его изучили в попытке определить, является ли алгоритм сильным.
(19:32:16) crowe: 2. Секретный ключ – можете представить, что секретный ключ – это пароль и он должен держаться в тайне.
(19:32:41) crowe: Алгоритм можно представить, как замок, а секретный ключ – это ключ к этому замку ( см. На инфографике ссылка выше ).
(19:32:55) crowe: В симметричных криптосистемах для шифрования и расшифровывания используется один и тот же ключ.
(19:33:11) crowe: Исходя из инфографики выше давайте рассмотрим пример, я хочу отправить Марфе какой-то файл, но я не хочу, чтоб какие-то 3-и лица могли его просмотреть. Для наглядности и простоты использования я решил зашифровать данный файл программой 7-Zip.
(19:33:24) crowe: По этой же аналогичной структуре шифруются сектора/диски в VeraCrypt, TrueCrypt, так же возьмем для примера.
(19:33:37) crowe: Давайте разберем скриншот выше:
(19:33:43) crowe: 1. Алгоритм шифрования – это математический процесс преобразования информации в строку данных, которые выглядят как случайный набор символов и букв.
(19:33:48) crowe: 2. Хэш-функция – это преобразования входных данных, в нашем случае в выходную битовую строку. Задача функции обеспечивать целостность и позволять обнаружить непреднамеренные модификации.
(19:33:52) crowe: 3. AES-256 – указывает какой алгоритм используется ( AES ) и какой размер блока ( 256 ), как мы видим в 7-Zip нет возможности детальной настройки, нежели как в VeraCrypt.
(19:33:57) crowe: 4. При помощи введенного пароля будет сгенерирован ваш ключ для выбранного алгоритма шифрования ( в нашем случае AES-256 ), для дешифровки вам надо будет указать алгоритм дешифровки если имеется и ввести пароль
(19:34:17) crowe: На выходе мы получаем зашифрованный архив, который для распаковки и получении информации, что находится внутри необходимо ввести ключ дешифровки, говоря простым языком пароль.
(19:34:22) crowe: Вы могли заметить, что для зашифровки был использован симметричный алгоритм блочного шифрования – Advanced Encryption Standard ( AES ).
(19:34:27) crowe: В данном алгоритме используется только 1-н ключ, ключ создается при помощи нашего пароля ( см. 4 пункт для наглядности преобразования )
(19:34:34) crowe: Так же Вы можете выбрать какой размер блока будет использован 128 / 256 / 512 / 1024 бит, в нашем случае были лишь варианты 256 бит и 512 бит.
(19:34:44) crowe: КСТАТИ: Представьте себе дверь и множество замков на ней. У вас займет много времени, чтобы открыть или закрыть эту дверь. Также и с алгоритмами, чем выше битрейт, тем сильнее алгоритм, но тем медленнее он шифрует и дешифрует, можете считать это стойкостью алгоритма.
(19:34:55) crowe: 256 / 512 бит – это также и объем ключевого пространства, то есть цифра, обозначающая суммарное количество возможных различных ключей, которые вы можете получить при помощи этого алгоритма шифрования.
(19:35:03) crowe: КСТАТИ: Для взлома симметричного шифра требуется перебрать 2^N комбинаций, где N длина ключа.
(19:35:13) crowe: Для взлома симметричного шифрования с длиной ключа 256 бит можно создать следующее количество комбинаций, то есть возможных ключей: 2^256 = 1.1579209e+77 или если разложить 1.1579209e * 10^77 при расчете получается следующее число возможных вариаций ( это 78-разрядное число ).
(19:35:28) crowe: 2^256 = 115792089237316195423570985008687907853269984665640564039457584007913129639936
(19:35:56) crowe: Если что можете проверить сами это число тут http://kalkulyatoronlajn.ru/
(19:36:22) crowe: Таким образом, для всех, кто сомневается в безопасности шансов столкновения 2 ^ 256, есть число: есть вероятность того, что столкновение будет иметь 1-н из более чем 1.1579209e*10^7= 78-разрядному числу ( то число которое выше )
(19:36:40) crowe: Все это означает, что ключ крайне сложно подобрать, даже при помощи очень мощных компьютеров, но при условии, что вы использовали длинный и рандомный пароль при генерации ключа.
(19:36:50) crowe: КСТАТИ: Про пароль поговорим отдельно, какой использовать и т.д. Вместе с програмами и почему. Чтобы не засорять вам мозг не нужной информацией на данном этапе, так что ввнезабивайте голову, сейчас обо всем поговорим..
(19:36:56) crowe: Люди и правительства постоянно пытаются взломать алгоритмы шифрования. В этой статье я дам вам список алгоритмов, которые хороши, а которые нет, какие из них поддаются взлому, а какие на сегодняшний день невозможно взломать.
(19:37:28) crowe: Алгоритмы симметричного шифрования
(19:37:36) crowe: 1. Data Encryption Standard ( DES ) – алгоритм для симметричного шифрования, разработанный фирмой IBM и утверждённый правительством США в 1977 году как официальный стандарт ( FIPS 46-3 ). Размер блока для DES равен 64 бита.
(19:37:57) crowe: 2. Triple-DES ( 3DES ) – симметричный блочный шифр, созданный в 1978 году на основе алгоритма DES с целью устранения главного недостатка последнего малой длины ключа ( 56 бит ), который может быть взломан методом полного перебора ключа.
(19:38:09) crowe: 3. Blowfish – криптографический алгоритм, реализующий блочное симметричное шифрование с переменной длиной ключа
(19:38:17) crowe: 4. RC4 – потоковый шифр, широко применяющийся в различных системах защиты информации в компьютерных сетях ( например, в протоколах SSL и TLS, алгоритмах обеспечения безопасности беспроводных сетей WEP и WPA ).
(19:38:23) crowe: 5. RC5 – это блочный шифр, разработанный Роном Ривестом из компании RSA Security Inc. с переменным количеством раундов, длиной блока и длиной ключа. Это расширяет сферу использования и упрощает переход на более сильный вариант алгоритма.
(19:38:28) crowe: 6. RC6 – симметричный блочный криптографический алгоритм, производный от алгоритма RC5.
(19:38:59) crowe: 7. Advanced Encryption Standard ( AES ) – симметричный алгоритм блочного шифрования ( размер блока 128 бит, ключ 128/192/256 бит ), принятый в качестве стандарта шифрования правительством США по результатам конкурса AES. Этот алгоритм хорошо проанализирован и сейчас широко используется, как это было с его предшественником DES.
(19:39:05) crowe: Симметричные алгоритмы используются в большинстве систем шифрования, которые Вы используете ежедневно: HTTPS, Полное шифрование диска ( TrueCrypt, VeraCrypt и другие ), Шифрование файлов ( 7-Zip, WinZip и другие ), Tor, VPN. Практически везде используется симметричное шифрование
(19:40:18) crowe: КСТАТИ: Advanced Encryption Standard ( AES ) – это общепринятый стандарт симметричного шифрования. Для максимальной защиты используйте AES-256 где это возможно,. AES быстрый и на сегодняшний день его невозможно взломать ( При условии что пароль у вас сильный, про это будет ниже ).
(19:40:45) crowe: Асимметричное шифрование
(19:40:51) crowe: Очень умные люди изобрели это шифрование с использованием открытого и закрытого ключей и алгоритмы, основанные на сложности определенных математических задач. Я не буду обращаться в математические детали, потому что их понимание не обязательно для вашей защиты.
(19:41:05) crowe: Для правильного выбора средств защиты вам лишь достаточно иметь базовое понимание алгоритмов и стойкости алгоритмов, а также криптографических систем, которые вы собираетесь использовать.
(19:41:30) crowe: Как мы знаем в симметричном методе шифрование используется 1-н секретный ключ, тогда как в асимметричных методах шифрования ( или криптографии с открытым ключом ) для зашифровывания информации используют один ключ ( открытый ), а для расшифровывания другой ( секретный ). Эти ключи различны и не могут быть получены один из другого.
(19:41:41) crowe: Давайте сразу же закрепим данный материал
(19:41:52) crowe: Симметричный метод шифрования – 1-н ключ, использует один и тот же ключ и для зашифровывания, и для расшифровывания.
(19:41:58) crowe: Асимметричный метод шифрования – 2-а ключа открытый ( публичный от англ. Public ) и закрытый ( приватный от англ. Private )
(19:43:46) crowe: Итак, у нас есть файл для Марфы, который если Вы помните в разделе симметричного шифрования ( см. Скриншот выше ) был зашифрован с помощью программы 7-Zip с использованием алгоритма шифрования AES-256 и сильного пароля, но как нам доставить пароль Марфе, чтобы она смогла дешифровать файл?
(19:43:58) crowe: КСТАТИ: Самый лучший способ, что-либо передать и быть уверенным в доставке информации указанному адресату это лично в руки.
(19:44:05) crowe: Но это не очень хорошая затея, так как мы можем попросту не знать где находится адресат, либо он может находится на столько далеко, что доставить что-либо "лично в руки" становится проблематичным, а быть может нам попросту нужна анонимность.
(19:44:14) crowe: Асимметричные алгоритмы ( с применением открытого и закрытого ключа ):
(19:44:26) crowe: 1. RSA ( Rivest-Shamir-Adleman ) – криптографический алгоритм с открытым ключом. Данный алгоритм очень популярен, 1-н из самых распространенных асимметричных алгоритмов из всех, что вы увидите, и я покажу вам, где вообще их искать и как использовать.
(19:44:49) crowe: Криптостойкость этого алгоритма основана на сложности факторизации или разложения больших чисел в произведение простых множителей.
(19:44:52) crowe: 2. ECC ( Elliptic curve cryptosystem ) – распространенный и приобретающий популярность алгоритм. Эта криптографическая система на основе эллиптических кривых, или ECC. Стойкость этого алгоритма опирается на задачу вычисления дискретных логарифмов на эллиптических кривых.
(19:44:56) crowe: 3. DH ( Diffie-Hellman ) – Его стойкость основана на задаче дискретного логарифмирования в конечном поле. Диффи-Хеллман становится все более популярным, потому что у него есть свойство под названием "прямая секретность", мы обсудим его позже.
(19:44:59) crowe: 4. ElGamal – схема Эль-Гамаля, и криптостойкость этого алгоритма также основана на сложности задачи дискретного логарифмирования в конечном поле.
(19:45:03) crowe: ОПРЕДЕЛЕНИЕ: Криптостойкость ( способность криптографического алгоритма противостоять криптоанализу ) – этого алгоритма основана на сложности факторизации или разложения больших чисел произведения простых множителей
(19:45:11) crowe: Эти асимметричные алгоритмы помогают решать проблему обмена или согласования ключей, а также позволяют создавать так называемые электронные цифровые подписи. Так что потенциально мы можем использовать открытый и закрытый ключи, чтобы отправить Марфе наш секретный ключ защищенным образом, без возможности перехвата его содержимого.
(19:45:44) crowe: КСТАТИ: Еще раз отмечу, в алгоритмах с применением открытых и закрытых ключей используются два ключа, а не один, как в симметричном шифровании.
(19:45:56) crowe: Разница в том, что в асимметричном шифровании есть открытый ключ, который создается, чтобы быть известным для любого человека, то есть это публичный ключ, и есть закрытый ключ, который должен всегда храниться в секрете и быть приватным. Эти ключи математически связаны и оба они генерируются в одно и то же время. Они должны генерироваться одновременно, потому что они математически связаны друг с другом.
(19:46:06) crowe: Любой веб-сайт, использующий HTTPS, имеет открытый и закрытый ключи, которые используются для обмена симметричным сеансовым ключом, чтобы отправлять вам зашифрованные данные. Это немного похоже на Zip-файл, который мы видели. Они используют эти открытые/закрытые ключи и затем им нужно отправить другой ключ, типа ключа, который мы используем для Zip-файла, с целью осуществить шифрование ( end-to-end разберем позже )
(19:46:26) crowe: ЗАПОМНИТЕ КАК ОТЧЕ НАШ И ЗАУЧИТЕ ПОЙМИТЕ И ВСЕ В ЭТОМ РОДЕ
(19:46:33) crowe: Если Вы шифруете при помощи закрытого ключа, Вам нужен открытый ключ для дешифровки
(19:46:37) crowe: Если Вы шифруете при помощи открытого ключа, Вам нужен закрытый ключ для дешифровки
(19:46:51) crowe: В асимметричном шифровании, если сообщение зашифровано 1-им ключом, то необходим 2-ой ключ для дешифровки этого сообщения. Если вы шифруете при помощи закрытого ключа, то вам нужен открытый ключ для дешифровки.
(19:47:10) crowe: Если вы шифруете при помощи открытого ключа, то для дешифровки вам нужен закрытый ключ. Невозможно зашифровать и дешифровать одним и тем же ключом, и это крайне важно. Для шифрования или дешифрования вам всегда нужны взаимосвязанные ключи.
(19:47:41) crowe: Но зачем шифровать при помощи открытого или закрытого ключа? Какая разница? Какой смысл в их использовании? Почему бы не использовать только один из них?
(19:48:13) crowe: Специально для вас я нарисовал инфографику чтобы просто и легко объяснить всю полезность этих ключей и как их можно использовать.
(19:49:07) crowe: КСТАТИ: В этой инфографике рассматриваются 2-а направления шифрования, сначала мы разберем с зелеными стрелочками, а потом с красными.
(19:49:31) crowe: 1 способ ( зеленые стрелочки )
(19:49:42) crowe: На способе с зелеными стрелочками показано, что отправитель шифрует при помощи открытого ( публичного ) ключа получателя, Марфы, то это означает, что вам нужны анонимность и конфиденциальность, чтобы никто не смог прочитать сообщение, кроме получателя.
(19:49:54) crowe: ВАЖНО: Допустим Вы зашифровываете файл при помощи открытого ключа получателя. Сообщение может быть расшифровано только человеком, обладающим подходящим закрытым ключом, то есть закрытым ключом Марфы.
(19:50:10) crowe: Так как мы знаем, что данные ключи взаимосвязаны, одним шифруем другим дешифруем и ни как иначе.
(19:50:25) crowe: Получатель ( Марфа ) не может идентифицировать отправителя этого сообщения. Так как открытый ( публичный ) ключ на то и открытый, что он выкладывается в обычно в общий доступ, и любой может использовать открытый ( публичный ) ключ Марфы для шифрования.
(19:50:44) crowe: Когда отправитель шифрует при помощи открытого ключа получателя, сообщение конфиденциально и оно может быть прочитано лишь получателем, у которого есть закрытый ключ для дешифрования сообщения, но как я и говорил ранее возможности идентификации отправителя нет, при условии конечно если Вы сами не пришлете там каких либо данных для последующей Вас идентификации
(19:51:05) crowe: 2 способ ( красные стрелочки )
(19:51:21) crowe: Все выше сказанное выливается во 2-ой способ использования открытый ( публичных ) и закрытых ( приватных ) ключей.
(19:51:48) crowe: Если вы шифруете своим собственным закрытым ключом, то это означает, что вы заинтересованы в аутентификации. В этом случае вам важно, чтобы получатель знал, что именно вы отправили зашифрованное сообщение. Для этого вы шифруете при помощи своего закрытого ключа. Это наделяет уверенностью получателя, что единственным человеком, который мог зашифровать эти данные, является человек, который владеет этим закрытым ключом, Вашим закрытым ключом.
(19:52:17) crowe: ПРИМЕР: Вы создатель какого-то программного обеспечения, но правительство негодует и всячески препятствует вашей деятельности. Смоделируем такую ситуацию:
(19:52:31) crowe: Допустим, я хочу скачать это программное обеспечение, здесь указан хеш-сумма этого файла, однако, если веб-сайт скомпрометирован, то это означает, что злоумышленники могли подменить данный файл для загрузки и добавить к нему троян или что-то для слежки за мной, и они также могли подменить и контрольную сумму.
(19:52:39) crowe: итак, этот хеш ничего не значит. Он не поможет обнаружить преднамеренную модификацию файла. Нам нужно что-то еще для удостоверения, что данный сайт это в действительности официальный сайт программного обеспечения.
(19:53:03) crowe: И здесь мы подходим к сертификатам, цифровым подписям и другим средствам. Все эти документы, получаются в результате криптографического преобразования информации с использованием закрытого ключа подписи и позволяющий проверить отсутствие искажения информации в электронном документе с момента формирования подписи ( целостность ), принадлежность подписи владельцу сертификата ключа подписи ( авторство ), а в случае успешной проверки подтвердить факт подписания электронного документа ( неотказуемость )
(19:53:12) crowe: Об этом поговорим позже..
(19:53:16) crowe: Шифрование данных с помощью закрытого ключа отправителя называется форматом открытого сообщения, потому что любой человек, обладающий копией соответствующего открытого ( публичного ) ключа, может дешифровать сообщение.
(19:53:25) crowe: Можете считать это, как если бы вы официально поместили что-либо в Интернет для публичного доступа, и поскольку вы зашифровали его своим закрытым ключом, любой может убедиться, что именно вы, оставили это сообщение. Конфиденциальность или анонимность в данном случае не обеспечивается, но обеспечивается аутентификация отправителя, то есть вас.
(19:53:35) crowe: Далее. Когда различные технологии шифрования используются в комбинации, типа тех, о которых мы уже говорили ранее, поскольку они все могут быть использованы в комбинации и не могут использоваться по отдельности, то они называются криптографической системой, и криптосистемы могут обеспечить вас целым рядом средств обеспечения безопасности.
(19:53:41) crowe: Криптографическая система могут обеспечить вас целым рядом средств безопасности. В числе этих средств:
(19:53:56) crowe: 1. Конфиденциальность – необходимость предотвращения утечки ( разглашения ) какой-либо информации.
(19:54:02) crowe: 2. Аутентификация – процедура проверки подлинности, то есть мы знаем что Марфа это реально Марфа и ни кто другой.
(19:54:21) crowe: 3. Предотвращение отказа – что означает что если вы отправили шифрованное сообщение то позже вы не сможете начать отрицать этот факт
(19:54:34) crowe: 4. Достоверность – подлинность того что сообщение не было модифицировано каким либо образом
(19:54:42) crowe: Примерами криптосистем являются любые вещи, которые используют технологию шифрования, это: PGP, BitLocker, TrueCrypt, VeraCrypt, TLS, даже BitTorrent, и даже 7-Zip который мы использовали для шифрования файла в симметричном способе шифрования.
(19:55:04) crowe: НАПРИМЕР: Для того чтобы мы могли послать наш файл Марфе, мы можем использовать открытый ключ Марфы для шифрования файлов, или для передачи чего угодно в зашифрованном виде.
(19:55:26) crowe: Но для начала, конечно, нам потребуется открытый ключ Марфы, нам достаточно получить его 1-н раз неким защищенным способом, это важно, и после этого мы сможем всегда посылать зашифрованные сообщения, доступные для чтения исключительно Марфе.
(19:55:49) crowe: PGP – Это система которую мы можем использовать для этих целей, она использует технологию шифрования сообщений, файлов и другой информации, представленной в электронном виде
(19:56:06) crowe: ОПРЕДЕЛЕНИЕ: PGP ( Pretty Good Privacy ) – компьютерная программа, также библиотека функций, позволяющая выполнять операции шифрования и цифровой подписи сообщений, файлов и другой информации, представленной в электронном виде, в том числе прозрачное шифрование данных на запоминающих устройствах, например, на жёстком диске.
(19:56:27) crowe: Для этих целей мы можем использовать Jabber + PGP.
(19:56:39) crowe: Об этом чуть позже.
(19:56:50) crowe: Но давайте вернемся к шифрованию. Когда речь заходит о криптографии с использованием открытых и закрытых ключей или асимметричном шифровании, есть как сильные, так и слабые стороны.
(19:57:00) crowe: Асимметричное шифрование – открытые и закрытые ключи:
(19:57:10) crowe: 1. Лучшее распределение ключей так как Марфа может поместить свой открытый ключ прямо себе в подпись и любой человек будет иметь возможность посылать ей зашифрованные сообщения или данные, которые сможет прочитать только она.
(19:57:25) crowe: 2. Масштабируемость — если вы используете симметричные ключи и желаете отправить ваш файл Марфе и, скажем, еще 10-ти людям, вам придется передать свой пароль 10 раз. Это совершенно не масштабируемо. Асимметричные алгоритмы имеют более хорошую масштабируемость, нежели чем симметричные системы.
(19:57:33) crowe: 3. Аутентификация, предотвращение отказа — это означает, если вы отправили шифрованное сообщение, то позже вы не сможете начать отрицать этот факт. Так как оно было зашифровано личным приватным ключом, вашим приватным ключом
(19:57:51) crowe: 4. Медленные — если вы посмотрите на длину сообщения в битах ( см. скриншот ниже ) после работы асимметричных алгоритмов, то заметите, что она гораздо больше, чем у алгоритмов шифрования с симметричными ключами, и это свидетельство того, насколько они медленнее.
(19:57:58) crowe: 5. Математически-интенсивные — Чем больше длинна в битах, тем больше число математических операций, а, следовательно, большая нагрузка на систему.
(19:58:13) crowe: Симметричное шифрование – закрытый ключ:
(19:58:20) crowe: 1. Быстрые — если вы посмотрите на длину сообщения в битах ( см. скриншот ниже ) после работы симметричных алгоритмов, то заметите, что она гораздо меньше, чем у алгоритмов шифрования с асимметричными ключами, и это свидетельство того, насколько они быстрее.
(19:58:55) crowe: 2. Надежные — Посмотрите на вышеописанное по поводу AES-256 где был с расчетом числа 2^256 и убедитесь сами, а ведь есть и 384 / 512 /1024 и более..
(19:59:26) crowe: Для наглядной демонстрации посмотрите на этот скриншот ниже
(19:59:56) crowe: Для того чтобы закрепить материал, вернемся к аналогии с количеством замков на двери. С открытыми и закрытыми ключами на двери висит много-много замков, так что шифрование и дешифрование занимает гораздо больше времени. Для центрального процессора это большой объем математических операций, вот почему существуют гибридные системы, или гибридные криптографические системы.
(20:00:08) crowe: Открытые и закрытые ключи используются для обмена ключами согласования, и мы используем симметричные алгоритмы типа AES для шифрования данных, тем самым извлекая максимальную выгоду. HTTPS, использующий протоколы TLS и SSL, является примером подобного типа гибридных систем, как и PGP.
(20:01:48) crowe: На этом первую часть завершим, пока отойду налью кофейку, можете отписать кто-то на счет отзывов к примеру, я буду рад : )
Ну и пишите в привычном режиме ? а я уже отвечу на все вопросы.
И еще раз скину, и уже отвечу на вопросы по VPN
(20:01:57) crowe: Кто писал по подъему собственного VPN сервера или серверов:
Так как вы задете практически одни и те же вопросы отвечу сразу, если вы все сорбрались тут.
Цена настройки сервера, лично для тех кто проходит это обучение 50$ + 3-10 долларов стоит 1н сервер, за него вы доплачиваете сверху конечно же.
Если вы собираетесь брать со своим другом или подругой без проблем, в таком варианте можно придусмотреть скидку, и разместить вас на одном сервере либо на разных, но чем больше количество тем меньше цена конечно же по настройке сервера.
По поводу серверов и его нстройки. Все сервера без логов, можно сделать даже акк вам для просмотра этих параметров, а не идут ли логи, разумеется без прав редактирования и т.д.
Чтоб не уронили сервер и мне лишний раз не надо создавать геморой. По факту могу сказать, что сервера закроются моим приватным ключом, что это такое и как безопасно разберем завтра.
Сумму за настройку сервера, вы оплачиваете единожды, далее чисто оплачиваете сам сервер 3-10 долларов. Если больше человек на 1м сервере то меньше в месяц платите.
По поводу подключения единовременного все зависит от сервера, а так хоть сколько можно создать, но сами понимаете тематика такая и лучше когда вы с проверенным человеком находитесь или в соло.
Если вас не устроил сервер, и вы хотите переехать без проблем перенастрою сервер у нового хостера за чисто символическую цену максимум в 25$ минимум бесплатно, зависит от того скольки людей базируется на сервере. Через предварительное общение.
Так же я заикнулся что могу написать лекцию по протоколам их сравнение и другие факторы что лучше использовать. На покупных серверах обычно используется настройка OpenVPN это конфиги и это не так безопасно есть свои нюансы, куда безопаснее использовать уже более современные методы шифрования трафика, а именно l2tp/ipsec или WireGuard и другие.
Как уже выше упомянуто из этого можно настроить любой протокол.
Какие плюсы своего VPN, вы не зависите от регистратора, на вашем ип только вы либо ваш сотоварищ, вы можете использовать свои конфигурации то есть свой порт тунелирования трафика и другие фичи. Так же гарантирую отсутствие ведение логов за вами.
Могу предоставить доступ для слежение по сути кому нужно как то реализовать этот момент.
Так же могу сегодня для теста поднять вам впн и дать на тестирование, раздать группе желающим, можете бесплатно потестировать так сказать пощупать материал.
Если есть вопросы собственно уже тогда можете задавать.
(20:02:10) crowe: На этом первую часть завершим, пока отойду налью кофейку, можете отписать кто-то на счет отзывов к примеру, я буду рад : )
Ну и пишите в привычном режиме ? а я уже отвечу на все вопросы.
