Comments 156
Их скандал с PRISM разве ничему не научил?
Сейчас там большая паника царит, на самом деле, на днях голосование в Конгрессе было по поводу того, чтобы краник-то денежный в сторону АНБ перекрыть наглухо. Ребята из Change.org подливают масла в огонь, как могут — видимо, их это достало.
UFO just landed and posted this here
Научил. Делай что хочешь — «срыв покровов» реально ничем серьезным (по сравнению с профитом) не грозит. Народ с оружием на белый дом не пойдет. Впрочем, они и так это знали, конечно.
У американцев и другие способы работы с правительством, кроме как с оружием на белый дом. На самом деле всё это только добавляет републиканцам очков и повышает давление на администрацию Обамы.
Не советую сильно переживать за США. Пока у них меняется власть раз в 4 года путём выборов, а не путём «длинной и короткой рокировки», либо путём «выращивания клона Коли» — всё будет хорошо, и вот почему:
— законотворчество не терпит суеты (особенно когда по этим законам будут жить более 300 млн. граждан, не считая остального мира);
— технологии сравнительно новые, а у власти, как правило, находятся люди на поколение старше (выдержка из Википеции: По возрасту: средний возраст членов конгресса — 57,2 года, членов Сената — 63,1 — они, как вы понимаете, не совсем «в теме»).
Пройдёт несколько лет, члены конгресса и сенаторы пообещают решить этот вопрос своему электорату (который тоже пока не совсем «в теме»), следующий президент пообещает это в своей предвыборной компании, и всё будет решено так или иначе. Как говорил товарищ Саахов "торопиться не надо".
— законотворчество не терпит суеты (особенно когда по этим законам будут жить более 300 млн. граждан, не считая остального мира);
— технологии сравнительно новые, а у власти, как правило, находятся люди на поколение старше (выдержка из Википеции: По возрасту: средний возраст членов конгресса — 57,2 года, членов Сената — 63,1 — они, как вы понимаете, не совсем «в теме»).
Пройдёт несколько лет, члены конгресса и сенаторы пообещают решить этот вопрос своему электорату (который тоже пока не совсем «в теме»), следующий президент пообещает это в своей предвыборной компании, и всё будет решено так или иначе. Как говорил товарищ Саахов "торопиться не надо".
Смилуйся, государыня рыбка!
Что мне делать с проклятою бабой?
Уж не хочет быть она царицей,
Хочет быть владычицей морскою;
Чтобы жить ей в Окияне-море,
Чтобы ты сама ей служила
И была бы у ней на посылках…
А вы говорите PRISM :)
Что мне делать с проклятою бабой?
Уж не хочет быть она царицей,
Хочет быть владычицей морскою;
Чтобы жить ей в Окияне-море,
Чтобы ты сама ей служила
И была бы у ней на посылках…
А вы говорите PRISM :)
Зачем властям пароли?
Они просто уху ели (с)
да фиг с ней с ухой. Что они с этими паролями делать собираются? Заходить письма читать, явно наследив (отметив что-либо как прочитанное)? Спам рассылать? Учетку от варкрафта стырыть?
Чтобы сами письма слить пароль как-бы не нужен…
Чтобы сами письма слить пароль как-бы не нужен…
Так можно получить наиболее актуальный словарь паролей и их хешей.
Так можно получить доступ к другим службам.
Так можно получить словарь паролей конкретного пользователя (если он не делает новый пароль на каждый сайт).
И много чего ещё
Так можно получить доступ к другим службам.
Так можно получить словарь паролей конкретного пользователя (если он не делает новый пароль на каждый сайт).
И много чего ещё
Ну тогда так — выдаем пароли спец службам (точнее хэши и соли), сообщаем о взломе базы с паролями, требуем пользователей сменить пароли. PROFIT!
Может поэтому в последнее время участились публикации случаи взломов крупных сервисов :)
Провокации или, например, подделка доказательств. Арестовывают Вас, а потом Вы внезапно узнаете, что ваша страничка в фейсбуке вся в нацистской символике, а вместо фотки надпись «Kill president!». И в новостях «Спецслужбы предотвратили очередной теракт»
Самое интересное, кто хранит пароли в открытом виде?
Максимум, что они могут получить, то это не сами пароли, а их хэши.
