На войне как на войне

[amalgin]

По поводу очередного взлома Навального.

Пишут: но он же поменял пароли.

Это нонсенс - использовать для смены паролей тот компьютер, который перед этим побывал в центре К (а следственный комитет не мог не послать компьютер Навального туда, для этого и забирали). Пароли имеет смысл менять на полностью девственном новом компьютере и обязательно подключившись через другого провайдера. Аналогично следует выкинуть все телефоны, айпады и прочую технику, никакой другой роли, кроме роли ретранслятора, передающего гэбухе всё подряд, у этих устройств теперь нет. Это все равно что добровольно закрепить у себя на груди их микрофон с передатчиком.

СОРМ еще никто не отменял.

Давным-давно, в феврале 2007 года, я у себя в ЖЖ отметил странный феномен:

Странный глюк у меня произошел сегодня в ящике на мейл.ру. У меня там включена опция "Очистить корзину при выходе". Соответственно при входе каждый раз я вижу, что корзина пуста: "Корзина - 0".
Обычно я сбрасываю в корзину ненужные письма, спам и все комменты, которые приходят из ЖЖ. И вдруг, зайдя сегодня в почту, вижу, что в корзине - более полутора тысяч писем. Все то, что я удалял в течение всего этого времени! Выходит, после удаления письма все же где-то хранятся. http://avmalgin.livejournal.com/661926.html

Через полгода именно эту почту на мейл.ру у меня "взломали" и все эти тысячи (удаленных даже из корзины) писем благополучно были вывешены. Другое дело, что компромата там было найдено недостаточно, и спустя полтора месяца после вывешивания почты им пришлось брать цитаты из фейкового аккаунта в ЖЖ, приписывать его мне и сейчас многие уверены, что цитаты из этого сомнительного аккаунта в ЖЖ - это и есть подлинные цитаты из моей почты. Но это другая история, которая не имеет отношения ко взломам вообще.

Людям уровня Навального следует иметь почту на собственном домене. Например, это будет navalny@navalny.org. На этом же домене следует открыть корневую почту для каждого из сервисов, например: twitter@navalny.org, fb@navalny.org и так далее. Затем следует открыть новые аккаунты для каждого из сервисов, например в ЖЖ a-navalny.livejournal.com или что-то в этом роде. После чего следует связать два аккаунта между собой, чтобы не потерять читателей. ЖЖ позволяет это сделать,причем в нескольких вариантах. Я, например, после взлома amalgin.livejournal.com завел себе с чистого листа avmalgin.livejournal.com. При этом ни одного подписчика не потерял. Вы можете зайти и по первому, и по второму адресу, и все равно попадете в одно место. Тем не менее есть смысл оповестить читателей, чтобы франдили новый аккаунт. Теоретически взломщик может сломать первый, однажды ломавшийся авккаунт, ну и черт с ним, читатели ЖЖ этого даже не заметят. Как там дело обстоит с твиттером, не знаю, не пользуюсь, но думаю, что примерно так же.

Бесплатных почт не должно быть никаких, И, разумеется, вообще ничего не должно быть в зоне RU.

Короче, на войне как на войне.

Думаю, специалисты добавят сюда еще несколько дельных советов.

Comments

[andorro.livejournal.com]

Буквально только что вспоминал (http://kotkin-egor.livejournal.com/649419.html) в связи с этой историей пост Носика декабрьский - почему его ЖЖ до сих пор не взломан. Думаю, помните, что он писал - скорее всего пароли великому хакеру банально чекисты сливают.

[avmalgin.livejournal.com]

Это началось примерно в конце 2008 года, до этого он пытался работать подбирая секретные вопросы к почтам и пользуясь тупорылостью саппорта на публичных почтовых сервисах. Потом спутался с Рыковым, с Юденич, с нашистами - и понеслось. Достаточно посмотреть список взломанных за этот период - одни оппозиционеры, в широком спектре от "Яблока" до ДПНИ. Ни одного нашистского или пропутинского блога.

[klark973.livejournal.com]

Zoho Mail пока недоступна нашим спецслужбам, может ещё несколько. На гугл я бы не стал уповать, они всё же ведут бизнес в России.

[avmalgin.livejournal.com]

Если это бесплатная почта, то не годится.

[vesse-v-belom.livejournal.com]

по-моему, Навальному технику так и не вернули, он менял пароли с других устройств

Разве оттуда что-то возвращают?

[byker80.livejournal.com]

Откуда инфа о ВОЗВРАТЕ техники кому либо?
Это ведь не в привычках этих грабителей.
Если только в ОСОБЫХ целях.

