Что нового?
Форум выживальщиков

Зарегистрируйте бесплатную учетную запись сегодня, чтобы стать участником нашего сообщества! После входа в систему вы сможете участвовать на этом сайте, добавляя свои собственные темы и сообщения, а также общаться с другими участниками.

Для пользователей Skype

vanaheym

Выживальщик
Регистрация
14 Апр 2012
Сообщения
2,512
Поблагодарили
2,060
Город
Украина
В то время как все изучают чипизацию и прочие подобные предметы - уже есть реальные угрозы приватности и без чипизации.
Надеюсь никто еще не считает, что Скайп это анонимная и зашифрованная сеть, по которой можно передавать приватные данные и обсуждать приватные вопросы?

Вольный перевод статьи на тему приватности переписки в Skype.

Все, кто использует Skype, обязан согласится с пунктом, что компания может читать все, что там пишут (смотри Положение о конфиденциальности в Skype). Компания Heis, совместно с немецкими коллегами, выяснила путем простейшего эксперимента, что Microsoft активно использует эту возможность, но очень странным образом.

Практически сразу после отправки сообщения в Skype, в котором содержалась ссылка на некий https ресурс, данный ресурс был посещен с IP, принадлежащего Microsoft HQ в Редмонде, США.

Было замечено, что после передачи в теле сообщения ссылки, генерируется необычный для неё трафик, распознаваемый сервером как потенциальная атака повторного воспроизведения.
В тоже время IP адрес, с которого «злоумышленник» пытается получить доступ по ссылке, принадлежит Microsoft.

Была предпринята попытка подтвердить подозрение, для чего в теле сообщения были отосланы две тестовых https ссылки. Одна содержала информацию для авторизации в системе (логин/пароль), а другая вела на приватный сервис файлообмена, базирующийся в облаке. Несколько часов спустя после отправки сообщения в логе был зафиксирован следующий запрос на сервер:

65.52.100.214 - - [30/Apr/2013:19:28:32 +0200] "HEAD /.../login.html?user=tbtest&password=geheim HTTP/1.1"

Согласно Utrace, IP адрес принадлежит Microsoft.

Таким образом, после передачи https ссылок через Skype сервер активно получает запросы с сервера Microsoft. В основном ссылки ведут на зашифрованные страницы, содержащие идентификатор сессии, или другую приватную информацию. Самое интересное, что не зашифрованные http ссылки не были посещены славной компанией.

В данном примере Microsoft использовала оба приёма — запрос к серверу содержал как отосланную пару логин-пароль, так и специально сгенерированный url на личный файлообменник.
Данные исследования были отправлены в Skype, однако в ответ получили лишь ссылку на Положение о конфиденциальности в Skype.
«Skype может использовать механизмы автоматического распознавания в мгновенных и SMS-сообщениях, чтобы идентифицировать (a) потенциальный спам и/или (b) URL-адреса, которые ранее были помечены как веб-сайты спама, фишинга или мошенников. В некоторых случаях Skype может отобрать и вручную проверить мгновенные или SMS-сообщения с целью предотвращения спама.»

Представитель компании подтвердил, что Miсrosoft сканирует сообщения с целью выявления спама и фишинговых страниц. Однако объяснение не вписывается в факты, подтвержденные практикой.
Спамовые и фишинговые сайты обычно не используют https протокол, однако именно эти ссылки были посещены представителями компании в обход обычных http страниц, не содержащих приватных данных в ссылках.
Интересно отметить, что Skype использует метод head для формирования запроса к серверу, который, по сути, просто извлекает информацию о валидности ссылки.


Однако для проверки на спам или фишинг Skype необходимо анализировать контент страницы.
Еще в январе 2013 гражданская правовая группа в составе Electronic Frontier Foundation и Reporters without Borders отправили Microsoft открытое письмо. В нём компании выразили беспокойство, что после реструктуризации Skype, последний вынужден следовать букве закона США и предоставлять доступ государственным агентствам и секретным службам к приватной информации пользователей.

В заключении хотелось бы отметить, что Microsoft, вопреки здравому смыслу, использует передаваемую через Skype информацию так, как им вздумается. Всем пользователям Skype необходимо задуматься, к чему это может привести, а пока компания совершенно не намерена раскрывать своих планов по использованию полученных приватных данных.
Я например, от скайпа и ICQ уже отказался практически полностью, тем более что даже международные звонки дешевле делать через voipcheap.com, а приватно общаться о своих приватных вопросах лучше через jabber.
 