Максимум, что они могут получить, то это не сами пароли, а их хэши.
у любого сервися хотя бы раз пароль передается в открытом виде, при регистрации например
Передаётся, но не хранится же.
можно хэш прям на клиенте считать и солить
а как обычный пользователь это проверит? полезет в код javascript?
Я тут несколько дней назад свою старую идею ( habrahabr.ru/post/161883/#comment_5558409 ) вспомнил и решил подсунуть мозилле как разработчикам браузеров…
Обсуждаем.
groups.google.com/forum/#!topic/mozilla.dev.identity/nm6fFaZaG9E
>для существующих при следующей смене пароля
зачем при смене, при логине же
Обсуждаем.
groups.google.com/forum/#!topic/mozilla.dev.identity/nm6fFaZaG9E
>для существующих при следующей смене пароля
зачем при смене, при логине же
Не факт. Кто мешает на клиенте сделать md5(password) и отослать уже хеш?
Я не про это,
Например поменяет gmail страницу регистрации, обявит что md5 генерируется локально и отсылает уже хеш, и пароль ни на каком этапе им в открытом виде не попадает.
кто гарантирует что они завтра это не вернут обратно, не говоря о том что можно и через браузер перехватывть если хромом пользоваться
опять же, при логине как-то пароль вы будете передавать? или тоже хеш только?
если так, ваш хеш и есть ваш пароль
Например поменяет gmail страницу регистрации, обявит что md5 генерируется локально и отсылает уже хеш, и пароль ни на каком этапе им в открытом виде не попадает.
кто гарантирует что они завтра это не вернут обратно, не говоря о том что можно и через браузер перехватывть если хромом пользоваться
опять же, при логине как-то пароль вы будете передавать? или тоже хеш только?
если так, ваш хеш и есть ваш пароль
Тогда нужно электронную подпись реализовывать. С открытым и закрытым ключом.
А зачем им исходные пароли? им хэши и нужны, с которыми заходить будут.
Хотят полный сет собрать
Позабывали
Уже всерьез подумываю над переходом на «собственную» инфраструктуру!
Надеюсь подобные новости дадут толчек развитию опенсорсных проектов вроде аналогов дропбокса, гуглодоков, hangouts и т.д.
Как бы вот еще андройд и хром синхронизировать через свой сервер…
Жду подобных проектов на кикстартере! Готов поддержать)
Надеюсь подобные новости дадут толчек развитию опенсорсных проектов вроде аналогов дропбокса, гуглодоков, hangouts и т.д.
Как бы вот еще андройд и хром синхронизировать через свой сервер…
Жду подобных проектов на кикстартере! Готов поддержать)
Ну касательно бандла для развёртывания почты — я могу посоветовать iRedMail. ejabberd может поставить даже слепой, а мануалов по скрещиванию эксима и ejabberd — вагон, так что некое подобие своей структуры можно сделать уже сейчас.
iRedMail действительно удобная сборка, но последнюю версию ставить не стал, т.к. они много чего порезали в бесплатном варианте.
я как раз такой слепой. В бытность админом поставил ваш ejabberd в 2000-ых еще, потом обновлял его, и после очередного апдейта он перестал запускаться. Я так и не понял в этом Эрланге нихрена, поэтому написал разработчику. Однако он мне так и не помог (он отвечал, но мою проблему не решил), поэтому я мигрировал на jabberd2.
Ваша «собственная инфраструктура» предусматривает свой собственный ДЦ где-то на дне тихого океана?
Нет?!? А какой тогда смысл? Да, поставите вы свой сервер в чужой ДЦ… ну вы меня понимаете ;)
Нет?!? А какой тогда смысл? Да, поставите вы свой сервер в чужой ДЦ… ну вы меня понимаете ;)
Только домашний сервер, только хардкор!
Фраза «хостится на сервере под кроватью» перестаёт быть столь оскорбительной, правда? :)
UFO just landed and posted this here
Большинству это нафиг не впёрлось — я сомневаюсь что кому-то в АНБ или ФСБ интересно, что дядя Петя пялит тётю Машу таким-то образом, или что тётушка Анди пишет своему внуку Асбеку письмо с описанием всех подробностей жизни на родине.