(20:09:42) crowe: Так ребят сегодня зарегаю всех на облаке, туда будут выкладываться лекции, так же скинем дополнительный материал по обучению, ссылки, прочие, документации, попытаемся развить это направление.
Вы будете первой группой, собственно будем тестировать с вами этот сервис с облаком зайдет не зайдет.
По факту все шифруется, но сервак конешно не очень, со скоростью лично там не ахти, но за то свое и все в одном месте, в общем был бы признателен там за ответы советы и стоит ли развиваться в данном направлении в общем зарегаю скину пароль, ссылку и логин ваш, пароль сможете сменить так же прикрутить 2-х факторку.
Не флудите, уважайте своих товарищей.
(20:10:14) kkkkk: 1) "Асимметричные алгоритмы имеют более хорошую масштабируемость, нежели чем симметричные системы."
В чем выражается масштабируемость? Можно пример?
2) В нашем деле есть пример использования ассимитричного шифрования?
(20:15:08) crowe: 1) "Асимметричные алгоритмы имеют более хорошую масштабируемость, нежели чем симметричные системы."
В чем выражается масштабируемость? Можно пример?
Например Манс чекает базы. С этим познакомитесь в процессе обучения, или у вас там есть группа, вроде кто по старше можете там осбудить и подробно изучить мой вопрос и что я имел ввиду.
В общем. Манс чекает базы, и после чека пишет свой вердикт сколько гшудов прочее, и т.д. все в этом духе, Ассиметричный алгоритм шифрования может дать ему возможность подписать этот документ его цифровой подписью и как бы заверить его, сделав на нем какой-то сертификат качества, все люди могут проверить является ли эта цифровая подпись легитимной (завтра этот момент разберем) то есть все люди у кого будет присутствовать открытый ключ манса, могут удостовериться в зашифрованной информации или
(20:15:13) crowe: Пока вы не знаете про цифрповые подписи
(20:15:24) crowe: Просто Манс шифрует в таком случае своим приватным ключом
(20:15:31) crowe: А все могут расшифровать эту инфу только его публичным ключом
(20:15:39) crowe: При этом установится масштабируемость
(20:15:49) crowe: Так как только публичным ключом манса можно расшифровать, этим ты гарантируешь
(20:15:56) crowe: масштабируемость именно от пользователя
(20:16:00) crowe: То есть во главе где стоит манс
(20:16:09) crowe: В общем думаю понятно
(20:16:19) crowe: На 2 вопроса думаю сразу твои ответил
(20:16:24) crowe: Куча примеров и возможностей
(20:16:35) qnooup: 1. Методы стеганографии как-то применяются в работе?
2. Ассиметричный на примере работает примерно так - зашифровываем публичным AES, расшифровываем условным паролем: qwerty?
(20:18:58) crowe: 1. Конечно применяйте, все от вас же зависит.
(20:19:00) crowe: 2 щас отвечу
(20:24:05) crowe: http://i.imgur.com/BCafhqn.png - там слегка отличается ну собственно пойдет для примера создаем взаимопару приватный и публичный
(20:24:15) crowe: http://i.imgur.com/xOZfYgx.png - слева приватный ключ справа публичный
(20:24:24) crowe: одним шифруешь другим дешифруешь
(20:24:45) crowe: приватный так же с парольной фазой идет симметричной
(20:25:31) gamal: каким методом можно будет передать код марфе?(можно пример?)
от чего зависит цена за 1н сервер на впне?
доступ к облаку можно будет получить как и с пк,так и с телефона?
(20:27:04) crowe: 1. Зависит от ситуации, вообще просто верифнуть ее через отр по отпечатку через форум
(20:27:24) crowe: и уже потом когда по отр верифнулди можно прямо туда и кинуть
(20:27:41) crowe: либо другим шифрованным источником которому вы доверяете и уверены что марфа это действительно марфа
(20:30:03) crowe: 1. 50 баксов это настройка, 3-10 долларов обычно от страны размещения, количества трафика, железа сервера, ну и собственно от чего зависит хлеб в вашей пекарни, от руководства пекарни собственно тут так же, как решит хостер, а так от мозностй и т.д. например надо искать где канал по скоростнее где железо по лучше и т.д. все варьируется. Ну и от качества какой хостер например заботиться о безопасности он как правило играет на этом и берет больше бабок за это.
да про облако это https://nextcloud.com можете в нете почитать, опенсорсное и т.д. я может сделаю лекцию по этому если заедет, пока все в тестовом бета тесте так сказать.
(20:30:23) alex666666: Когда нужен свой vpn? с какой недели обучения?
(20:30:57) crowe: Уже должен по сути быть
(20:31:19) crowe: Могу тестовые впн раздать, в той группе по сути так делали у меня сидели там недели 2 или 3 на моем впн у меня люди
(20:31:36) crowe: но чет я не хочу лишние 13 выкидывать чтоб вы на тесте сидели )
(20:32:05) crowe: Именно столько стоил ранее сервер, а так в принципе может че нить подкину хз
(20:32:23) crowe: Кароче подумаю сегодня может бабки закину сегодня подниму вам впн на завтра чтоб потестили если будет время не знаю
(20:32:26) crowe: Не обещаю
(20:32:50) Best friend: Подскажите, чем собственный впн лучше покупного, помимо логов? Логи я так понимаю может же хранить хозяин ресурса, который вам продал сервер под поднятие своего впн или я как то не так понимаю?
2. Как в кардинге можно использовать с пользой информацию по методам шифрования, кроме как передачи файлов в архивах, сообщений с PGP и шифрованию хдд трукриптом?\
(20:33:39) Best friend: 3.нАСКОЛЬКО НАДЕЖЕН air VPN?
(20:41:54) crowe: Во первых логи, собственно уверенность что трафик дествителньо шифруется, если нужно будет покажу все для вас , так же можем подключить к ssh чисто проверке в любое время дня и ночи сервера.
В теории хостер может такое сделать, ну как правило тут зависит от того как будет настроен конкретно сервер и другие нюансы. Ну и где размещено. Так как за подобное может хостер просто померять и потерять своих всех клиентов по сути если и дойти дело до суда, так как если у них в политике конфиденциальноси написанно обратное.
2. это когда более прошаренными будете когда разбееретесь, будете сами собой применять данную информацию, завтра будет вторая часть, будут примеры, и еще после завтра, в принципе вы разберете этот момент и дойдете д него самостоятельно.
3. Не знаю, не пользуюсь, собственно судить не возьмусь, есть много информации на просторах интернета. Вообще зависит как поднят впн, как скрывается трафик, что сделано в общем много всего можно сделать.
Вежь существует не только OpenVPN, так же есть более современные и лучшие методы шифрования и тунелирования трафика,Ю скорытия трафика и т.д.
(20:44:16) star8888: кого на ютубе посмотреть на тему шифрования? на слух лучше воспринимается)
(20:45:23) crowe: Да я не знаю даже, но лучше смотреть наверно в англо среде типо по запросам
(20:45:30) crowe: how encryption works
(20:45:32) crowe: what is encryption
(20:45:35) crowe: encryption is
(20:45:37) crowe: and etc
(20:45:51) crowe: А так я дам ссылки во второй части на ютуб думаю в принципе там будет небольшой разбор
(20:45:55) crowe: И я вродже давал вам тему
(20:45:56) crowe: на свю
(20:46:02) crowe: там имеется 7-8 пункт
(20:46:04) crowe: и там слегка описано
(20:47:30) crowe: домашнее вам задание ознакомиться с данной статьей кстати
(20:47:55) zopa: crowe: передумал задавать, Best friend задал тот вопрос который я хотел задать, по поводу мониторинга траффика провайдером. Остальные думаю будут в следующих уроках, рано пока задавать, спасибо.
(20:48:23) crowe: ок
(20:50:43) Mef: То какие ключи бывают вроде бы понятно , а вот как это все применять на практике , соверщенно не ясно , имею в виду какие программы это делают(кроме вера крипт , тру крипт ) , на какие файлы это наклвдывать нужно, на какие не обязательно , кроме жабы и шифровки внешнего насителя , пригодиться ли это в работе ???? ! )
(20:52:59) crowe: Какие программы, можно почерпнуть из поиска, вы постоянно должны работать на протяжении всего обучения, искать дополнительную информацию и обрабатывать ее, так же на счет программ, в домашнем задание там есть видео, и там есть использование программы для ассиметричного типа шифрования в поиске ищется за 1-3 минуты максимум. Так же мануал в этубе ищется в эти же временные рамки, просто написав тип шифрования и что собственно нужно вам.
(20:53:36) crowe: program for disk encryption
(20:53:41) crowe: programs*
(20:53:49) crowe: programs for file encryoption
(20:53:50) crowe: and etc
(20:53:58) crowe: используйте duckduckgo.com
(20:54:09) crowe: я обычно его использую Гугол так же можете юзкать
(20:54:36) Juice: 1. Возможно ли модифицировать файл, не изменив его контрольную сумму? Ты писал - "и они также могли подменить и контрольную сумму".
Как такое вообще возможно? Контрольная сумма ведь должна быть уникальна и должна меняться даже если изменился 1 байт информации в файле?
2. Можно ли как нибудь убедиться, что покупной впн не логирует трафик, при условии что имеется только конфигурационный файл openvpn?
3. Можно ли в теории подобрать пароль к 256 битному алгоритму шифрования задействовав мощности топовых майнинг пулов?(ну или вообще всех гпу на земле))
4. Сколько ты зарабатываешь?
(21:06:33) crowe: > 1. Возможно ли модифицировать файл, не изменив его контрольную сумму? Ты писал - "и они также могли подменить и контрольную сумму".
По сути возможно, но не рентабельно. так как в основном все хэш файла зависит от веса файла, например вес файла 1 454 458 байт, а файл который подменили 1 594 137 бай и хэш их будет разхличаться и тут надо подгонять идеально, и все зависит от типа еще шифрования так скажем.
По сути нет. Так как придется что-то удалять изх негшо и чем то заменять чтоб заполнить пространостов и т.д. думаю суть ясна, чтоб сохранить и т.д.
Как такое вообще возможно? Контрольная сумма ведь должна быть уникальна и должна меняться даже если изменился 1 байт информации в файле?
Все верно, имеетися ввиду что злоумышленник когда взломает сайт, на сайте выложен например контрольная сумма на скачку http://i.imgur.com/wAv8bnI.png то есть они эту ссылку с контролльными суммами или asс так же могут халить сумму измененого файла и типо это исходит от разхработчиков данного сайта скопроментировав файл где находятся типо легитимные контрольные суммы.
2. Можно ли как нибудь убедиться, что покупной впн не логирует трафик, при условии что имеется только конфигурационный файл openvpn?
Могу сделать доступ по ssh для просмотра, чтоб в любое время дня и ночи делали запросы и проверяли. Без проблем, научу как шариться к примеру и т.д.
3. Можно ли в теории подобрать пароль к 256 битному алгоритму шифрования задействовав мощности топовых майнинг пулов?(ну или вообще всех гпу на земле))
Вам надо капать по битовой силе и т.д. http://i.imgur.com/UrXkP4r.png вот к примеру битовая сила для пароля задана, можете проверить и провести расчет, сколько нужно и т.д. все в паблике есть эти расчеты для высчитывания сколько понадобяться мозности жля перебора и так далее, я не буду заниматься таким. По факту дал инфу вроде в этой части по поводу длинны пароля и возможных вариантах.
4. Сколько ты зарабатываешь?
Ты Юрий Дудь? Или капитан который не получил повышение ?
(21:07:49) prt: Отношение к собственным vpn на nas(qnap/synology)? Вроде они базируются на вполне современных условиях шифрования .
А некоторые модели имеют дополнительно чистый линукс,т.е можно установить рекомендованый WireGuard. Плюсы и минусы в общем и применительно к кардингу?
(21:08:21) portos10: 1.а нашу конфу возможно взломать и прочитать? 2. насколько безопасно с 4г работать без впн? сим левая и устройство 4г тоже. заранее спасибо.
(21:13:38) crowe: 1. Имеется ввиду поднимать или ставить? да без проблем собственно хоть как хоть как, собственно чтоб само шифрование было стойкое, это главное.ю
Я юзаю Wireguard лично сам, чача на много быстрее и современее http://i.imgur.com/TsV3Hfy.png вот собственно скорость, но не самая топовая так как сервер не ахти конечно, надо брать по лучше да и сеть загружена, но из реализаций что есть нарынке один из лучших вариантов.
(21:15:39) crowe: 1. Взломать конфу перебором паролей чтоли или как ? А так взламывать надо не конфу, а сервер.
Взломать возможно все что угодно вопрос времени и сколько усилий это будет стоить и т.д. мы проговорим про риски я дам инфу в общем все поймете. Просто в будующий лекциях.
2. Без впн вообще не стоит работать. Не хочу даже этот вопрос разбирать, так как не стоит на это тратить времени. Так как просто стоит не много углубиться как работает сеть методы деанонимизации и вопрос скипните сами собой.
(21:18:39) Mef: И ещё дополнение если можно , это лекция по безопасности единственная или завтра и после завтра так-же будет по безопасности ? Хотелось бы научиться не терять свою анонимность для отдела К ( и вообще интересны ли мы ему ? ) Были ли случаи на твоей памяти что бы кого то из твоих знакомых (в сети ) , может быть есть яркие примеры , как делать не стоит принимали в РФ ?
(21:23:26) crowe: Лекция не единственная , еще пейн у вас будет вести, примерно 4 лекции по этой нише, завтра еще я буду и после завтра. Потом пейн более практичную лекцию проведет так скажем.
Сидел думал , на памяти вообще случаев нету, вообщзе кого закрывают это 98% кто работает по РУ либо связан с 228 так сказать. Можете почитать про nodrama что случилось и как и все пойамете либо техъ людей которые работают по ру, реал кардинг и т.д. собственно Если не работать по реалу и все делать грамотно то можете жэить спокойно.
(21:23:51) qnooup: Где и как лучше хранить пароли?
Какие лучше использовать емейлы?
(21:26:46) crowe: Завтра дам инфу по паролям по емейлам имеется ввиду для себя или для вбивов не сосвем понимаю если для себя дам сервисы завтра
(21:26:58) crowe: После паролей зайдайте вопрос завтра и я дам сервис сейчас думаю не рентабелдьно
(21:26:59) crowe: хотя
(21:28:09) crowe: https://protonmail.com/
https://disroot.org/en
https://www.tutanota.com/
https://mailfence.com/
(21:29:46) Jump:
можно ли по линку определить местоположение отправителя?
(21:30:35) crowe: смотря какой линк, этот вопрос разберем после завтра
(21:30:40) crowe: В общем проще не будем зацикливаться
(21:30:42) crowe: Там и все поймете )
(21:32:14) machetis: Есть ли у тебя преимущества, перед другими лекторами, при вбиве, как у лектора по безопасности и тд? Или же вы все обладаете этими знаниями на уровне, или допустим проходимость при работе у всех одинакова?
(21:36:02) crowe: Бро две руки, две ноги, по середине гвоздик как говориться, ну бред несети товарищи.
Тут вопрос именно в тестах заключается и в твоем серном веществе как можете все это логировать и пробовать, все зависит напрямую от вашего стремления и тестов, например как вы учитесь делать что-то, смотрите, пробуете, проубете и потом получается, потмо интересуетесь или доводите технику до ума, тут точно так же все запвисит от вас и вашего стремления и углубленности в этот процесс так скажем
(21:36:17) crowe: В общем ребят, покак отойду не надолго, если есть вопросы пишите знаки вопросов
(21:36:48) crowe: Так же был признателен и рад вашим отзывам о данной лекции в данной теме
(21:40:27) crowe: Тогда если вопросов нет на сегодня будем закругляться, был рад провести данную лекцию для вас. До завтра ! =)
(21:40:51) crowe: Домашнее задание напоминаю ознакомиться с данной статьей и посмотреть видео на пунктах 7 и 8
Лекция#3 Шифрование-2 02.12.2018 @moneyside
Лектор crowe
(19:22:36) crowe: Привет всем! Сегодня продолжаем.
(19:24:13) crowe: Давайте теперь более детально поговорим из чего состоит шифрование в целом краткий вводный курс мы прошли давайте углубимся что же такое сам хеш и т.д.
(19:24:22) crowe: Хеширование
(19:24:35) crowe: Хеширование преобразование массива входных данных произвольной длины в ( выходную ) битовую строку фиксированной длины, выполняемое определенным алгоритмом. Функция, реализующая алгоритм и выполняющая преобразование, называется «хеш-функцией» или «функцией свёртки». Исходные данные называются входным массивом, «ключом» или «сообщением». Результат преобразования ( выходные данные ) называется «хешем», «хеш-кодом», «хеш-суммой», «сводкой сообщения».
(19:24:24) crowe установил(а) тему: Шифрование
(19:24:42) crowe: Давайте посмотрим на изображение, видим здесь:
(19:24:48) crowe: 1. Входные данные
(19:24:59) crowe: 2. Алгоритм или функцию хеширования
(19:25:05) crowe: 3. Выходные данные Результирующие выходные данные, которые всегда имеют фиксированный размер.
(19:25:13) crowe: Хеш-функция принимает входные данные любого размера. Это может быть e-mail, файл, слово, в нашем случае это фраза "Привет", и происходит конвертация данных при помощи хеш-функции в следующий вид
(19:25:24) crowe: 732b01dfbfc088bf6e958b0d2d6f1482a3c35c7437b798fdeb6e77c78d84ccb1
(19:25:30) crowe: Для лучшего усвоения и разбора материала, давайте отойдем от сухого текста и сделаем наглядную демонстрацию
(19:25:47) crowe: Как мы можем видеть из анимированной гифки выше, наши входные данные преобразуются с помощью алгоритма хеширования, а именно SHA-256, в выходные данные фиксированного размера.
(19:25:54) crowe: Пояснение: Как мы видим, что при изменение наших входных данных путем добавления " = ) " наши выходные данные имеют другой вид, так как в битовом эквиваленте множитель поменялся. Следовательно и само значение выходных данных изменилось. При возвращение к исходным входным данным значение опять имело изначальный вид.
(19:26:00) crowe: Вы можете представить это как пример:
(19:26:10) crowe: 1. "Привет" = 5
(19:26:17) crowe: 2. "Привет = )" = 7
(19:26:24) crowe: 3. "Привет" = 5
(19:26:35) crowe: Сам алгоритм хеширования это второй произвольный множитель, пусть будет 2, тогда:
(19:26:41) crowe: 1. 2*5=10
(19:26:48) crowe: 2. 2*7=14
(19:26:59) crowe: 3. 2*5=10
(19:27:05) crowe: Так и с хешем, только алгоритм хеширования имеет более сложные математические операции, нежели привел я, если вам нужна конкретная формула преобразования использующаяся в алгоритме, смотрите в Wikipedia.
(19:27:11) crowe: Важная особенность хеш-функции вы не можете конвертировать из хеша обратно в изначальные входные данные. Это односторонняя хеш-функция и для нее не нужны ключи.
(19:27:21) crowe: Для примера опять смотрим на нашу гифку, которую я давал ранее
(19:27:27) crowe: Привет → SHA-256 → 732b01dfbfc088bf6e958b0d2d6f1482a3c35c7437b798fdeb6e77c78d84ccb1
(19:27:34) crowe: Как мы видим, мы использовали только входные данные, не какие ключи при этом мы не задействовали, и затем получили результирующие выходные данные, которые всегда имеют фиксированный размер в зависимости от вида функции, которую вы используете.
(19:27:44) crowe: Это обеспечивает целостность и позволяет обнаружить непреднамеренные модификации. Это не обеспечивает конфиденциальность, аутентификацию, это не позволяет определить наличие преднамеренной модификации.
(19:27:51) crowe: КСТАТИ: Есть много примеров хеш-функций: MD2, MD4, MD5, HAVAL, SHA, SHA-1, SHA-256, SHA-384, SHA-512, Tiger и так далее.
(19:27:57) crowe: ЧТО ИСПОЛЬЗОВАТЬ: В наше время, если вы подбираете криптографическую систему, вам стоит использовать SHA-256 и выше, я имею ввиду SHA-384 и SHA-512 и так далее.
(19:28:08) crowe: Чтобы проще разобраться с материалом, отойдем от сухого текста и смоделируем ситуацию
(19:28:14) crowe: Допустим Вам на обучение дали задание скачать операционную систему Windows 7 Home Premium
(19:28:21) crowe: Мы знаем, что данная операционная система поставляется от разработчика Microsoft, далее уже идем в поиск и совершаем следующий поисковый запрос:
(19:28:31) crowe: site:microsoft.com Windows 7 Home Premium hash
(19:28:46) crowe: Оператор site: Этот оператор ограничивает поиск конкретным доменом или сайтом. То есть, если делаем запрос: site:microsoft.com Windows 7 Home Premium hash, то результаты будут получены со страниц, содержащих слова «Windows», «7», «Home», «Premium» и «hash» именно на сайте «microsoft.com», а не в других частях Интернета.
(19:28:57) crowe: Эта информация так же является ключевой для поиска шопов с помощью операторов в поисковых системах, более подробно изучить информацию о том как искать с помощью операторов в Google используйте эту статью - https://habrahabr.ru/sandbox/46956/ .
(19:29:04) crowe: Как мы видим из Гифки выше, я легко нашел хеш-сумму операционной системы Windows 7 Home Premium 64bit на официальном сайте Microsoft
(19:29:10) crowe: SHA1 Hash value: 6C9058389C1E2E5122B7C933275F963EDF1C07B9
(19:29:20) crowe: Вообще я бы рекомендовал находить хеш-суммы и осуществляться поиск начиная от 256 и выше, но на офф сайте была только данная сумма, так что я возьму то что есть
(19:29:26) crowe: Далее нам необходимо найти файл, который соответствует данной хеш-сумме, для этого так же используем поисковую систему Google и операторы, как искать с помощью операторов и что это такое ссылка выше.
(19:29:33) crowe: inurl:download "6C9058389C1E2E5122B7C933275F963EDF1C07B9"
(19:29:50) crowe: После того, когда вы скачиваете этот файл, то при помощи нашей хеш-суммы можно удостовериться, что этот файл не изменялся, т.е. он обладает целостностью.
(19:29:56) crowe: Есть инструменты, которые вы можете скачать, чтобы делать это. https://en.wikipedia.org/wiki/Comparison_of_file_verification_software
(19:30:07) crowe: Одним из таких инструментов является Quick Hash ( https://quickhash-gui.org ), и я покажу на примере с ним, как сверить хеш-суммы и убедиться в целостности полученной информации.
(19:30:19) crowe: Как мы видим, хеш-сумма, скачанного файла, соответствует хеш-сумме данной нам с официального сайта Microsoft.
(19:30:29) crowe: Так же я приложу ниже, информацию по другим хеш-суммам данного файла
(19:30:36) crowe: MD5: DA319B5826162829C436306BEBEA7F0F
(19:30:42) crowe: SHA-1: 6C9058389C1E2E5122B7C933275F963EDF1C07B9
(19:30:52) crowe: SHA-256: C10A9DA74A34E3AB57446CDDD7A0F825D526DA78D9796D442DB5022C33E3CB7F
(19:31:00) crowe: SHA-512: E0CB678BF9577C70F33EDDC0221BC44ACD5ABD4938567B92DC31939B814E72D01FAC882870AB0834395F1A77C2CD5856FD88D2B05FBE1D1D9CCE9713C1D8AB73
(19:31:06) crowe: Вы можете заметить, что с увеличением этих цифр в алгоритме хеширования, длина хеша становится все больше, поскольку это длина в битах. SHA-1 - короткий, 256, 512 и MD5, который слаб и не должен использоваться вообще. Так что это является способом подтверждения того, что файл, который вы скачали, сохранил свою целостность.
(19:31:17) crowe: Некоторые из вас наверняка зададутся вопросом: "Что, если файл, который я собираюсь скачать, уже скомпрометирован?" Допустим, вот у нас веб-сайт ( https://www.veracrypt.fr ) программного обеспечения VeraCrypt ( https://ru.wikipedia.org/wiki/VeraCrypt ).
(19:31:23) crowe: И я хочу скачать VeraCrypt, на сайте имеются хеш-суммы файлов в кодировке SHA-256 и SHA-512
(19:31:29) crowe: SHA-256: 6cff2cce52eb97321b1696f82e9ccefa7c80328d91c49bf10b49e3897677896e VeraCrypt Setup 1.21.exe
(19:31:42) crowe: SHA-512: 5c68a5a14fa22ee30eb51bc7d3fd35207f58eefb8da492f338c6dac54f68133885c47fa2b172d87836142c75d838dac782b9faca406a2ffb8854cc7d93f8b359 VeraCrypt Setup 1.21.exe
(19:31:49) crowe: Однако есть одно «НО», если вебсайт был скомпрометирован, то это означает, что злоумышленники могли подменить данный файл для загрузки и добавить к нему что-либо, троян или что-то для слежки, и они также могли подменить и контрольную сумму.