[maroussia.livejournal.com]

Или наоборот - не играть в прятки, и исходить из-того, что твою почту могут читать, где бы она ни была...
Честно говоря, я стала с бОльшим уважением относиться к Немцову, с тех пор как опубликовали распечатки его телефонных разговоров :)

Как насчет Скайпа, кстати?

Как насчет Скайпа, кстати?

[komskon.livejournal.com]

Скайп куплен Гуглом вроде.
Поэтому программисты обязаны передавать шифры Гуглу.

[komskon.livejournal.com]

/Например, это будет navalny@navalny.org. На этом же домене следует открыть корневую почту для каждого из сервисов, например: twitter@navalny.org/

Этого недостаточно.
Надо,чтобы хостинг был за рубежом.

[Андрей Алексеев (from livejournal.com)]

Надо свой физический сервер и хостить его где-нибудь в Сомали.

[aliev-bros.livejournal.com]

Тогда подломят сервер, на котором эта почта крутится. Идеального варианта защиты не существует.

[dil.livejournal.com]

Не любой сервер можно подломить.

[dil.livejournal.com]

Собственный домен тут особо ни при чём, Гугл и Яндекс, например, позволяют использовать и клиентские домены, а технология хранения почты и доступ к ней остаются такими же, как и для их публичных доменов.

Вопрос в том, где располагается и кем управляется сервер, и кто к нему имеет доступ. С технической точки зрения арендовать машину где-нибудь в Штатах, в Европе или ещё в каком Эквадоре и настроить там почтовый сервер - не проблема, надо только найти грамотного системного администратора. И диски можно зашифровать на случай физического изъятия, хотя изъять его из-за границы будет трудновато. Конечно, там не будет такого красивого веб-интерфейса, как у публичных почтовых служб, но это ж не главное.

Девственность компьютера тоже не сильно важна, аппаратные закладки - всё же вещь достаточно редкая и довольно легко обнаруживаемая. А вот полная переустановка операционной системы и _всех_ используемых программ, заново полученных из доверенных источников - очень помогает против программных закладок.

[ulrith.livejournal.com]

Не надо гнать волну на Gmail. Там всё на уровне и в порядке.
И можно задать номер мобильника чтобы не угнали аккаунт.

А если очень захотят то сломают что угодно.

[shadow-ru.livejournal.com]

Не надо гнать волну на Gmail. Там всё на уровне и в порядке.

Gmail влёгкую делится доступом к ящику со спецслужбами разных стран - это давно известно.

[shadow-ru.livejournal.com]

А вообще, Навальному надо свою "компьютерную спецслужбу" завести: человека 3-5-7 админов и специалистов по компьютерной безопасности.

[v-pomosh-vesne.livejournal.com]

luhshe odnogo. togda budesh' znat' v lico togo, kto slivaet

Не в домене дело

[foreveo.livejournal.com]

Образно говоря, все это похоже на многослойный пирог:

Есть слой, на котором живут "доменные имена", которые как правило ни на что не влияют, кроме того что могут показывать на нужный IP-адрес.
Соответственно, доменное имя можно просто отключить или переназначить на другой адрес - вся почта на navalny.ru пойдет прямиком на сервер ФСБ.

Есть слой, на котором работают почтовые программы. Веб-интерфейсы на сервере, либо какой-нибудь Аутлук с Батом на компьютере. В первом случае можно что-нибудь подменить на сервере, а можно посадить программу-жучка в компьютер.

Есть слой, на котором работают почтовые демоны. Это на серверах, и доступ туда позволяет делать с почтой все что угодно.

Есть слой, на котором идет передача информации по сети. Тут можно перехватывать данные, а можно включать шифрование.

Есть слой, на котором данные хранятся в файловой системе. Их можно удалить, а можно просто переместить в другой каталог или скопировать.

Есть слой, на котором данные записаны на диски. Если файл удалили - не факт, что данные стерли физически. Диск можно прочитать.

Еще можно вспомнить про микросхемы в клавиатуре, про системных администраторов, не желающих потерять работу, про подбор пароля роботами, и так далее.
Слоев много, успешность взлома зависит от желания и ресурсов.

Это все к тому, что "я удалил письма на Мейле, а они остались" - это ни разу не удивительно.

Re: Не в домене дело

[dil.livejournal.com]

Кстати, да. Защищаться от утечек надо на всех уровнях, а для этого нужно привлекать специалистов, хотя бы для консультаций. Неспециалисту будет трудно вовремя осознать все возможные варианты и от них защититься.