Кому нужно — те поднимут и при тех исходных, что есть сейчас, и много времени это не займёт.
Кому нужно — те поднимут и при тех исходных, что есть сейчас, и много времени это не займёт.
Не, хардкор здесь как раз свой ДЦ где-то на дне океана. Или в облаках (реальных)
Как я понимаю на этой собственной инфраструктуре будут сидеть другие люди? Друзья знакомые и т.д.? Там будет сайт где можно будет выложить данные? Тогда в один прекрасный момент, кто то может выложить там запрещенные материалы, и сайт перестанет быть доступен извне. Более того, учитывая, что сервер будет дома могут еще и приехать домой.
Давайте пофантазируем. Что сотрудники ЧУЖОГО ДЦ могут сделать с Вашим сервером? Я возможно что-то упускаю, но параноик во мне не сильно напрягается.
Ну раз уж мы фантазируем, они могут сделать что-то, что генератор случайных чисел в вашем сервере перестанет быть таковым.
Это будет делаться программно или аппаратно?
Если аппаратно, то до или после выдачи сервера мне в аренду?
Если до, то кто-нибудь когда-нибудь заметит такую массовую гадость.
Если после, во-1, я замечу перезагрузку сервера, во-2, в том же ovh инженеры обязаны писать причины перезагрузки.
Для программного вмешательства действуют все теже сомнения, что и в пункте «после» выше, а еще есть tripwire и иже с ним.
Если аппаратно, то до или после выдачи сервера мне в аренду?
Если до, то кто-нибудь когда-нибудь заметит такую массовую гадость.
Если после, во-1, я замечу перезагрузку сервера, во-2, в том же ovh инженеры обязаны писать причины перезагрузки.
Для программного вмешательства действуют все теже сомнения, что и в пункте «после» выше, а еще есть tripwire и иже с ним.
Эээ… То ли вы знаете что-то такое, о своих системах шифрования, чего не знаю я, либо параноик из вас на троечку с минусом. Что можно страшного сделать имея физический и никем не контролируемый доступ к серверу и всем сетевым портам?
Вопрос ко мне же, да?
Как это никем не контролируемый? Каждая перезагрузка дедика фиксируется на моем домашнем сервере контроля. А что можно сделать не перезагружая дедик, даже имея доступ к портам?
Как это никем не контролируемый? Каждая перезагрузка дедика фиксируется на моем домашнем сервере контроля. А что можно сделать не перезагружая дедик, даже имея доступ к портам?
Упс, у нас отключалось электричество. Вот вам бесплатные 2 недели.
Ваши действия?
Ваши действия?
А имея доступ к шинам данных, чипам памяти, винту?
Если это PCIe или Thunderbolt, то ответ — что угодно. Вообще что угодно, т.к. у злонамеренных устройств есть возможность писать/читать по произвольному адресу памяти со всеми вытекающими.
Давайте пофантазируем.
Хитрый гипервизор, установленный на этом выделенном сервере, и позволяющий в любой момент снять полный дамп памяти для анализа.
Хитрый гипервизор, установленный на этом выделенном сервере, и позволяющий в любой момент снять полный дамп памяти для анализа.
Позволю себе скопипастить сам себя.
До или после выдачи сервера мне в аренду?
Если до, то кто-нибудь когда-нибудь заметит такую массовую гадость.
Если после, во-1, я замечу перезагрузку сервера, во-2, в том же ovh инженеры обязаны писать причины перезагрузки. В-3, гипервизоры по слухам определяются.
До или после выдачи сервера мне в аренду?
Если до, то кто-нибудь когда-нибудь заметит такую массовую гадость.
Если после, во-1, я замечу перезагрузку сервера, во-2, в том же ovh инженеры обязаны писать причины перезагрузки. В-3, гипервизоры по слухам определяются.
Детский сад. У кого-о есть физический доступ к серверу? Дальше о безопасности можно не разговаривать.
А какой тогда смысл? Да, поставите вы свой сервер в чужой ДЦ… ну вы меня понимаете ;)
Шифровать ФС, ключ вводить в консоли.
[paranoid]Консоль же логируется[/paranoid]
/boot не зашифруете. Никто не мешает Вам подсунуть сниффер в ядро и ребутнуть сервак.