(19:31:55) crowe: Следовательно, получается, что хеш ничего не значит, то есть он не может обнаружить преднамеренную модификацию файла. И нам нужно что-то еще чтобы удостовериться что данное программное обеспечение действительно исходит от разработчика. Что сайт VeraCrypt — это официальный сайт VeraCrypt и т.д.
(19:32:06) crowe: И здесь мы подходим к сертификатам, цифровым подписям и другим средствам которые сейчас разберем, а пока давайте затронем не маловажную суть хеширования.
(19:32:12) crowe: Пароли, и все что нужно знать по ним
(19:32:20) crowe: Это использования хешей для хранения пароля, что это значит?!
(19:32:31) crowe: То есть когда вы вводите пароль на веб-сайте или в операционной системе, крайне плохой способ хранить этот пароль в базе данных, поскольку если эта база данных окажется скомпрометированной, то и ваш пароль окажется скомпрометирован.
(19:32:39) crowe: Но как я и обещал, давайте разберемся что такое хороший пароль. И какие пароли стоит и не стоит использовать, для этого надо углубиться.
(19:32:46) crowe: Обычно пароли перебираются по всяким словарям паролей, или так называемой базе паролей и т.д.
(19:32:56) crowe: Думаю, по базе паролей это понятно, это когда есть определенный список паролей, который подбирается для прохождения авторизации.
(19:33:03) crowe: А по словарю, это когда используется метод перебора пароля исходя из собранных на вас данных к примеру, или не имея ее, то есть составление слов к примеру:
(19:33:09) crowe: МоскваУлица1905годаМаша — то такой пароль не будет сильным исходя что он будет набран в другой раскладке, так как его легко можно будет перебрать, собрав информацию на вас и проанализировав можно запустить узконаправленный перебор по словарю с составлением и генерацией нужного вида пароля.
(19:33:20) crowe: МоскваУлица1905годаМаша в английской раскладке будет VjcrdfEkbwf1095ujlfVfif и как я сказал ранее он не будет являться безопасным.
(19:33:26) crowe: Что я могу порекомендовать по поводу паролей:
(19:33:32) crowe: 1. Используйте сильный пароль, я думаю многие из вас хоть слышали такую фразу, используйте сильные пароли в виде цифр, заглавных букв, строчных букв и спец. символов, но не так то просто это все запомнить, но наверняка вы знаете хотя бы 1-н такой пароль без смысловой нагрузки
(19:33:43) crowe: Давайте предположим что этот пароль — 3hF9$u?h , но он маленький всего 8 символов, такой пароль не является сверх безопасным, но плюс такого пароля что мы можем использовать его при шифрование диска к примеру, защищенных разделов, не используйте такой пароль желательно нигде просто запомните, как то и храните в каком то защищенном месте.
(19:33:49) crowe: Я, например, знаю несколько наборов символов которые лежат у меня в голове и ни где не используются так вот.
(19:33:55) crowe: Возьмем ранее наш пароль МоскваУлица1905годаМаша и слегка его модернизируем, нашим набором символов — МоскваУлица!90% 3hF9$u?hгодаМаша, как мы можем заметить я нажал клавишу “Shift” при вводе 1 и 5 и они заменились у меня на спец символы.
(19:34:06) crowe: То есть в английской раскладке он будет выглядеть так VjcrdfEkbwf!09%3hF9$u?hujlfVfif , и такой пароль легко запоминается так как он имеет смысловую нагрузку, плюс уникальный секретный ключ ( шифр ) который есть у вас в голове и ни где не используется.
(19:34:12) crowe: Вы так же можете сверить свой пароли, или из чего он составляется со списком обнародованных паролей
(19:34:18) crowe: Думаю какие-то дальнейшие комментарии излишни.
(19:34:28) crowe: 2. Использование пароля хотя бы от 21 символа
(19:34:34) crowe: 3. Хранение всяких заметок, паролей, прочей конфиденциальной информации в зашифрованном виде, для этого вам необходимо использовать программы для полнодискового шифрования такие как VeraCrypt, TrueCrypt и другие аналоги, сам использую VeraCrypt
(19:34:41) crowe: А для паролей и заметок к паролям используйте программу KeePass 2 ( https://ru.wikipedia.org/wiki/KeePass ) или KeePassX 2 ( https://ru.wikipedia.org/wiki/KeePassX )
(19:34:51) crowe: Ниже приведен комментарий
(19:34:57) crowe: Keepass — это первая версия. Умеет только БД старого формата ( их, вроде, легко расшифровать ).
(19:35:03) crowe: Keepass 2 — вторая версия, поддерживающая актуальный .kbdx-формат; их нельзя расшифровать ( вернее, я не видел вариантов; недавно на хабре была статья по подлому файла БД, но с несколькими ограничениями ).
(19:35:14) crowe: KeepassX — это переписанный на С Keepass первой версии; как и прародитель, умеет только .kbd-файлы, зато кроссплатформенный.
(19:35:20) crowe: Начиная со второй версии KeepassX тоже умеет в .kdbx
(19:35:26) crowe: https://www.keepassx.org/changelog
(19:35:36) crowe: Этот коментарий взял с хахбры и в принципе я с ним согласен, но гораздо лучше хранить пароли в зашифрованном виде и копировать их и вставлять куда надо, чем в txt и т.д.
(19:35:43) crowe: Сам я пользуюсь KeePass 2, так как мне больше импонирует данный интерфейс и другие мои прихоти. Так что рекомендую.
(19:35:48) crowe: Вот эти 3-и фундаментальные вещи по паролям запомните их...
(19:35:59) crowe: Сейчас поговорим о Цифровых подписях
(19:36:05) crowe: Так давайте вернемся опять к нашему VeraCrypt как узнать, что сайт действительно официальный и программное обеспечение исходит от разработчика.
(19:36:11) crowe: Простой и довольно таки хитрый способ найти официальный сайт — это найти программное обеспечение в Wikipedia и уже там перейти по ссылке на официальный сайт программного обеспечения.
(19:36:21) crowe: Однако мы можем так же нажать на целеный замок и там посмотреть сертификат, что именно он выдан
(19:36:28) crowe: https://puu.sh/xQAFM/e687c816ce.png
(19:36:34) crowe: Цифровая подпись — это значение хеша. Это результат работы хеш-функции с фиксированным размером, который зашифрован закрытым ключом отправителя с целью создания цифровой подписи или подписанного сообщения.
(19:36:44) crowe: С технической точки зрения цифровая подпись — это отметка, подтверждающая лицо, которое подписало сообщение. Это выдача гарантии на объект, который был подписан с ее помощью.
(19:36:50) crowe: Для наглядности, что такое цифровая подпись открываем скриншот ( https://puu.sh/xQAFM/e687c816ce.png ) и смотрим на Подписывание
(19:36:56) crowe: Подписывание: То, что вы можете видеть на инфографике выше, но исходя из нашего файла который мы разбираем
(19:37:07) crowe: Алгоритм хеширования → Значение хеша ( 6cff2cce52eb97321b1696f82e9ccefa7c80328d91c49bf10b49e3897677896e ) →Закрытый ключ ( см. Асимметричное шифрование ) = Цифровая подпись
(19:37:13) crowe: Если объект шифрования подписан цифровой подписью, то обеспечена аутентификация, потому что объект зашифрован при помощи закрытого ключа, шифровать которым может только владелец этого закрытого ключа. Это и есть аутентификация.
(19:37:19) crowe: Она обеспечивает невозможность отказа от авторства, поскольку, повторюсь, использован закрытый ключ отправителя. И она обеспечивает целостность, поскольку мы хешируем.
(19:37:29) crowe: Цифровая подпись может быть использована, например, в программном обеспечении. Может использоваться для драйверов внутри вашей операционной системы. Может использоваться для сертификатов и подтверждать, что подписанные объекты исходят именно от того лица, которое указано в сертификате, и что целостность данных этих объектов была сохранена, то есть никаких изменений они не претерпели.
(19:37:35) crowe: А как же убедиться в том что файл действительно исходит от разработчика, в нашем случае VeraCrypt, то есть в случае обмана и т.д. вы могли со 100% уверенностью сказать, что я пользовался твоим программным обеспечением, и он был подписан именно твоей цифровой подписью.
(19:37:41) crowe: https://puu.sh/xQB20/5166e3d0c8.gif - обычно сертификат проверяется автоматически и у вас наверно
(19:37:52) crowe: После того когда посмотрели gif открываем скриншот ( https://puu.sh/xQB5Y/c840f4670d.png )
(19:37:58) crowe: Что мы здесь видим. Сертификат выдан: кому – IDRIX SARL, кем - GlobalSign. Итак, GlobalSign - это компания, чей закрытый ключ был использован для цифровой подписи этой программы. GlobalSign сообщает: "Данное программное обеспечение легитимно и оно не подвергалось модификации". Здесь написано: "Сертификат предназначен для удостоверения того, что программное обеспечение исходит от разработчика программного обеспечения, программное обеспечение защищено от модификации после его выпуска". Чтобы узнать, действующая ли это цифровая подпись, или нет, нам нужно повернуть изначальный процесс в обратную сторону.
(19:38:04) crowe: То есть открываем опять наш скриншот ( https://puu.sh/xQAFM/e687c816ce.png )
(19:38:14) crowe: Проверка: То, что вы можете видеть на инфографике выше, но исходя из нашего файла, который мы разбираем
(19:38:21) crowe: Подписанно сообщение → Открытый ключ ( это файл в формате .asc имеет обычно следующий вид – https://www.idrix.fr/VeraCrypt/VeraCrypt_PGP_public_key.asc, закрытый ключ тоже самое так же выглядит ) =Значение хеша, то есть должно получиться 6cff2cce52eb97321b1696f82e9ccefa7c80328d91c49bf10b49e3897677896e
(19:38:27) crowe: После чего это значение хеша надо будет сверить с хешем указанным, то есть открываем там программу QuickHash прогоняем наш файл и в том алгоритме котором он нам представлен, должно все совпасть, если не совпадает то сам файл изменен, и там может быть троян, или что то для прослушки за нами, или еще что-то нехорошее
(19:38:37) crowe: SHA-256: 6cff2cce52eb97321b1696f82e9ccefa7c80328d91c49bf10b49e3897677896e VeraCrypt Setup 1.21.exe
(19:38:43) crowe: Я проверил полученный хеш ( https://puu.sh/xQBAz/8905455dd7.png ) и как мы можем видеть на скриншоте они идентичный следовательно файлы легитимное и соответствуют цифровой подписи разработчика, и этот файл точно исходит от него.
(19:38:49) crowe: И данное программное обеспечение в случае заражение вашего компьютера WannaCry или каким либо еще другим нехорошим вирусом, будет виновен он.
(19:39:00) crowe: Для примера, это как вы в детстве бы отнекивались что мол не сожрали конфеты, а ваша мать тычит вам в лицо докозательства, например видеозапись и говорит, у меня все записано, смотри сюда. И как бы не отвертишься, вот что делает цифровая подпись.
(19:39:06) crowe: Прочитайте несколько раз если вы не поняли, и попробуйте вникнуть этот момент действительно важен
(19:39:12) crowe: А то что мы видели непосредственно на этом скриншоте ( https://puu.sh/xQAFM/e687c816ce.png )
(19:39:57) crowe: Это то что Windows проверяет сертификат в подлинности, то что действительно такой сертификат зарегистрирован с таким номером все дела.
(19:40:06) crowe: Давайте проведу аналогию чтоб понять, что же делает Windows, когда пишет эти строки ( https://puu.sh/xQBLa/604166ab6c.png ) в сертификате
(19:40:15) crowe: Вы пришли в банк с фальшивыми деньгами, и они проверяют деньги через специальные растворы или приборы, и тут бац и смывается краска, или не просвечиваются водяные знаки и вам говорят, что ваши купюры не соответствуют и это фальшивка, так же и Windows.
(19:40:30) crowe: То есть если бы кто-то другой переписал все данные сертификата и сделал копию сертификата для подписи, с такими данными то она бы не соответствовала действительности ну — это более сложная тема, но собственно думаю понятно.
(19:40:39) crowe: Не будем лезть вообще в задницу, а то это может никогда не закончиться ) ) Кому нужно объяснить могу персонально.
(19:40:48) crowe: А если верификация не проходит, вы обычно видите вот такое предупреждение ( https://puu.sh/xQC61/ef80678f6b.png )
(19:41:03) crowe: Это означает, что-либо файл не имеет цифровой подписи либо Windows ( вспомните работника банка ) не доверяет этой цифровой подписи ( а в случае с работником банка, он не доверяет в вашей купюре ) вы можете ее проверить способ я описывал выше ( а работник банка ну там тоже может проверить на аппарате своем или там нанесением растворов ).
(19:41:12) crowe: В линуксе с этим все просто, так как вы просто так не установите проприетарное ПО так как все ПО обычно ставиться из оффициальных репозиториев, где проходит всю проверку подробнее что такое репозиторий и прочие моменты можете как раз узнать тут
(19:41:36) crowe: Давайте пройдемся по этому материалу еще раз, потому что я уверен, некоторым все это может показаться довольно-таки трудным для восприятия.
(19:41:45) crowe: https://puu.sh/xQAFM/e687c816ce.png - смотрим подписывание
(19:41:54) crowe: Итак, значение хеша ( самой программы то есть если бы чувак сам ее прогнал через QuciHash ), которое было зашифровано с применением закрытого ключа ( его личного ключа его личный отпечаток пальца так сказать в сети ) отправителя или выпуска ПО. Это цифровая подпись.
(19:42:09) crowe: Цифровая подпись
(19:42:18) crowe: Это обеспечивает аутентификацию, неотказуемость и целостность. А если вы зашифруете что-либо и вдобавок снабдите это цифровой подписью, то вы сможете добиться конфиденциальности наряду с аутентификацией, неотказуемостью и целостностью.
(19:42:27) crowe: Цифровые подписи удостоверяют, что программа или что-либо другое получены от определенного лица или издателя, и они защищают программное обеспечение или сообщения от их модификации после того, как они были изданы или отправлены.
(19:42:41) crowe: На этом думаю мы разобрались с цифровыми подписями.
(19:42:51) crowe: Давайте теперь перейдем к End-to-End шифрованию ( E2EE )
(19:43:00) crowe: End-to-end шифрование заключается в том, что данные шифруются отправителем и дешифруются только получателем. Если вы хотите избежать отслеживания, массовой слежки, хакеров и так далее, то вам нужен именно этот вид шифрования передаваемых данных.
(19:43:14) crowe: Примерами технологии end-to-end шифрования являются такие вещи, как PGP, S/MIME, OTR, что расшифровывается как “off the record” ( рус. "не для записи" ), ZRTP, что расшифровывается как Z в протоколе RTP, а также SSL и TLS, реализованные правильным образом, все это может использоваться в качестве end-to-end шифрования.
(19:43:24) crowe: Компании, которые разрабатывают программное обеспечение, использующее end-to-end шифрование и системы с нулевым разглашением, не могут раскрыть детали обмена данными вашим врагам, даже по принуждению, даже если бы они этого сами захотели. В этом и заключается преимущество end-to-end шифрования с нулевым разглашением.
(19:43:32) crowe: End-to-end шифрование обеспечивает защиту в процессе передачи данных, но очевидно, что оно не может защитить данные после их получения. Далее вам нужен другой механизм защиты. Используйте end-to-end шифрование везде, где это только возможно.
(19:43:47) crowe: Использование защищенного HTTPS на всех веб-сайтах становится все более необходимым, независимо от типов передаваемых данных.
(19:43:56) crowe: Давайте я покажу что такое END-TO-END шифрование на примере с веб-сайтами
(19:44:05) crowe: Это цифровой сертификат, тоже самое что и цифровая подпись, есть ряд отличий, там центры сертификации и т.д. вы обычно с этим не сталкиваетесь не буду расписывать, кому интересно гуглите « Центры сертификации ключей и HTTPS» и «Цифровые сертификаты»
(19:44:29) crowe: Зеленый замочек в URL или HTTPS означает, что ваш Интернет-провайдер или, допустим, правительство, они лишь могут отследить целевой домен. Что это значит?
(19:44:38) crowe: Допустим между нами и Google находится злоумышленник аналогично как в случае передачи сообщения в инфографике выше. Он не сможет узнать, что именно я искал, потому что это оконечное ( или абонентское с английского end-to-end ) шифрование между моим браузером и сервером.
(19:44:53) crowe: Давайте разберем пример на наглядном и посмотрим, что же может узнать провайдер о нас
(19:45:02) crowe: Для начала мы будем использовать пример не зашифрованного соединение при помощи HTTP соединения.
(19:45:11) crowe: HTTP, HyperText Transfer Protocol — широко распространенный протокол передачи данных, изначально предназначенный для передачи гипертекстовых документов ( то есть при клике по слову в статье перейти на другую веб-страницу ).
(19:45:26) crowe: По умолчанию протокол HTTP использует TCP-порт 80.
(19:45:35) crowe: Для скриншотов ниже я буду использовать программу для анализа сетевого трафика WireShark.
(19:45:44) crowe: Для эксперимента я взял сайт базирующийся на HTTP протоколе uznayvse.ру после того как я кликну по ссылке запрос от сайта будет отображен в окне программы WireShark под цифрой 1-н, но давайте сразу разберем за что отвечает каждое окно программы для лучшего усвоения материала.
(19:46:08) crowe: 1. Данная область называется Packet List – в ней вы можете посмотреть с каким сервером идет обмен данными, протокол, который используется и общую информацию о кадрах.
(19:46:17) crowe: 2. Следующая область называется Packet Details – в ней отображаются детали пакетов который был выбран в Packet List.
(19:46:32) crowe: 3. И последняя область называется Packet Bite – в ней отображается 16-е отображение данного пакета, также отображается смещение в виде аски, и так же если мы кликнем правой кнопкой по данной области можем посмотреть, как все это будет выгладить в битах.
(19:46:41) crowe: Вот что происходит, когда вы нажимаете по ссылке, все данные трафика сразу же фильтруются
(19:47:05) crowe: Давайте разберем, полученные пакеты подробнее и узнаем наглядно о слежке, анализе и т.д.
(19:47:23) crowe: 1. Пересылаемые пакеты по нашему фильтру
(19:47:38) crowe: 2. Целевой домен, то есть главная страница сайта без всякой ереси после слеша "/"
(19:47:47) crowe: 3. Юзер агент, то есть параметры браузера, версия операционной системы и другие параметры..
(19:47:56) crowe: 4. Referer – указывает с какой страницы мы перешли на эту страницу так как мы перешли с защищенной страницы, там было много пакетов с переадресацией в конечном итоге мы с этой же страницы сослались на себя же, если я к примеру, перешел с главной страницы сайта на данную то в рефере бы стояла главная страница сайта. ( смотрите скриншот ниже с пояснением чтобы полностью вникнуть в смысл ).
(19:48:10) crowe: 5. Куки, либо сессия ) Вот ваш и пароль приплыл ) Можно зайти под вашей сессией залогиненой и шариться ) от залогененного юзера то есть вас
(19:48:20) crowe: 6. Ну, а это уже конечная страница где мы находимся
(19:48:29) crowe: КСТАТИ: Если вы думаете, что это потолок что может данный софт то боюсь вас расстроить это только верхушка айсберга
(19:48:52) crowe: Для того чтобы у вас после прочитанного не осталось сомнений я решил разобрать эти пункты перейдя с одной страницы веб-сайта на другую и как мы можем видеть:
(19:49:01) crowe: 1. Refer – указывает предыдущую страницу которые мы разбирали именно с нее мы пришли на данную страницу
(19:49:16) crowe: 2. На какой странице мы сейчас находимся
(19:49:26) crowe: Как мы видим сам по себе протокол HTTP не предполагает использование шифрования для передачи информации. Тем не менее, для HTTP есть распространенное расширение, которое реализует упаковку передаваемых данных в криптографический протокол SSL или TLS.
(19:49:35) crowe: Название этого расширения — HTTPS ( HyperText Transfer Protocol Secure ). Для HTTPS-соединений обычно используется TCP-порт 443. HTTPS широко используется для защиты информации от перехвата, а также, как правило, обеспечивает защиту от атак вида man-in-the-middle — в том случае, если сертификат проверяется на клиенте, и при этом приватный ключ сертификата не был скомпрометирован, пользователь не подтверждал использование неподписанного сертификата, и на компьютере пользователя не были внедрены сертификаты центра сертификации злоумышленника.
(19:49:58) crowe: 1. Google – имеет использует защищенный протокол соединения HTTPS
(19:50:07) crowe: 2. Пакет запроса данных по защищенному протоколу HTTPS
(19:50:22) crowe: 3. Как мы видим в деталях пакета у нас только Encrypted Application Data: 0000000000000016eec0818f25b5eb9bd4690883155a74b6...
(19:50:31) crowe: никакой другой информации что содержится на веб-страницы или где находится человек у нас нет
(19:50:40) crowe: 4. Так как у нас есть под цифрой 2-а IP-адрес с каким сервером ведется обмен пакетами, просматриваем что это за IP-адрес и исходя из полученных данных мы можем сделать вывод, что человек находится на целевой странице Google.
(19:50:55) crowe: По сути использование HTTPS безопасно и как я говорил ранее что: Компании, которые разрабатывают программное обеспечение, использующее end-to-end шифрование и системы с нулевым разглашением, не могут раскрыть детали обмена данными вашим врагам, даже по принуждению, даже если бы они этого сами захотели. В этом и заключается преимущество end-to-end шифрования с нулевым разглашением.
(19:51:04) crowe: SSLStrip – снятие HTTPS
(19:51:13) crowe: Но также исходя из этого имеются атаки по снятию SSL давайте быстро разберем что это такое??
(19:51:28) crowe: Любой атакующий, который может расположиться между источником и адресатом трафика, в нашем случае КОМПЬЮТЕРА и СЕРВЕРА, то этот атакующий может совершить атаку вида “Man in the middle” ( рус. "Человек посередине" ). Одна из подобных атак, которая требует весьма небольших навыков и ресурсов, называется SSL stripping ( рус. "Снятие SSL" ). Атакующий выступает в роли прокси здесь и подменяет зашифрованные HTTPS-соединения на HTTP-соединения.
(19:51:37) crowe: Давайте откроем скриншот и посмотрим, что же это такое https://puu.sh/xQFWy/edbaf90d7a.png
(19:51:46) crowe: 1. Как мы можем видеть мы отправляем запрос с http
(19:52:01) crowe: 2. Он проходит через SSLStrip и не изменяется, так же идет дальше
(19:52:10) crowe: 3. Сервер видит что вы пришли по небезопасному протоколу без шифрования и меняет его на безопасный с использованием шифрования то есть на HTTPS ( то есть совершается 301 либо 302 редирект – это настраивается на сервере )
(19:52:19) crowe: 4. SSLStrip видит что сервер отправил вам запрос в HTTPS ( см. пункт 3 ) и автоматически так же изменяет его на небезопасный то есть на HTTP тем самым убирая TLS шифрование
(19:52:34) crowe: SSLStrip здесь проксирует ответ от веб-сервера, имитируя ваш браузер, и отправляет вам обратно HTTP-версию сайта. Сервер никогда не заметит отличий.
(19:52:43) crowe: Так как сервер думает, что вы общаетесь по защищённому протоколу HTTPS, так как он не видит, что злоумышленник ( SSLStrip ) изменил вам протокол на небезопасный
(19:52:52) crowe: И что вы увидите - это будет практически неотличимо от подлинного сайта. Давайте я покажу вам, как должен выглядеть веб-сайт.
(19:53:06) crowe: https://puu.sh/xQHeu/014bf0515b.png
(19:53:16) crowe: 1. Мы видим защищенную версию, то есть с end-to-end шифрованием
(19:53:25) crowe: 2. Теперь я выполнил HTTPS-stripping ( снятие SSL – SSLStrip ). И так выглядит версия сайта после атаки.
(19:53:39) crowe: Как можно заметить, отличие в том, что у вас теперь нет HTTPS и большинство людей не заметят эту разницу. И как я уже сказал, сервер никогда не заметит, что что-то не так, потому что он общается с прокси, который ведет себя точно также, как вели бы себя вы.
(19:53:48) crowe: Я не буду рассказывать, как произвести атаку, или методы атак и т.д. так как у меня нет на это время, уже и так у меня остается 40 мин до начала лекции так что кому нужно можете обратиться ко мне напрямую.
(19:53:58) crowe: Другой интересный способ для проведения этой атаки – когда атакующий находится в вашей локальной сети, так что это либо происходит по Ethernet-кабелю, либо по беспроводной связи через Wi-Fi. Они могут обмануть вашу машину и заставить ее отправлять трафик через них, и это известно как ARP-спуфинг, или ARP-отравление. Атакующий посылает ARP-пакеты, имитируя шлюз жертвы по умолчанию.
(19:54:12) crowe: Это работает, потому что у Ethernet нет механизмов для аутентификации, нет этого функционала, поэтому любая машина в принципе может отправить то, что называется ARP-пакетом, и сообщить, что она - одна из машин в этой сети, например, шлюз или маршрутизатор, и это приводит к тому, что вы начинаете отправлять свой трафик через фейковый маршрутизатор, который затем переправляет его, попутно снимая SSL, и после этого переправляет трафик обратно к вам, как мы уже видели.
