Информационная безопасность выживальщика

[Captain Deadly]

речь же шла за пароль, а не за технологию шифрования

Да, я именно об этом (или я не понял . Технология шифрования открыта (и это самая простейшая ее реализация). Всё дело в пароле. Если пароль такой, какой указан в спецификации, то расшифровка невозможна. Или, по крайней мере, пока об успешных попытках расшифровки ничего неизвестно.

 

[Arigato]

то говорят, что пароль ломается за 2 часа. терморектальный криптоанализ )

Есть даже против этого метода хитрости. К примеру, с зашифрованными дисками мутят, когда один пароль позволяет получить доступ к одному содержимому диска, а другой - к другому. В итоге если сильно просят, то можно дать второй пароль, а после вскрытия на этом диске вполне могут обнаружить некий компромат на тебя, ну то есть понятно будет почему говорить не хотел. Хотя все самое ценное будет доступно только по первому паролю. Причем нет никаких способов узнать, обычный это шифрованный диск с одним паролем или есть другой пароль, а может их вообще 10.

 

[Татия]

Telegram согласился раскрывать властям данные подозреваемых в терроризме

Telegram готов раскрывать данные о подозреваемых в терроризме пользователей властям, если на это есть соответствующее решение суда, сообщил мессенджер на своем сайте.

"Если Telegram получает судебное решение, которое подтверждает, что вы подозреваетесь в терроризме, мы можем раскрыть ваш IP-адрес и номер телефона для компетентных органов. До сих такого не случалось", - говорится в сообщении.

"Если это случится, мы включим это (прецедент раскрытия данных властям) в полугодовой отчет, доступный по ссылке: https://t.me/transparency" - отмечается в сообщении.

Изменение политики конфиденциальности Telegram не означает, что мессенджер будет предоставлять ключи для дешифровки сообщений. Об этом заявил "Интерфаксу" Павел Чиков - руководитель международной правозащитной группы "Агора", юристы которой представляют компанию в судах.

"Речь идет не о переписке, что важно. Речь идет о предоставлении сведений об ip-адресе и телефоне. Вопрос о переписке как был, так и остается неприкосновенным. Павел Дуров всегда говорил, что переписка не будет предоставляться никаким властям никаких стран", - сказал Чиков агентству во вторник.

"Никаких ключей, никакой переписки передаваться не будет - даже индивидуально", - подчеркнул руководитель "Агоры".

 

[Скржитек]

30.08.2018 19:04 В Firefox решено по умолчанию блокировать отслеживание перемещений между сайтами

Компания Mozilla объявила о кардинальном изменении политики в отношении отслеживания перемещений пользователей между сайтами. Представители Mozilla признают, что недооценивали вред от неконтролируемого сбора данных о пользователях. Некоторые негативные последствия неконтролируемого отслеживания сразу заметны, например, таргетированная реклама и снижение производительности из-за загрузки лишнего кода, но после инцидентов, подобных утечке в результате деятельности Cambridge Analytica, становится ясно, что видимое проявление отслеживания пользователей лишь вершина айсберга.

В одном из ближайших выпусков Firefox функции блокирования кода для отслеживания поведения пользователя и перемещений между сайтами будет активирована по умолчанию. Раньше пользователю предоставлялась опциональная возможность активировать в режиме приватного просмотра блокировку внешних JavaScript-скриптов, изображений и iframe-страниц, используемых для отслеживания пользователей вопреки установке заголовка Do Not Track (блокировка по чёрному списку disconnect.me). В одном из следующих выпусков Firefox привязка к режиму приватного просмотра будет убрана, а блокирование подобных элементов будет включено по умолчанию для любых сайтов.

Интерфейс управления блокировкой будет существенно расширен и позволит выключать блокировку для отдельных сайтов, контролировать информацию, к которой могут получить доступ сайты, выбирать тип блокирования содержимого, просматривать список применяемых блокировок и управлять подключенными списками блокировки.