На сервере есть датчики вскрытия. Системные файлы мониторятся на контрольные суммы.
Если только обойдут датчики и руткит подсунут, но настолько сильно никто не будет заморачиваться, если сильно нужны, то возьмут в оборот вживую, а не с сервером будут возиться.
Если только обойдут датчики и руткит подсунут, но настолько сильно никто не будет заморачиваться, если сильно нужны, то возьмут в оборот вживую, а не с сервером будут возиться.
UEFI SecureBoot + шифрованная ФС + ключ к ней в TPM, sealed by PCRs и патч TRESOR на ядро.
UFO just landed and posted this here
Был бы свой браузер, без всяких там «мы только отправляем статистику и багрепорты» — тогда было бы отлично, а так нет гарантиии что не наедут на разработчика с «добровольной идееей» запихнуть в браузер «подслушку»…
а зачем? Вы президент большой финансовой группы, шпион, террорист?
Вместо Dropbox можно использовать Seafile.
Firefox и так умеет синхронизироваться через свой сервер, если поставить на него нужный софт
Firefox и так умеет синхронизироваться через свой сервер, если поставить на него нужный софт
Я перешел на собственную инфраструктуру. Полёт нормальный. Хром правда не использую, firefox синхронизируется через firefox sync на собственном сервере. Вместо дропбокса — owncloud на дедике, вместо hangouts — свои джаббер и почтовые сервера. Андроид на планшете, так же как maemo в телефоне, так же как ios у моей девушки, так же как и адресные книги с календарями на десктопах\ноутах синхронизируются через carddav\caldav с тем же owncloud. Бюджет считая ВДСки для MX\DNS бэкапов и т.п. — < 1000р в месяц.
Можно зареквестить топик о настройке всего хозяйства? Мне, да и другим здесь, было бы интересно.
Пост превратится в набор ссылок на документацию, к сожалению. Я могу отвечать на какие-то вопросы, но не сторонник описывать то, что уже не раз описано.
Меня, скорее, больше интересует история про OwnCloud, про него достаточно противоречивые отзывы.
Использую на самом дешевом дедике от kimsufi. nginx+mysql+php 5.4+pecl-apc. Использую пока что только вдвоем с девушкой. Судя по нагрузке дедика хватит еще человек на 20 как минимум.
В моей записной книжке — около 300 контактов. Календари совсем маленькие Файлов для синхронизации немного. Я только недавно начал использовать «облачное» сетевое хранилище. Регулярно синхронизируемых с «облаком» около 30, еще десяток просто валяется. Проблем не заметил, только подкручивал nginx в соответствии с сообщениями в логах.
Бэкапы шифруются и сливаются на NAS'ы у нее и у меня дома. Всего под «облако» отдал 200 гигабайт.
Долго думал на тему «О БОЖЕ! Инженеры дедика могут прочесть мои файлы!!!111». Сначала все хотел зашифровать и вводить пароль при каждом ребуте сервера, заходя по SSH, но потом подумал, что все равно что-то действительно приватное надо шифровать «на концах», поэтому прикрылся только от «ухода» данных при планомерной замене жесткого диска, использовав LUKS и ключ на флешке, воткнутой в сервер.
В моей записной книжке — около 300 контактов. Календари совсем маленькие Файлов для синхронизации немного. Я только недавно начал использовать «облачное» сетевое хранилище. Регулярно синхронизируемых с «облаком» около 30, еще десяток просто валяется. Проблем не заметил, только подкручивал nginx в соответствии с сообщениями в логах.
Бэкапы шифруются и сливаются на NAS'ы у нее и у меня дома. Всего под «облако» отдал 200 гигабайт.
Долго думал на тему «О БОЖЕ! Инженеры дедика могут прочесть мои файлы!!!111». Сначала все хотел зашифровать и вводить пароль при каждом ребуте сервера, заходя по SSH, но потом подумал, что все равно что-то действительно приватное надо шифровать «на концах», поэтому прикрылся только от «ухода» данных при планомерной замене жесткого диска, использовав LUKS и ключ на флешке, воткнутой в сервер.
Спасибо за инфу. По поводу дедика — это тот, что за три фунта в месяц? Получается, он слегка дешевле, чем самая недорогая из Хецнеровских VPS?
habrahabr.ru/post/167117/ — я регился по этому посту. Вам, если Вы не из Франции должны снять налоги.