(19:54:21) crowe: В 2х словах что такое АРП спуфинг и как это работает более простым языком, все что выходит в интернет есть физический адрес, то есть MAC адрес.
(19:54:30) crowe: Следовательно у компьютера есть сетевая карта или Wi-Fi карта у нее есть свой MAC.
(19:54:45) crowe: Записывается обычно MAC адрес так – 00:07:5B:3C:88:91, между цифрами может быть двоеточие или тире, это 6 пар символов, по 8 бит на каждую пару то есть 48 бит всего
(19:54:54) crowe: Следовательно 2^48 = 281 474 976 710 656 – а это в свою очередь 281 триллион 474 миллиарда 976 миллионов уникальных адресов
(19:55:03) crowe: Так же первые 3-и ОКТЕТА это идентификатор организации, следующие 3-и ОКТЕТА выбираются изготовителем для каждого экземпляра устройства ( за исключением сетей системной сетевой архитектуры SNA )
(19:55:18) crowe: Так же MAC адрес легко изменить на любой другой.
(19:55:27) crowe: Для чего я это рассказываю, а то что зная только IP адрес не возможно связаться с устройством в сети.
(19:55:36) crowe: И если мне известен IP адрес устройства к примеру моего роутера то я не имею возможности обмениваться с ним информацией пока не узнаю его мак.
(19:55:51) crowe: Как раз для этих целей и служит ARP протокол который отправляет с вашего устройства на другое устройство запрос типо у тебя IP 192.168.1.1 тот такой говорит угадал, и отправляет ему свой MAC адрес и получается, что связь установлена.
(19:56:00) crowe: Для наглядности атака происходит следующим образом открываем скриншот ( https://puu.sh/xQIHy/7a5c7ecfa1.png ) и давайте разберем атаку
(19:56:09) crowe: IP адрес и MAC адрес КОМПЬЮТЕРА под цифрой 1 отличается от IP адреса и MAC адреса РОУТЕРА под цифрой 2 то есть вашего настоящего роутера.
(19:56:24) crowe: Злоумышленник создает виртуальный роутер под цифрой 3 и завязывает всю вашу сеть через себя, и компьютер отправляет запрос неверный, который идет не на роутер настоящий, а на нашего хакера думаю понятно ( подельный роутер ) и так же в обратном порядке.
(19:56:33) crowe: Получается что весь трафик проходит через нашего злоумышленника
(19:56:42) crowe: Возможно я бы разобрал и объяснил атаку более детально и наглядно со скриншотами и т.д. но у меня просто не хватает времени.
(19:56:57) crowe: Давайте теперь подумаем, что можно сделать для предотвращения всего этого? Что ж, на клиентской стороне вы можете попытаться замечать те случаи, когда у вас отсутствует HTTPS, но если вы будете заняты, то вряд ли сможете это заметить. И тем не менее, вам следует обращать на это внимание.
(19:57:06) crowe: Но далее я расскажу вам метод, как обезопасить себя.
(19:57:15) crowe: Более надежный метод – это использование туннеля или шифрованного туннеля, так чтобы снятие SSL стало невозможно, поскольку трафик, который вы отправляете, будет зашифрован иным способом. Например, можно использовать SSH туннелирование.
(19:57:29) crowe: Можно использовать VPN-технологию типа IPsec. А вообще, стоит обратить внимание на end-to-end шифрование.
(19:57:39) crowe: Помимо всего прочего, вам лучше не подключаться к сомнительным сетям без использования туннелирования или VPN или шифрования, потому что это именно то, что может произойти, если у вас их нет. Ваш SSL может быть снят и весь ваш трафик станет открытым.
(19:57:48) crowe: Наличие ARP-спуфинга и сниффинга в вашей локальной сети можно в определенной степени обнаружить, и есть пара инструментов для примера, которые вы можете использовать. Это Arpwatch. Он мониторит вашу Ethernet-сеть на наличие ARP-спуфинга или отравления. И есть другой инструмент, это Sniffdet, он обнаруживает тех, кто наблюдает за сетевым трафиком.
(19:58:02) crowe: Что касается серверной стороны, вот посмотрите на скриншоте ( https://puu.sh/xQJuQ/5bf5472c91.png ), у вас может не быть контроля за серверной стороной.
(19:58:11) crowe: То есть вы не всегда можете контролировать HTTPS соединение и чтоб оно было зеленым всегда там с замком.
(19:58:20) crowe: Есть возможность активации строгой безопасности передачи данных по протоколу HTTP, сокращенно HSTS, этот механизм использует особый заголовок для принудительного использования браузером только лишь HTTPS-трафика
(19:58:35) crowe: Это работает только если вы ранее посещали сайт, и затем ваш клиент фактически запоминает, что данный сайт принимает исключительно HTTPS-трафик. А вот пример того, как я снял SSL и получил сообщение об ошибке, потому что на этом сайте была активирована строгая транспортная безопасность HTTP.
(19:58:44) crowe: Другим способом обезопасить себя можете с помощью виртуальных локальных сетей, если вам это необходимо обратитесь ко мне или погуглите локальные сети VLAN на хабре я уверен много мануалов по этой настройке
(19:58:53) crowe: Хотел так же поговорить про PGP безопасную передачи, но я просто не успеваю.
(19:59:08) crowe: Вы можете ключ от PGP шифрования в жабе например передать через личные сообщения на сайте удостоверившись что сайт работает на HTTPS и у вас там end-to-end шифрование и т.д.
(19:59:17) crowe: Что могу сказать, как ЭПИЛОГ
(19:59:26) crowe: Я считаю, что мы очень много разобрали по шифрованию, единственное что я не успел разобрать я написал выше, что мы не проговорили этот вариант с PGP, OTR, ZRTP, OMAXA, такие протоколы про них можно прочитать в гугле либо узнать у меня я дам информацию если она вам необходима.
(19:59:41) crowe: Шифрование – это фантастический инструмент для приватности, безопасности и анонимности.
(19:59:50) crowe: По факту этот инструмент реально работает и злоумышленники ( хакеры ) будут стараться избегать его. То есть ни какой дурак не будет совершать прямую атаку на шифрование
(19:59:59) crowe: Как говориться умный в гору не пойдет, умный гору обойдет. И вам следует иметь это виду.
(20:00:14) crowe: И все что они могут сделать это найти слабые места. Вспомните случай с Россом Ульбрихтом создателем «Шелкового пути» он попался на капче. На простом.
(20:00:23) crowe: То есть никто никогда не будет брутить ваши пароли прочее им гораздо проще установить вам кейлогер на вашу систему, или отправить вам ссылку на сайт с зараженным JS скриптом и произвести атаку, либо PDF файл и т.д.
(20:00:32) crowe: Но как я и сказал шифрование, никто и никогда не захочет ломать. Атакующие будут просто пытаться обойти шифрование. Вам следует иметь это ввиду.
(20:00:46) crowe: Безопасность – это так называемый феномен слабого звена. Она настолько сильна, насколько сильно самое слабое звено в цепочке. Надежное шифрование зачастую – это сильное звено.
(20:00:56) crowe: Мы, человеческие создания, как правило являемся слабым звеном. Как говориться Язык мой — враг мой
(20:01:05) crowe: На этом моя лекция и мой Эпилог подошел к своему логическому завершению, так что можете ставить «?» и я буду писать ваши ники, после чего задавайте свой вопрос, а я отвечаю.
(20:11:13) crowe: http://i.imgur.com/Ax2LuWC.png - по паролям, дам вам красочную картинку, а то могли не понять, решил сразу провести лекцию по быстрее, так как некоторые торопяться и по больше внимания уделить серии вопрос / ответ.
Так же люди которые интересуются по VPN могут тоже тут задать вопросы, вопрос однотипные, из серии можно ли купить сдругом какова будет цена и т.д. Покупаете себе сервер, берете с собой друга в двоем платите выделю вам на двоих конфиги спокойно, можно сделать и такое.
Так же был бы признателен за вашу обратную связь по поводу моих лекций, пару слов в данной теме
(20:14:09) BaMxopoIIIoHaMxopoIIIo: 1можно ли использовать менеджер паролей onepassword? как он тебе в плане безопасности итд?
2- ты несколько раз за лекцию говорил ,что мы "что-либо не успели", но думаю всем интерtсно получить эту инфу, которую "мы не успели", может ты нам всем ее скинешь ссылкой или как-то еще? Чтобы не стучать каждому тебе в личку итд.
3- вопрос-пожелание. После лекции немного нехватает примеров конкретно подходящие нам. тупо пример: " мы сегодня изучили хэширование, соотвественно когда будет обмениваться файлами при покупке (например материала) , то обязательно юзайте ту ту и вот ту прогу, исходя из того что мы сегодня прошли.абы н ебыло того того и вот того ( надеюсь понятно обьяснил что хочется)
(20:20:49) crowe: 1. 1password комерчееский плюс является проприятарным ПО с закрытым исходным кодом. Я уже много раз говорил и говорю почему я стороник опенсорсного ПО и движения вместе с ним
2. На самом деле я дам 2 ссылки, просто у меня старая версия, лекции я переписал ее уже, но к сожалению защищенную флешку забыл кое где, по этому просто скину ссылку на разбор который хотел дать, чтобы вы поняли этот материал более раскрыто, можете записать себе в дмоашнее задание ознакомиться с ним.
Возможно я бы все расписал многое и объяснил все досканально, но вот есть 2-а неплохих ролика (ниже) советую их посмотреть. Там все подробно объясняется, конечно у меня есть некоторые замечания, но я бы рекомендовал их все же к просмотру.
• https://youtu.be/0wpxrPD90a4 — 1 Часть MITM. Как проводится MITM атака.
• https://youtu.be/quZjKlrmCvQ — 2 Часть MITM. Атакуем сеть методам MITM
(20:23:59) crowe: 3. Там был же у вас пример с программой Quick Hash и с цифровыми подписями, а так это является дефакто и вы должны это понимать, что сверку всегда стоит делать,е сли вы хотите быть уверенным в своей безопасности именно это и дает шифрование.
(20:28:13) crowe: Я уделил больше внимания ответам на вопрос и постарался дать по быстрее информацию как я и написал выше.
По поводу ноды, нода снифается выходная, владелец ноды может снифнуть трафик если он идет по незашифрованному соединению и выдрать ваши куки, пароли и прочую информацию. Если трафик идет по https или любому другому виду шифрования трафика то трафик уже будет шифрованный и он будет бесполезным. Так скажем.
Своя нода дает легитимность в плане того что описал выше.
Тор идет в комплекте с впн, сам тор не является панацеей безопасности, он помогает чисто путать маршруты и усложнять задачу, а сам он не является эталаном безопасности чтоли или как то так
(20:28:27) Best friend: При конекте с сервером exploit.im в жабе постоянно спрашивает доверять ли этому сертификату, почему так?
2. При формировании конфига впн , я выбираю протокол TCP443, это получается что все обращения через сервер впна защищены и никто не может вклиниться и посмотреть к каким сайтам я обращаюсь и тд? Верно?
3. SSLStrip могут использовать, чтобы заманить меня на сайт http и скомпрометировать мои личные данные для входа, а также посмотреть где я ходил по сайту?
4. Когда злоумышленник создает виртуальный роутер 3 - жертва это может заметить?
5. Arpwatch работает автономно, ну т.е. сам обноваляется постоянно? При конекте с сервером exploit.im в жабе постоянно спрашивает доверять ли этому сертификату, почему так?
2. При формировании конфига впн , я выбираю протокол TCP443, это получается что все обращения через сервер впна защищены и никто не может вклиниться и посмотреть к каким сайтам я обращаюсь и тд? Верно?
3. SSLStrip могут использовать, чтобы заманить меня на сайт http и скомпрометировать мои личные данные для входа, а также посмотреть где я ходил по сайту?
4. Когда злоумышленник создает виртуальный роутер 3 - жертва это может заметить?
5. Arpwatch работает автономно, ну т.е. сам обноваляется постоянно?
(20:40:50) crowe: 1. Потому что у них самоподписанный сертификат, то есть они сами его заверили, то есть манс сам заверил свой сертификат, и выложил пабличный ключ сертификата в общий доступ к себе в профиль например, вы доверяете Mans к примеру ? Вот и там так-же. В этом нет по сути ничего страшного, это указывает что траф ваш шифруется по этому сертификату, то есть по ssl либо tls и т.д. Но лучше использовать свои средства шифрования в лице OTR encryption
2. Он изначально шифруется по протоколу шифрования который прописан в вашем конфиги OpenVPN, а на счет порта, это просто проброс порта, прочитайте что такое проброс порта и инфа исчерпает себя.
3. Самая простая для понимания ситуация это когда, ваш роутер смотрит в интернет да, а злоумышленник его взламывает, после чего подменяет DNS записи в вашем роутере на свои ДНС-ники своего сервера, которые резолвят доменные именна к примеру paypal.com переправляя трафик когда вы забиваете доменное имя paypal.com на его фейк к примеру где вы ничего не подозроеваете переходите на сайт с любым доменном, но в вашей графе будет значиться paypal.com, так как в днс будет записан алиас на это имя, как бы циклическая ссылка то же самое как вы зададите ярлыку или чему либо, которые будет локально для именно вашего сервера (роутера) поддельных адресов значиться именно так, все замудренно, не хочу сильно расписывать, но почитать что таккое роутскан, подмена днс и т.д. изи найдете инфу в этом направлении или по ssl стрипу
4. Может конечно, но обычно это замечается с помощью плагинов, файрволов и другово софта, выше уже описал думаю вопрос будет исчерпывать себя примерно что делать. А так вы же не смотрите ежесекундно безопасный сайт, тот ли у него сертификат что был пару часов назад и т.д. Это делают плаггин или файрвол, запоминая предыдущий сертификат и если произошли изменения оповещает вас об этом.
5. Ответил выше, можете добавить там в исключения или в список доверенных он постоянно мониторит, так как ваш сертификат является самописным ывсе идет отсюда
(20:45:40) prt: По поводу паролей.
Вот выдержка из статьи.
В 2003-м году Билл Бёрр (Bill Burr) написал восьмистраничное руководство о том,
как правильно создавать безопасные пароли для Национального института стандартов и технологий (NIST) США.
В 2017году 72-летний Бёрр признался в интервью The Wall Street Journal,
что никогда не был экспертом по кибербезопасности, и никогда толком не разбирался в паролях,
не говоря уже про психологические аспекты кибербезопасности.
По его словам, при подготовке своего руководства он взял за основу документ, написанный еще в 80-х.
В те годы до массового распространения интернета было еще далеко, и никто не мог представить,
сколько разных паролей придется создавать и запоминать миллиардам людей на планете.
Теперь рекомендации NIST поменялись.
Вместо относительно короткого, но сложно запоминаемого пароля с "абракадаброй" из цифр и символов институт советует использовать длинные фразы из обычных слов.
Ведь с увеличением числа символов в пароле время, требуемое на его автоматизированный подбор при взломе, растет экспоненциально.
Получается самое главное в современных паролях только их длина?Или есть какие то новые техники(блокчейн)?
(20:49:56) crowe: http://i.imgur.com/Ax2LuWC.png - чекните по паролям, там все написанно, хотите больше инфы, так же можете чекнуть интервью мета блейза в конгресе который выступал по кибербезопасности и т.д.
(20:50:06) crowe: посмотреть что он говорит чем читать какую-то ересь
(20:50:37) Mef: 1. Если честно , это общая инфа и как её применить в работе и нашей защиты не совсем понятно , кроме того что надо все шифровать и бояться , а реально становиться страшно от твоих рассказов , что мы крайне уезвимы !!! я вот хотел что бы Вы учитель мне настроили систему что бы не кто не смог меня обнаружить , но 500 $ сейчас не могу на это потратить ... может быть для группы какие-то скидки есть на полную настройку и доп обучение от тебя !
2. как мне перенести всю инфу на закриптованный диск ? менеджер паролей например кей пасс ( кстате как он по защите ) , мне просто скопировать все туда ? или как , каша в голове и страх от твоих рассказов , на сколько мы уезвимы .
3. я в жабе ОТР запускаю и она у меня вылетает сразу , что э то может значить ?
4. я готов поднять свой сервак ВПН , помоги с этим . 50 $ готов как бы заплатить , если мой траф весь будет идти через него
5. Когда нас начнут учить кардить ? так то начальные знания есть , но охото конкретики !!!
6. у меня 10 виндовс , они уже следят за мной ? )))
7. как сделать закриптованное облако ? где ?
(21:02:59) crowe: 1. Настрйока и ведение зангимает большое количество времени и сил, а время в нашей нише, как и в любой другой является важным. Я делаю и так скидки на впн и дополнительные услги, так же я всегда всех консультирую и не посылаю, стараюсь отвечать на все вопросы более развернуто и емко, просто данная ниша структуризированна такие образом что вы можете двоерять тольско себе и если у вас нет пониманичя следовательно у вас не будет гаранити своей безопасности как то так.
2. Просто беерет перетаскиваете и копируете перед этим нужно смонтировать его и т.д.
3. Криво настроено, возможно не сгенерирован ключ в настройках ОТР
4. Без проблем пишите как я и гвоорил раньше, проконсультироую скажу как лучше и т.д. все натсроить и довести до ума. Так же можете выбрать любую страну вашего сервера расположения купить хотьб где и т.д. и многие другие плюхи зависит только от вас.
5. Конкретика уже пойдет с пейном я даю очень большое количество инфы которое вам в дальнейшем пригодиться. Я вам закину пост в вашу конференцию по поводу того что думать и т.д.
6. Конечно.
7. Могу так же сделать вам на опенсорсном решение только для вас на вашем личном сервере и т.д. так же по скидке как обучению.
(21:03:23) yufa : 1 если я один в лок сети. значит у провайдера реализованна vlan?
(21:03:26) yufa : 2.при использовании vpn несколькими? один способен на хостинге скомпрометировать остальных?
(21:12:01) crowe: 1. Проще чтоб узнать это, позвоните опператору провайдера, спросите есть ли у нас (у вашего провайдера имеется ввиду) внутренняя лкоальная сеть, скорее всего скажут что нет, и локальная сеть это вашего пк, если бы вы другой пк подключили через сетевой кабель или ееще как то, вы бюы его увидели, то есть было бы локальное подключение между двумя компами, посмотрие что такое парелельное поджключение сети в электросети на примере ламппочек сразу все поймете там )
2. ну точно так же, хотя был анапример уязвимость в том что дабл трипл квад и т.д. впн, расшифровавыывали трафик в оперативе при егол перешифровке, это уязвиморсть была выявленно недавно и она была с самого начал, так что безопасность дело такое, тут нет какойто панацеи или что-то в этом роде тут все основанно на рисках и т.д. завтра разберем поймете
(21:12:27) crowe: Анонимный источник подсказал кстати лекарство от всех болезней
(21:12:27) crowe: http://joxi.ru/823oBagf6R3nn2?d=1
(21:12:46) gamal: Какой плагин стоит использовать для безопасного определения подлинных сертификаток/проверки со старыми ?
(21:13:11) crowe: https everywhere вроде он
(21:13:22) crowe: или файрвол настройка так скажем
(21:14:55) crowe: Я как раз хотел вас писать, у меня все по очереди вроде как.
Для винды софт в затиркой методом гутмана, я лишь по линуху сказать могу по софту, а так ищите с методом гутмана и можете несколько раз вообще диск прогнать таким методом раза 2 ) правда долго но что делать, лучшего пока не дано.
(21:17:28) Mef: Когда тебе написать , что бы поробатали конкретно с тобой над моей системой ? Что бы ты был не занят .
И насчет вин 10 , что они конечно следят за мной - это как , что сейас выключить все до настройки ? чем черевато что я сейчас тут сижу и т.д ? Бля не гони жути плиз , сори за мат но я сейчас на изменеееее ))) скажи что все будет хорошо !!! )))) успокой хоть чуть чуть ! )
(21:17:57) crowe: Так же был бы признателен за вашу обратную связь по поводу моих лекций, пару слов в данной теме
(21:21:16) crowe: Я постоянно занят так скажем, но я отвечаю на все вопросы, обычно если пишут, стараюсь емко и подробно изложить информацию либо направить людей в то русло.
Если конечно там спрашивают инфу которую стоит изучать или хотят получить уже боле платную инфу, я конечно говорю где стоит искать и т.д. Но такую инфу вам по ряду причин не буду предоставлять, так как комерческая тема, и труд любой должен оплачиваться, а мне это информация легко не доставалась да и на написание и изучение иследование этой инфы уходило большое количество времени, просто тоже поймите меня.
На счет вин 10 просто достаточно прочитать русское лицензионное соглашение майкрософт, там способов слежения больше 100 штук можете чекнуть есть софт не помню как анызвается w10privacy или ooshutup или как то так ищите смотрите
(21:21:27) crowe: Да по сути вам на данном этапе то не особо нечего боятсья если вы не работаете по ру
(21:21:37) crowe: Или не говорите всем подряд что вы трушный чел и т.д.
(21:21:47) crowe: Так ак все закрытия идут из-за вашего языка, работы по ру
(21:21:48) crowe: и 228
(21:21:50) crowe: как и говорилв чера
(21:22:04) crowe: Самое главное хотябы имейте впн
(21:22:06) crowe: и носок
(21:22:08) crowe: Лучше иметь
(21:22:10) crowe: впн тор носок
(21:22:15) crowe: и использовать виртуалки для изоляции
(21:22:23) crowe: у вас будет большое количество инфы с пейном по практике
(21:22:28) crowe: он вам даст уже и овтетит более подробюно
(21:22:34) crowe: вам эта информация как и я сказал ранее что дам
(21:22:34) crowe: пост
(21:22:42) crowe: в вашей конференции вопрос ответ там
(21:22:47) crowe: чтобы понимали не множко
(21:22:59) crowe: Если нет на сегодня вопросов то будем закругляться и отправляться до завтра
(21:23:04) crowe: прощаться то есть
(21:24:02) crowe: Тогда всего доброго ребят, до завтра !
(19:19:36) crowe: Всех приветствую сегодняшняя лекция будет посвящена шифрованию, так что разберем все основные аспекты, а так же поговорим о шифрование в целом.
(19:20:04) crowe: Я бы хотел обсудить и разобрать фундаментальные основы шифрования, мы изучим симметричное и асимметричное шифрование, так же слегка затронем такие понятия как: хеши, SSL, TLS, сертификаты, перехват данных при помощи утилиты SSLStrip и слабости, связанные с шифрованием. Это фундаментальные знания, необходимые для выбора подходящих средств обеспечения безопасности с целью снижения рисков.
(19:20:19) crowe: Многие из вас если копнуть глубже вообще не имеют ни малейшего представления о своей безопасности и конфиденциальности. Они лишь только слепо могут возражать, основываясь на мнениях других людей.
(19:20:38) crowe: Но когда речь идет о безопасности и о вашей конфиденциальности. Только Вы можете выступать гарантом своей безопасности, и никто другой.
(19:20:55) crowe: Но наверняка уже некоторые смышленые ребята зададутся вопросом: "А как я могу выступать гарантом своей безопасности если я ничего не знаю о ней?"
(19:21:10) crowe: Один из принципов который вы должны освоить - это принцип планирования. Все ваши действия должны быть четко спланированы.
(19:21:23) crowe: Но для того чтобы что-то спланировать необходимо разбираться в данной области, да и ответить себе на вопросы, а что это такое и для чего это надо?!
(19:21:37) crowe: В целом, шифрование состоит из 2-ух составляющих зашифровывание и расшифровывание.
(19:21:47) crowe: С помощью шифрования обеспечиваются 3-и состояния безопасности информации:
(19:21:54) crowe: 1. Конфиденциальность – шифрование используется для скрытия информации от не авторизованных пользователей при передаче или при хранении.
(19:21:58) crowe: 2. Целостность – шифрование используется для предотвращения изменения информации при передаче или хранении.
(19:22:03) crowe: 3. Идентифицируемость – шифрование используется для аутентификации источника информации и предотвращения отказа отправителя информации от того факта, что данные были отправлены именно им.
(19:22:16) crowe: Для того, чтобы прочитать зашифрованную информацию, принимающей стороне необходимы ключ и дешифратор ( устройство, реализующее алгоритм расшифровывания ).
(19:22:44) crowe: КСТАТИ: Идея шифрования состоит в том, что злоумышленник, перехватив зашифрованные данные и не имея к ним ключа, не может ни прочитать, ни изменить передаваемую информацию.
(19:23:32) crowe: Давайте представим закрытою дверь на замок, для того чтобы узнать, что находится по ту сторону двери нам необходимо открыть ее ключом от этого замка.
(19:23:45) crowe: Так и в случае шифрования данных. Только вместо замка у нас выступает алгоритм шифрования данных, а вместо ключа секретный ключ ( пароль ) для дешифровки данных.
(19:24:05) crowe: Цели шифрования
(19:24:30) crowe: Основная цель шифрования применяется для хранения важной информации в зашифрованном виде.
(19:24:36) crowe: Вообще шифрование используется для хранение важной информации в ненадежных источниках и передачи ее по незащищенным каналам связи. Такая передача данных представляет из себя 2-а взаимно обратных процесса:
(19:24:44) crowe: 1. Перед отправлением данных по линии связи или перед помещением на хранение они подвергаются зашифровыванию.
