Comments 13
Между тем ФСБ недавно запустила веб-сайт, доступный только через Tor.Скоро и выходные ноды в .ru не за горами:)
+3
Заголовок не соответствует содержанию статьи. Единственное, что касается «технического уровня исполнения сайта» — это http Vs https (2 строчки в статье), а основная часть статьи — про программу-генератор. Более того, в самой статье раскрывается, что претензия к программе не совсем обоснована.
+8
В чём вообще смысл программы? Если ФСБ доверяет (и проверяет) массовой веб-криптографии (https), то сообщение можно получать по обычной веб-форме. А если не доверяет, то скачка программы опасна даже по https.
Кроме того, от закладок в браузере, ОС и железе — программа не защитит.
Кроме того, от закладок в браузере, ОС и железе — программа не защитит.
+2
Программа может быть отдельно подписана, перепроверена на других машинах и т.д.
И да, https они, видимо, не доверяют — там же не ГОСТовское шифрование.
Не защитит, но если есть 5 точек отказа, это не значит, что №3 не надо перекрывать только из-за того, что останутся еще 4 возможных. В перспективе, если переписать софт под Linux, можно использовать его на каком-нибудь Tails или аналогичной платформе, проверив подпись.
И да, https они, видимо, не доверяют — там же не ГОСТовское шифрование.
Кроме того, от закладок в браузере, ОС и железе — программа не защитит.
Не защитит, но если есть 5 точек отказа, это не значит, что №3 не надо перекрывать только из-за того, что останутся еще 4 возможных. В перспективе, если переписать софт под Linux, можно использовать его на каком-нибудь Tails или аналогичной платформе, проверив подпись.
0
Программа может быть отдельно подписанаЧем подпись программы отличается от подписи https-трафика? Если ФСБ не доверяет https и опасается mitm-атаки, то скачиваемой программой пользоваться нельзя, программа может быть подменена. Ну а когда «секретная» программа передаётся по http — это вообще позор.
0
Если устанавливается зашифровыанный VPN, то смысла в https нет.
-1
Проблема в том, что программа для зашифрованного VPN'а скачивается по HTTP.
Т.е. по сути если мы берём MitM за самое страшное что может случиться с диалогом по HTTP, то сама программа передаётся при открытом запросе и открытом ответе, который можно перехватить и заменить. Учитывая что на программу срабатывает большое количество антивирусов, то и отношение пользователя к срабатыванию будет достаточно халатным. (ФСБ ведь не будет вирусы рассылать)
Грубо говоря, если перенести в реалии жизни — это как разработать офигенский замок, а ключ положить под ковриком и написать на двери что ключ лежит под ковриком. (Т.е. само открывание будет оочень «безопасным». Взял в кавычки из-за театра безопасности).
Т.е. по сути если мы берём MitM за самое страшное что может случиться с диалогом по HTTP, то сама программа передаётся при открытом запросе и открытом ответе, который можно перехватить и заменить. Учитывая что на программу срабатывает большое количество антивирусов, то и отношение пользователя к срабатыванию будет достаточно халатным. (ФСБ ведь не будет вирусы рассылать)
Грубо говоря, если перенести в реалии жизни — это как разработать офигенский замок, а ключ положить под ковриком и написать на двери что ключ лежит под ковриком. (Т.е. само открывание будет оочень «безопасным». Взял в кавычки из-за театра безопасности).
0
TLS handshake по принципам ФСБ:
- А ничего, что мы с вами по обычному телефону разговаривали?
- Да всё ок, Иван Иваныч разрешил!
- А, ну хорошо.
0
Шутки шутками, а судя по отчёту:
— Файлик является кустарным паковщиком, который распаковывает из RT_ICON ресурсов другой бинарник. Возможно зашифрованный. (В отличии от UPX'ов и подобного — не красиво)
— Пытается задетектить запуск на виртуалке
Предполагаю что как раз из-за паковки его и детектят антивири.
— Файлик является кустарным паковщиком, который распаковывает из RT_ICON ресурсов другой бинарник. Возможно зашифрованный. (В отличии от UPX'ов и подобного — не красиво)
— Пытается задетектить запуск на виртуалке
Предполагаю что как раз из-за паковки его и детектят антивири.
0
Ну просто во вселенной ФСБ в MitM никого кроме них нет, а себе они доверяют, так что "всё надежно".
А если серьезно то возможно им такой канал вообще не нужен, вот и наворотили то что под нормативные документы пройдет, "на отшибись", базовым критериям соответствует и ладно
0
А если серьезно то возможно им такой канал вообще не нужен
ФСБ давно продвигает собственные ГОСТы для шифрования, поэтому и всовывают куда получится.
А по поводу SSL/TLS, то судя по отчету о доступности сервисов и данных у ФСБ есть действующий (До 11.2021) wildcard сетрификат от GlobalSign, а вот чего они его не используют, непонятно…
Денег потратили, а поставить забыли.
0
Sign up to leave a comment.
Брайан Кребс раскритиковал сайт ФСБ за технический уровень исполнения