[stb-mr.livejournal.com]

1. В России надежной защиты от взлома нет по определению.
Уже потому, что зная, к какому провайдеру ты подключен, ФСБ может "попросить" его передавать им весь твой траффик. Траффик можно шифровать, но при желании все равно расшифруют. Это только вопрос желания и упорства.
2. Если вы проживаете за границей, ни в коем случае не следует использовать российские сервисы. По очевидным причинам. Mail.RU - это вообще помойка, они даже имя почты палят.
3. Лучшие сервисы, естественно, платные. Даже GMAIL хранит все письма бесконечно. Правда вряд ли компетентные органы смогут до них добраться. Но тем не менее.

[ivanov-kogan.livejournal.com]

Самые наблюдаемые спецслужбами места (в реале и в Инете) - как раз те, про которые "клиентура" полагает, что "там" безопасно и далеко от Большого Брата. Так было еще при Преображенском приказе, тем более так сейчас.

[Борис Мельников (from livejournal.com)]

Осмелюсь возразить, что с точки зрения механизма функционирования СОРМ манипуляции с заменой компьютера, сотового и провайдера - абсолютно бесполезная трата времени. Этот механизм для того и был создан, чтобы исключить из технологической цепочки получения информации любые действия объекта слежки, которые этой самой слежке могут воспрепятствовать.

В интернете противодействие возможно, но для него нужен комплекс мер, включающий хостинг (для почты) не в зоне Ru, регистрация доменного имени не у российского регистратора, обязательное шифрование отправляемой и получаемой информации с использованием несимметричного шифрования и криптостойких алгоритмов, не имеющих сертификата ФСБ России. И т.д и т.п.

[stb-mr.livejournal.com]

Здесь вопрос только в том, существуют ли в принципе на рынке надежные алгоритмы шифрования. Как известно, американцы тоже не продают алгоритмы, которые не может взломать ЦРУ. А если может ЦРУ, то не исключено, что может взломать ФСБ.
А так схема защиты была бы предельно проста. Ящик заводится где угодно, но каждое письмо шифруется с паролем, который известен только получателю.
Взломать и получить письма можно, а вот расшифровать - нет.
Впрочем, при изъятии компьютера расшифровка все равно станет возможна.

[mamorgant.livejournal.com]

Пароли вообще не имеет смысла менять под СОРМом на сайтах, на которых даже логин идёт не через https, а через http.

Но если очень уж приспичило что-то поменять и делать это более секьюрно, то делать это следует в каком-нибудь макдаке. А не из дома, откуда весь трафик, как отмеченный в СОРМе галочкой, идёт сначала к местному к-шному участковому, и только потом уже в интернет.

При этом конечно же не следует держать конфеденциальную почту в домене .ру, который после взрыва путлером домов, полностью контролируется сотрудниками КГБ под угрозой потери лицензии сервисом.

Телефоны и без досмотра в гебне им всё вещают. Погуглите что делают осмокомовской платкой — и это только функционал, который доступен любителям на относительно патченом протоколе в штатах и ЕС. Спецслужбам доступны все данные со всех микрофонов и камер всех мобильных телефонов. Причём судя по тому, что протокол у наших «естественных» сотовых монополистов сохранился времён царя гороха, а все желающие нового протокола или уже подохли или активно получают порцию рейдерства от единорастов, в КГБ купили ещё при ельцине оборудование для прослушивания и до сих пор не решились купить новое. Из-за чего мы имеем вместо 3g gprs с метапакетом. Если что-то изменилось, в чём я лично сильно сомневаюсь, то только за последние 12 месяцев, хотя должно было быть ещё с 2007 года.

Ещё зашифорвать все жёсткие диски тоже не было бы лишним.

Впрочем не следует забывать, что всё это никак не спасает от банальной тепловизионной камеры, смотрящей вам в окно, когда вы набираете пароль.

p.s. А ещё по тем же причинам не следует хранить ничьи логи. Например не следует сохранять IP адреса. Даже в жеже. Даже для анонимных постеров. Не облегчайте задачу своим естественным врагам.

[solomon-huykin.livejournal.com]

RAR-архив еще никто не взломал.

[delox.livejournal.com]

Отдельный сервер взломать будет куда проще, чем Gmail.

Все-таки, пароль от Gmail КРАДУТ, а не взламывают обычно. Я еще не слышал ни одного случая, чтобы кто-то взломал gmail. Подбирают пароль, может быть, да. Но это явно не случай Навального.

И в первый раз у Навального никто не крал пароль - у него почту всю слили с его собственного компьютера, взломав его компьютер, а не почту.

[ivanov-kogan.livejournal.com]

Комменты к данному посту быстро выстраиваются в пособие "безопасность информации для чайников и не только". Ценный пост! Посмотрим, явятся ли сюда комментаторы в штатском для внесения дезы и хаоса.

Абсолютно верно!!!

[Сергей Алексеев (from livejournal.com)]

8 декабря 2010 года в 14 часов у меня дома закончился обыск - изъяли ВСЮ технику ВСЕ носители информации и ВСЕ сим-карточки. Через 20 минут после окончания обыска я с "дружественного" компьютера поменял ВСЕ пароли в "облаках" (шенгенская зона), где у меня лежали нужные файлы.
А уже через неделю мне позвонил хороший человек - владелец компании-провайдера (где у меня всё лежит) и сказал - "Что там у вас в России происходит - по твоим старым аккаунтам пытаются "шарить" с лубянских айпишников - аж треск стоит... Система, конечно, выдержит, но работой ты меня загрузил! С тебя - коньяк..."

"Живи в опасности" - Ницше.

Re: Абсолютно верно!!!

[derik-536.livejournal.com]

"Новый сервис позволяет определить IP-адрес пользователя по его имени в Skype
В интернете появился сервис, позволяющий вычислить IP-адрес пользователя Skype по имени его учетной записи. Поиск производится совершенно незаметно для пользователя.

Сервис выдает два IP-адреса: внешний и локальный. Адреса выводятся еще несколько часов после того, как пользователь вышел из Skype, cообщают его создатели на сайте Хабрахабр." (https://www.pgpru.com/novosti/2012/novyjjservispozvoljaetopredelitjipadrespoljzovateljapoegoimenivskype)

[lesnoy-volk.livejournal.com]

Да уже сколько раз ломали его почту - ну ничего там не нашли, ничего. Ни кровавых миллионов Госдепа, ни планов развязывания гражданской войны, ни секретных западных агентов - ни-че-го. Ему начхать, похоже. Хотят лишний раз прочитать в его почте что ***** - ***, да пусть читают, хрен с ними.

Вопрос в аутентификации и авторстве...

[Дмитрий Кирушев (from livejournal.com)]

Авторство текстов и высказываний становится непонятным. Вот в чем главная бяка. В данном случае. Ну и в доступе к счетам/сервисам.

Образно: в один прекрасный день можно и не доказать, кто именно царя на.уй послал и тонну тротила проплатил со счета...

[gorthauer87.livejournal.com]

Не всё так просто, в некоторых случаях даже смена всех паролей не поможет, да и без смены пароля наши почтовые ящики ломаются на ура а через них уже всё остальное.
А вообще советую обзаводиться vpn'ом, ходить везде только через https по возможности и приобрести наконец VPS где-нибудь за рубежом на котором хранить почту, перестать пользоваться скайпом и перейти на xmpp или sip, в xmpp шифрование хорошее и сервера там как и у мыла децентрализованные и на этом же серваке можно поднять всё. А потом посмотрим как они будут ломать rsa длиной где-то 4096 бит

[gagarinov.livejournal.com]

Ждем открытого китайского устройства для ввода и шифрования информации, подключаемого между клавой и компом. Набрал, нажал, зашифоровано. Далее как с клавы в компьютер и в сеть.
а пока:
Надо составить простую инструкцию как защитить личную, персональную, конфиденциальную информацию. Некоторые простые советы:
1. Сделайте компьютер с полностью зашифрованным диском. Виндос или лучше юникс.www(dot)truecrypt(dot)org
2. Используйте наложенные сети: TOR, i2p и т.п. www(dot)torproject(dot)org
3. Не включайте на Гугле восстановление пароля по сотовому, или по второй почте.
4. Читайте и отправляйте почту с Гугла по SSL или почтовой программой с шифрованным соединением.
5. Есть программа загрузки системы с флэшки и работа через TOR www(dot)torproject(dot)org включает сразу все для безопасной работы.
вирусы,трояны виндуса не страшны.

6. Комп, клавиатуру,монитор не принимайте в дар, а приобретайте в случайном месте. Не допускайте возможности закладок и подмен хардвара.

[sm-sm.livejournal.com]

Мавроди с самого начал учил, как минимум, не пользоваться российскими сервисами, они все под колпаком

[pe3yc.livejournal.com]

ну, если сам Мавроди, тогда оно конешно
сильно это ему помогло, как я погляжу..

[cleam.livejournal.com]

Чтобы иметь почту на собственном домене, нужно нанять сисадмина, который будет во-время обновлять ядро операционной системы, почтовый софт. А так же регулярно настраивать антиспам. И, что более важно, админ должен быть надежным, чтобы его не купил тот же Хелл или не запугали упыри из СК.

Навальному всего лишь надо было включить в гмейле двух-факторную авторизацию (это когда кроме пароля надо вводить одноразовый код с смски). На компьютере надо включать шифрование домашней директории (в маке такая фича называется FileVault).

Айпадами/айфонами пользоваться можно. Никакой СОРМ ssl-траффик не может расшифровать. (Главное, везде в настройках убедится что ssl-шифрование включено).

[gorthauer87.livejournal.com]

Добавлю, чтобы расшифровать ssl трафик в случае, если не воспользоваться частью дырок, которые вроде бы закрыли, то нужен минимум суперкомпьютер и куча времени, ради Навального могут и завести эту махину, но за всеми не угонятся!

[ocabee.livejournal.com]

До Ваших советом мне казалось, что Навальный отличается от Медведева. :)

[za-kn.livejournal.com]

Помните такой старинный анекдот: "Хаим, нас учат заниматься коммерцией!". Точно так же не стоит учить Навального заниматься политикой. Сегодняшний варварский взлом его почты - это спецоперация прикрытия, отвлекающая внимание публики от вчерашней новости. Надеюсь, почтеннейшая публика вчерашнюю новость еще не забыла?

[avmalgin.livejournal.com]

А чем плоха вчерашняя новость?

Советы общественным деятелям

[kovalev-org.livejournal.com]

Взломать, конечно, можно что угодно. Но Мейл.ру даже и не взламывают, как известно. Там так дают. А Гугль, наверное, хоть предписание потребует.
1. Сервер в СЩА стоит сущие копейки - http://www.hostgator.com/
И сисопов особых не нужно - с товарищами операманами слепили блог под WorldPress. Скрипач, учитель пения и искусствовед разобрались во всем за неделю.
Все очень просто - все записи в этом блоге легко автоматически транслируется в ЖЖ, ФБ и Твиттер.
Кажется, есть платформы, обещающие особую безопасность, но нас это не интересовало.
Почту также не поднимали. Но, кажется, это не так уж и сложно. Кажется, самый удачный в этом случае - движок онлайн-магазина. Там выше уровень секретности, а кнопки "положить в корзину" можно как-то убрать.
Кстати, открыть там микроблог для сиюминутной надобности - прогулки за хлебом, например, вообще плевое дело.
2. Еще обнаружили по ходу дела, что существуют суперсекретные хостинги для торговцев всяческой порнухой. Туда даже ФБР не доберется. Стоит существенно дороже - но вполне доступно. В связи с наступающей на мир великой Порнухой, такой вариант уже можно рассматривать как этически приемлемый.

3. В связи с усилившимся вниманием правоохранительных органов к компьютерной технике я бы настоятельно рекомендовал общественным деятелям копировать всю информацию с рабочих компьютеров на "облачных" бэкап-сервисах. Лучше всего - на http://aws.amazon.com/s3/. Кажется, Амазон взломать довольно трудно, а физический носитель в таком случае теряет свое значение. Кажется, там и давление на провайдера не поможет - информация передается какими-то хитроумно зашифрованными пакетами. При этом все заточено на самого ботанического ботаника, никаких суперсцециалистов не нужно.

Re: Советы общественным деятелям

[dil.livejournal.com]

Взломать, конечно, можно что угодно, вопрос в том, сколько это потребует времени и ресурсов. Людских, денежных, вычислительных...

Сисопов не нужно. А вот грамотный системный администратор нужен. Если вы хотите, чтобы выставленный в интернет сервер был достаточно надёжно защищён от атак. Неспециалистам трудно уследить за всеми проблемами с безопасностью. В том же wordperss'е периодически обнаруживаются (и устраняются) уязвимости, но на вашем конкретном сайте сам он обновляться не будет, это придётся время от времени делать вручную. То же самое и со всеми остальными сервисами, включая почту.

[yosha-orlow.livejournal.com]

Так кроме почты есть еще и сервисы, вроде того, куда мы сейчас пишем. И твиттер и фейсбук. Что мы знаем о черных ходах для спецслужб?

А про серверы, ну да, можно поставить свой сервер. Но какую бы мы толстую дверь не ставили - это не значит что ее невозможно открыть.

Добро пожаловать в по-новому открытый мир!

[top-review.livejournal.com]

Ваш пост попадёт в ближайший обзор рейтинга ЖЖ от блога Top Review.

[dr-blastarr.livejournal.com]

Навальному нужно обратиться к специалистам за консультацией. Лучше в известную иностранную компанию.

Этот детский сад с регулярными взломами паролей уже достал. Любой политик (да и вообще любой руководитель) обязан уметь решать такие простые задачи.

[foreveo.livejournal.com]

У меня на даче несколько раз сарай вскрывали. И что теперь. ставить бронированные двери?