(19:25:01) crowe: 2. Для восстановления исходных данных из зашифрованных к ним применяется процедура расшифровывания.
(19:26:37) crowe: Шифрование изначально использовалось только для передачи конфиденциальной информации. Однако впоследствии шифровать информацию начали с целью ее хранения в ненадежных источниках. Шифрование информации с целью ее хранения применяется и сейчас, это позволяет избежать необходимости в физическом защищенном хранилище ( usb, ssd диски ).
(19:27:24) crowe: КСТАТИ: Примеры мы разберем в методах шифрования и уже наглядно увидим всю суть, так что не переживайте по этому поводу.
(19:27:28) crowe: Какие имеются методы шифрования:
(19:27:38) crowe: 1. Симметричное шифрование – использует один и тот же ключ и для зашифровывания, и для расшифровывания.
(19:27:52) crowe: 2. Асимметричное шифрование – использует 2-а разных ключа: один для зашифровывания ( который также называется открытым ), другой для расшифровывания ( называется закрытым ) или наоборот.
(19:29:01) crowe: Эти методы решают определенные задачи и обладают как достоинствами, так и недостатками. Конкретный выбор применяемого метода зависит от целей, с которыми информация подвергается шифрованию.
(19:29:49) crowe: Для того чтобы сделать правильный выбор в подходе по шифрованию, какой метод шифрования где применять, и ответить на другие сопутствующие вопросы, Вам будет необходимо понимать, что такое шифрование, как я и говорил ранее.
(19:30:05) crowe: Исходя из инфографики выше (ссылка), мы можем наглядно разобрать принцип работы шифрования
(19:30:09) crowe: — Отправитель отправляет зашифрованное сообщение: "Привет, Marfa"
(19:30:12) crowe: — Злоумышленники перехватывают данное сообщение, но так как у них нет ключа для дешифровки они лишь видят набор символов: "%#&$!"
(19:30:16) crowe: — Получатель, имея ключ дешифровки, с легкостью может прочитать сообщение которое отправил отправитель в зашифрованном виде, и он уже видит текст отправителя в первозданном виде: "Привет, Marfa"
(19:31:01) crowe: Не будет преувеличением сказать, что шифрование – это самый лучший инструмент, который только есть в нашем арсенале для защиты от хакеров и слежки.
(19:31:16) crowe: Шифрование – это метод преобразования данных, пригодных для чтения человеком, они называются незашифрованным текстом, в форму, которую человек не сможет прочитать, и это называется зашифрованным текстом. Это позволяет хранить или передавать данные в нечитабельном виде, за счет чего они остаются конфиденциальными и приватными.
(19:31:34) crowe: Дешифрование – это метод преобразования зашифрованного текста обратно в читабельный человеку текст. Если вы осуществите простой поиск в Google, то увидите здесь надпись HTTPS и наличие зеленой иконки замка, это означает, что все содержимое веб-страниц недоступно для чтения людям, которые отслеживают передачу данных по сети.
(19:31:51) crowe: Проще говоря или симметричное шифрование
(19:32:02) crowe: Есть два основных компонента шифрования:
(19:32:10) crowe: 1. Алгоритм шифрования – известен публично и многие, многие люди тщательно его изучили в попытке определить, является ли алгоритм сильным.
(19:32:16) crowe: 2. Секретный ключ – можете представить, что секретный ключ – это пароль и он должен держаться в тайне.
(19:32:41) crowe: Алгоритм можно представить, как замок, а секретный ключ – это ключ к этому замку ( см. На инфографике ссылка выше ).
(19:32:55) crowe: В симметричных криптосистемах для шифрования и расшифровывания используется один и тот же ключ.
(19:33:11) crowe: Исходя из инфографики выше давайте рассмотрим пример, я хочу отправить Марфе какой-то файл, но я не хочу, чтоб какие-то 3-и лица могли его просмотреть. Для наглядности и простоты использования я решил зашифровать данный файл программой 7-Zip.
(19:33:24) crowe: По этой же аналогичной структуре шифруются сектора/диски в VeraCrypt, TrueCrypt, так же возьмем для примера.
(19:33:37) crowe: Давайте разберем скриншот выше:
(19:33:43) crowe: 1. Алгоритм шифрования – это математический процесс преобразования информации в строку данных, которые выглядят как случайный набор символов и букв.
(19:33:48) crowe: 2. Хэш-функция – это преобразования входных данных, в нашем случае в выходную битовую строку. Задача функции обеспечивать целостность и позволять обнаружить непреднамеренные модификации.
(19:33:52) crowe: 3. AES-256 – указывает какой алгоритм используется ( AES ) и какой размер блока ( 256 ), как мы видим в 7-Zip нет возможности детальной настройки, нежели как в VeraCrypt.
(19:33:57) crowe: 4. При помощи введенного пароля будет сгенерирован ваш ключ для выбранного алгоритма шифрования ( в нашем случае AES-256 ), для дешифровки вам надо будет указать алгоритм дешифровки если имеется и ввести пароль
(19:34:17) crowe: На выходе мы получаем зашифрованный архив, который для распаковки и получении информации, что находится внутри необходимо ввести ключ дешифровки, говоря простым языком пароль.
(19:34:22) crowe: Вы могли заметить, что для зашифровки был использован симметричный алгоритм блочного шифрования – Advanced Encryption Standard ( AES ).
(19:34:27) crowe: В данном алгоритме используется только 1-н ключ, ключ создается при помощи нашего пароля ( см. 4 пункт для наглядности преобразования )
(19:34:34) crowe: Так же Вы можете выбрать какой размер блока будет использован 128 / 256 / 512 / 1024 бит, в нашем случае были лишь варианты 256 бит и 512 бит.
(19:34:44) crowe: КСТАТИ: Представьте себе дверь и множество замков на ней. У вас займет много времени, чтобы открыть или закрыть эту дверь. Также и с алгоритмами, чем выше битрейт, тем сильнее алгоритм, но тем медленнее он шифрует и дешифрует, можете считать это стойкостью алгоритма.
(19:34:55) crowe: 256 / 512 бит – это также и объем ключевого пространства, то есть цифра, обозначающая суммарное количество возможных различных ключей, которые вы можете получить при помощи этого алгоритма шифрования.
(19:35:03) crowe: КСТАТИ: Для взлома симметричного шифра требуется перебрать 2^N комбинаций, где N длина ключа.
(19:35:13) crowe: Для взлома симметричного шифрования с длиной ключа 256 бит можно создать следующее количество комбинаций, то есть возможных ключей: 2^256 = 1.1579209e+77 или если разложить 1.1579209e * 10^77 при расчете получается следующее число возможных вариаций ( это 78-разрядное число ).
(19:35:28) crowe: 2^256 = 115792089237316195423570985008687907853269984665640564039457584007913129639936
(19:35:56) crowe: Если что можете проверить сами это число тут http://kalkulyatoronlajn.ru/
(19:36:22) crowe: Таким образом, для всех, кто сомневается в безопасности шансов столкновения 2 ^ 256, есть число: есть вероятность того, что столкновение будет иметь 1-н из более чем 1.1579209e*10^7= 78-разрядному числу ( то число которое выше )
(19:36:40) crowe: Все это означает, что ключ крайне сложно подобрать, даже при помощи очень мощных компьютеров, но при условии, что вы использовали длинный и рандомный пароль при генерации ключа.
(19:36:50) crowe: КСТАТИ: Про пароль поговорим отдельно, какой использовать и т.д. Вместе с програмами и почему. Чтобы не засорять вам мозг не нужной информацией на данном этапе, так что ввнезабивайте голову, сейчас обо всем поговорим..
(19:36:56) crowe: Люди и правительства постоянно пытаются взломать алгоритмы шифрования. В этой статье я дам вам список алгоритмов, которые хороши, а которые нет, какие из них поддаются взлому, а какие на сегодняшний день невозможно взломать.
(19:37:28) crowe: Алгоритмы симметричного шифрования
(19:37:36) crowe: 1. Data Encryption Standard ( DES ) – алгоритм для симметричного шифрования, разработанный фирмой IBM и утверждённый правительством США в 1977 году как официальный стандарт ( FIPS 46-3 ). Размер блока для DES равен 64 бита.
(19:37:57) crowe: 2. Triple-DES ( 3DES ) – симметричный блочный шифр, созданный в 1978 году на основе алгоритма DES с целью устранения главного недостатка последнего малой длины ключа ( 56 бит ), который может быть взломан методом полного перебора ключа.
(19:38:09) crowe: 3. Blowfish – криптографический алгоритм, реализующий блочное симметричное шифрование с переменной длиной ключа
(19:38:17) crowe: 4. RC4 – потоковый шифр, широко применяющийся в различных системах защиты информации в компьютерных сетях ( например, в протоколах SSL и TLS, алгоритмах обеспечения безопасности беспроводных сетей WEP и WPA ).
(19:38:23) crowe: 5. RC5 – это блочный шифр, разработанный Роном Ривестом из компании RSA Security Inc. с переменным количеством раундов, длиной блока и длиной ключа. Это расширяет сферу использования и упрощает переход на более сильный вариант алгоритма.
(19:38:28) crowe: 6. RC6 – симметричный блочный криптографический алгоритм, производный от алгоритма RC5.
(19:38:59) crowe: 7. Advanced Encryption Standard ( AES ) – симметричный алгоритм блочного шифрования ( размер блока 128 бит, ключ 128/192/256 бит ), принятый в качестве стандарта шифрования правительством США по результатам конкурса AES. Этот алгоритм хорошо проанализирован и сейчас широко используется, как это было с его предшественником DES.
(19:39:05) crowe: Симметричные алгоритмы используются в большинстве систем шифрования, которые Вы используете ежедневно: HTTPS, Полное шифрование диска ( TrueCrypt, VeraCrypt и другие ), Шифрование файлов ( 7-Zip, WinZip и другие ), Tor, VPN. Практически везде используется симметричное шифрование
(19:40:18) crowe: КСТАТИ: Advanced Encryption Standard ( AES ) – это общепринятый стандарт симметричного шифрования. Для максимальной защиты используйте AES-256 где это возможно,. AES быстрый и на сегодняшний день его невозможно взломать ( При условии что пароль у вас сильный, про это будет ниже ).
(19:40:45) crowe: Асимметричное шифрование
(19:40:51) crowe: Очень умные люди изобрели это шифрование с использованием открытого и закрытого ключей и алгоритмы, основанные на сложности определенных математических задач. Я не буду обращаться в математические детали, потому что их понимание не обязательно для вашей защиты.
(19:41:05) crowe: Для правильного выбора средств защиты вам лишь достаточно иметь базовое понимание алгоритмов и стойкости алгоритмов, а также криптографических систем, которые вы собираетесь использовать.
(19:41:30) crowe: Как мы знаем в симметричном методе шифрование используется 1-н секретный ключ, тогда как в асимметричных методах шифрования ( или криптографии с открытым ключом ) для зашифровывания информации используют один ключ ( открытый ), а для расшифровывания другой ( секретный ). Эти ключи различны и не могут быть получены один из другого.
(19:41:41) crowe: Давайте сразу же закрепим данный материал
(19:41:52) crowe: Симметричный метод шифрования – 1-н ключ, использует один и тот же ключ и для зашифровывания, и для расшифровывания.
(19:41:58) crowe: Асимметричный метод шифрования – 2-а ключа открытый ( публичный от англ. Public ) и закрытый ( приватный от англ. Private )
(19:43:46) crowe: Итак, у нас есть файл для Марфы, который если Вы помните в разделе симметричного шифрования ( см. Скриншот выше ) был зашифрован с помощью программы 7-Zip с использованием алгоритма шифрования AES-256 и сильного пароля, но как нам доставить пароль Марфе, чтобы она смогла дешифровать файл?
(19:43:58) crowe: КСТАТИ: Самый лучший способ, что-либо передать и быть уверенным в доставке информации указанному адресату это лично в руки.
(19:44:05) crowe: Но это не очень хорошая затея, так как мы можем попросту не знать где находится адресат, либо он может находится на столько далеко, что доставить что-либо "лично в руки" становится проблематичным, а быть может нам попросту нужна анонимность.
(19:44:14) crowe: Асимметричные алгоритмы ( с применением открытого и закрытого ключа ):
(19:44:26) crowe: 1. RSA ( Rivest-Shamir-Adleman ) – криптографический алгоритм с открытым ключом. Данный алгоритм очень популярен, 1-н из самых распространенных асимметричных алгоритмов из всех, что вы увидите, и я покажу вам, где вообще их искать и как использовать.
(19:44:49) crowe: Криптостойкость этого алгоритма основана на сложности факторизации или разложения больших чисел в произведение простых множителей.
(19:44:52) crowe: 2. ECC ( Elliptic curve cryptosystem ) – распространенный и приобретающий популярность алгоритм. Эта криптографическая система на основе эллиптических кривых, или ECC. Стойкость этого алгоритма опирается на задачу вычисления дискретных логарифмов на эллиптических кривых.
(19:44:56) crowe: 3. DH ( Diffie-Hellman ) – Его стойкость основана на задаче дискретного логарифмирования в конечном поле. Диффи-Хеллман становится все более популярным, потому что у него есть свойство под названием "прямая секретность", мы обсудим его позже.
(19:44:59) crowe: 4. ElGamal – схема Эль-Гамаля, и криптостойкость этого алгоритма также основана на сложности задачи дискретного логарифмирования в конечном поле.
(19:45:03) crowe: ОПРЕДЕЛЕНИЕ: Криптостойкость ( способность криптографического алгоритма противостоять криптоанализу ) – этого алгоритма основана на сложности факторизации или разложения больших чисел произведения простых множителей
(19:45:11) crowe: Эти асимметричные алгоритмы помогают решать проблему обмена или согласования ключей, а также позволяют создавать так называемые электронные цифровые подписи. Так что потенциально мы можем использовать открытый и закрытый ключи, чтобы отправить Марфе наш секретный ключ защищенным образом, без возможности перехвата его содержимого.
(19:45:44) crowe: КСТАТИ: Еще раз отмечу, в алгоритмах с применением открытых и закрытых ключей используются два ключа, а не один, как в симметричном шифровании.
(19:45:56) crowe: Разница в том, что в асимметричном шифровании есть открытый ключ, который создается, чтобы быть известным для любого человека, то есть это публичный ключ, и есть закрытый ключ, который должен всегда храниться в секрете и быть приватным. Эти ключи математически связаны и оба они генерируются в одно и то же время. Они должны генерироваться одновременно, потому что они математически связаны друг с другом.
(19:46:06) crowe: Любой веб-сайт, использующий HTTPS, имеет открытый и закрытый ключи, которые используются для обмена симметричным сеансовым ключом, чтобы отправлять вам зашифрованные данные. Это немного похоже на Zip-файл, который мы видели. Они используют эти открытые/закрытые ключи и затем им нужно отправить другой ключ, типа ключа, который мы используем для Zip-файла, с целью осуществить шифрование ( end-to-end разберем позже )
(19:46:26) crowe: ЗАПОМНИТЕ КАК ОТЧЕ НАШ И ЗАУЧИТЕ ПОЙМИТЕ И ВСЕ В ЭТОМ РОДЕ
(19:46:33) crowe: Если Вы шифруете при помощи закрытого ключа, Вам нужен открытый ключ для дешифровки
(19:46:37) crowe: Если Вы шифруете при помощи открытого ключа, Вам нужен закрытый ключ для дешифровки
(19:46:51) crowe: В асимметричном шифровании, если сообщение зашифровано 1-им ключом, то необходим 2-ой ключ для дешифровки этого сообщения. Если вы шифруете при помощи закрытого ключа, то вам нужен открытый ключ для дешифровки.
(19:47:10) crowe: Если вы шифруете при помощи открытого ключа, то для дешифровки вам нужен закрытый ключ. Невозможно зашифровать и дешифровать одним и тем же ключом, и это крайне важно. Для шифрования или дешифрования вам всегда нужны взаимосвязанные ключи.
(19:47:41) crowe: Но зачем шифровать при помощи открытого или закрытого ключа? Какая разница? Какой смысл в их использовании? Почему бы не использовать только один из них?
(19:48:13) crowe: Специально для вас я нарисовал инфографику чтобы просто и легко объяснить всю полезность этих ключей и как их можно использовать.
(19:49:07) crowe: КСТАТИ: В этой инфографике рассматриваются 2-а направления шифрования, сначала мы разберем с зелеными стрелочками, а потом с красными.
(19:49:31) crowe: 1 способ ( зеленые стрелочки )
(19:49:42) crowe: На способе с зелеными стрелочками показано, что отправитель шифрует при помощи открытого ( публичного ) ключа получателя, Марфы, то это означает, что вам нужны анонимность и конфиденциальность, чтобы никто не смог прочитать сообщение, кроме получателя.
(19:49:54) crowe: ВАЖНО: Допустим Вы зашифровываете файл при помощи открытого ключа получателя. Сообщение может быть расшифровано только человеком, обладающим подходящим закрытым ключом, то есть закрытым ключом Марфы.
(19:50:10) crowe: Так как мы знаем, что данные ключи взаимосвязаны, одним шифруем другим дешифруем и ни как иначе.
(19:50:25) crowe: Получатель ( Марфа ) не может идентифицировать отправителя этого сообщения. Так как открытый ( публичный ) ключ на то и открытый, что он выкладывается в обычно в общий доступ, и любой может использовать открытый ( публичный ) ключ Марфы для шифрования.
(19:50:44) crowe: Когда отправитель шифрует при помощи открытого ключа получателя, сообщение конфиденциально и оно может быть прочитано лишь получателем, у которого есть закрытый ключ для дешифрования сообщения, но как я и говорил ранее возможности идентификации отправителя нет, при условии конечно если Вы сами не пришлете там каких либо данных для последующей Вас идентификации
(19:51:05) crowe: 2 способ ( красные стрелочки )
(19:51:21) crowe: Все выше сказанное выливается во 2-ой способ использования открытый ( публичных ) и закрытых ( приватных ) ключей.
(19:51:48) crowe: Если вы шифруете своим собственным закрытым ключом, то это означает, что вы заинтересованы в аутентификации. В этом случае вам важно, чтобы получатель знал, что именно вы отправили зашифрованное сообщение. Для этого вы шифруете при помощи своего закрытого ключа. Это наделяет уверенностью получателя, что единственным человеком, который мог зашифровать эти данные, является человек, который владеет этим закрытым ключом, Вашим закрытым ключом.
(19:52:17) crowe: ПРИМЕР: Вы создатель какого-то программного обеспечения, но правительство негодует и всячески препятствует вашей деятельности. Смоделируем такую ситуацию:
(19:52:31) crowe: Допустим, я хочу скачать это программное обеспечение, здесь указан хеш-сумма этого файла, однако, если веб-сайт скомпрометирован, то это означает, что злоумышленники могли подменить данный файл для загрузки и добавить к нему троян или что-то для слежки за мной, и они также могли подменить и контрольную сумму.
(19:52:39) crowe: итак, этот хеш ничего не значит. Он не поможет обнаружить преднамеренную модификацию файла. Нам нужно что-то еще для удостоверения, что данный сайт это в действительности официальный сайт программного обеспечения.
(19:53:03) crowe: И здесь мы подходим к сертификатам, цифровым подписям и другим средствам. Все эти документы, получаются в результате криптографического преобразования информации с использованием закрытого ключа подписи и позволяющий проверить отсутствие искажения информации в электронном документе с момента формирования подписи ( целостность ), принадлежность подписи владельцу сертификата ключа подписи ( авторство ), а в случае успешной проверки подтвердить факт подписания электронного документа ( неотказуемость )
(19:53:12) crowe: Об этом поговорим позже..
(19:53:16) crowe: Шифрование данных с помощью закрытого ключа отправителя называется форматом открытого сообщения, потому что любой человек, обладающий копией соответствующего открытого ( публичного ) ключа, может дешифровать сообщение.
(19:53:25) crowe: Можете считать это, как если бы вы официально поместили что-либо в Интернет для публичного доступа, и поскольку вы зашифровали его своим закрытым ключом, любой может убедиться, что именно вы, оставили это сообщение. Конфиденциальность или анонимность в данном случае не обеспечивается, но обеспечивается аутентификация отправителя, то есть вас.
(19:53:35) crowe: Далее. Когда различные технологии шифрования используются в комбинации, типа тех, о которых мы уже говорили ранее, поскольку они все могут быть использованы в комбинации и не могут использоваться по отдельности, то они называются криптографической системой, и криптосистемы могут обеспечить вас целым рядом средств обеспечения безопасности.
(19:53:41) crowe: Криптографическая система могут обеспечить вас целым рядом средств безопасности. В числе этих средств:
(19:53:56) crowe: 1. Конфиденциальность – необходимость предотвращения утечки ( разглашения ) какой-либо информации.
(19:54:02) crowe: 2. Аутентификация – процедура проверки подлинности, то есть мы знаем что Марфа это реально Марфа и ни кто другой.
(19:54:21) crowe: 3. Предотвращение отказа – что означает что если вы отправили шифрованное сообщение то позже вы не сможете начать отрицать этот факт
(19:54:34) crowe: 4. Достоверность – подлинность того что сообщение не было модифицировано каким либо образом
(19:54:42) crowe: Примерами криптосистем являются любые вещи, которые используют технологию шифрования, это: PGP, BitLocker, TrueCrypt, VeraCrypt, TLS, даже BitTorrent, и даже 7-Zip который мы использовали для шифрования файла в симметричном способе шифрования.
(19:55:04) crowe: НАПРИМЕР: Для того чтобы мы могли послать наш файл Марфе, мы можем использовать открытый ключ Марфы для шифрования файлов, или для передачи чего угодно в зашифрованном виде.
(19:55:26) crowe: Но для начала, конечно, нам потребуется открытый ключ Марфы, нам достаточно получить его 1-н раз неким защищенным способом, это важно, и после этого мы сможем всегда посылать зашифрованные сообщения, доступные для чтения исключительно Марфе.
(19:55:49) crowe: PGP – Это система которую мы можем использовать для этих целей, она использует технологию шифрования сообщений, файлов и другой информации, представленной в электронном виде
(19:56:06) crowe: ОПРЕДЕЛЕНИЕ: PGP ( Pretty Good Privacy ) – компьютерная программа, также библиотека функций, позволяющая выполнять операции шифрования и цифровой подписи сообщений, файлов и другой информации, представленной в электронном виде, в том числе прозрачное шифрование данных на запоминающих устройствах, например, на жёстком диске.
(19:56:27) crowe: Для этих целей мы можем использовать Jabber + PGP.
(19:56:39) crowe: Об этом чуть позже.
(19:56:50) crowe: Но давайте вернемся к шифрованию. Когда речь заходит о криптографии с использованием открытых и закрытых ключей или асимметричном шифровании, есть как сильные, так и слабые стороны.
(19:57:00) crowe: Асимметричное шифрование – открытые и закрытые ключи:
(19:57:10) crowe: 1. Лучшее распределение ключей так как Марфа может поместить свой открытый ключ прямо себе в подпись и любой человек будет иметь возможность посылать ей зашифрованные сообщения или данные, которые сможет прочитать только она.
(19:57:25) crowe: 2. Масштабируемость — если вы используете симметричные ключи и желаете отправить ваш файл Марфе и, скажем, еще 10-ти людям, вам придется передать свой пароль 10 раз. Это совершенно не масштабируемо. Асимметричные алгоритмы имеют более хорошую масштабируемость, нежели чем симметричные системы.
(19:57:33) crowe: 3. Аутентификация, предотвращение отказа — это означает, если вы отправили шифрованное сообщение, то позже вы не сможете начать отрицать этот факт. Так как оно было зашифровано личным приватным ключом, вашим приватным ключом
(19:57:51) crowe: 4. Медленные — если вы посмотрите на длину сообщения в битах ( см. скриншот ниже ) после работы асимметричных алгоритмов, то заметите, что она гораздо больше, чем у алгоритмов шифрования с симметричными ключами, и это свидетельство того, насколько они медленнее.
(19:57:58) crowe: 5. Математически-интенсивные — Чем больше длинна в битах, тем больше число математических операций, а, следовательно, большая нагрузка на систему.
(19:58:13) crowe: Симметричное шифрование – закрытый ключ:
(19:58:20) crowe: 1. Быстрые — если вы посмотрите на длину сообщения в битах ( см. скриншот ниже ) после работы симметричных алгоритмов, то заметите, что она гораздо меньше, чем у алгоритмов шифрования с асимметричными ключами, и это свидетельство того, насколько они быстрее.
(19:58:55) crowe: 2. Надежные — Посмотрите на вышеописанное по поводу AES-256 где был с расчетом числа 2^256 и убедитесь сами, а ведь есть и 384 / 512 /1024 и более..
(19:59:26) crowe: Для наглядной демонстрации посмотрите на этот скриншот ниже
(19:59:56) crowe: Для того чтобы закрепить материал, вернемся к аналогии с количеством замков на двери. С открытыми и закрытыми ключами на двери висит много-много замков, так что шифрование и дешифрование занимает гораздо больше времени. Для центрального процессора это большой объем математических операций, вот почему существуют гибридные системы, или гибридные криптографические системы.