Ёсик

Выживальщик
Регистрация
15 Дек 2011
Сообщения
3,650
Поблагодарили
2,505
Город
Звони расскажу.
Так об этом все знают. И ваопще можно читать любую информацию - практически на любом сервере. инет создавался военными для военных целей. Например хакеры сумели по военным каналам проходить в приват зоны .... разные приват зоны - давно. И это не просто упущения разработчиков это реальные запрограмированные возможности.
 

umarex

Выживальщик
Регистрация
5 Янв 2011
Сообщения
5,573
Поблагодарили
6,892
Город
Краснодар
Ну тогда может наши айтишники опубликуют рейтинг самых стойких месенджеров с экстремально высоким уровнем криптозащиты? Я нехрена не волоку в этом деле, пользуюсь майл агентом, а в качестве ЗАС модуля использую для переговоров подвал дома, тет-а-тет.
 
  • Like
Поблагодарили: 1gor

Артемиус

Модератор форума
Регистрация
24 Сен 2010
Сообщения
5,363
Поблагодарили
3,523
Возраст
39
Город
Самара
Ну тогда может наши айтишники опубликуют рейтинг самых стойких месенджеров с экстремально высоким уровнем криптозащиты?
ИМХО? Не один. Любой сложный месседжер, который может позволить себе криптографическую защиту уже давно сидит под колпаком местных спецслужб
 

umarex

Выживальщик
Регистрация
5 Янв 2011
Сообщения
5,573
Поблагодарили
6,892
Город
Краснодар
Артемиус, То есть, пользователь начавший активно юзать подобную прогу автоматически попадает на карандаш? Однако!
Или, алгоритм давно известен, так сказать мастер кей на руках у органов?


---------- Сообщение добавлено 21.05.2013 в 00:00 ---------- Предыдущее сообщение размещено 20.05.2013 в 23:58 ----------

Ээээ, энигма? )))
Не смех смехом, но вопрос остается открытым.
 

vanaheym

Выживальщик
Регистрация
14 Апр 2012
Сообщения
2,512
Поблагодарили
2,060
Город
Украина
Любой сложный месседжер, который может позволить себе криптографическую защиту уже давно сидит под колпаком местных спецслужб
Джаббер с открытым исходным кодом - рулит и заруливает.
1. Никто не мешает купить VPS баксов за пять где то в европе и повесить на него приватный сервер Jabber и вручную зарегистрировать на нем нужных пользователей. (заодно и подняв VPN для скрытия всего траффика в своей стране)
2. Никто не мешает бесплатно на startssl.com зарегистрировать бесплатный SSL сертификат и поднять зашифрованный канал от сервера к клиенту, который сам по себе уже достаточно большая проблема для перехвата траффика.
3. Ничего не мешает скачать Miranda IM и включить поддержку GnuPG шифрования с ключом 4096 бит, что сделает чтение твоих сообщений вообще большим косяком, так как даже на сервере со включенными логами будет видно вот такое:
<message type="chat" to="****@jabber.kiev.ua" id="mir_4035">
<body>This message is encrypted.</body>
<x xmlns="jabber:x:encrypted">hQIMA20OLVa69srlAQ/+OgYRBBtXvOXoO5mrVAyL/GkjZImEjCGMWnLb2/noXSHChiAzaH8TpQzB9HEDYMsDJI1cGGyzv++8qgDp2moYo7mxD8O2qdlU+PF9KoF78Zo0oCOCAf2Jc9Y1/MV4zLQzqQcqL06NOOBW5enl36mSc/8mz6Z+9gaMf9ExxPlGrPfDjo1PVOyVlONYQo/BgRxrfxq+r6JKpCiNG4P5Gj1JzlYtqV//th0m6hqTOmu4ccbYGfZwdhmluVlGUAbQCv2yvBOo9Mlxk5iZ01GJqXs0P4cB4fSW+KXB2LkUxK6Z8xpB+iLR9VTTfH5O9kkG0Au2PWI6HtViU/JFYLarwN5r6VwkTjKQ5buj6b1+JaXv0poX91x3gvjRWU1iyjZdeS+C5FVnBvDr2pSxUX5/nD9H+6G/B3YCjyIdGAI6aRYmQo/xLKwAk8Kw2KTZ/WwY7j4JxH3JG9lbPXYKpx8zyQZttL9sex0npZ/cEjdGWFFU3MbUesYSMjMNOE5EbBrKXkWHSRUZCKaVBfeyulC6gBBevUIL/boLRwKTf3LXd27Me/dh+4bpsmVLTICyaiN0Ql4l6zpGATtW5nj9eDJcT76RwhuD0+q45dZ4HgafAl4Rj88GJ6Tvo/xEx9AD+i3xkeyjzGPy1hzAcYsqeQpiGgKOA5oY4oXopF2n2ZV3IYt1T/jSUgFnd3yF93/zmX9Tm3Ccp8/z8zy6MooirtN7DXWEFGC1Ix1nvmAo476W2+wSWORHYqgugPtMo4eOitEWJJJolZdH1LLY4ex3/G9ZxjOhJkyNTnc==yM+W</x>
</message>
Это сообщение "Привет".
Если даже лень поднимать свой сервер - вполне достаточно открыть аккаунт на каком то надежном публичном сервере и пользоваться шифрованием GnuPG

---------- Сообщение добавлено в 01:30 ---------- Предыдущее сообщение размещено в 01:27 ----------

рейтинг самых стойких месенджеров с экстремально высоким уровнем криптозащиты
PSI+GnuPG. Или Miranda+GnuPG+OTR

Или, алгоритм давно известен, так сказать мастер кей на руках у органов?
К GnuPG нет никакого мастеркея по причине открытости его кодов. Равно как и открытости кода других open-source мессенджеров.
На мобильном у меня и у партнеров стоит Gibberbot с поддержкой OTR.

Чуть позже напишу отдельный пост про это.
 
Последнее редактирование:

1gor

Неумиральщик
Регистрация
22 Фев 2011
Сообщения
2,288
Поблагодарили
2,024
Город
мдн
тут такое дело...лучшая защита, это стратегия "неуловимого джо".
слишком много нас в сети, чтоб за каждым..гм...следить.
а как кто начинает шифроваться, так сразу интерес.

зы. мне один мусор расказывал: "если связь плохой...скажи в трубку: "путин,бомба,чеченцы".
сразу все наладится".
 

vanaheym

Выживальщик
Регистрация
14 Апр 2012
Сообщения
2,512
Поблагодарили
2,060
Город
Украина
тут такое дело...лучшая защита, это стратегия "неуловимого джо".
Да не факт - я активно использую джаббер для деловой переписки с партнерами и мне абсолютно не светит, чтобы любопытные ручонки шарили в моих логах и письмах. Поэтому все что можно - шифруется, закрывается двухфакторной авторизацией и т.д.
А то, что канал шифрованый - дак количество таких неуловимых джо уже превысило 900миллионов (примерно столько в мире имеется активных устройств Android в которых работает Google Talk, которые соединяются с сервером по HTTPS соединению). Я не говорю про GMail, которая по умолчанию соединяется по HTTPS. А какие зашифрованные данные ты передаешь по зашифрованному каналу - это твои личные проблемы.

---------- Сообщение добавлено в 14:04 ---------- Предыдущее сообщение размещено в 14:01 ----------

зы. мне один мусор расказывал: "если связь плохой...скажи в трубку: "путин,бомба,чеченцы".
сразу все наладится".
А если у тебя вместо "путин, чеченцы, взрыв" будет идти соединение данных на скорости 9600килобит с передачей голоса, закрытым AES шифрованием - то пусть слушают сколько хотят. Благо софта для андроида типа redphone или ostel, которыt шифруют голос - уже не мало.

---------- Сообщение добавлено в 14:52 ---------- Предыдущее сообщение размещено в 14:04 ----------

Кстати, вот очень хорошая вещь: https://crypto.cat - дополнение к google chrome, дающее возможность вести зашифрованное при помощи OTR общение прямо в броузере.
Если что - я пока вишу в разговоре survival :)
 
  • Like
Поблагодарили: ЁФФ

Doc_Vostok

Выживальщик
Регистрация
2 Авг 2011
Сообщения
1,387
Поблагодарили
3,861
Город
Приморье, Фокино
зы. мне один мусор расказывал: "если связь плохой...скажи в трубку: "путин,бомба,чеченцы".
сразу все наладится".
ты будешь смеяться, но это работает))) проверно)))
Ситуевина из личной жизни:
полтаю с другом по сценарию страйкбольной игры))) и на фразе "лагерь талибов" херак, и обрывается связь. Ну перезваниваю, болтаем дальше... на фразе "растяжка у схрона" херак опять))) в общим когда я опять перезвонил, и в процессе разговора сказал - "эй ушастые, это мы сценарий игры по реконструкции обсуждаем"... через несколько секунд опять начало что то булькать и появилось эхо))))
Так что смех смехом, а СОРМ работает))))
 

ЁФФ

Сибиряк
Регистрация
16 Авг 2010
Сообщения
1,341
Поблагодарили
772
Город
IKT
Кстати, вот очень хорошая вещь: https://crypto.cat - дополнение к google chrome, дающее возможность вести зашифрованное при помощи OTR общение прямо в броузере.
Если что - я пока вишу в разговоре survival :)

Камрадство, только что протестил указанный Ванахемом ресурс интернет сообщений указанный выше . в переписке с Ванахемом.
короче всем рекомендую:

1) надо просто скачать программулину по ссылке: https://crypto.cat
2) указать тему разговора - survival (можно создавать любую)
3) указать свой ник ( на латинице) и нажать на вход.

Пробуйте...
реальная замена чата , которая не грузит форум и к тому же шифруется
 
Сверху