Положительным эффектом от изменения также станет ощутимое ускорение загрузки страниц, так как счётчики и код для отслеживания не будут отнимать ресурсы и конкурировать с загрузкой основного содержимого. Проведённое в 2015 году исследование показало, что включение блокировки отслеживания приводит к сокращению времени загрузки страниц в среднем на 44% и уменьшению размера загружаемых данных на 39%. Новое исследование, проведённое в этом году разработчиками блокировщика рекламы Ghostery, показало, что в среднем при открытии сайта около 55.4% времени тратятся на загрузку внешнего кода для отслеживания пользователей.

План противостояния Mozilla отслеживанию пользователей выглядит следующим образом: В Firefox 63 запланировано блокирование по умолчанию медленно загружаемого стороннего кода, который замедляет открытие страниц. В Firefox 65 для любого кода отслеживания, загружаемого со сторонних сайтов (cross-site tracking), будет выполняться очистка установленных Cookie и блокироваться доступ к локальным хранилищам. Указанные возможности уже доступны для тестирования в экспериментальной ветке Firefox Nightly для участников программы SHIELD Studies (about:studies).

В дальнейшем планируется блокировать по умолчанию сбор информации, которая может применяться для идентификации пользователя (fingerprint), а также блокировать работу скриптов для майнинга криптовалют. Кроме того, рассматривается возможность встраивания в браузер блокировщика назойливой рекламы (перекрывающие контент всплывающие окна, автовоспроизводимая со звуком видеореклама, реклама со счётчиком секунд до закрытия, очень большие закреплённые блоки) и интеграции поддержки работы через анонимную сеть Tor

 

[umarex]

Есть даже против этого метода хитрости. К примеру, с зашифрованными дисками мутят, когда один пароль позволяет получить доступ к одному содержимому диска, а другой - к другому. В итоге если сильно просят, то можно дать второй пароль, а после вскрытия на этом диске вполне могут обнаружить некий компромат на тебя, ну то есть понятно будет почему говорить не хотел. Хотя все самое ценное будет доступно только по первому паролю. Причем нет никаких способов узнать, обычный это шифрованный диск с одним паролем или есть другой пароль, а может их вообще 10.

Да, есть такое. Специальным образом подготовленный диск. Сначала на весь обьем забивается порно, но не фильмом, так как там большой обьем на 1 файл, а тысячи фотографий.
Потом, этот весь обьем, при другом пароле, считается свободным, и по мере записывания данных, прон потихоньку стирается.
И в режиме "прон" точно также, все пространство свободное, то есть если туда что то записать, данные с секретного режима будут уничтожены.
В 90-х и начале 2000-х. когда еще винды были глючными, при наборе пароля с специальной ошибкой, система выдавала синий экран, и потихоньку гандонила данные.

 

[Скржитек]

«ВКонтакте» рассказала, какую информацию о пользователях передает силовикам


Номер мобильного телефона, IP-адреса, электронная почта... и это далеко не полный список

Во «ВКонтакте» появился подраздел, в котором опубликованы все подробности о взаимодействии этой социальной сети с государством. Или, точнее, с силовыми структурами.

«ВКонтакте» утверждает, что сообщения пользователей без санкции суда никому не выдает, поскольку право на тайну переписки гарантируется 23 статьей Конституции. Однако силовики могут получить довольно много сведений о пользователях и без решений судебных инстанций.
У «ВКонтакте», в частности, могут затребовать (и получить): адрес личной страницы пользователя, время и IP-адрес регистрации профиля, номер мобильного телефона, адрес электронной почты, время и IP-адрес последнего изменения пароля, историю смены имени пользователя и прикрепленного номера мобильного телефона, время и IP-адрес размещения указанного в запросе контента, историю блокировок страницы и обращений в поддержку, историю и перечень IP-адресов для входа на страницу.

При этом пользователь об интересе силовых структур к своей персоне не узнает. Во «ВКонтакте» отмечают, что закон запрещает информировать об этом, поскольку сам факт получения запроса относится к конфиденциальным данным. И не только в России, но и в большинстве стран мира.