(20:00:08) crowe: Открытые и закрытые ключи используются для обмена ключами согласования, и мы используем симметричные алгоритмы типа AES для шифрования данных, тем самым извлекая максимальную выгоду. HTTPS, использующий протоколы TLS и SSL, является примером подобного типа гибридных систем, как и PGP.
(20:01:48) crowe: На этом первую часть завершим, пока отойду налью кофейку, можете отписать кто-то на счет отзывов к примеру, я буду рад : )
Ну и пишите в привычном режиме ? а я уже отвечу на все вопросы.
И еще раз скину, и уже отвечу на вопросы по VPN
(20:01:57) crowe: Кто писал по подъему собственного VPN сервера или серверов:
Так как вы задете практически одни и те же вопросы отвечу сразу, если вы все сорбрались тут.
Цена настройки сервера, лично для тех кто проходит это обучение 50$ + 3-10 долларов стоит 1н сервер, за него вы доплачиваете сверху конечно же.
Если вы собираетесь брать со своим другом или подругой без проблем, в таком варианте можно придусмотреть скидку, и разместить вас на одном сервере либо на разных, но чем больше количество тем меньше цена конечно же по настройке сервера.
По поводу серверов и его нстройки. Все сервера без логов, можно сделать даже акк вам для просмотра этих параметров, а не идут ли логи, разумеется без прав редактирования и т.д.
Чтоб не уронили сервер и мне лишний раз не надо создавать геморой. По факту могу сказать, что сервера закроются моим приватным ключом, что это такое и как безопасно разберем завтра.
Сумму за настройку сервера, вы оплачиваете единожды, далее чисто оплачиваете сам сервер 3-10 долларов. Если больше человек на 1м сервере то меньше в месяц платите.
По поводу подключения единовременного все зависит от сервера, а так хоть сколько можно создать, но сами понимаете тематика такая и лучше когда вы с проверенным человеком находитесь или в соло.
Если вас не устроил сервер, и вы хотите переехать без проблем перенастрою сервер у нового хостера за чисто символическую цену максимум в 25$ минимум бесплатно, зависит от того скольки людей базируется на сервере. Через предварительное общение.
Так же я заикнулся что могу написать лекцию по протоколам их сравнение и другие факторы что лучше использовать. На покупных серверах обычно используется настройка OpenVPN это конфиги и это не так безопасно есть свои нюансы, куда безопаснее использовать уже более современные методы шифрования трафика, а именно l2tp/ipsec или WireGuard и другие.
Как уже выше упомянуто из этого можно настроить любой протокол.
Какие плюсы своего VPN, вы не зависите от регистратора, на вашем ип только вы либо ваш сотоварищ, вы можете использовать свои конфигурации то есть свой порт тунелирования трафика и другие фичи. Так же гарантирую отсутствие ведение логов за вами.
Могу предоставить доступ для слежение по сути кому нужно как то реализовать этот момент.
Так же могу сегодня для теста поднять вам впн и дать на тестирование, раздать группе желающим, можете бесплатно потестировать так сказать пощупать материал.
Если есть вопросы собственно уже тогда можете задавать.
(20:02:10) crowe: На этом первую часть завершим, пока отойду налью кофейку, можете отписать кто-то на счет отзывов к примеру, я буду рад : )
Ну и пишите в привычном режиме ? а я уже отвечу на все вопросы.
(20:09:42) crowe: Так ребят сегодня зарегаю всех на облаке, туда будут выкладываться лекции, так же скинем дополнительный материал по обучению, ссылки, прочие, документации, попытаемся развить это направление.
Вы будете первой группой, собственно будем тестировать с вами этот сервис с облаком зайдет не зайдет.
По факту все шифруется, но сервак конешно не очень, со скоростью лично там не ахти, но за то свое и все в одном месте, в общем был бы признателен там за ответы советы и стоит ли развиваться в данном направлении в общем зарегаю скину пароль, ссылку и логин ваш, пароль сможете сменить так же прикрутить 2-х факторку.
Не флудите, уважайте своих товарищей.
(20:10:14) kkkkk: 1) "Асимметричные алгоритмы имеют более хорошую масштабируемость, нежели чем симметричные системы."
В чем выражается масштабируемость? Можно пример?
2) В нашем деле есть пример использования ассимитричного шифрования?
(20:15:08) crowe: 1) "Асимметричные алгоритмы имеют более хорошую масштабируемость, нежели чем симметричные системы."
В чем выражается масштабируемость? Можно пример?
Например Манс чекает базы. С этим познакомитесь в процессе обучения, или у вас там есть группа, вроде кто по старше можете там осбудить и подробно изучить мой вопрос и что я имел ввиду.
В общем. Манс чекает базы, и после чека пишет свой вердикт сколько гшудов прочее, и т.д. все в этом духе, Ассиметричный алгоритм шифрования может дать ему возможность подписать этот документ его цифровой подписью и как бы заверить его, сделав на нем какой-то сертификат качества, все люди могут проверить является ли эта цифровая подпись легитимной (завтра этот момент разберем) то есть все люди у кого будет присутствовать открытый ключ манса, могут удостовериться в зашифрованной информации или
(20:15:13) crowe: Пока вы не знаете про цифрповые подписи
(20:15:24) crowe: Просто Манс шифрует в таком случае своим приватным ключом
(20:15:31) crowe: А все могут расшифровать эту инфу только его публичным ключом
(20:15:39) crowe: При этом установится масштабируемость
(20:15:49) crowe: Так как только публичным ключом манса можно расшифровать, этим ты гарантируешь
(20:15:56) crowe: масштабируемость именно от пользователя
(20:16:00) crowe: То есть во главе где стоит манс
(20:16:09) crowe: В общем думаю понятно
(20:16:19) crowe: На 2 вопроса думаю сразу твои ответил
(20:16:24) crowe: Куча примеров и возможностей
(20:16:35) qnooup: 1. Методы стеганографии как-то применяются в работе?
2. Ассиметричный на примере работает примерно так - зашифровываем публичным AES, расшифровываем условным паролем: qwerty?
(20:18:58) crowe: 1. Конечно применяйте, все от вас же зависит.
(20:19:00) crowe: 2 щас отвечу
(20:24:05) crowe: http://i.imgur.com/BCafhqn.png - там слегка отличается ну собственно пойдет для примера создаем взаимопару приватный и публичный
(20:24:15) crowe: http://i.imgur.com/xOZfYgx.png - слева приватный ключ справа публичный
(20:24:24) crowe: одним шифруешь другим дешифруешь
(20:24:45) crowe: приватный так же с парольной фазой идет симметричной
(20:25:31) gamal: каким методом можно будет передать код марфе?(можно пример?)
от чего зависит цена за 1н сервер на впне?
доступ к облаку можно будет получить как и с пк,так и с телефона?
(20:27:04) crowe: 1. Зависит от ситуации, вообще просто верифнуть ее через отр по отпечатку через форум
(20:27:24) crowe: и уже потом когда по отр верифнулди можно прямо туда и кинуть
(20:27:41) crowe: либо другим шифрованным источником которому вы доверяете и уверены что марфа это действительно марфа
(20:30:03) crowe: 1. 50 баксов это настройка, 3-10 долларов обычно от страны размещения, количества трафика, железа сервера, ну и собственно от чего зависит хлеб в вашей пекарни, от руководства пекарни собственно тут так же, как решит хостер, а так от мозностй и т.д. например надо искать где канал по скоростнее где железо по лучше и т.д. все варьируется. Ну и от качества какой хостер например заботиться о безопасности он как правило играет на этом и берет больше бабок за это.
да про облако это https://nextcloud.com можете в нете почитать, опенсорсное и т.д. я может сделаю лекцию по этому если заедет, пока все в тестовом бета тесте так сказать.
(20:30:23) alex666666: Когда нужен свой vpn? с какой недели обучения?
(20:30:57) crowe: Уже должен по сути быть
(20:31:19) crowe: Могу тестовые впн раздать, в той группе по сути так делали у меня сидели там недели 2 или 3 на моем впн у меня люди
(20:31:36) crowe: но чет я не хочу лишние 13 выкидывать чтоб вы на тесте сидели )
(20:32:05) crowe: Именно столько стоил ранее сервер, а так в принципе может че нить подкину хз
(20:32:23) crowe: Кароче подумаю сегодня может бабки закину сегодня подниму вам впн на завтра чтоб потестили если будет время не знаю
(20:32:26) crowe: Не обещаю
(20:32:50) Best friend: Подскажите, чем собственный впн лучше покупного, помимо логов? Логи я так понимаю может же хранить хозяин ресурса, который вам продал сервер под поднятие своего впн или я как то не так понимаю?
2. Как в кардинге можно использовать с пользой информацию по методам шифрования, кроме как передачи файлов в архивах, сообщений с PGP и шифрованию хдд трукриптом?\
(20:33:39) Best friend: 3.нАСКОЛЬКО НАДЕЖЕН air VPN?
(20:41:54) crowe: Во первых логи, собственно уверенность что трафик дествителньо шифруется, если нужно будет покажу все для вас , так же можем подключить к ssh чисто проверке в любое время дня и ночи сервера.
В теории хостер может такое сделать, ну как правило тут зависит от того как будет настроен конкретно сервер и другие нюансы. Ну и где размещено. Так как за подобное может хостер просто померять и потерять своих всех клиентов по сути если и дойти дело до суда, так как если у них в политике конфиденциальноси написанно обратное.
2. это когда более прошаренными будете когда разбееретесь, будете сами собой применять данную информацию, завтра будет вторая часть, будут примеры, и еще после завтра, в принципе вы разберете этот момент и дойдете д него самостоятельно.
3. Не знаю, не пользуюсь, собственно судить не возьмусь, есть много информации на просторах интернета. Вообще зависит как поднят впн, как скрывается трафик, что сделано в общем много всего можно сделать.
Вежь существует не только OpenVPN, так же есть более современные и лучшие методы шифрования и тунелирования трафика,Ю скорытия трафика и т.д.
(20:44:16) star8888: кого на ютубе посмотреть на тему шифрования? на слух лучше воспринимается)
(20:45:23) crowe: Да я не знаю даже, но лучше смотреть наверно в англо среде типо по запросам
(20:45:30) crowe: how encryption works
(20:45:32) crowe: what is encryption
(20:45:35) crowe: encryption is
(20:45:37) crowe: and etc
(20:45:51) crowe: А так я дам ссылки во второй части на ютуб думаю в принципе там будет небольшой разбор
(20:45:55) crowe: И я вродже давал вам тему
(20:45:56) crowe: на свю
(20:46:02) crowe: там имеется 7-8 пункт
(20:46:04) crowe: и там слегка описано
(20:47:30) crowe: домашнее вам задание ознакомиться с данной статьей кстати
(20:47:55) zopa: crowe: передумал задавать, Best friend задал тот вопрос который я хотел задать, по поводу мониторинга траффика провайдером. Остальные думаю будут в следующих уроках, рано пока задавать, спасибо.
(20:48:23) crowe: ок
(20:50:43) Mef: То какие ключи бывают вроде бы понятно , а вот как это все применять на практике , соверщенно не ясно , имею в виду какие программы это делают(кроме вера крипт , тру крипт ) , на какие файлы это наклвдывать нужно, на какие не обязательно , кроме жабы и шифровки внешнего насителя , пригодиться ли это в работе ???? ! )
(20:52:59) crowe: Какие программы, можно почерпнуть из поиска, вы постоянно должны работать на протяжении всего обучения, искать дополнительную информацию и обрабатывать ее, так же на счет программ, в домашнем задание там есть видео, и там есть использование программы для ассиметричного типа шифрования в поиске ищется за 1-3 минуты максимум. Так же мануал в этубе ищется в эти же временные рамки, просто написав тип шифрования и что собственно нужно вам.
(20:53:36) crowe: program for disk encryption
(20:53:41) crowe: programs*
(20:53:49) crowe: programs for file encryoption
(20:53:50) crowe: and etc
(20:53:58) crowe: используйте duckduckgo.com
(20:54:09) crowe: я обычно его использую Гугол так же можете юзкать
(20:54:36) Juice: 1. Возможно ли модифицировать файл, не изменив его контрольную сумму? Ты писал - "и они также могли подменить и контрольную сумму".
Как такое вообще возможно? Контрольная сумма ведь должна быть уникальна и должна меняться даже если изменился 1 байт информации в файле?
2. Можно ли как нибудь убедиться, что покупной впн не логирует трафик, при условии что имеется только конфигурационный файл openvpn?
3. Можно ли в теории подобрать пароль к 256 битному алгоритму шифрования задействовав мощности топовых майнинг пулов?(ну или вообще всех гпу на земле))
4. Сколько ты зарабатываешь?
(21:06:33) crowe: > 1. Возможно ли модифицировать файл, не изменив его контрольную сумму? Ты писал - "и они также могли подменить и контрольную сумму".
По сути возможно, но не рентабельно. так как в основном все хэш файла зависит от веса файла, например вес файла 1 454 458 байт, а файл который подменили 1 594 137 бай и хэш их будет разхличаться и тут надо подгонять идеально, и все зависит от типа еще шифрования так скажем.
По сути нет. Так как придется что-то удалять изх негшо и чем то заменять чтоб заполнить пространостов и т.д. думаю суть ясна, чтоб сохранить и т.д.
Как такое вообще возможно? Контрольная сумма ведь должна быть уникальна и должна меняться даже если изменился 1 байт информации в файле?
Все верно, имеетися ввиду что злоумышленник когда взломает сайт, на сайте выложен например контрольная сумма на скачку http://i.imgur.com/wAv8bnI.png то есть они эту ссылку с контролльными суммами или asс так же могут халить сумму измененого файла и типо это исходит от разхработчиков данного сайта скопроментировав файл где находятся типо легитимные контрольные суммы.
2. Можно ли как нибудь убедиться, что покупной впн не логирует трафик, при условии что имеется только конфигурационный файл openvpn?
Могу сделать доступ по ssh для просмотра, чтоб в любое время дня и ночи делали запросы и проверяли. Без проблем, научу как шариться к примеру и т.д.
3. Можно ли в теории подобрать пароль к 256 битному алгоритму шифрования задействовав мощности топовых майнинг пулов?(ну или вообще всех гпу на земле))
Вам надо капать по битовой силе и т.д. http://i.imgur.com/UrXkP4r.png вот к примеру битовая сила для пароля задана, можете проверить и провести расчет, сколько нужно и т.д. все в паблике есть эти расчеты для высчитывания сколько понадобяться мозности жля перебора и так далее, я не буду заниматься таким. По факту дал инфу вроде в этой части по поводу длинны пароля и возможных вариантах.
4. Сколько ты зарабатываешь?
Ты Юрий Дудь? Или капитан который не получил повышение ?
(21:07:49) prt: Отношение к собственным vpn на nas(qnap/synology)? Вроде они базируются на вполне современных условиях шифрования .
А некоторые модели имеют дополнительно чистый линукс,т.е можно установить рекомендованый WireGuard. Плюсы и минусы в общем и применительно к кардингу?
(21:08:21) portos10: 1.а нашу конфу возможно взломать и прочитать? 2. насколько безопасно с 4г работать без впн? сим левая и устройство 4г тоже. заранее спасибо.
(21:13:38) crowe: 1. Имеется ввиду поднимать или ставить? да без проблем собственно хоть как хоть как, собственно чтоб само шифрование было стойкое, это главное.ю
Я юзаю Wireguard лично сам, чача на много быстрее и современее http://i.imgur.com/TsV3Hfy.png вот собственно скорость, но не самая топовая так как сервер не ахти конечно, надо брать по лучше да и сеть загружена, но из реализаций что есть нарынке один из лучших вариантов.
(21:15:39) crowe: 1. Взломать конфу перебором паролей чтоли или как ? А так взламывать надо не конфу, а сервер.
Взломать возможно все что угодно вопрос времени и сколько усилий это будет стоить и т.д. мы проговорим про риски я дам инфу в общем все поймете. Просто в будующий лекциях.
2. Без впн вообще не стоит работать. Не хочу даже этот вопрос разбирать, так как не стоит на это тратить времени. Так как просто стоит не много углубиться как работает сеть методы деанонимизации и вопрос скипните сами собой.
(21:18:39) Mef: И ещё дополнение если можно , это лекция по безопасности единственная или завтра и после завтра так-же будет по безопасности ? Хотелось бы научиться не терять свою анонимность для отдела К ( и вообще интересны ли мы ему ? ) Были ли случаи на твоей памяти что бы кого то из твоих знакомых (в сети ) , может быть есть яркие примеры , как делать не стоит принимали в РФ ?
(21:23:26) crowe: Лекция не единственная , еще пейн у вас будет вести, примерно 4 лекции по этой нише, завтра еще я буду и после завтра. Потом пейн более практичную лекцию проведет так скажем.
Сидел думал , на памяти вообще случаев нету, вообщзе кого закрывают это 98% кто работает по РУ либо связан с 228 так сказать. Можете почитать про nodrama что случилось и как и все пойамете либо техъ людей которые работают по ру, реал кардинг и т.д. собственно Если не работать по реалу и все делать грамотно то можете жэить спокойно.
(21:23:51) qnooup: Где и как лучше хранить пароли?
Какие лучше использовать емейлы?
(21:26:46) crowe: Завтра дам инфу по паролям по емейлам имеется ввиду для себя или для вбивов не сосвем понимаю если для себя дам сервисы завтра
(21:26:58) crowe: После паролей зайдайте вопрос завтра и я дам сервис сейчас думаю не рентабелдьно
(21:26:59) crowe: хотя
(21:28:09) crowe: https://protonmail.com/
https://disroot.org/en
https://www.tutanota.com/
https://mailfence.com/
(21:29:46) Jump:
можно ли по линку определить местоположение отправителя?
(21:30:35) crowe: смотря какой линк, этот вопрос разберем после завтра
(21:30:40) crowe: В общем проще не будем зацикливаться
(21:30:42) crowe: Там и все поймете )
(21:32:14) machetis: Есть ли у тебя преимущества, перед другими лекторами, при вбиве, как у лектора по безопасности и тд? Или же вы все обладаете этими знаниями на уровне, или допустим проходимость при работе у всех одинакова?
(21:36:02) crowe: Бро две руки, две ноги, по середине гвоздик как говориться, ну бред несети товарищи.
Тут вопрос именно в тестах заключается и в твоем серном веществе как можете все это логировать и пробовать, все зависит напрямую от вашего стремления и тестов, например как вы учитесь делать что-то, смотрите, пробуете, проубете и потом получается, потмо интересуетесь или доводите технику до ума, тут точно так же все запвисит от вас и вашего стремления и углубленности в этот процесс так скажем
(21:36:17) crowe: В общем ребят, покак отойду не надолго, если есть вопросы пишите знаки вопросов
(21:36:48) crowe: Так же был признателен и рад вашим отзывам о данной лекции в данной теме
(21:40:27) crowe: Тогда если вопросов нет на сегодня будем закругляться, был рад провести данную лекцию для вас. До завтра ! =)
(21:40:51) crowe: Домашнее задание напоминаю ознакомиться с данной статьей и посмотреть видео на пунктах 7 и 8
Лекция#3 Шифрование-2 02.12.2018 @moneyside
Лектор crowe
(19:22:36) crowe: Привет всем! Сегодня продолжаем.
(19:24:13) crowe: Давайте теперь более детально поговорим из чего состоит шифрование в целом краткий вводный курс мы прошли давайте углубимся что же такое сам хеш и т.д.
(19:24:22) crowe: Хеширование
(19:24:35) crowe: Хеширование преобразование массива входных данных произвольной длины в ( выходную ) битовую строку фиксированной длины, выполняемое определенным алгоритмом. Функция, реализующая алгоритм и выполняющая преобразование, называется «хеш-функцией» или «функцией свёртки». Исходные данные называются входным массивом, «ключом» или «сообщением». Результат преобразования ( выходные данные ) называется «хешем», «хеш-кодом», «хеш-суммой», «сводкой сообщения».
(19:24:24) crowe установил(а) тему: Шифрование
(19:24:42) crowe: Давайте посмотрим на изображение, видим здесь:
(19:24:48) crowe: 1. Входные данные
(19:24:59) crowe: 2. Алгоритм или функцию хеширования
(19:25:05) crowe: 3. Выходные данные Результирующие выходные данные, которые всегда имеют фиксированный размер.
(19:25:13) crowe: Хеш-функция принимает входные данные любого размера. Это может быть e-mail, файл, слово, в нашем случае это фраза "Привет", и происходит конвертация данных при помощи хеш-функции в следующий вид
(19:25:24) crowe: 732b01dfbfc088bf6e958b0d2d6f1482a3c35c7437b798fdeb6e77c78d84ccb1
(19:25:30) crowe: Для лучшего усвоения и разбора материала, давайте отойдем от сухого текста и сделаем наглядную демонстрацию
(19:25:47) crowe: Как мы можем видеть из анимированной гифки выше, наши входные данные преобразуются с помощью алгоритма хеширования, а именно SHA-256, в выходные данные фиксированного размера.
(19:25:54) crowe: Пояснение: Как мы видим, что при изменение наших входных данных путем добавления " = ) " наши выходные данные имеют другой вид, так как в битовом эквиваленте множитель поменялся. Следовательно и само значение выходных данных изменилось. При возвращение к исходным входным данным значение опять имело изначальный вид.
(19:26:00) crowe: Вы можете представить это как пример:
(19:26:10) crowe: 1. "Привет" = 5
(19:26:17) crowe: 2. "Привет = )" = 7
(19:26:24) crowe: 3. "Привет" = 5
(19:26:35) crowe: Сам алгоритм хеширования это второй произвольный множитель, пусть будет 2, тогда:
(19:26:41) crowe: 1. 2*5=10
(19:26:48) crowe: 2. 2*7=14
(19:26:59) crowe: 3. 2*5=10
(19:27:05) crowe: Так и с хешем, только алгоритм хеширования имеет более сложные математические операции, нежели привел я, если вам нужна конкретная формула преобразования использующаяся в алгоритме, смотрите в Wikipedia.
(19:27:11) crowe: Важная особенность хеш-функции вы не можете конвертировать из хеша обратно в изначальные входные данные. Это односторонняя хеш-функция и для нее не нужны ключи.
(19:27:21) crowe: Для примера опять смотрим на нашу гифку, которую я давал ранее
(19:27:27) crowe: Привет → SHA-256 → 732b01dfbfc088bf6e958b0d2d6f1482a3c35c7437b798fdeb6e77c78d84ccb1
(19:27:34) crowe: Как мы видим, мы использовали только входные данные, не какие ключи при этом мы не задействовали, и затем получили результирующие выходные данные, которые всегда имеют фиксированный размер в зависимости от вида функции, которую вы используете.
(19:27:44) crowe: Это обеспечивает целостность и позволяет обнаружить непреднамеренные модификации. Это не обеспечивает конфиденциальность, аутентификацию, это не позволяет определить наличие преднамеренной модификации.
(19:27:51) crowe: КСТАТИ: Есть много примеров хеш-функций: MD2, MD4, MD5, HAVAL, SHA, SHA-1, SHA-256, SHA-384, SHA-512, Tiger и так далее.
(19:27:57) crowe: ЧТО ИСПОЛЬЗОВАТЬ: В наше время, если вы подбираете криптографическую систему, вам стоит использовать SHA-256 и выше, я имею ввиду SHA-384 и SHA-512 и так далее.
(19:28:08) crowe: Чтобы проще разобраться с материалом, отойдем от сухого текста и смоделируем ситуацию
(19:28:14) crowe: Допустим Вам на обучение дали задание скачать операционную систему Windows 7 Home Premium
(19:28:21) crowe: Мы знаем, что данная операционная система поставляется от разработчика Microsoft, далее уже идем в поиск и совершаем следующий поисковый запрос:
(19:28:31) crowe: site:microsoft.com Windows 7 Home Premium hash
(19:28:46) crowe: Оператор site: Этот оператор ограничивает поиск конкретным доменом или сайтом. То есть, если делаем запрос: site:microsoft.com Windows 7 Home Premium hash, то результаты будут получены со страниц, содержащих слова «Windows», «7», «Home», «Premium» и «hash» именно на сайте «microsoft.com», а не в других частях Интернета.
(19:28:57) crowe: Эта информация так же является ключевой для поиска шопов с помощью операторов в поисковых системах, более подробно изучить информацию о том как искать с помощью операторов в Google используйте эту статью - https://habrahabr.ru/sandbox/46956/ .
(19:29:04) crowe: Как мы видим из Гифки выше, я легко нашел хеш-сумму операционной системы Windows 7 Home Premium 64bit на официальном сайте Microsoft
(19:29:10) crowe: SHA1 Hash value: 6C9058389C1E2E5122B7C933275F963EDF1C07B9
(19:29:20) crowe: Вообще я бы рекомендовал находить хеш-суммы и осуществляться поиск начиная от 256 и выше, но на офф сайте была только данная сумма, так что я возьму то что есть
(19:29:26) crowe: Далее нам необходимо найти файл, который соответствует данной хеш-сумме, для этого так же используем поисковую систему Google и операторы, как искать с помощью операторов и что это такое ссылка выше.