А еще вот только сейчас понял, что они снизили цены. Я плачу 10 евро в месяц за конфигурацию, которая сейчас самая маленькая. Сейчас она стоит 3 евро (!!! блин, это что-то невероятное, либо я употоротый, либо это просто подарок на день сисадмина). Пойду писать в саппорт, попытаюсь перерасчитать.
А еще вот только сейчас понял, что они снизили цены. Я плачу 10 евро в месяц за конфигурацию, которая сейчас самая маленькая. Сейчас она стоит 3 евро (!!! блин, это что-то невероятное, либо я употоротый, либо это просто подарок на день сисадмина). Пойду писать в саппорт, попытаюсь перерасчитать.
Подскажите, пожалуйста, чем вы на Android-девайсе синхронизируете контакты\календарь? а то я как-то искал и ничего рабочего не нашел
CardDav-sync beta
CalDav-sync beta
Брал в связи со своей нелюбовью к оплате через гугл тут:
www.androidpit.ru/ru/android/market/apps/app/org.dmfs.carddav.Sync/CardDAV-Sync-beta
www.androidpit.ru/ru/android/market/apps/app/org.dmfs.caldav.lib/CalDAV-Sync-beta
CalDav-sync beta
Брал в связи со своей нелюбовью к оплате через гугл тут:
www.androidpit.ru/ru/android/market/apps/app/org.dmfs.carddav.Sync/CardDAV-Sync-beta
www.androidpit.ru/ru/android/market/apps/app/org.dmfs.caldav.lib/CalDAV-Sync-beta
UFO just landed and posted this here
Присоединяюсь к ответу выше. Почитал бы статью о настройке (можно даже с конкретными примерами хостинга).
Я использую kimsufi для дедика, а ВДС… да любые lowcost vds подойдут. У меня была проблема найти lowcows vds, где дают заюзать своё ядро, но я справился через знакомых.
Описывать в стиле «введите то, потом это — не получится» мне бы не хотелось. В остальном опять же все описано. Можно пользоваться документацией на owncloud и гуглом. Что-то не понятно я готов отвечать на вопросы в разумных пределах.
Описывать в стиле «введите то, потом это — не получится» мне бы не хотелось. В остальном опять же все описано. Можно пользоваться документацией на owncloud и гуглом. Что-то не понятно я готов отвечать на вопросы в разумных пределах.
dropbox и googledoc — это проекты с предоставлением доступа третьим лицам (например, друзьям). Если доводить ситуацию до абсурда, то достаточно будет подключить друга, и можно сразу лепить обвинение в оказании телематических услуг и передачи данных без лицензии. :) Поэтому если такой подход станет массовым, то прикроют через механизм лицензирования.
Разве сейчас кто-либо хранит пароли в таком виде, что их можно выдать?
Имелись в виду хэши, вероятно. Поэтому, я думаю, и запрашивают соль и подробности об алгоритмах шифрования.
Если властям удастся восстановить пароли по хэшам и алгоритмам шифрования, ИТ-индустрия будет им аплодировать стоя.
Брут-форс разве не поможет?
Поможет, конечно. Основной вопрос — как быстро. Думается мне, что до прикрытия финансирования АНБ они, дай бог, несколько сотен аккаунтов сломают. Это если не учитывать двухфакторной авторизации и ненавязчивой просьбы того же гугла или майкрософта к своим пользователям сменить пароли, аккурат после передачи всего этого добра властям.
Вы недооцениваете склонность пользователей к простым паролям. С использованием хороших вычислительных мощностей и при точном знании алгоритма хэширования навзламывать можно достаточно много.
Я думаю большинство людей вполне адекватно отреагируют на письмо: «Мы были вынуждены передать хеши паролей в связи с ** от **. Рекомендуем менять пароли каждую неделю»
Чёрт их знает. Мощности растут, Rainbow-подобные решения тоже никто не отменял. В той же статье на CNet есть упоминание про вскрытие хэша четырнадцатизначного пароля Windows XP на GPU за шесть с чем-то минут.
Из википедии:
As of 2012, the most efficient attack against SHA-1 is considered to be the one by Marc Stevens with an estimated cost of $2.77M to break a single hash value by renting CPU power from cloud servers.
То есть любой желающий с тремя лямами баксов в кармане может сломать SHA1, просто выкупив процессорное время в облаке. Теперь вспомним, что в распоряжении правительств есть суперкомпьютеры, время вычисления на которых ощутимо дешевле облаков. И внезапно ломать пароли становится вполне доступно.
SHA1 — это очень популярная хэш-функция, где-то наверянка ещё MD5 используется. SHA1 есть везде, и для большинства случаев её вполне достаточно, но надо осознавать, что при очень большом желании сломать её можно.
As of 2012, the most efficient attack against SHA-1 is considered to be the one by Marc Stevens with an estimated cost of $2.77M to break a single hash value by renting CPU power from cloud servers.
То есть любой желающий с тремя лямами баксов в кармане может сломать SHA1, просто выкупив процессорное время в облаке. Теперь вспомним, что в распоряжении правительств есть суперкомпьютеры, время вычисления на которых ощутимо дешевле облаков. И внезапно ломать пароли становится вполне доступно.
SHA1 — это очень популярная хэш-функция, где-то наверянка ещё MD5 используется. SHA1 есть везде, и для большинства случаев её вполне достаточно, но надо осознавать, что при очень большом желании сломать её можно.
Ну потребовать-то все равно ума хватит, как вот в этой истории serverfault.com/questions/293217/our-security-auditor-is-an-idiot-how-do-i-give-him-the-information-he-wants
Выше уже писали — Yahoo хранит. По крайней мере год назад хранило.
На каком хоть основании? Или теперь это не обязательно?
Просто хотят составить рейтинг слабых паролей и законодательно их запретить, так понимаю!
Всё для блага людей! Список людей прилагает…
Им еще тогда придется протолкнуть список ай-пишников, при подключении с которых не создается никаких оповещений. В общем, проще сделать запрос на введение мастер-пароля от gmail и т. д.
«Apple, AOL, Facebook и ряд других компаний отказались комментировать ситуацию в принципе.»
Потому что давно уже все слили.
Потому что давно уже все слили.
А для чего им все таки пароли? Судя по разоблачению PRIZM у них же есть доступ к базам.
У PRISM есть хороший шанс сыграть в ящик, см. мой комментарий — habrahabr.ru/post/187934/#comment_6530716
Количество коллизий увеличивается, но принцип засолки хороший: sha1( sha1( pass + login ) + pass )
Что мешает использовать более криптостойкий SHA2?
en.wikipedia.org/wiki/PBKDF2
Сейчас использую 3000 тысячи итераций ;)
Сейчас использую 3000 тысячи итераций ;)
а где почитать про зависимость числа коллизий от количества применения функции?
(я правда не в курсе)
(я правда не в курсе)
Вопрос в том есть ли у правительства США рычаги давления на интернет-компании (т.е. независимы ли они). Если есть, то все они должны будут должны спустить штаны и стать домиком, если потребуется.
Это даже больше похоже не на борьбу с преступностью/терроризмом или за национальные интересы, а попросту за власть. Гуглы-Фейсбуки больно крупные стали, могут так и от рук отбиться, в политику влезть, законкурировать с установленной богом легитимной властью.
Сейчас, в связи с паникой с PRISM, можно сказать что угодно про требования спецслужб («из анонимных источников») и все поверят и будут всерьез обсуждать. Что, впрочем, полезно.
у Мизулиной есть достойные конкуренты
Хмммм. У меня была мысль, что поскольку весь интернет траффик идёт через СОРМ или его аналоги, все пароли и логины ещё сто лет назад можно было все выловить.
теперь сервис доступен для всех Google и Yahoo accounts!
для чего им нужны пароли? чтоб получить доступ к сервисам, которые не сотрудничают с правительством США.
если у тебя одинаковые пароли на ФБ и ВК например.
потому используйте для разных сервисов разные пароли. желательно сгенерированные случайно.
если у тебя одинаковые пароли на ФБ и ВК например.
потому используйте для разных сервисов разные пароли. желательно сгенерированные случайно.
Sign up to leave a comment.
Власти США требуют у крупнейших интернет-компаний раскрыть пароли пользователей