Добавим, что требовать предоставления данных пользователя у интернет-компаний по закону могут Роскомнадзор, Федеральная антимонопольная служба (ФАС), суды и правоохранительные органы (например, органов МВД, ФСБ, Следственный комитет РФ, ФТС, Прокуратура и др.).

У «ВКонтакте», в частности, могут затребовать (и получить):

адрес личной страницы пользователя,
время и IP-адрес регистрации профиля,
номер мобильного телефона,
адрес электронной почты,
время и IP-адрес последнего изменения пароля,
историю смены имени пользователя и прикрепленного номера мобильного телефона,
время и IP-адрес размещения указанного в запросе контента,
историю блокировок страницы и обращений в поддержку,
историю и перечень IP-адресов для входа на страницу.

 

[Arigato]

«ВКонтакте» утверждает, что сообщения пользователей без санкции суда никому не выдает, поскольку право на тайну переписки гарантируется 23 статьей Конституции.

Я считаю, что силовики имеют прямой доступ к БД ВК. То есть без всяких запросов и санкций могут получить любую информацию, в том числе и закрытую в профиле. Вроде же было какое-то дело за закрытую картинку. Использовать ВК можно лишь крайне осторожно, забыв о политике вообще. А лучше удалить свою страницу. Аналогично можно сказать и про продукцию Касперского, устанавливая его антивирусы вы добровольно ставите на свой комп шпиона.

 

[Скржитек]

Наши с вами персональные данные ничего не стоят

Проведенное мною расследование покажет, что в России и на всем пространстве бывшего СССР написанные на бумаге законы этой области тщетны. Итоги ужасны: доступ к персональным данным физических и юридических лиц, банковской тайне, коммерческой тайне, имеют не только компании и государственные ведомства, но и любые мошенники. Все покупается и продается за цену уровня от пары чашек кофе до пары средних смартфонов.

 

[Гастербайтер]

Наши с вами персональные данные ничего не стоят

Заголовок тупой. Надо было "Данные не охраняются как положено".
А стоят они вполне реальных баксов или крипты. Правда немного. На госуслугах есть кнопка, где можно запросить кто имеет доступ к персональным данным. Когда к вам придет список (раз в год услуга бесплатна), то удивитесь кого там только нет, от поликлиники, ЖЭКа до Центробанка и МВД. Потом можно отказать в доступе разным подозрительным организациям. А данные не охраняются потому что зарплаты у программеров в госструктурах копечные, квалифицированные волки за еду работать не пойдут.

 

[Satir]

[youtube]bj2ADMKI8vo[/youtube]

 

[Гастербайтер]

Сатир, имхо лишний геморрой. Для начала надо поставить задачу для чего тебе диск. Если хранить фото и видео, то SD карт мало, если запустить операционку и с доками работать, то достаточно штатного SD-порта в ноуте или прикупить приблуду для USB.

 

[Arigato]

Ерунда получилась.

Сама плана стоит 1100 руб. Быстрая SD карта на 32 Гб со скоростью где-то близкой к 100 Мб/с (а не как у автора видео) стоит в районе 1500 руб, то есть за пару 3000 руб. Итого диск на 64 Гб со скоростью не выше 100 Мб/с обошелся в 4100 руб.

При этом за 3500 руб можно взять офигенный SSD Samsung 850 на 120 Гб и скоростью до 500 Мб/с.

 

[Городской партизан]

Это да, к тому-же с SD-картами свои заморочки, контакты засираются и начинают сильно греться, глючить. Эти карты не для постоянного обращения, только для кратковременной работы.

 

[Гастербайтер]

За такие деньги быстровыходящий из строя SSD, но чуть дороже уже норм, так что общая мысль верна)

 

[Скржитек]

Новая уязвимость в процессорах Intel: чем грозит и как защититься?
Не успела индустрия отойти от прошлогодних Meltdown и Spectre, как перед пользователями встала новая опасность — ZombieLoad. В зоне риска оказались владельцы компьютеров с процессорами Intel. С помощью этой уязвимости злоумышленники могут удалённо красть чужие данные. Рассказываем, как защитить себя от потенциальной опасности.
В компании Intel подтвердили существование уязвимости ZombieLoad и рассказали, что она состоит из четырёх ошибок в микрокоде процессоров. Взлому подвержены все персональные компьютеры и облачные сервера, построены на базе чипов Intel, выпущенных начиная с 2011 года. На устройства с процессорами AMD эта проблема не распространяется.