(19:29:33) crowe: inurl:download "6C9058389C1E2E5122B7C933275F963EDF1C07B9"
(19:29:50) crowe: После того, когда вы скачиваете этот файл, то при помощи нашей хеш-суммы можно удостовериться, что этот файл не изменялся, т.е. он обладает целостностью.
(19:29:56) crowe: Есть инструменты, которые вы можете скачать, чтобы делать это. https://en.wikipedia.org/wiki/Comparison_of_file_verification_software
(19:30:07) crowe: Одним из таких инструментов является Quick Hash ( https://quickhash-gui.org ), и я покажу на примере с ним, как сверить хеш-суммы и убедиться в целостности полученной информации.
(19:30:19) crowe: Как мы видим, хеш-сумма, скачанного файла, соответствует хеш-сумме данной нам с официального сайта Microsoft.
(19:30:29) crowe: Так же я приложу ниже, информацию по другим хеш-суммам данного файла
(19:30:36) crowe: MD5: DA319B5826162829C436306BEBEA7F0F
(19:30:42) crowe: SHA-1: 6C9058389C1E2E5122B7C933275F963EDF1C07B9
(19:30:52) crowe: SHA-256: C10A9DA74A34E3AB57446CDDD7A0F825D526DA78D9796D442DB5022C33E3CB7F
(19:31:00) crowe: SHA-512: E0CB678BF9577C70F33EDDC0221BC44ACD5ABD4938567B92DC31939B814E72D01FAC882870AB0834395F1A77C2CD5856FD88D2B05FBE1D1D9CCE9713C1D8AB73
(19:31:06) crowe: Вы можете заметить, что с увеличением этих цифр в алгоритме хеширования, длина хеша становится все больше, поскольку это длина в битах. SHA-1 - короткий, 256, 512 и MD5, который слаб и не должен использоваться вообще. Так что это является способом подтверждения того, что файл, который вы скачали, сохранил свою целостность.
(19:31:17) crowe: Некоторые из вас наверняка зададутся вопросом: "Что, если файл, который я собираюсь скачать, уже скомпрометирован?" Допустим, вот у нас веб-сайт ( https://www.veracrypt.fr ) программного обеспечения VeraCrypt ( https://ru.wikipedia.org/wiki/VeraCrypt ).
(19:31:23) crowe: И я хочу скачать VeraCrypt, на сайте имеются хеш-суммы файлов в кодировке SHA-256 и SHA-512
(19:31:29) crowe: SHA-256: 6cff2cce52eb97321b1696f82e9ccefa7c80328d91c49bf10b49e3897677896e VeraCrypt Setup 1.21.exe
(19:31:42) crowe: SHA-512: 5c68a5a14fa22ee30eb51bc7d3fd35207f58eefb8da492f338c6dac54f68133885c47fa2b172d87836142c75d838dac782b9faca406a2ffb8854cc7d93f8b359 VeraCrypt Setup 1.21.exe
(19:31:49) crowe: Однако есть одно «НО», если вебсайт был скомпрометирован, то это означает, что злоумышленники могли подменить данный файл для загрузки и добавить к нему что-либо, троян или что-то для слежки, и они также могли подменить и контрольную сумму.
(19:31:55) crowe: Следовательно, получается, что хеш ничего не значит, то есть он не может обнаружить преднамеренную модификацию файла. И нам нужно что-то еще чтобы удостовериться что данное программное обеспечение действительно исходит от разработчика. Что сайт VeraCrypt — это официальный сайт VeraCrypt и т.д.
(19:32:06) crowe: И здесь мы подходим к сертификатам, цифровым подписям и другим средствам которые сейчас разберем, а пока давайте затронем не маловажную суть хеширования.
(19:32:12) crowe: Пароли, и все что нужно знать по ним
(19:32:20) crowe: Это использования хешей для хранения пароля, что это значит?!
(19:32:31) crowe: То есть когда вы вводите пароль на веб-сайте или в операционной системе, крайне плохой способ хранить этот пароль в базе данных, поскольку если эта база данных окажется скомпрометированной, то и ваш пароль окажется скомпрометирован.
(19:32:39) crowe: Но как я и обещал, давайте разберемся что такое хороший пароль. И какие пароли стоит и не стоит использовать, для этого надо углубиться.
(19:32:46) crowe: Обычно пароли перебираются по всяким словарям паролей, или так называемой базе паролей и т.д.
(19:32:56) crowe: Думаю, по базе паролей это понятно, это когда есть определенный список паролей, который подбирается для прохождения авторизации.
(19:33:03) crowe: А по словарю, это когда используется метод перебора пароля исходя из собранных на вас данных к примеру, или не имея ее, то есть составление слов к примеру:
(19:33:09) crowe: МоскваУлица1905годаМаша — то такой пароль не будет сильным исходя что он будет набран в другой раскладке, так как его легко можно будет перебрать, собрав информацию на вас и проанализировав можно запустить узконаправленный перебор по словарю с составлением и генерацией нужного вида пароля.
(19:33:20) crowe: МоскваУлица1905годаМаша в английской раскладке будет VjcrdfEkbwf1095ujlfVfif и как я сказал ранее он не будет являться безопасным.
(19:33:26) crowe: Что я могу порекомендовать по поводу паролей:
(19:33:32) crowe: 1. Используйте сильный пароль, я думаю многие из вас хоть слышали такую фразу, используйте сильные пароли в виде цифр, заглавных букв, строчных букв и спец. символов, но не так то просто это все запомнить, но наверняка вы знаете хотя бы 1-н такой пароль без смысловой нагрузки
(19:33:43) crowe: Давайте предположим что этот пароль — 3hF9$u?h , но он маленький всего 8 символов, такой пароль не является сверх безопасным, но плюс такого пароля что мы можем использовать его при шифрование диска к примеру, защищенных разделов, не используйте такой пароль желательно нигде просто запомните, как то и храните в каком то защищенном месте.
(19:33:49) crowe: Я, например, знаю несколько наборов символов которые лежат у меня в голове и ни где не используются так вот.
(19:33:55) crowe: Возьмем ранее наш пароль МоскваУлица1905годаМаша и слегка его модернизируем, нашим набором символов — МоскваУлица!90% 3hF9$u?hгодаМаша, как мы можем заметить я нажал клавишу “Shift” при вводе 1 и 5 и они заменились у меня на спец символы.
(19:34:06) crowe: То есть в английской раскладке он будет выглядеть так VjcrdfEkbwf!09%3hF9$u?hujlfVfif , и такой пароль легко запоминается так как он имеет смысловую нагрузку, плюс уникальный секретный ключ ( шифр ) который есть у вас в голове и ни где не используется.
(19:34:12) crowe: Вы так же можете сверить свой пароли, или из чего он составляется со списком обнародованных паролей
(19:34:18) crowe: Думаю какие-то дальнейшие комментарии излишни.
(19:34:28) crowe: 2. Использование пароля хотя бы от 21 символа
(19:34:34) crowe: 3. Хранение всяких заметок, паролей, прочей конфиденциальной информации в зашифрованном виде, для этого вам необходимо использовать программы для полнодискового шифрования такие как VeraCrypt, TrueCrypt и другие аналоги, сам использую VeraCrypt
(19:34:41) crowe: А для паролей и заметок к паролям используйте программу KeePass 2 ( https://ru.wikipedia.org/wiki/KeePass ) или KeePassX 2 ( https://ru.wikipedia.org/wiki/KeePassX )
(19:34:51) crowe: Ниже приведен комментарий
(19:34:57) crowe: Keepass — это первая версия. Умеет только БД старого формата ( их, вроде, легко расшифровать ).
(19:35:03) crowe: Keepass 2 — вторая версия, поддерживающая актуальный .kbdx-формат; их нельзя расшифровать ( вернее, я не видел вариантов; недавно на хабре была статья по подлому файла БД, но с несколькими ограничениями ).
(19:35:14) crowe: KeepassX — это переписанный на С Keepass первой версии; как и прародитель, умеет только .kbd-файлы, зато кроссплатформенный.
(19:35:20) crowe: Начиная со второй версии KeepassX тоже умеет в .kdbx
(19:35:26) crowe: https://www.keepassx.org/changelog
(19:35:36) crowe: Этот коментарий взял с хахбры и в принципе я с ним согласен, но гораздо лучше хранить пароли в зашифрованном виде и копировать их и вставлять куда надо, чем в txt и т.д.
(19:35:43) crowe: Сам я пользуюсь KeePass 2, так как мне больше импонирует данный интерфейс и другие мои прихоти. Так что рекомендую.
(19:35:48) crowe: Вот эти 3-и фундаментальные вещи по паролям запомните их...
(19:35:59) crowe: Сейчас поговорим о Цифровых подписях
(19:36:05) crowe: Так давайте вернемся опять к нашему VeraCrypt как узнать, что сайт действительно официальный и программное обеспечение исходит от разработчика.
(19:36:11) crowe: Простой и довольно таки хитрый способ найти официальный сайт — это найти программное обеспечение в Wikipedia и уже там перейти по ссылке на официальный сайт программного обеспечения.
(19:36:21) crowe: Однако мы можем так же нажать на целеный замок и там посмотреть сертификат, что именно он выдан
(19:36:28) crowe: https://puu.sh/xQAFM/e687c816ce.png
(19:36:34) crowe: Цифровая подпись — это значение хеша. Это результат работы хеш-функции с фиксированным размером, который зашифрован закрытым ключом отправителя с целью создания цифровой подписи или подписанного сообщения.
(19:36:44) crowe: С технической точки зрения цифровая подпись — это отметка, подтверждающая лицо, которое подписало сообщение. Это выдача гарантии на объект, который был подписан с ее помощью.
(19:36:50) crowe: Для наглядности, что такое цифровая подпись открываем скриншот ( https://puu.sh/xQAFM/e687c816ce.png ) и смотрим на Подписывание
(19:36:56) crowe: Подписывание: То, что вы можете видеть на инфографике выше, но исходя из нашего файла который мы разбираем
(19:37:07) crowe: Алгоритм хеширования → Значение хеша ( 6cff2cce52eb97321b1696f82e9ccefa7c80328d91c49bf10b49e3897677896e ) →Закрытый ключ ( см. Асимметричное шифрование ) = Цифровая подпись
(19:37:13) crowe: Если объект шифрования подписан цифровой подписью, то обеспечена аутентификация, потому что объект зашифрован при помощи закрытого ключа, шифровать которым может только владелец этого закрытого ключа. Это и есть аутентификация.
(19:37:19) crowe: Она обеспечивает невозможность отказа от авторства, поскольку, повторюсь, использован закрытый ключ отправителя. И она обеспечивает целостность, поскольку мы хешируем.
(19:37:29) crowe: Цифровая подпись может быть использована, например, в программном обеспечении. Может использоваться для драйверов внутри вашей операционной системы. Может использоваться для сертификатов и подтверждать, что подписанные объекты исходят именно от того лица, которое указано в сертификате, и что целостность данных этих объектов была сохранена, то есть никаких изменений они не претерпели.
(19:37:35) crowe: А как же убедиться в том что файл действительно исходит от разработчика, в нашем случае VeraCrypt, то есть в случае обмана и т.д. вы могли со 100% уверенностью сказать, что я пользовался твоим программным обеспечением, и он был подписан именно твоей цифровой подписью.
(19:37:41) crowe: https://puu.sh/xQB20/5166e3d0c8.gif - обычно сертификат проверяется автоматически и у вас наверно
(19:37:52) crowe: После того когда посмотрели gif открываем скриншот ( https://puu.sh/xQB5Y/c840f4670d.png )
(19:37:58) crowe: Что мы здесь видим. Сертификат выдан: кому – IDRIX SARL, кем - GlobalSign. Итак, GlobalSign - это компания, чей закрытый ключ был использован для цифровой подписи этой программы. GlobalSign сообщает: "Данное программное обеспечение легитимно и оно не подвергалось модификации". Здесь написано: "Сертификат предназначен для удостоверения того, что программное обеспечение исходит от разработчика программного обеспечения, программное обеспечение защищено от модификации после его выпуска". Чтобы узнать, действующая ли это цифровая подпись, или нет, нам нужно повернуть изначальный процесс в обратную сторону.
(19:38:04) crowe: То есть открываем опять наш скриншот ( https://puu.sh/xQAFM/e687c816ce.png )
(19:38:14) crowe: Проверка: То, что вы можете видеть на инфографике выше, но исходя из нашего файла, который мы разбираем
(19:38:21) crowe: Подписанно сообщение → Открытый ключ ( это файл в формате .asc имеет обычно следующий вид – https://www.idrix.fr/VeraCrypt/VeraCrypt_PGP_public_key.asc, закрытый ключ тоже самое так же выглядит ) =Значение хеша, то есть должно получиться 6cff2cce52eb97321b1696f82e9ccefa7c80328d91c49bf10b49e3897677896e
(19:38:27) crowe: После чего это значение хеша надо будет сверить с хешем указанным, то есть открываем там программу QuickHash прогоняем наш файл и в том алгоритме котором он нам представлен, должно все совпасть, если не совпадает то сам файл изменен, и там может быть троян, или что то для прослушки за нами, или еще что-то нехорошее
(19:38:37) crowe: SHA-256: 6cff2cce52eb97321b1696f82e9ccefa7c80328d91c49bf10b49e3897677896e VeraCrypt Setup 1.21.exe
(19:38:43) crowe: Я проверил полученный хеш ( https://puu.sh/xQBAz/8905455dd7.png ) и как мы можем видеть на скриншоте они идентичный следовательно файлы легитимное и соответствуют цифровой подписи разработчика, и этот файл точно исходит от него.
(19:38:49) crowe: И данное программное обеспечение в случае заражение вашего компьютера WannaCry или каким либо еще другим нехорошим вирусом, будет виновен он.
(19:39:00) crowe: Для примера, это как вы в детстве бы отнекивались что мол не сожрали конфеты, а ваша мать тычит вам в лицо докозательства, например видеозапись и говорит, у меня все записано, смотри сюда. И как бы не отвертишься, вот что делает цифровая подпись.
(19:39:06) crowe: Прочитайте несколько раз если вы не поняли, и попробуйте вникнуть этот момент действительно важен
(19:39:12) crowe: А то что мы видели непосредственно на этом скриншоте ( https://puu.sh/xQAFM/e687c816ce.png )
(19:39:57) crowe: Это то что Windows проверяет сертификат в подлинности, то что действительно такой сертификат зарегистрирован с таким номером все дела.
(19:40:06) crowe: Давайте проведу аналогию чтоб понять, что же делает Windows, когда пишет эти строки ( https://puu.sh/xQBLa/604166ab6c.png ) в сертификате
(19:40:15) crowe: Вы пришли в банк с фальшивыми деньгами, и они проверяют деньги через специальные растворы или приборы, и тут бац и смывается краска, или не просвечиваются водяные знаки и вам говорят, что ваши купюры не соответствуют и это фальшивка, так же и Windows.
(19:40:30) crowe: То есть если бы кто-то другой переписал все данные сертификата и сделал копию сертификата для подписи, с такими данными то она бы не соответствовала действительности ну — это более сложная тема, но собственно думаю понятно.
(19:40:39) crowe: Не будем лезть вообще в задницу, а то это может никогда не закончиться ) ) Кому нужно объяснить могу персонально.
(19:40:48) crowe: А если верификация не проходит, вы обычно видите вот такое предупреждение ( https://puu.sh/xQC61/ef80678f6b.png )
(19:41:03) crowe: Это означает, что-либо файл не имеет цифровой подписи либо Windows ( вспомните работника банка ) не доверяет этой цифровой подписи ( а в случае с работником банка, он не доверяет в вашей купюре ) вы можете ее проверить способ я описывал выше ( а работник банка ну там тоже может проверить на аппарате своем или там нанесением растворов ).
(19:41:12) crowe: В линуксе с этим все просто, так как вы просто так не установите проприетарное ПО так как все ПО обычно ставиться из оффициальных репозиториев, где проходит всю проверку подробнее что такое репозиторий и прочие моменты можете как раз узнать тут
(19:41:36) crowe: Давайте пройдемся по этому материалу еще раз, потому что я уверен, некоторым все это может показаться довольно-таки трудным для восприятия.
(19:41:45) crowe: https://puu.sh/xQAFM/e687c816ce.png - смотрим подписывание
(19:41:54) crowe: Итак, значение хеша ( самой программы то есть если бы чувак сам ее прогнал через QuciHash ), которое было зашифровано с применением закрытого ключа ( его личного ключа его личный отпечаток пальца так сказать в сети ) отправителя или выпуска ПО. Это цифровая подпись.
(19:42:09) crowe: Цифровая подпись
(19:42:18) crowe: Это обеспечивает аутентификацию, неотказуемость и целостность. А если вы зашифруете что-либо и вдобавок снабдите это цифровой подписью, то вы сможете добиться конфиденциальности наряду с аутентификацией, неотказуемостью и целостностью.
(19:42:27) crowe: Цифровые подписи удостоверяют, что программа или что-либо другое получены от определенного лица или издателя, и они защищают программное обеспечение или сообщения от их модификации после того, как они были изданы или отправлены.
(19:42:41) crowe: На этом думаю мы разобрались с цифровыми подписями.
(19:42:51) crowe: Давайте теперь перейдем к End-to-End шифрованию ( E2EE )
(19:43:00) crowe: End-to-end шифрование заключается в том, что данные шифруются отправителем и дешифруются только получателем. Если вы хотите избежать отслеживания, массовой слежки, хакеров и так далее, то вам нужен именно этот вид шифрования передаваемых данных.
(19:43:14) crowe: Примерами технологии end-to-end шифрования являются такие вещи, как PGP, S/MIME, OTR, что расшифровывается как “off the record” ( рус. "не для записи" ), ZRTP, что расшифровывается как Z в протоколе RTP, а также SSL и TLS, реализованные правильным образом, все это может использоваться в качестве end-to-end шифрования.
(19:43:24) crowe: Компании, которые разрабатывают программное обеспечение, использующее end-to-end шифрование и системы с нулевым разглашением, не могут раскрыть детали обмена данными вашим врагам, даже по принуждению, даже если бы они этого сами захотели. В этом и заключается преимущество end-to-end шифрования с нулевым разглашением.
(19:43:32) crowe: End-to-end шифрование обеспечивает защиту в процессе передачи данных, но очевидно, что оно не может защитить данные после их получения. Далее вам нужен другой механизм защиты. Используйте end-to-end шифрование везде, где это только возможно.
(19:43:47) crowe: Использование защищенного HTTPS на всех веб-сайтах становится все более необходимым, независимо от типов передаваемых данных.
(19:43:56) crowe: Давайте я покажу что такое END-TO-END шифрование на примере с веб-сайтами
(19:44:05) crowe: Это цифровой сертификат, тоже самое что и цифровая подпись, есть ряд отличий, там центры сертификации и т.д. вы обычно с этим не сталкиваетесь не буду расписывать, кому интересно гуглите « Центры сертификации ключей и HTTPS» и «Цифровые сертификаты»
(19:44:29) crowe: Зеленый замочек в URL или HTTPS означает, что ваш Интернет-провайдер или, допустим, правительство, они лишь могут отследить целевой домен. Что это значит?
(19:44:38) crowe: Допустим между нами и Google находится злоумышленник аналогично как в случае передачи сообщения в инфографике выше. Он не сможет узнать, что именно я искал, потому что это оконечное ( или абонентское с английского end-to-end ) шифрование между моим браузером и сервером.
(19:44:53) crowe: Давайте разберем пример на наглядном и посмотрим, что же может узнать провайдер о нас
(19:45:02) crowe: Для начала мы будем использовать пример не зашифрованного соединение при помощи HTTP соединения.
(19:45:11) crowe: HTTP, HyperText Transfer Protocol — широко распространенный протокол передачи данных, изначально предназначенный для передачи гипертекстовых документов ( то есть при клике по слову в статье перейти на другую веб-страницу ).
(19:45:26) crowe: По умолчанию протокол HTTP использует TCP-порт 80.
(19:45:35) crowe: Для скриншотов ниже я буду использовать программу для анализа сетевого трафика WireShark.
(19:45:44) crowe: Для эксперимента я взял сайт базирующийся на HTTP протоколе uznayvse.ру после того как я кликну по ссылке запрос от сайта будет отображен в окне программы WireShark под цифрой 1-н, но давайте сразу разберем за что отвечает каждое окно программы для лучшего усвоения материала.
(19:46:08) crowe: 1. Данная область называется Packet List – в ней вы можете посмотреть с каким сервером идет обмен данными, протокол, который используется и общую информацию о кадрах.
(19:46:17) crowe: 2. Следующая область называется Packet Details – в ней отображаются детали пакетов который был выбран в Packet List.
(19:46:32) crowe: 3. И последняя область называется Packet Bite – в ней отображается 16-е отображение данного пакета, также отображается смещение в виде аски, и так же если мы кликнем правой кнопкой по данной области можем посмотреть, как все это будет выгладить в битах.
(19:46:41) crowe: Вот что происходит, когда вы нажимаете по ссылке, все данные трафика сразу же фильтруются
(19:47:05) crowe: Давайте разберем, полученные пакеты подробнее и узнаем наглядно о слежке, анализе и т.д.
(19:47:23) crowe: 1. Пересылаемые пакеты по нашему фильтру
(19:47:38) crowe: 2. Целевой домен, то есть главная страница сайта без всякой ереси после слеша "/"
(19:47:47) crowe: 3. Юзер агент, то есть параметры браузера, версия операционной системы и другие параметры..
(19:47:56) crowe: 4. Referer – указывает с какой страницы мы перешли на эту страницу так как мы перешли с защищенной страницы, там было много пакетов с переадресацией в конечном итоге мы с этой же страницы сослались на себя же, если я к примеру, перешел с главной страницы сайта на данную то в рефере бы стояла главная страница сайта. ( смотрите скриншот ниже с пояснением чтобы полностью вникнуть в смысл ).
(19:48:10) crowe: 5. Куки, либо сессия ) Вот ваш и пароль приплыл ) Можно зайти под вашей сессией залогиненой и шариться ) от залогененного юзера то есть вас
(19:48:20) crowe: 6. Ну, а это уже конечная страница где мы находимся
(19:48:29) crowe: КСТАТИ: Если вы думаете, что это потолок что может данный софт то боюсь вас расстроить это только верхушка айсберга
(19:48:52) crowe: Для того чтобы у вас после прочитанного не осталось сомнений я решил разобрать эти пункты перейдя с одной страницы веб-сайта на другую и как мы можем видеть:
(19:49:01) crowe: 1. Refer – указывает предыдущую страницу которые мы разбирали именно с нее мы пришли на данную страницу
(19:49:16) crowe: 2. На какой странице мы сейчас находимся
(19:49:26) crowe: Как мы видим сам по себе протокол HTTP не предполагает использование шифрования для передачи информации. Тем не менее, для HTTP есть распространенное расширение, которое реализует упаковку передаваемых данных в криптографический протокол SSL или TLS.
(19:49:35) crowe: Название этого расширения — HTTPS ( HyperText Transfer Protocol Secure ). Для HTTPS-соединений обычно используется TCP-порт 443. HTTPS широко используется для защиты информации от перехвата, а также, как правило, обеспечивает защиту от атак вида man-in-the-middle — в том случае, если сертификат проверяется на клиенте, и при этом приватный ключ сертификата не был скомпрометирован, пользователь не подтверждал использование неподписанного сертификата, и на компьютере пользователя не были внедрены сертификаты центра сертификации злоумышленника.
(19:49:58) crowe: 1. Google – имеет использует защищенный протокол соединения HTTPS
(19:50:07) crowe: 2. Пакет запроса данных по защищенному протоколу HTTPS
(19:50:22) crowe: 3. Как мы видим в деталях пакета у нас только Encrypted Application Data: 0000000000000016eec0818f25b5eb9bd4690883155a74b6...
(19:50:31) crowe: никакой другой информации что содержится на веб-страницы или где находится человек у нас нет
(19:50:40) crowe: 4. Так как у нас есть под цифрой 2-а IP-адрес с каким сервером ведется обмен пакетами, просматриваем что это за IP-адрес и исходя из полученных данных мы можем сделать вывод, что человек находится на целевой странице Google.
(19:50:55) crowe: По сути использование HTTPS безопасно и как я говорил ранее что: Компании, которые разрабатывают программное обеспечение, использующее end-to-end шифрование и системы с нулевым разглашением, не могут раскрыть детали обмена данными вашим врагам, даже по принуждению, даже если бы они этого сами захотели. В этом и заключается преимущество end-to-end шифрования с нулевым разглашением.
(19:51:04) crowe: SSLStrip – снятие HTTPS
(19:51:13) crowe: Но также исходя из этого имеются атаки по снятию SSL давайте быстро разберем что это такое??
(19:51:28) crowe: Любой атакующий, который может расположиться между источником и адресатом трафика, в нашем случае КОМПЬЮТЕРА и СЕРВЕРА, то этот атакующий может совершить атаку вида “Man in the middle” ( рус. "Человек посередине" ). Одна из подобных атак, которая требует весьма небольших навыков и ресурсов, называется SSL stripping ( рус. "Снятие SSL" ). Атакующий выступает в роли прокси здесь и подменяет зашифрованные HTTPS-соединения на HTTP-соединения.