Суть ZombieLoad заключается в осуществлении атаки на процессор путём подачи большого количества информации, которую тот не способен обработать. Для предотвращения сбоя чип обращается к микрокоду, выполняя перезагрузку. Одна из ошибок позволяет в этот момент получить доступ ко всем данным, которые обрабатывались ядрами процессора. При нормальной же работе у приложений есть доступ только к их собственным данным.

С помощью ZombieLoad злоумышленники могут узнать, какие сайты просматривает пользователь в режиме реального времени, украсть его пароли и токены доступа от платёжных систем и завладеть другой ценной информацией. Однако для этого человеку нужно загрузить на свой компьютер заражённое ПО и запустить его.
Apple, Google, Microsoft, Amazon и другие крупные корпорации уже начали распространение обновлений, защищающих от ZombieLoad. Intel также выпустила соответствующие патчи для всех подверженных уязвимости процессоров. В компании отмечают, что внесённые в микрокод исправления будут очищать буфер процессора при перегрузке, предотвращая тем самым возможность доступа вредоносного ПО к данным других приложений.

Для обеспечения безопасности пользователям macOS следует обновиться до версии 10.14.5, содержащей все нужные исправления. Microsoft также выпустила соответствующий патч для пользователей Windows через Windows Update. Если на вашем компьютере отключена автоматическая установка обновлений, следует включить эту опцию или скачать новую версию микрокода для процессоров Intel со специального сайта Microsoft.

 

[Гастербайтер]

В любом иностранном процессоре есть бэкдор, он не направлен на хищение банковских данных граждан, слежку за оппозицией или прослушку переговоров мидовцев. Он должен сработать только один раз, гарантированно и железобетонно по гораздо более вескому поводу. Именно поэтому в РФ создали свои Эвересты.

 

[Desmaster]

Это да, к тому-же с SD-картами свои заморочки, контакты засираются и начинают сильно греться, глючить

Сейчас фальшака полно. По сути большинство карт и флешек вообще не соответствуют заявленной емкости, скорости и т.п. Им просто контроллер перешивают и они выглядят в компе как брендовая карта

 

[Скржитек]

Настройки конфиденциальности Google Pay были спрятаны за специальным URL
Исследователи обнаружили, что Google прячет три важные настройки конфиденциальности Google Pay за специальным URL. Эти настройки позволяют пользователям ограничить распространение данных о своей кредитоспособности, персональной информации, а также информации об аккаунте Google Pay. Напомним, что Google Pay представляет собой сервис американской корпорации, позволяющий приобретать товары онлайн, используя сохраненную платежную информацию. Как у всех похожих онлайн-сервисов, у Google Pay есть своя страница настроек, на которой пользователи могут сконфигурировать различные опции, относящиеся к работе сервиса. На саму станицу настроек можно попасть через навигационное боковое меню или с помощью специальной ссылки — https://pay.google.com/payments/u/0/home#settings. Там пользователь может указать свой адрес и другую информацию. Однако исследователи обратили внимание, что на странице настроек нет опций, отвечающих за конфиденциальность.

С другой стороны, если зайти на страницу настроек Google Pay, используя другой URL, — https://pay.google.com/payments/u/0/home?page=privacySettings#privacySet..., появляются три дополнительные настройки конфиденциальности.

Стоит отметить, что все три опции активированы по умолчанию, что на деле означает наименьший уровень конфиденциальности для пользователя. Google уже отреагировала на отчет экспертов, заявив, что это недоразумение исправлено — теперь все пользователи могут получить доступ к настройкам конфиденциальности с соответствующей странице.