(19:51:37) crowe: Давайте откроем скриншот и посмотрим, что же это такое https://puu.sh/xQFWy/edbaf90d7a.png
(19:51:46) crowe: 1. Как мы можем видеть мы отправляем запрос с http
(19:52:01) crowe: 2. Он проходит через SSLStrip и не изменяется, так же идет дальше
(19:52:10) crowe: 3. Сервер видит что вы пришли по небезопасному протоколу без шифрования и меняет его на безопасный с использованием шифрования то есть на HTTPS ( то есть совершается 301 либо 302 редирект – это настраивается на сервере )
(19:52:19) crowe: 4. SSLStrip видит что сервер отправил вам запрос в HTTPS ( см. пункт 3 ) и автоматически так же изменяет его на небезопасный то есть на HTTP тем самым убирая TLS шифрование
(19:52:34) crowe: SSLStrip здесь проксирует ответ от веб-сервера, имитируя ваш браузер, и отправляет вам обратно HTTP-версию сайта. Сервер никогда не заметит отличий.
(19:52:43) crowe: Так как сервер думает, что вы общаетесь по защищённому протоколу HTTPS, так как он не видит, что злоумышленник ( SSLStrip ) изменил вам протокол на небезопасный
(19:52:52) crowe: И что вы увидите - это будет практически неотличимо от подлинного сайта. Давайте я покажу вам, как должен выглядеть веб-сайт.
(19:53:06) crowe: https://puu.sh/xQHeu/014bf0515b.png
(19:53:16) crowe: 1. Мы видим защищенную версию, то есть с end-to-end шифрованием
(19:53:25) crowe: 2. Теперь я выполнил HTTPS-stripping ( снятие SSL – SSLStrip ). И так выглядит версия сайта после атаки.
(19:53:39) crowe: Как можно заметить, отличие в том, что у вас теперь нет HTTPS и большинство людей не заметят эту разницу. И как я уже сказал, сервер никогда не заметит, что что-то не так, потому что он общается с прокси, который ведет себя точно также, как вели бы себя вы.
(19:53:48) crowe: Я не буду рассказывать, как произвести атаку, или методы атак и т.д. так как у меня нет на это время, уже и так у меня остается 40 мин до начала лекции так что кому нужно можете обратиться ко мне напрямую.
(19:53:58) crowe: Другой интересный способ для проведения этой атаки – когда атакующий находится в вашей локальной сети, так что это либо происходит по Ethernet-кабелю, либо по беспроводной связи через Wi-Fi. Они могут обмануть вашу машину и заставить ее отправлять трафик через них, и это известно как ARP-спуфинг, или ARP-отравление. Атакующий посылает ARP-пакеты, имитируя шлюз жертвы по умолчанию.
(19:54:12) crowe: Это работает, потому что у Ethernet нет механизмов для аутентификации, нет этого функционала, поэтому любая машина в принципе может отправить то, что называется ARP-пакетом, и сообщить, что она - одна из машин в этой сети, например, шлюз или маршрутизатор, и это приводит к тому, что вы начинаете отправлять свой трафик через фейковый маршрутизатор, который затем переправляет его, попутно снимая SSL, и после этого переправляет трафик обратно к вам, как мы уже видели.
(19:54:21) crowe: В 2х словах что такое АРП спуфинг и как это работает более простым языком, все что выходит в интернет есть физический адрес, то есть MAC адрес.
(19:54:30) crowe: Следовательно у компьютера есть сетевая карта или Wi-Fi карта у нее есть свой MAC.
(19:54:45) crowe: Записывается обычно MAC адрес так – 00:07:5B:3C:88:91, между цифрами может быть двоеточие или тире, это 6 пар символов, по 8 бит на каждую пару то есть 48 бит всего
(19:54:54) crowe: Следовательно 2^48 = 281 474 976 710 656 – а это в свою очередь 281 триллион 474 миллиарда 976 миллионов уникальных адресов
(19:55:03) crowe: Так же первые 3-и ОКТЕТА это идентификатор организации, следующие 3-и ОКТЕТА выбираются изготовителем для каждого экземпляра устройства ( за исключением сетей системной сетевой архитектуры SNA )
(19:55:18) crowe: Так же MAC адрес легко изменить на любой другой.
(19:55:27) crowe: Для чего я это рассказываю, а то что зная только IP адрес не возможно связаться с устройством в сети.
(19:55:36) crowe: И если мне известен IP адрес устройства к примеру моего роутера то я не имею возможности обмениваться с ним информацией пока не узнаю его мак.
(19:55:51) crowe: Как раз для этих целей и служит ARP протокол который отправляет с вашего устройства на другое устройство запрос типо у тебя IP 192.168.1.1 тот такой говорит угадал, и отправляет ему свой MAC адрес и получается, что связь установлена.
(19:56:00) crowe: Для наглядности атака происходит следующим образом открываем скриншот ( https://puu.sh/xQIHy/7a5c7ecfa1.png ) и давайте разберем атаку
(19:56:09) crowe: IP адрес и MAC адрес КОМПЬЮТЕРА под цифрой 1 отличается от IP адреса и MAC адреса РОУТЕРА под цифрой 2 то есть вашего настоящего роутера.
(19:56:24) crowe: Злоумышленник создает виртуальный роутер под цифрой 3 и завязывает всю вашу сеть через себя, и компьютер отправляет запрос неверный, который идет не на роутер настоящий, а на нашего хакера думаю понятно ( подельный роутер ) и так же в обратном порядке.
(19:56:33) crowe: Получается что весь трафик проходит через нашего злоумышленника
(19:56:42) crowe: Возможно я бы разобрал и объяснил атаку более детально и наглядно со скриншотами и т.д. но у меня просто не хватает времени.
(19:56:57) crowe: Давайте теперь подумаем, что можно сделать для предотвращения всего этого? Что ж, на клиентской стороне вы можете попытаться замечать те случаи, когда у вас отсутствует HTTPS, но если вы будете заняты, то вряд ли сможете это заметить. И тем не менее, вам следует обращать на это внимание.
(19:57:06) crowe: Но далее я расскажу вам метод, как обезопасить себя.
(19:57:15) crowe: Более надежный метод – это использование туннеля или шифрованного туннеля, так чтобы снятие SSL стало невозможно, поскольку трафик, который вы отправляете, будет зашифрован иным способом. Например, можно использовать SSH туннелирование.
(19:57:29) crowe: Можно использовать VPN-технологию типа IPsec. А вообще, стоит обратить внимание на end-to-end шифрование.
(19:57:39) crowe: Помимо всего прочего, вам лучше не подключаться к сомнительным сетям без использования туннелирования или VPN или шифрования, потому что это именно то, что может произойти, если у вас их нет. Ваш SSL может быть снят и весь ваш трафик станет открытым.
(19:57:48) crowe: Наличие ARP-спуфинга и сниффинга в вашей локальной сети можно в определенной степени обнаружить, и есть пара инструментов для примера, которые вы можете использовать. Это Arpwatch. Он мониторит вашу Ethernet-сеть на наличие ARP-спуфинга или отравления. И есть другой инструмент, это Sniffdet, он обнаруживает тех, кто наблюдает за сетевым трафиком.
(19:58:02) crowe: Что касается серверной стороны, вот посмотрите на скриншоте ( https://puu.sh/xQJuQ/5bf5472c91.png ), у вас может не быть контроля за серверной стороной.
(19:58:11) crowe: То есть вы не всегда можете контролировать HTTPS соединение и чтоб оно было зеленым всегда там с замком.
(19:58:20) crowe: Есть возможность активации строгой безопасности передачи данных по протоколу HTTP, сокращенно HSTS, этот механизм использует особый заголовок для принудительного использования браузером только лишь HTTPS-трафика
(19:58:35) crowe: Это работает только если вы ранее посещали сайт, и затем ваш клиент фактически запоминает, что данный сайт принимает исключительно HTTPS-трафик. А вот пример того, как я снял SSL и получил сообщение об ошибке, потому что на этом сайте была активирована строгая транспортная безопасность HTTP.
(19:58:44) crowe: Другим способом обезопасить себя можете с помощью виртуальных локальных сетей, если вам это необходимо обратитесь ко мне или погуглите локальные сети VLAN на хабре я уверен много мануалов по этой настройке
(19:58:53) crowe: Хотел так же поговорить про PGP безопасную передачи, но я просто не успеваю.
(19:59:08) crowe: Вы можете ключ от PGP шифрования в жабе например передать через личные сообщения на сайте удостоверившись что сайт работает на HTTPS и у вас там end-to-end шифрование и т.д.
(19:59:17) crowe: Что могу сказать, как ЭПИЛОГ
(19:59:26) crowe: Я считаю, что мы очень много разобрали по шифрованию, единственное что я не успел разобрать я написал выше, что мы не проговорили этот вариант с PGP, OTR, ZRTP, OMAXA, такие протоколы про них можно прочитать в гугле либо узнать у меня я дам информацию если она вам необходима.
(19:59:41) crowe: Шифрование – это фантастический инструмент для приватности, безопасности и анонимности.
(19:59:50) crowe: По факту этот инструмент реально работает и злоумышленники ( хакеры ) будут стараться избегать его. То есть ни какой дурак не будет совершать прямую атаку на шифрование
(19:59:59) crowe: Как говориться умный в гору не пойдет, умный гору обойдет. И вам следует иметь это виду.
(20:00:14) crowe: И все что они могут сделать это найти слабые места. Вспомните случай с Россом Ульбрихтом создателем «Шелкового пути» он попался на капче. На простом.
(20:00:23) crowe: То есть никто никогда не будет брутить ваши пароли прочее им гораздо проще установить вам кейлогер на вашу систему, или отправить вам ссылку на сайт с зараженным JS скриптом и произвести атаку, либо PDF файл и т.д.
(20:00:32) crowe: Но как я и сказал шифрование, никто и никогда не захочет ломать. Атакующие будут просто пытаться обойти шифрование. Вам следует иметь это ввиду.
(20:00:46) crowe: Безопасность – это так называемый феномен слабого звена. Она настолько сильна, насколько сильно самое слабое звено в цепочке. Надежное шифрование зачастую – это сильное звено.
(20:00:56) crowe: Мы, человеческие создания, как правило являемся слабым звеном. Как говориться Язык мой — враг мой
(20:01:05) crowe: На этом моя лекция и мой Эпилог подошел к своему логическому завершению, так что можете ставить «?» и я буду писать ваши ники, после чего задавайте свой вопрос, а я отвечаю.
(20:11:13) crowe: http://i.imgur.com/Ax2LuWC.png - по паролям, дам вам красочную картинку, а то могли не понять, решил сразу провести лекцию по быстрее, так как некоторые торопяться и по больше внимания уделить серии вопрос / ответ.
Так же люди которые интересуются по VPN могут тоже тут задать вопросы, вопрос однотипные, из серии можно ли купить сдругом какова будет цена и т.д. Покупаете себе сервер, берете с собой друга в двоем платите выделю вам на двоих конфиги спокойно, можно сделать и такое.
Так же был бы признателен за вашу обратную связь по поводу моих лекций, пару слов в данной теме
(20:14:09) BaMxopoIIIoHaMxopoIIIo: 1можно ли использовать менеджер паролей onepassword? как он тебе в плане безопасности итд?
2- ты несколько раз за лекцию говорил ,что мы "что-либо не успели", но думаю всем интерtсно получить эту инфу, которую "мы не успели", может ты нам всем ее скинешь ссылкой или как-то еще? Чтобы не стучать каждому тебе в личку итд.
3- вопрос-пожелание. После лекции немного нехватает примеров конкретно подходящие нам. тупо пример: " мы сегодня изучили хэширование, соотвественно когда будет обмениваться файлами при покупке (например материала) , то обязательно юзайте ту ту и вот ту прогу, исходя из того что мы сегодня прошли.абы н ебыло того того и вот того ( надеюсь понятно обьяснил что хочется)
(20:20:49) crowe: 1. 1password комерчееский плюс является проприятарным ПО с закрытым исходным кодом. Я уже много раз говорил и говорю почему я стороник опенсорсного ПО и движения вместе с ним
2. На самом деле я дам 2 ссылки, просто у меня старая версия, лекции я переписал ее уже, но к сожалению защищенную флешку забыл кое где, по этому просто скину ссылку на разбор который хотел дать, чтобы вы поняли этот материал более раскрыто, можете записать себе в дмоашнее задание ознакомиться с ним.
Возможно я бы все расписал многое и объяснил все досканально, но вот есть 2-а неплохих ролика (ниже) советую их посмотреть. Там все подробно объясняется, конечно у меня есть некоторые замечания, но я бы рекомендовал их все же к просмотру.
• https://youtu.be/0wpxrPD90a4 — 1 Часть MITM. Как проводится MITM атака.
• https://youtu.be/quZjKlrmCvQ — 2 Часть MITM. Атакуем сеть методам MITM
(20:23:59) crowe: 3. Там был же у вас пример с программой Quick Hash и с цифровыми подписями, а так это является дефакто и вы должны это понимать, что сверку всегда стоит делать,е сли вы хотите быть уверенным в своей безопасности именно это и дает шифрование.
(20:28:13) crowe: Я уделил больше внимания ответам на вопрос и постарался дать по быстрее информацию как я и написал выше.
По поводу ноды, нода снифается выходная, владелец ноды может снифнуть трафик если он идет по незашифрованному соединению и выдрать ваши куки, пароли и прочую информацию. Если трафик идет по https или любому другому виду шифрования трафика то трафик уже будет шифрованный и он будет бесполезным. Так скажем.
Своя нода дает легитимность в плане того что описал выше.
Тор идет в комплекте с впн, сам тор не является панацеей безопасности, он помогает чисто путать маршруты и усложнять задачу, а сам он не является эталаном безопасности чтоли или как то так
(20:28:27) Best friend: При конекте с сервером exploit.im в жабе постоянно спрашивает доверять ли этому сертификату, почему так?
2. При формировании конфига впн , я выбираю протокол TCP443, это получается что все обращения через сервер впна защищены и никто не может вклиниться и посмотреть к каким сайтам я обращаюсь и тд? Верно?
3. SSLStrip могут использовать, чтобы заманить меня на сайт http и скомпрометировать мои личные данные для входа, а также посмотреть где я ходил по сайту?
4. Когда злоумышленник создает виртуальный роутер 3 - жертва это может заметить?
5. Arpwatch работает автономно, ну т.е. сам обноваляется постоянно? При конекте с сервером exploit.im в жабе постоянно спрашивает доверять ли этому сертификату, почему так?
2. При формировании конфига впн , я выбираю протокол TCP443, это получается что все обращения через сервер впна защищены и никто не может вклиниться и посмотреть к каким сайтам я обращаюсь и тд? Верно?
3. SSLStrip могут использовать, чтобы заманить меня на сайт http и скомпрометировать мои личные данные для входа, а также посмотреть где я ходил по сайту?
4. Когда злоумышленник создает виртуальный роутер 3 - жертва это может заметить?
5. Arpwatch работает автономно, ну т.е. сам обноваляется постоянно?
(20:40:50) crowe: 1. Потому что у них самоподписанный сертификат, то есть они сами его заверили, то есть манс сам заверил свой сертификат, и выложил пабличный ключ сертификата в общий доступ к себе в профиль например, вы доверяете Mans к примеру ? Вот и там так-же. В этом нет по сути ничего страшного, это указывает что траф ваш шифруется по этому сертификату, то есть по ssl либо tls и т.д. Но лучше использовать свои средства шифрования в лице OTR encryption
2. Он изначально шифруется по протоколу шифрования который прописан в вашем конфиги OpenVPN, а на счет порта, это просто проброс порта, прочитайте что такое проброс порта и инфа исчерпает себя.
3. Самая простая для понимания ситуация это когда, ваш роутер смотрит в интернет да, а злоумышленник его взламывает, после чего подменяет DNS записи в вашем роутере на свои ДНС-ники своего сервера, которые резолвят доменные именна к примеру paypal.com переправляя трафик когда вы забиваете доменное имя paypal.com на его фейк к примеру где вы ничего не подозроеваете переходите на сайт с любым доменном, но в вашей графе будет значиться paypal.com, так как в днс будет записан алиас на это имя, как бы циклическая ссылка то же самое как вы зададите ярлыку или чему либо, которые будет локально для именно вашего сервера (роутера) поддельных адресов значиться именно так, все замудренно, не хочу сильно расписывать, но почитать что таккое роутскан, подмена днс и т.д. изи найдете инфу в этом направлении или по ssl стрипу
4. Может конечно, но обычно это замечается с помощью плагинов, файрволов и другово софта, выше уже описал думаю вопрос будет исчерпывать себя примерно что делать. А так вы же не смотрите ежесекундно безопасный сайт, тот ли у него сертификат что был пару часов назад и т.д. Это делают плаггин или файрвол, запоминая предыдущий сертификат и если произошли изменения оповещает вас об этом.
5. Ответил выше, можете добавить там в исключения или в список доверенных он постоянно мониторит, так как ваш сертификат является самописным ывсе идет отсюда
(20:45:40) prt: По поводу паролей.
Вот выдержка из статьи.
В 2003-м году Билл Бёрр (Bill Burr) написал восьмистраничное руководство о том,
как правильно создавать безопасные пароли для Национального института стандартов и технологий (NIST) США.
В 2017году 72-летний Бёрр признался в интервью The Wall Street Journal,
что никогда не был экспертом по кибербезопасности, и никогда толком не разбирался в паролях,
не говоря уже про психологические аспекты кибербезопасности.
По его словам, при подготовке своего руководства он взял за основу документ, написанный еще в 80-х.
В те годы до массового распространения интернета было еще далеко, и никто не мог представить,
сколько разных паролей придется создавать и запоминать миллиардам людей на планете.
Теперь рекомендации NIST поменялись.
Вместо относительно короткого, но сложно запоминаемого пароля с "абракадаброй" из цифр и символов институт советует использовать длинные фразы из обычных слов.
Ведь с увеличением числа символов в пароле время, требуемое на его автоматизированный подбор при взломе, растет экспоненциально.
Получается самое главное в современных паролях только их длина?Или есть какие то новые техники(блокчейн)?
(20:49:56) crowe: http://i.imgur.com/Ax2LuWC.png - чекните по паролям, там все написанно, хотите больше инфы, так же можете чекнуть интервью мета блейза в конгресе который выступал по кибербезопасности и т.д.
(20:50:06) crowe: посмотреть что он говорит чем читать какую-то ересь
(20:50:37) Mef: 1. Если честно , это общая инфа и как её применить в работе и нашей защиты не совсем понятно , кроме того что надо все шифровать и бояться , а реально становиться страшно от твоих рассказов , что мы крайне уезвимы !!! я вот хотел что бы Вы учитель мне настроили систему что бы не кто не смог меня обнаружить , но 500 $ сейчас не могу на это потратить ... может быть для группы какие-то скидки есть на полную настройку и доп обучение от тебя !
2. как мне перенести всю инфу на закриптованный диск ? менеджер паролей например кей пасс ( кстате как он по защите ) , мне просто скопировать все туда ? или как , каша в голове и страх от твоих рассказов , на сколько мы уезвимы .
3. я в жабе ОТР запускаю и она у меня вылетает сразу , что э то может значить ?
4. я готов поднять свой сервак ВПН , помоги с этим . 50 $ готов как бы заплатить , если мой траф весь будет идти через него
5. Когда нас начнут учить кардить ? так то начальные знания есть , но охото конкретики !!!
6. у меня 10 виндовс , они уже следят за мной ? )))
7. как сделать закриптованное облако ? где ?
(21:02:59) crowe: 1. Настрйока и ведение зангимает большое количество времени и сил, а время в нашей нише, как и в любой другой является важным. Я делаю и так скидки на впн и дополнительные услги, так же я всегда всех консультирую и не посылаю, стараюсь отвечать на все вопросы более развернуто и емко, просто данная ниша структуризированна такие образом что вы можете двоерять тольско себе и если у вас нет пониманичя следовательно у вас не будет гаранити своей безопасности как то так.
2. Просто беерет перетаскиваете и копируете перед этим нужно смонтировать его и т.д.
3. Криво настроено, возможно не сгенерирован ключ в настройках ОТР
4. Без проблем пишите как я и гвоорил раньше, проконсультироую скажу как лучше и т.д. все натсроить и довести до ума. Так же можете выбрать любую страну вашего сервера расположения купить хотьб где и т.д. и многие другие плюхи зависит только от вас.
5. Конкретика уже пойдет с пейном я даю очень большое количество инфы которое вам в дальнейшем пригодиться. Я вам закину пост в вашу конференцию по поводу того что думать и т.д.
6. Конечно.
7. Могу так же сделать вам на опенсорсном решение только для вас на вашем личном сервере и т.д. так же по скидке как обучению.
(21:03:23) yufa : 1 если я один в лок сети. значит у провайдера реализованна vlan?
(21:03:26) yufa : 2.при использовании vpn несколькими? один способен на хостинге скомпрометировать остальных?
(21:12:01) crowe: 1. Проще чтоб узнать это, позвоните опператору провайдера, спросите есть ли у нас (у вашего провайдера имеется ввиду) внутренняя лкоальная сеть, скорее всего скажут что нет, и локальная сеть это вашего пк, если бы вы другой пк подключили через сетевой кабель или ееще как то, вы бюы его увидели, то есть было бы локальное подключение между двумя компами, посмотрие что такое парелельное поджключение сети в электросети на примере ламппочек сразу все поймете там )
2. ну точно так же, хотя был анапример уязвимость в том что дабл трипл квад и т.д. впн, расшифровавыывали трафик в оперативе при егол перешифровке, это уязвиморсть была выявленно недавно и она была с самого начал, так что безопасность дело такое, тут нет какойто панацеи или что-то в этом роде тут все основанно на рисках и т.д. завтра разберем поймете
(21:12:27) crowe: Анонимный источник подсказал кстати лекарство от всех болезней
(21:12:27) crowe: http://joxi.ru/823oBagf6R3nn2?d=1
(21:12:46) gamal: Какой плагин стоит использовать для безопасного определения подлинных сертификаток/проверки со старыми ?
(21:13:11) crowe: https everywhere вроде он
(21:13:22) crowe: или файрвол настройка так скажем
(21:14:55) crowe: Я как раз хотел вас писать, у меня все по очереди вроде как.
Для винды софт в затиркой методом гутмана, я лишь по линуху сказать могу по софту, а так ищите с методом гутмана и можете несколько раз вообще диск прогнать таким методом раза 2 ) правда долго но что делать, лучшего пока не дано.
(21:17:28) Mef: Когда тебе написать , что бы поробатали конкретно с тобой над моей системой ? Что бы ты был не занят .
И насчет вин 10 , что они конечно следят за мной - это как , что сейас выключить все до настройки ? чем черевато что я сейчас тут сижу и т.д ? Бля не гони жути плиз , сори за мат но я сейчас на изменеееее ))) скажи что все будет хорошо !!! )))) успокой хоть чуть чуть ! )
(21:17:57) crowe: Так же был бы признателен за вашу обратную связь по поводу моих лекций, пару слов в данной теме
(21:21:16) crowe: Я постоянно занят так скажем, но я отвечаю на все вопросы, обычно если пишут, стараюсь емко и подробно изложить информацию либо направить людей в то русло.
Если конечно там спрашивают инфу которую стоит изучать или хотят получить уже боле платную инфу, я конечно говорю где стоит искать и т.д. Но такую инфу вам по ряду причин не буду предоставлять, так как комерческая тема, и труд любой должен оплачиваться, а мне это информация легко не доставалась да и на написание и изучение иследование этой инфы уходило большое количество времени, просто тоже поймите меня.
На счет вин 10 просто достаточно прочитать русское лицензионное соглашение майкрософт, там способов слежения больше 100 штук можете чекнуть есть софт не помню как анызвается w10privacy или ooshutup или как то так ищите смотрите
(21:21:27) crowe: Да по сути вам на данном этапе то не особо нечего боятсья если вы не работаете по ру
(21:21:37) crowe: Или не говорите всем подряд что вы трушный чел и т.д.
(21:21:47) crowe: Так ак все закрытия идут из-за вашего языка, работы по ру
(21:21:48) crowe: и 228
(21:21:50) crowe: как и говорилв чера
(21:22:04) crowe: Самое главное хотябы имейте впн
(21:22:06) crowe: и носок
(21:22:08) crowe: Лучше иметь
(21:22:10) crowe: впн тор носок
(21:22:15) crowe: и использовать виртуалки для изоляции
(21:22:23) crowe: у вас будет большое количество инфы с пейном по практике
(21:22:28) crowe: он вам даст уже и овтетит более подробюно
(21:22:34) crowe: вам эта информация как и я сказал ранее что дам
(21:22:34) crowe: пост
(21:22:42) crowe: в вашей конференции вопрос ответ там
(21:22:47) crowe: чтобы понимали не множко
(21:22:59) crowe: Если нет на сегодня вопросов то будем закругляться и отправляться до завтра
(21:23:04) crowe: прощаться то есть
(21:24:02) crowe: Тогда всего доброго ребят, до завтра !
Last edited:
