Лекция#3 Шифрование-2 02.12.

2018 @moneyside
Лектор crowe
(19:22:36) crowe: Привет всем! Сегодня продолжаем.
(19:24:13) crowe: Давайте теперь более детально поговорим
из чего состоит шифрование в целом краткий вводный курс
мы прошли давайте углубимся что же такое сам хеш и т.д.
(19:24:22) crowe: Хеширование
(19:24:35) crowe: Хеширование преобразование массива
входных данных произвольной длины в ( выходную )
битовую строку фиксированной длины, выполняемое
определенным алгоритмом. Функция, реализующая
алгоритм и выполняющая преобразование, называется
«хеш-функцией» или «функцией свёртки». Исходные
данные называются входным массивом, «ключом» или
«сообщением». Результат преобразования ( выходные
данные ) называется «хешем», «хеш-кодом», «хеш-суммой»,
«сводкой сообщения».
(19:24:24) crowe установил(а) тему: Шифрование
(19:24:35) crowe: https://wwh-club.net/proxy.php?image=https
%3A%2F%2Fi.imgur.com
%2F8rkxDhV.png&hash=d7a1903626c3d3d48ad215ff33e99df0
(19:24:42) crowe: Давайте посмотрим на изображение,
видим здесь:
(19:24:48) crowe: 1. Входные данные
(19:24:59) crowe: 2. Алгоритм или функцию хеширования
(19:25:05) crowe: 3. Выходные данные Результирующие
выходные данные, которые всегда имеют фиксированный
размер.
(19:25:13) crowe: Хеш-функция принимает входные данные
любого размера. Это может быть e-mail, файл, слово, в
нашем случае это фраза "Привет, wwh-club", и происходит
конвертация данных при помощи хеш-функции в
следующий вид
(19:25:24) crowe:
732b01dfbfc088bf6e958b0d2d6f1482a3c35c7437b798fdeb6e77
c78d84ccb1
(19:25:30) crowe: Для лучшего усвоения и разбора
материала, давайте отойдем от сухого текста и сделаем
наглядную демонстрацию
(19:25:36) crowe: https://wwh-club.net/proxy.php?image=https
%3A%2F%2Fi.imgur.com
%2F1pMa79c.gif&hash=9a4708baee4fc3229a9c48825b36a166
(19:25:47) crowe: Как мы можем видеть из анимированной
гифки выше, наши входные данные преобразуются с
помощью алгоритма хеширования, а именно SHA-256, в
выходные данные фиксированного размера.
(19:25:54) crowe: Пояснение: Как мы видим, что при
изменение наших входных данных путем добавления " = ) "
наши выходные данные имеют другой вид, так как в
битовом эквиваленте множитель поменялся. Следовательно
и само значение выходных данных изменилось. При
возвращение к исходным входным данным значение опять
имело изначальный вид.
(19:26:00) crowe: Вы можете представить это как пример:
(19:26:10) crowe: 1. "Привет, wwh-club" = 5
(19:26:17) crowe: 2. "Привет, wwh-club = )" = 7
(19:26:24) crowe: 3. "Привет, wwh-club" = 5
(19:26:35) crowe: Сам алгоритм хеширования это второй
произвольный множитель, пусть будет 2, тогда:
(19:26:41) crowe: 1. 2*5=10
(19:26:48) crowe: 2. 2*7=14
(19:26:59) crowe: 3. 2*5=10
(19:27:05) crowe: Так и с хешем, только алгоритм
хеширования имеет более сложные математические
операции, нежели привел я, если вам нужна конкретная
формула преобразования использующаяся в алгоритме,
смотрите в Wikipedia.
(19:27:11) crowe: Важная особенность хеш-функции вы не
можете конвертировать из хеша обратно в изначальные
входные данные. Это односторонняя хеш-функция и для нее
не нужны ключи.
(19:27:21) crowe: Для примера опять смотрим на нашу
гифку, которую я давал ранее
(19:27:27) crowe: Привет, wwh-club → SHA-256 →
732b01dfbfc088bf6e958b0d2d6f1482a3c35c7437b798fdeb6e77
c78d84ccb1
(19:27:34) crowe: Как мы видим, мы использовали только
входные данные, не какие ключи при этом мы не
задействовали, и затем получили результирующие
выходные данные, которые всегда имеют фиксированный
размер в зависимости от вида функции, которую вы
используете.
(19:27:44) crowe: Это обеспечивает целостность и позволяет
обнаружить непреднамеренные модификации. Это не
обеспечивает конфиденциальность, аутентификацию, это не
позволяет определить наличие преднамеренной
модификации.
(19:27:51) crowe: КСТАТИ: Есть много примеров хеш-
функций: MD2, MD4, MD5, HAVAL, SHA, SHA-1, SHA-
256, SHA-384, SHA-512, Tiger и так далее.
(19:27:57) crowe: ЧТО ИСПОЛЬЗОВАТЬ: В наше время,
если вы подбираете криптографическую систему, вам стоит
использовать SHA-256 и выше, я имею ввиду SHA-384 и
SHA-512 и так далее.
(19:28:08) crowe: Чтобы проще разобраться с материалом,
отойдем от сухого текста и смоделируем ситуацию
(19:28:14) crowe: Допустим Вам на обучение дали задание
скачать операционную систему Windows 7 Home Premium
(19:28:21) crowe: Мы знаем, что данная операционная
система поставляется от разработчика Microsoft, далее уже
идем в поиск и совершаем следующий поисковый запрос:
(19:28:31) crowe: site:microsoft.com Windows 7 Home
Premium hash
(19:28:37) crowe: https://wwh-club.net/proxy.php?image=https
%3A%2F%2Fi.imgur.com
%2Fcyzpf32.gif&hash=bb4930fe4831b0ed6165264375913cf2
(19:28:46) crowe: Оператор site: Этот оператор ограничивает
поиск конкретным доменом или сайтом. То есть, если
делаем запрос: site:microsoft.com Windows 7 Home Premium
hash, то результаты будут получены со страниц,
содержащих слова «Windows», «7», «Home», «Premium» и
«hash» именно на сайте «microsoft.com», а не в других
частях Интернета.
(19:28:57) crowe: Эта информация так же является ключевой
для поиска шопов с помощью операторов в поисковых
системах, более подробно изучить информацию о том как
искать с помощью операторов в Google используйте эту
статью - https://habrahabr.ru/sandbox/46956/ .
(19:29:04) crowe: Как мы видим из Гифки выше, я легко
нашел хеш-сумму операционной системы Windows 7 Home
Premium 64bit на официальном сайте Microsoft
(19:29:10) crowe: SHA1 Hash value:
6C9058389C1E2E5122B7C933275F963EDF1C07B9
(19:29:20) crowe: Вообще я бы рекомендовал находить хеш-
суммы и осуществляться поиск начиная от 256 и выше, но
на офф сайте была только данная сумма, так что я возьму то
что есть
(19:29:26) crowe: Далее нам необходимо найти файл,
который соответствует данной хеш-сумме, для этого так же
используем поисковую систему Google и операторы, как
искать с помощью операторов и что это такое ссылка выше.
(19:29:33) crowe: inurl:download
"6C9058389C1E2E5122B7C933275F963EDF1C07B9"
(19:29:44) crowe: https://wwh-club.net/proxy.php?image=https
%3A%2F%2Fi.imgur.com
%2FgTRZkuk.gif&hash=a8f431893e58fcae1c9343d9a6229e3e
(19:29:50) crowe: После того, когда вы скачиваете этот файл,
то при помощи нашей хеш-суммы можно удостовериться,
что этот файл не изменялся, т.е. он обладает целостностью.
(19:29:56) crowe: Есть инструменты, которые вы можете
скачать, чтобы делать это.
https://en.wikipedia.org/wiki/Comparison_of_file_verification_s
oftware
(19:30:07) crowe: Одним из таких инструментов является
Quick Hash ( https://quickhash-gui.org ), и я покажу на
примере с ним, как сверить хеш-суммы и убедиться в
целостности полученной информации.
(19:30:13) crowe: https://wwh-club.net/proxy.php?image=https
%3A%2F%2Fi.imgur.com
%2FWQbvSAW.gif&hash=5036ece80556c5625d9da5e2dc5abd
34
(19:30:19) crowe: Как мы видим, хеш-сумма, скачанного
файла, соответствует хеш-сумме данной нам с
официального сайта Microsoft.
(19:30:29) crowe: Так же я приложу ниже, информацию по
другим хеш-суммам данного файла
(19:30:36) crowe: MD5:
DA319B5826162829C436306BEBEA7F0F
(19:30:42) crowe: SHA-1:
6C9058389C1E2E5122B7C933275F963EDF1C07B9
(19:30:52) crowe: SHA-256:
C10A9DA74A34E3AB57446CDDD7A0F825D526DA78D979
6D442DB5022C33E3CB7F
(19:31:00) crowe: SHA-512:
E0CB678BF9577C70F33EDDC0221BC44ACD5ABD4938567
B92DC31939B814E72D01FAC882870AB0834395F1A77C2C
D5856FD88D2B05FBE1D1D9CCE9713C1D8AB73
(19:31:06) crowe: Вы можете заметить, что с увеличением
этих цифр в алгоритме хеширования, длина хеша
становится все больше, поскольку это длина в битах. SHA-1
- короткий, 256, 512 и MD5, который слаб и не должен
использоваться вообще. Так что это является способом
подтверждения того, что файл, который вы скачали,
сохранил свою целостность.
(19:31:17) crowe: Некоторые из вас наверняка зададутся
вопросом: "Что, если файл, который я собираюсь скачать,
уже скомпрометирован?" Допустим, вот у нас веб-сайт
( https://www.veracrypt.fr ) программного обеспечения
VeraCrypt ( https://ru.wikipedia.org/wiki/VeraCrypt ).
(19:31:23) crowe: И я хочу скачать VeraCrypt, на сайте
имеются хеш-суммы файлов в кодировке SHA-256 и SHA-
512
(19:31:29) crowe: SHA-256:
6cff2cce52eb97321b1696f82e9ccefa7c80328d91c49bf10b49e38
97677896e VeraCrypt Setup 1.21.exe
(19:31:42) crowe: SHA-512:
5c68a5a14fa22ee30eb51bc7d3fd35207f58eefb8da492f338c6dac
54f68133885c47fa2b172d87836142c75d838dac782b9faca406a
2ffb8854cc7d93f8b359 VeraCrypt Setup 1.21.exe
(19:31:49) crowe: Однако есть одно «НО», если вебсайт был
скомпрометирован, то это означает, что злоумышленники
могли подменить данный файл для загрузки и добавить к
нему что-либо, троян или что-то для слежки, и они также
могли подменить и контрольную сумму.
(19:31:55) crowe: Следовательно, получается, что хеш
ничего не значит, то есть он не может обнаружить
преднамеренную модификацию файла. И нам нужно что-то
еще чтобы удостовериться что данное программное
обеспечение действительно исходит от разработчика. Что
сайт VeraCrypt — это официальный сайт VeraCrypt и т.д.
(19:32:06) crowe: И здесь мы подходим к сертификатам,
цифровым подписям и другим средствам которые сейчас
разберем, а пока давайте затронем не маловажную суть
хеширования.
(19:32:12) crowe: Пароли, и все что нужно знать по ним
(19:32:20) crowe: Это использования хешей для хранения
пароля, что это значит?!
(19:32:31) crowe: То есть когда вы вводите пароль на веб-
сайте или в операционной системе, крайне плохой способ
хранить этот пароль в базе данных, поскольку если эта база
данных окажется скомпрометированной, то и ваш пароль
окажется скомпрометирован.
(19:32:39) crowe: Но как я и обещал, давайте разберемся что
такое хороший пароль. И какие пароли стоит и не стоит
использовать, для этого надо углубиться.
(19:32:46) crowe: Обычно пароли перебираются по всяким
словарям паролей, или так называемой базе паролей и т.д.
(19:32:56) crowe: Думаю, по базе паролей это понятно, это
когда есть определенный список паролей, который
подбирается для прохождения авторизации.
(19:33:03) crowe: А по словарю, это когда используется
метод перебора пароля исходя из собранных на вас данных
к примеру, или не имея ее, то есть составление слов к
примеру:
(19:33:09) crowe: МоскваУлица1905годаМаша — то такой
пароль не будет сильным исходя что он будет набран в
другой раскладке, так как его легко можно будет перебрать,
собрав информацию на вас и проанализировав можно
запустить узконаправленный перебор по словарю с
составлением и генерацией нужного вида пароля.
(19:33:20) crowe: МоскваУлица1905годаМаша в английской
раскладке будет VjcrdfEkbwf1095ujlfVfif и как я сказал
ранее он не будет являться безопасным.
(19:33:26) crowe: Что я могу порекомендовать по поводу
паролей:
(19:33:32) crowe: 1. Используйте сильный пароль, я думаю
многие из вас хоть слышали такую фразу, используйте
сильные пароли в виде цифр, заглавных букв, строчных
букв и спец. символов, но не так то просто это все
запомнить, но наверняка вы знаете хотя бы 1-н такой пароль
без смысловой нагрузки
(19:33:43) crowe: Давайте предположим что этот пароль —
3hF9$u?h , но он маленький всего 8 символов, такой пароль
не является сверх безопасным, но плюс такого пароля что
мы можем использовать его при шифрование диска к
примеру, защищенных разделов, не используйте такой
пароль желательно нигде просто запомните, как то и
храните в каком то защищенном месте.
(19:33:49) crowe: Я, например, знаю несколько наборов
символов которые лежат у меня в голове и ни где не
используются так вот.
(19:33:55) crowe: Возьмем ранее наш пароль
МоскваУлица1905годаМаша и слегка его модернизируем,
нашим набором символов — МоскваУлица!90% 3hF9$u?
hгодаМаша, как мы можем заметить я нажал клавишу
“Shift” при вводе 1 и 5 и они заменились у меня на спец
символы.
(19:34:06) crowe: То есть в английской раскладке он будет
выглядеть так VjcrdfEkbwf!09%3hF9$u?hujlfVfif , и такой
пароль легко запоминается так как он имеет смысловую
нагрузку, плюс уникальный секретный ключ ( шифр )
который есть у вас в голове и ни где не используется.
(19:34:12) crowe: Вы так же можете сверить свой пароли,
или из чего он составляется со списком обнародованных
паролей
(19:34:18) crowe: Думаю какие-то дальнейшие комментарии
излишни.
(19:34:28) crowe: 2. Использование пароля хотя бы от 21
символа
(19:34:34) crowe: 3. Хранение всяких заметок, паролей,
прочей конфиденциальной информации в зашифрованном
виде, для этого вам необходимо использовать программы
для полнодискового шифрования такие как VeraCrypt,
TrueCrypt и другие аналоги, сам использую VeraCrypt
(19:34:41) crowe: А для паролей и заметок к паролям
используйте программу KeePass 2
( https://ru.wikipedia.org/wiki/KeePass ) или KeePassX 2
( https://ru.wikipedia.org/wiki/KeePassX )
(19:34:51) crowe: Ниже приведен комментарий
(19:34:57) crowe: Keepass — это первая версия. Умеет
только БД старого формата ( их, вроде, легко расшифровать
).
(19:35:03) crowe: Keepass 2 — вторая версия,
поддерживающая актуальный .kbdx-формат; их нельзя
расшифровать ( вернее, я не видел вариантов; недавно на
хабре была статья по подлому файла БД, но с несколькими
ограничениями ).
(19:35:14) crowe: KeepassX — это переписанный на С
Keepass первой версии; как и прародитель, умеет только
.kbd-файлы, зато кроссплатформенный.
(19:35:20) crowe: Начиная со второй версии KeepassX тоже
умеет в .kdbx
(19:35:26) crowe: https://www.keepassx.org/changelog
(19:35:36) crowe: Этот коментарий взял с хахбры и в
принципе я с ним согласен, но гораздо лучше хранить
пароли в зашифрованном виде и копировать их и вставлять
куда надо, чем в txt и т.д.
(19:35:43) crowe: Сам я пользуюсь KeePass 2, так как мне
больше импонирует данный интерфейс и другие мои
прихоти. Так что рекомендую.
(19:35:48) crowe: Вот эти 3-и фундаментальные вещи по
паролям запомните их...
(19:35:59) crowe: Сейчас поговорим о Цифровых подписях
(19:36:05) crowe: Так давайте вернемся опять к нашему
VeraCrypt как узнать, что сайт действительно официальный
и программное обеспечение исходит от разработчика.
(19:36:11) crowe: Простой и довольно таки хитрый способ
найти официальный сайт — это найти программное
обеспечение в Wikipedia и уже там перейти по ссылке на
официальный сайт программного обеспечения.
(19:36:21) crowe: Однако мы можем так же нажать на
целеный замок и там посмотреть сертификат, что именно он
выдан
(19:36:28) crowe: https://puu.sh/xQAFM/e687c816ce.png
(19:36:34) crowe: Цифровая подпись — это значение хеша.
Это результат работы хеш-функции с фиксированным
размером, который зашифрован закрытым ключом
отправителя с целью создания цифровой подписи или
подписанного сообщения.
(19:36:44) crowe: С технической точки зрения цифровая
подпись — это отметка, подтверждающая лицо, которое
подписало сообщение. Это выдача гарантии на объект,
который был подписан с ее помощью.
(19:36:50) crowe: Для наглядности, что такое цифровая
подпись открываем скриншот
( https://puu.sh/xQAFM/e687c816ce.png ) и смотрим на
Подписывание
(19:36:56) crowe: Подписывание: То, что вы можете видеть
на инфографике выше, но исходя из нашего файла который
мы разбираем
(19:37:07) crowe: Алгоритм хеширования → Значение хеша
( 6cff2cce52eb97321b1696f82e9ccefa7c80328d91c49bf10b49e
3897677896e ) →Закрытый ключ ( см. Асимметричное
шифрование ) = Цифровая подпись
(19:37:13) crowe: Если объект шифрования подписан
цифровой подписью, то обеспечена аутентификация,
потому что объект зашифрован при помощи закрытого
ключа, шифровать которым может только владелец этого
закрытого ключа. Это и есть аутентификация.
(19:37:19) crowe: Она обеспечивает невозможность отказа
от авторства, поскольку, повторюсь, использован закрытый
ключ отправителя. И она обеспечивает целостность,
поскольку мы хешируем.
(19:37:29) crowe: Цифровая подпись может быть
использована, например, в программном обеспечении.
Может использоваться для драйверов внутри вашей
операционной системы. Может использоваться для
сертификатов и подтверждать, что подписанные объекты
исходят именно от того лица, которое указано в
сертификате, и что целостность данных этих объектов была
сохранена, то есть никаких изменений они не претерпели.
(19:37:35) crowe: А как же убедиться в том что файл
действительно исходит от разработчика, в нашем случае
VeraCrypt, то есть в случае обмана и т.д. вы могли со 100%
уверенностью сказать, что я пользовался твоим
программным обеспечением, и он был подписан именно
твоей цифровой подписью.
(19:37:41) crowe: https://puu.sh/xQB20/5166e3d0c8.gif -
обычно сертификат проверяется автоматически и у вас
наверно
(19:37:52) crowe: После того когда посмотрели gif
открываем скриншот ( https://puu.sh/xQB5Y/c840f4670d.png
)
(19:37:58) crowe: Что мы здесь видим. Сертификат выдан:
кому – IDRIX SARL, кем - GlobalSign. Итак, GlobalSign -
это компания, чей закрытый ключ был использован для
цифровой подписи этой программы. GlobalSign сообщает:
"Данное программное обеспечение легитимно и оно не
подвергалось модификации". Здесь написано: "Сертификат
предназначен для удостоверения того, что программное
обеспечение исходит от разработчика программного
обеспечения, программное обеспечение защищено от
модификации после его выпуска". Чтобы узнать,
действующая ли это цифровая подпись, или нет, нам нужно
повернуть изначальный процесс в обратную сторону.
(19:38:04) crowe: То есть открываем опять наш скриншот
( https://puu.sh/xQAFM/e687c816ce.png )
(19:38:14) crowe: Проверка: То, что вы можете видеть на
инфографике выше, но исходя из нашего файла, который
мы разбираем
(19:38:21) crowe: Подписанно сообщение → Открытый
ключ ( это файл в формате .asc имеет обычно следующий
вид –
https://www.idrix.fr/VeraCrypt/VeraCrypt_PGP_public_key.asc
, закрытый ключ тоже самое так же выглядит ) =Значение
хеша, то есть должно получиться
6cff2cce52eb97321b1696f82e9ccefa7c80328d91c49bf10b49e38
97677896e
(19:38:27) crowe: После чего это значение хеша надо будет
сверить с хешем указанным, то есть открываем там
программу QuickHash прогоняем наш файл и в том
алгоритме котором он нам представлен, должно все
совпасть, если не совпадает то сам файл изменен, и там
может быть троян, или что то для прослушки за нами, или
еще что-то нехорошее
(19:38:37) crowe: SHA-256:
6cff2cce52eb97321b1696f82e9ccefa7c80328d91c49bf10b49e38
97677896e VeraCrypt Setup 1.21.exe
(19:38:43) crowe: Я проверил полученный хеш
( https://puu.sh/xQBAz/8905455dd7.png ) и как мы можем
видеть на скриншоте они идентичный следовательно файлы
легитимное и соответствуют цифровой подписи
разработчика, и этот файл точно исходит от него.
(19:38:49) crowe: И данное программное обеспечение в
случае заражение вашего компьютера WannaCry или каким
либо еще другим нехорошим вирусом, будет виновен он.
(19:39:00) crowe: Для примера, это как вы в детстве бы
отнекивались что мол не сожрали конфеты, а ваша мать
тычит вам в лицо докозательства, например видеозапись и
говорит, у меня все записано, смотри сюда. И как бы не
отвертишься, вот что делает цифровая подпись.
(19:39:06) crowe: Прочитайте несколько раз если вы не
поняли, и попробуйте вникнуть этот момент действительно
важен
(19:39:12) crowe: А то что мы видели непосредственно на
этом скриншоте ( https://puu.sh/xQAFM/e687c816ce.png )
(19:39:57) crowe: Это то что Windows проверяет сертификат
в подлинности, то что действительно такой сертификат
зарегистрирован с таким номером все дела.
(19:40:06) crowe: Давайте проведу аналогию чтоб понять,
что же делает Windows, когда пишет эти строки
( https://puu.sh/xQBLa/604166ab6c.png ) в сертификате
(19:40:15) crowe: Вы пришли в банк с фальшивыми
деньгами, и они проверяют деньги через специальные
растворы или приборы, и тут бац и смывается краска, или
не просвечиваются водяные знаки и вам говорят, что ваши
купюры не соответствуют и это фальшивка, так же и
Windows.
(19:40:30) crowe: То есть если бы кто-то другой переписал
все данные сертификата и сделал копию сертификата для
подписи, с такими данными то она бы не соответствовала
действительности ну — это более сложная тема, но
собственно думаю понятно.
(19:40:39) crowe: Не будем лезть вообще в задницу, а то это
может никогда не закончиться ) ) Кому нужно объяснить
могу персонально.
(19:40:48) crowe: А если верификация не проходит, вы
обычно видите вот такое предупреждение
( https://puu.sh/xQC61/ef80678f6b.png )
(19:41:03) crowe: Это означает, что-либо файл не имеет
цифровой подписи либо Windows ( вспомните работника
банка ) не доверяет этой цифровой подписи ( а в случае с
работником банка, он не доверяет в вашей купюре ) вы
можете ее проверить способ я описывал выше ( а работник
банка ну там тоже может проверить на аппарате своем или
там нанесением растворов ).
(19:41:12) crowe: В линуксе с этим все просто, так как вы
просто так не установите проприетарное ПО так как все ПО
обычно ставиться из оффициальных репозиториев, где
проходит всю проверку подробнее что такое репозиторий и
прочие моменты можете как раз узнать тут
(19:41:21) crowe: https://wwh-club.net/threads/pochemu-linux-
luchshe-chem-windows.108852/unread
(19:41:36) crowe: Давайте пройдемся по этому материалу
еще раз, потому что я уверен, некоторым все это может
показаться довольно-таки трудным для восприятия.
(19:41:45) crowe: https://puu.sh/xQAFM/e687c816ce.png -
смотрим подписывание
(19:41:54) crowe: Итак, значение хеша ( самой программы
то есть если бы чувак сам ее прогнал через QuciHash ),
которое было зашифровано с применением закрытого
ключа ( его личного ключа его личный отпечаток пальца так
сказать в сети ) отправителя или выпуска ПО. Это цифровая
подпись.
(19:42:09) crowe: Цифровая подпись
(19:42:18) crowe: Это обеспечивает аутентификацию,
неотказуемость и целостность. А если вы зашифруете что-
либо и вдобавок снабдите это цифровой подписью, то вы
сможете добиться конфиденциальности наряду с
аутентификацией, неотказуемостью и целостностью.
(19:42:27) crowe: Цифровые подписи удостоверяют, что
программа или что-либо другое получены от определенного
лица или издателя, и они защищают программное
обеспечение или сообщения от их модификации после того,
как они были изданы или отправлены.
(19:42:41) crowe: На этом думаю мы разобрались с
цифровыми подписями.
(19:42:51) crowe: Давайте теперь перейдем к End-to-End
шифрованию ( E2EE )
(19:43:00) crowe: End-to-end шифрование заключается в том,
что данные шифруются отправителем и дешифруются
только получателем. Если вы хотите избежать
отслеживания, массовой слежки, хакеров и так далее, то вам
нужен именно этот вид шифрования передаваемых данных.
(19:43:14) crowe: Примерами технологии end-to-end
шифрования являются такие вещи, как PGP, S/MIME, OTR,
что расшифровывается как “off the record” ( рус. "не для
записи" ), ZRTP, что расшифровывается как Z в протоколе
RTP, а также SSL и TLS, реализованные правильным
образом, все это может использоваться в качестве end-to-end
шифрования.
(19:43:24) crowe: Компании, которые разрабатывают
программное обеспечение, использующее end-to-end
шифрование и системы с нулевым разглашением, не могут
раскрыть детали обмена данными вашим врагам, даже по
принуждению, даже если бы они этого сами захотели. В
этом и заключается преимущество end-to-end шифрования с
нулевым разглашением.
(19:43:32) crowe: End-to-end шифрование обеспечивает
защиту в процессе передачи данных, но очевидно, что оно
не может защитить данные после их получения. Далее вам
нужен другой механизм защиты. Используйте end-to-end
шифрование везде, где это только возможно.
(19:43:47) crowe: Использование защищенного HTTPS на
всех веб-сайтах становится все более необходимым,
независимо от типов передаваемых данных.
(19:43:56) crowe: Давайте я покажу что такое END-TO-END
шифрование на примере с веб-сайтами
(19:44:05) crowe: Это цифровой сертификат, тоже самое что
и цифровая подпись, есть ряд отличий, там центры
сертификации и т.д. вы обычно с этим не сталкиваетесь не
буду расписывать, кому интересно гуглите « Центры
сертификации ключей и HTTPS» и «Цифровые
сертификаты»
(19:44:20) crowe: https://wwh-club.net/proxy.php?image=https
%3A%2F%2Fi.imgur.com
%2Fq0aGfbn.png&hash=eafda643c4df7f9d9724f77945281151
(19:44:29) crowe: Зеленый замочек в URL или HTTPS
означает, что ваш Интернет-провайдер или, допустим,
правительство, они лишь могут отследить целевой домен.
Что это значит?
(19:44:38) crowe: Допустим между нами и Google находится
злоумышленник аналогично как в случае передачи
сообщения в инфографике выше. Он не сможет узнать, что
именно я искал, потому что это оконечное ( или
абонентское с английского end-to-end ) шифрование между
моим браузером и сервером.
(19:44:53) crowe: Давайте разберем пример на наглядном и
посмотрим, что же может узнать провайдер о нас
(19:45:02) crowe: Для начала мы будем использовать пример
не зашифрованного соединение при помощи HTTP
соединения.
(19:45:11) crowe: HTTP, HyperText Transfer Protocol —
широко распространенный протокол передачи данных,
изначально предназначенный для передачи гипертекстовых
документов ( то есть при клике по слову в статье перейти на
другую веб-страницу ).
(19:45:26) crowe: По умолчанию протокол HTTP использует
TCP-порт 80.
(19:45:35) crowe: Для скриншотов ниже я буду использовать
программу для анализа сетевого трафика WireShark.
(19:45:44) crowe: Для эксперимента я взял сайт
базирующийся на HTTP протоколе uznayvse.ру после того
как я кликну по ссылке запрос от сайта будет отображен в
окне программы WireShark под цифрой 1-н, но давайте
сразу разберем за что отвечает каждое окно программы для
лучшего усвоения материала.
(19:45:59) crowe: https://wwh-club.net/proxy.php?image=https
%3A%2F%2Fpuu.sh%2Fxxprc
%2Ff66caaecd9.png&hash=d7ebe6288f50a92d965fc3eebfe8484
b
(19:46:08) crowe: 1. Данная область называется Packet List –
в ней вы можете посмотреть с каким сервером идет обмен
данными, протокол, который используется и общую
информацию о кадрах.
(19:46:17) crowe: 2. Следующая область называется Packet
Details – в ней отображаются детали пакетов который был
выбран в Packet List.
(19:46:32) crowe: 3. И последняя область называется Packet
Bite – в ней отображается 16-е отображение данного пакета,
также отображается смещение в виде аски, и так же если мы
кликнем правой кнопкой по данной области можем
посмотреть, как все это будет выгладить в битах.
(19:46:41) crowe: Вот что происходит, когда вы нажимаете
по ссылке, все данные трафика сразу же фильтруются
(19:46:50) crowe: https://wwh-club.net/proxy.php?image=https
%3A%2F%2Fi.imgur.com
%2FTJvYxzB.gif&hash=cb666e07e000b63ce5d80216652413dd
(19:47:05) crowe: Давайте разберем, полученные пакеты
подробнее и узнаем наглядно о слежке, анализе и т.д.
(19:47:14) crowe: https://wwh-club.net/proxy.php?image=https
%3A%2F%2Fi.imgur.com
%2FFVVoABb.jpg&hash=7a24d9bba16536dfa4dbaa8436e81ed
d
(19:47:23) crowe: 1. Пересылаемые пакеты по нашему
фильтру
(19:47:38) crowe: 2. Целевой домен, то есть главная
страница сайта без всякой ереси после слеша "/"
(19:47:47) crowe: 3. Юзер агент, то есть параметры браузера,
версия операционной системы и другие параметры..
(19:47:56) crowe: 4. Referer – указывает с какой страницы
мы перешли на эту страницу так как мы перешли с
защищенной страницы, там было много пакетов с
переадресацией в конечном итоге мы с этой же страницы
сослались на себя же, если я к примеру, перешел с главной
страницы сайта на данную то в рефере бы стояла главная
страница сайта. ( смотрите скриншот ниже с пояснением
чтобы полностью вникнуть в смысл ).
(19:48:10) crowe: 5. Куки, либо сессия ) Вот ваш и пароль
приплыл ) Можно зайти под вашей сессией залогиненой и
шариться ) от залогененного юзера то есть вас
(19:48:20) crowe: 6. Ну, а это уже конечная страница где мы
находимся
(19:48:29) crowe: КСТАТИ: Если вы думаете, что это
потолок что может данный софт то боюсь вас расстроить
это только верхушка айсберга
(19:48:43) crowe: https://wwh-club.net/proxy.php?image=https
%3A%2F%2Fi.imgur.com
%2F75Zcarg.jpg&hash=8cf21012eca70ac2e91f366a4893dff9
(19:48:52) crowe: Для того чтобы у вас после прочитанного
не осталось сомнений я решил разобрать эти пункты
перейдя с одной страницы веб-сайта на другую и как мы
можем видеть:
(19:49:01) crowe: 1. Refer – указывает предыдущую
страницу которые мы разбирали именно с нее мы пришли
на данную страницу
(19:49:16) crowe: 2. На какой странице мы сейчас находимся
(19:49:26) crowe: Как мы видим сам по себе протокол HTTP
не предполагает использование шифрования для передачи
информации. Тем не менее, для HTTP есть
распространенное расширение, которое реализует упаковку
передаваемых данных в криптографический протокол SSL
или TLS.
(19:49:35) crowe: Название этого расширения — HTTPS
( HyperText Transfer Protocol Secure ). Для HTTPS-
соединений обычно используется TCP-порт 443. HTTPS
широко используется для защиты информации от перехвата,
а также, как правило, обеспечивает защиту от атак вида
man-in-the-middle — в том случае, если сертификат
проверяется на клиенте, и при этом приватный ключ
сертификата не был скомпрометирован, пользователь не
подтверждал использование неподписанного сертификата, и
на компьютере пользователя не были внедрены
сертификаты центра сертификации злоумышленника.
(19:49:49) crowe: https://wwh-club.net/proxy.php?image=https
%3A%2F%2Fi.imgur.com
%2FIApps4z.jpg&hash=a981a84f81dd096b0be1d3768254d837
(19:49:58) crowe: 1. Google – имеет использует защищенный
протокол соединения HTTPS
(19:50:07) crowe: 2. Пакет запроса данных по защищенному
протоколу HTTPS
(19:50:22) crowe: 3. Как мы видим в деталях пакета у нас
только Encrypted Application Data:
0000000000000016eec0818f25b5eb9bd4690883155a74b6...
(19:50:31) crowe: никакой другой информации что
содержится на веб-страницы или где находится человек у
нас нет
(19:50:40) crowe: 4. Так как у нас есть под цифрой 2-а IP-
адрес с каким сервером ведется обмен пакетами,
просматриваем что это за IP-адрес и исходя из полученных
данных мы можем сделать вывод, что человек находится на
целевой странице Google.
(19:50:55) crowe: По сути использование HTTPS безопасно
и как я говорил ранее что: Компании, которые
разрабатывают программное обеспечение, использующее
end-to-end шифрование и системы с нулевым разглашением,
не могут раскрыть детали обмена данными вашим врагам,
даже по принуждению, даже если бы они этого сами
захотели. В этом и заключается преимущество end-to-end
шифрования с нулевым разглашением.
(19:51:04) crowe: SSLStrip – снятие HTTPS
(19:51:13) crowe: Но также исходя из этого имеются атаки
по снятию SSL давайте быстро разберем что это такое??
(19:51:28) crowe: Любой атакующий, который может
расположиться между источником и адресатом трафика, в
нашем случае КОМПЬЮТЕРА и СЕРВЕРА, то этот
атакующий может совершить атаку вида “Man in the middle”
( рус. "Человек посередине" ). Одна из подобных атак,
которая требует весьма небольших навыков и ресурсов,
называется SSL stripping ( рус. "Снятие SSL" ). Атакующий
выступает в роли прокси здесь и подменяет зашифрованные
HTTPS-соединения на HTTP-соединения.
(19:51:37) crowe: Давайте откроем скриншот и посмотрим,
что же это такое https://puu.sh/xQFWy/edbaf90d7a.png
(19:51:46) crowe: 1. Как мы можем видеть мы отправляем
запрос с http
(19:52:01) crowe: 2. Он проходит через SSLStrip и не
изменяется, так же идет дальше
(19:52:10) crowe: 3. Сервер видит что вы пришли по
небезопасному протоколу без шифрования и меняет его на
безопасный с использованием шифрования то есть на
HTTPS ( то есть совершается 301 либо 302 редирект – это
настраивается на сервере )
(19:52:19) crowe: 4. SSLStrip видит что сервер отправил вам
запрос в HTTPS ( см. пункт 3 ) и автоматически так же
изменяет его на небезопасный то есть на HTTP тем самым
убирая TLS шифрование
(19:52:34) crowe: SSLStrip здесь проксирует ответ от веб-
сервера, имитируя ваш браузер, и отправляет вам обратно
HTTP-версию сайта. Сервер никогда не заметит отличий.
(19:52:43) crowe: Так как сервер думает, что вы общаетесь
по защищённому протоколу HTTPS, так как он не видит,
что злоумышленник ( SSLStrip ) изменил вам протокол на
небезопасный
(19:52:52) crowe: И что вы увидите - это будет практически
неотличимо от подлинного сайта. Давайте я покажу вам, как
должен выглядеть веб-сайт.
(19:53:06) crowe: https://puu.sh/xQHeu/014bf0515b.png
(19:53:16) crowe: 1. Мы видим защищенную версию WWH-
CLUB, то есть с end-to-end шифрованием
(19:53:25) crowe: 2. Теперь я выполнил HTTPS-stripping
( снятие SSL – SSLStrip ). И так выглядит версия сайта
после атаки.
(19:53:39) crowe: Как можно заметить, отличие в том, что у
вас теперь нет HTTPS и большинство людей не заметят эту
разницу. И как я уже сказал, сервер никогда не заметит, что
что-то не так, потому что он общается с прокси, который
ведет себя точно также, как вели бы себя вы.
(19:53:48) crowe: Я не буду рассказывать, как произвести
атаку, или методы атак и т.д. так как у меня нет на это
время, уже и так у меня остается 40 мин до начала лекции
так что кому нужно можете обратиться ко мне напрямую.
(19:53:58) crowe: Другой интересный способ для проведения
этой атаки – когда атакующий находится в вашей локальной
сети, так что это либо происходит по Ethernet-кабелю, либо
по беспроводной связи через Wi-Fi. Они могут обмануть
вашу машину и заставить ее отправлять трафик через них, и
это известно как ARP-спуфинг, или ARP-отравление.
Атакующий посылает ARP-пакеты, имитируя шлюз жертвы
по умолчанию.
(19:54:12) crowe: Это работает, потому что у Ethernet нет
механизмов для аутентификации, нет этого функционала,
поэтому любая машина в принципе может отправить то, что
называется ARP-пакетом, и сообщить, что она - одна из
машин в этой сети, например, шлюз или маршрутизатор, и
это приводит к тому, что вы начинаете отправлять свой
трафик через фейковый маршрутизатор, который затем
переправляет его, попутно снимая SSL, и после этого
переправляет трафик обратно к вам, как мы уже видели.
(19:54:21) crowe: В 2х словах что такое АРП спуфинг и как
это работает более простым языком, все что выходит в
интернет есть физический адрес, то есть MAC адрес.
(19:54:30) crowe: Следовательно у компьютера есть сетевая
карта или Wi-Fi карта у нее есть свой MAC.
(19:54:45) crowe: Записывается обычно MAC адрес так –
00:07:5B:3C:88:91, между цифрами может быть двоеточие
или тире, это 6 пар символов, по 8 бит на каждую пару то
есть 48 бит всего
(19:54:54) crowe: Следовательно 2^48 = 281 474 976 710 656
– а это в свою очередь 281 триллион 474 миллиарда 976
миллионов уникальных адресов
(19:55:03) crowe: Так же первые 3-и ОКТЕТА это
идентификатор организации, следующие 3-и ОКТЕТА
выбираются изготовителем для каждого экземпляра
устройства ( за исключением сетей системной сетевой
архитектуры SNA )
(19:55:18) crowe: Так же MAC адрес легко изменить на
любой другой.
(19:55:27) crowe: Для чего я это рассказываю, а то что зная
только IP адрес не возможно связаться с устройством в
сети.
(19:55:36) crowe: И если мне известен IP адрес устройства к
примеру моего роутера то я не имею возможности
обмениваться с ним информацией пока не узнаю его мак.
(19:55:51) crowe: Как раз для этих целей и служит ARP
протокол который отправляет с вашего устройства на
другое устройство запрос типо у тебя IP 192.168.1.1 тот
такой говорит угадал, и отправляет ему свой MAC адрес и
получается, что связь установлена.
(19:56:00) crowe: Для наглядности атака происходит
следующим образом открываем скриншот
( https://puu.sh/xQIHy/7a5c7ecfa1.png ) и давайте разберем
атаку
(19:56:09) crowe: IP адрес и MAC адрес КОМПЬЮТЕРА под
цифрой 1 отличается от IP адреса и MAC адреса РОУТЕРА
под цифрой 2 то есть вашего настоящего роутера.
(19:56:24) crowe: Злоумышленник создает виртуальный
роутер под цифрой 3 и завязывает всю вашу сеть через себя,
и компьютер отправляет запрос неверный, который идет не
на роутер настоящий, а на нашего хакера думаю понятно
( подельный роутер ) и так же в обратном порядке.
(19:56:33) crowe: Получается что весь трафик проходит
через нашего злоумышленника
(19:56:42) crowe: Возможно я бы разобрал и объяснил атаку
более детально и наглядно со скриншотами и т.д. но у меня
просто не хватает времени.
(19:56:57) crowe: Давайте теперь подумаем, что можно
сделать для предотвращения всего этого? Что ж, на
клиентской стороне вы можете попытаться замечать те
случаи, когда у вас отсутствует HTTPS, но если вы будете
заняты, то вряд ли сможете это заметить. И тем не менее,
вам следует обращать на это внимание.
(19:57:06) crowe: Но далее я расскажу вам метод, как
обезопасить себя.
(19:57:15) crowe: Более надежный метод – это
использование туннеля или шифрованного туннеля, так
чтобы снятие SSL стало невозможно, поскольку трафик,
который вы отправляете, будет зашифрован иным
способом. Например, можно использовать SSH
туннелирование.
(19:57:29) crowe: Можно использовать VPN-технологию
типа IPsec. А вообще, стоит обратить внимание на end-to-
end шифрование.
(19:57:39) crowe: Помимо всего прочего, вам лучше не
подключаться к сомнительным сетям без использования
туннелирования или VPN или шифрования, потому что это
именно то, что может произойти, если у вас их нет. Ваш
SSL может быть снят и весь ваш трафик станет открытым.
(19:57:48) crowe: Наличие ARP-спуфинга и сниффинга в
вашей локальной сети можно в определенной степени
обнаружить, и есть пара инструментов для примера,
которые вы можете использовать. Это Arpwatch. Он
мониторит вашу Ethernet-сеть на наличие ARP-спуфинга
или отравления. И есть другой инструмент, это Sniffdet, он
обнаруживает тех, кто наблюдает за сетевым трафиком.
(19:58:02) crowe: Что касается серверной стороны, вот
посмотрите на скриншоте
( https://puu.sh/xQJuQ/5bf5472c91.png ), у вас может не быть
контроля за серверной стороной.
(19:58:11) crowe: То есть вы не всегда можете
контролировать HTTPS соединение и чтоб оно было
зеленым всегда там с замком.
(19:58:20) crowe: Есть возможность активации строгой
безопасности передачи данных по протоколу HTTP,
сокращенно HSTS, этот механизм использует особый
заголовок для принудительного использования браузером
только лишь HTTPS-трафика
(19:58:35) crowe: Это работает только если вы ранее
посещали сайт, и затем ваш клиент фактически запоминает,
что данный сайт принимает исключительно HTTPS-трафик.
А вот пример того, как я снял SSL и получил сообщение об
ошибке, потому что на этом сайте была активирована
строгая транспортная безопасность HTTP.
(19:58:44) crowe: Другим способом обезопасить себя можете
с помощью виртуальных локальных сетей, если вам это
необходимо обратитесь ко мне или погуглите локальные
сети VLAN на хабре я уверен много мануалов по этой
настройке
(19:58:53) crowe: Хотел так же поговорить про PGP
безопасную передачи, но я просто не успеваю.
(19:59:08) crowe: Вы можете ключ от PGP шифрования в
жабе например передать через личные сообщения на сайте
удостоверившись что сайт работает на HTTPS и у вас там
end-to-end шифрование и т.д.
(19:59:17) crowe: Что могу сказать, как ЭПИЛОГ
(19:59:26) crowe: Я считаю, что мы очень много разобрали
по шифрованию, единственное что я не успел разобрать я
написал выше, что мы не проговорили этот вариант с PGP,
OTR, ZRTP, OMAXA, такие протоколы про них можно
прочитать в гугле либо узнать у меня я дам информацию
если она вам необходима.
(19:59:41) crowe: Шифрование – это фантастический
инструмент для приватности, безопасности и анонимности.
(19:59:50) crowe: По факту этот инструмент реально
работает и злоумышленники ( хакеры ) будут стараться
избегать его. То есть ни какой дурак не будет совершать
прямую атаку на шифрование
(19:59:59) crowe: Как говориться умный в гору не пойдет,
умный гору обойдет. И вам следует иметь это виду.
(20:00:14) crowe: И все что они могут сделать это найти
слабые места. Вспомните случай с Россом Ульбрихтом
создателем «Шелкового пути» он попался на капче. На
простом.
(20:00:23) crowe: То есть никто никогда не будет брутить
ваши пароли прочее им гораздо проще установить вам
кейлогер на вашу систему, или отправить вам ссылку на
сайт с зараженным JS скриптом и произвести атаку, либо
PDF файл и т.д.
(20:00:32) crowe: Но как я и сказал шифрование, никто и
никогда не захочет ломать. Атакующие будут просто
пытаться обойти шифрование. Вам следует иметь это ввиду.
(20:00:46) crowe: Безопасность – это так называемый
феномен слабого звена. Она настолько сильна, насколько
сильно самое слабое звено в цепочке. Надежное
шифрование зачастую – это сильное звено.
(20:00:56) crowe: Мы, человеческие создания, как правило
являемся слабым звеном. Как говориться Язык мой — враг
мой
(20:01:05) crowe: На этом моя лекция и мой Эпилог
подошел к своему логическому завершению, так что можете
ставить «?» и я буду писать ваши ники, после чего
задавайте свой вопрос, а я отвечаю.
(20:11:13) crowe: http://i.imgur.com/Ax2LuWC.png - по
паролям, дам вам красочную картинку, а то могли не
понять, решил сразу провести лекцию по быстрее, так как
некоторые торопяться и по больше внимания уделить серии
вопрос / ответ.
Так же люди которые интересуются по VPN могут тоже тут
задать вопросы, вопрос однотипные, из серии можно ли
купить сдругом какова будет цена и т.д. Покупаете себе
сервер, берете с собой друга в двоем платите выделю вам на
двоих конфиги спокойно, можно сделать и такое.
Так же был бы признателен за вашу обратную связь по
поводу моих лекций, пару слов в данной теме https://wwh-
club.net/threads/otzyvy-o-crowe.109242/page-2#post-1317861
(20:14:09) BaMxopoIIIoHaMxopoIIIo: 1можно ли
использовать менеджер паролей onepassword? как он тебе в
плане безопасности итд?
2- ты несколько раз за лекцию говорил ,что мы "что-либо не
успели", но думаю всем интерtсно получить эту инфу,
которую "мы не успели", может ты нам всем ее скинешь
ссылкой или как-то еще? Чтобы не стучать каждому тебе в
личку итд.
3- вопрос-пожелание. После лекции немного нехватает
примеров конкретно подходящие нам. тупо пример: " мы
сегодня изучили хэширование, соотвественно когда будет
обмениваться файлами при покупке (например материала) ,
то обязательно юзайте ту ту и вот ту прогу, исходя из того
что мы сегодня прошли.абы н ебыло того того и вот того
( надеюсь понятно обьяснил что хочется)
(20:20:49) crowe: 1. 1password комерчееский плюс является
проприятарным ПО с закрытым исходным кодом. Я уже
много раз говорил и говорю почему я стороник
опенсорсного ПО и движения вместе с ним
2. На самом деле я дам 2 ссылки, просто у меня старая
версия, лекции я переписал ее уже, но к сожалению
защищенную флешку забыл кое где, по этому просто скину
ссылку на разбор который хотел дать, чтобы вы поняли этот
материал более раскрыто, можете записать себе в дмоашнее
задание ознакомиться с ним.
Возможно я бы все расписал многое и объяснил все
досканально, но вот есть 2-а неплохих ролика (ниже)
советую их посмотреть. Там все подробно объясняется,
конечно у меня есть некоторые замечания, но я бы
рекомендовал их все же к просмотру.
• https://youtu.be/0wpxrPD90a4 — 1 Часть MITM. Как
проводится MITM атака.
• https://youtu.be/quZjKlrmCvQ — 2 Часть MITM. Атакуем
сеть методам MITM
(20:23:59) crowe: 3. Там был же у вас пример с программой
Quick Hash и с цифровыми подписями, а так это является
дефакто и вы должны это понимать, что сверку всегда стоит
делать,е сли вы хотите быть уверенным в своей
безопасности именно это и дает шифрование.
(20:28:13) crowe: Я уделил больше внимания ответам на
вопрос и постарался дать по быстрее информацию как я и
написал выше.
По поводу ноды, нода снифается выходная, владелец ноды
может снифнуть трафик если он идет по незашифрованному
соединению и выдрать ваши куки, пароли и прочую
информацию. Если трафик идет по https или любому
другому виду шифрования трафика то трафик уже будет
шифрованный и он будет бесполезным. Так скажем.
Своя нода дает легитимность в плане того что описал выше.
Тор идет в комплекте с впн, сам тор не является панацеей
безопасности, он помогает чисто путать маршруты и
усложнять задачу, а сам он не является эталаном
безопасности чтоли или как то так
(20:28:27) Best friend: При конекте с сервером exploit.im в
жабе постоянно спрашивает доверять ли этому
сертификату, почему так?
2. При формировании конфига впн , я выбираю протокол
TCP443, это получается что все обращения через сервер
впна защищены и никто не может вклиниться и посмотреть
к каким сайтам я обращаюсь и тд? Верно?
3. SSLStrip могут использовать, чтобы заманить меня на
сайт http и скомпрометировать мои личные данные для
входа, а также посмотреть где я ходил по сайту?
4. Когда злоумышленник создает виртуальный роутер 3 -
жертва это может заметить?
5. Arpwatch работает автономно, ну т.е. сам обноваляется
постоянно? При конекте с сервером exploit.im в жабе
постоянно спрашивает доверять ли этому сертификату,
почему так?
2. При формировании конфига впн , я выбираю протокол
TCP443, это получается что все обращения через сервер
впна защищены и никто не может вклиниться и посмотреть
к каким сайтам я обращаюсь и тд? Верно?
3. SSLStrip могут использовать, чтобы заманить меня на
сайт http и скомпрометировать мои личные данные для
входа, а также посмотреть где я ходил по сайту?
4. Когда злоумышленник создает виртуальный роутер 3 -
жертва это может заметить?
5. Arpwatch работает автономно, ну т.е. сам обноваляется
постоянно?
(20:40:50) crowe: 1. Потому что у них самоподписанный
сертификат, то есть они сами его заверили, то есть манс сам
заверил свой сертификат, и выложил пабличный ключ
сертификата в общий доступ к себе в профиль например, вы
доверяете Mans к примеру ? Вот и там так-же. В этом нет
по сути ничего страшного, это указывает что траф ваш
шифруется по этому сертификату, то есть по ssl либо tls и
т.д. Но лучше использовать свои средства шифрования в
лице OTR encryption
2. Он изначально шифруется по протоколу шифрования
который прописан в вашем конфиги OpenVPN, а на счет
порта, это просто проброс порта, прочитайте что такое
проброс порта и инфа исчерпает себя.
3. Самая простая для понимания ситуация это когда, ваш
роутер смотрит в интернет да, а злоумышленник его
взламывает, после чего подменяет DNS записи в вашем
роутере на свои ДНС-ники своего сервера, которые
резолвят доменные именна к примеру paypal.com
переправляя трафик когда вы забиваете доменное имя
paypal.com на его фейк к примеру где вы ничего не
подозроеваете переходите на сайт с любым доменном, но в
вашей графе будет значиться paypal.com, так как в днс
будет записан алиас на это имя, как бы циклическая ссылка
то же самое как вы зададите ярлыку или чему либо, которые
будет локально для именно вашего сервера (роутера)
поддельных адресов значиться именно так, все замудренно,
не хочу сильно расписывать, но почитать что таккое
роутскан, подмена днс и т.д. изи найдете инфу в этом
направлении или по ssl стрипу
4. Может конечно, но обычно это замечается с помощью
плагинов, файрволов и другово софта, выше уже описал
думаю вопрос будет исчерпывать себя примерно что делать.
А так вы же не смотрите ежесекундно безопасный сайт, тот
ли у него сертификат что был пару часов назад и т.д. Это
делают плаггин или файрвол, запоминая предыдущий
сертификат и если произошли изменения оповещает вас об
этом.
5. Ответил выше, можете добавить там в исключения или в
список доверенных он постоянно мониторит, так как ваш
сертификат является самописным ывсе идет отсюда
(20:45:40) prt: По поводу паролей.
Вот выдержка из статьи.
В 2003-м году Билл Бёрр (Bill Burr) написал
восьмистраничное руководство о том,
как правильно создавать безопасные пароли для
Национального института стандартов и технологий (NIST)
США.
В 2017году 72-летний Бёрр признался в интервью The Wall
Street Journal,
что никогда не был экспертом по кибербезопасности, и
никогда толком не разбирался в паролях,
не говоря уже про психологические аспекты
кибербезопасности.
По его словам, при подготовке своего руководства он взял
за основу документ, написанный еще в 80-х.
В те годы до массового распространения интернета было
еще далеко, и никто не мог представить,
сколько разных паролей придется создавать и запоминать
миллиардам людей на планете.
Теперь рекомендации NIST поменялись.
Вместо относительно короткого, но сложно запоминаемого
пароля с "абракадаброй" из цифр и символов институт
советует использовать длинные фразы из обычных слов.
Ведь с увеличением числа символов в пароле время,
требуемое на его автоматизированный подбор при взломе,
растет экспоненциально.
Получается самое главное в современных паролях только
их длина?Или есть какие то новые техники(блокчейн)?
(20:49:56) crowe: http://i.imgur.com/Ax2LuWC.png - чекните
по паролям, там все написанно, хотите больше инфы, так же
можете чекнуть интервью мета блейза в конгресе который
выступал по кибербезопасности и т.д.
(20:50:06) crowe: посмотреть что он говорит чем читать
какую-то ересь
(20:50:37) Mef: 1. Если честно , это общая инфа и как её
применить в работе и нашей защиты не совсем понятно ,
кроме того что надо все шифровать и бояться , а реально
становиться страшно от твоих рассказов , что мы крайне
уезвимы !!! я вот хотел что бы Вы учитель мне настроили
систему что бы не кто не смог меня обнаружить , но 500 $
сейчас не могу на это потратить ... может быть для группы
какие-то скидки есть на полную настройку и доп обучение
от тебя !
2. как мне перенести всю инфу на закриптованный диск ?
менеджер паролей например кей пасс ( кстате как он по
защите ) , мне просто скопировать все туда ? или как , каша
в голове и страх от твоих рассказов , на сколько мы уезвимы
.
3. я в жабе ОТР запускаю и она у меня вылетает сразу , что
э то может значить ?
4. я готов поднять свой сервак ВПН , помоги с этим . 50 $
готов как бы заплатить , если мой траф весь будет идти
через него
5. Когда нас начнут учить кардить ? так то начальные
знания есть , но охото конкретики !!!
6. у меня 10 виндовс , они уже следят за мной ? )))
7. как сделать закриптованное облако ? где ?
(21:02:59) crowe: 1. Настрйока и ведение зангимает большое
количество времени и сил, а время в нашей нише, как и в
любой другой является важным. Я делаю и так скидки на
впн и дополнительные услги, так же я всегда всех
консультирую и не посылаю, стараюсь отвечать на все
вопросы более развернуто и емко, просто данная ниша
структуризированна такие образом что вы можете двоерять
тольско себе и если у вас нет пониманичя следовательно у
вас не будет гаранити своей безопасности как то так.
2. Просто беерет перетаскиваете и копируете перед этим
нужно смонтировать его и т.д.
3. Криво настроено, возможно не сгенерирован ключ в
настройках ОТР
4. Без проблем пишите как я и гвоорил раньше,
проконсультироую скажу как лучше и т.д. все натсроить и
довести до ума. Так же можете выбрать любую страну
вашего сервера расположения купить хотьб где и т.д. и
многие другие плюхи зависит только от вас.
5. Конкретика уже пойдет с пейном я даю очень большое
количество инфы которое вам в дальнейшем пригодиться. Я
вам закину пост в вашу конференцию по поводу того что
думать и т.д.
6. Конечно.
7. Могу так же сделать вам на опенсорсном решение только
для вас на вашем личном сервере и т.д. так же по скидке как
обучению.
(21:03:23) yufa : 1 если я один в лок сети. значит у
провайдера реализованна vlan?
(21:03:26) yufa : 2.при использовании vpn несколькими?
один способен на хостинге скомпрометировать остальных?
(21:12:01) crowe: 1. Проще чтоб узнать это, позвоните
опператору провайдера, спросите есть ли у нас (у вашего
провайдера имеется ввиду) внутренняя лкоальная сеть,
скорее всего скажут что нет, и локальная сеть это вашего
пк, если бы вы другой пк подключили через сетевой кабель
или ееще как то, вы бюы его увидели, то есть было бы
локальное подключение между двумя компами, посмотрие
что такое парелельное поджключение сети в электросети на
примере ламппочек сразу все поймете там )
2. ну точно так же, хотя был анапример уязвимость в том
что дабл трипл квад и т.д. впн, расшифровавыывали трафик
в оперативе при егол перешифровке, это уязвиморсть была
выявленно недавно и она была с самого начал, так что
безопасность дело такое, тут нет какойто панацеи или что-
то в этом роде тут все основанно на рисках и т.д. завтра
разберем поймете
(21:12:27) crowe: Анонимный источник подсказал кстати
лекарство от всех болезней
(21:12:27) crowe: http://joxi.ru/823oBagf6R3nn2?d=1
(21:12:46) gamal: Какой плагин стоит использовать для
безопасного определения подлинных
сертификаток/проверки со старыми ?
(21:13:11) crowe: https everywhere вроде он
(21:13:22) crowe: или файрвол настройка так скажем
(21:14:55) crowe: Я как раз хотел вас писать, у меня все по
очереди вроде как.
Для винды софт в затиркой методом гутмана, я лишь по
линуху сказать могу по софту, а так ищите с методом
гутмана и можете несколько раз вообще диск прогнать
таким методом раза 2 ) правда долго но что делать,
лучшего пока не дано.
(21:17:28) Mef: Когда тебе написать , что бы поробатали
конкретно с тобой над моей системой ? Что бы ты был не
занят .
И насчет вин 10 , что они конечно следят за мной - это как ,
что сейас выключить все до настройки ? чем черевато что я
сейчас тут сижу и т.д ? Бля не гони жути плиз , сори за мат
но я сейчас на изменеееее ))) скажи что все будет хорошо !!!
)))) успокой хоть чуть чуть ! )
(21:17:57) crowe: Так же был бы признателен за вашу
обратную связь по поводу моих лекций, пару слов в данной
теме https://wwh-club.net/threads/otzyvy-o-crowe.109242/page-
2#post-1317861
(21:21:16) crowe: Я постоянно занят так скажем, но я
отвечаю на все вопросы, обычно если пишут, стараюсь емко
и подробно изложить информацию либо направить людей в
то русло.
Если конечно там спрашивают инфу которую стоит изучать
или хотят получить уже боле платную инфу, я конечно
говорю где стоит искать и т.д. Но такую инфу вам по ряду
причин не буду предоставлять, так как комерческая тема, и
труд любой должен оплачиваться, а мне это информация
легко не доставалась да и на написание и изучение
иследование этой инфы уходило большое количество
времени, просто тоже поймите меня.
На счет вин 10 просто достаточно прочитать русское
лицензионное соглашение майкрософт, там способов
слежения больше 100 штук можете чекнуть есть софт не
помню как анызвается w10privacy или ooshutup или как то
так ищите смотрите
(21:21:27) crowe: Да по сути вам на данном этапе то не
особо нечего боятсья если вы не работаете по ру
(21:21:37) crowe: Или не говорите всем подряд что вы
трушный чел и т.д.
(21:21:47) crowe: Так ак все закрытия идут из-за вашего
языка, работы по ру
(21:21:48) crowe: и 228
(21:21:50) crowe: как и говорилв чера
(21:22:04) crowe: Самое главное хотябы имейте впн
(21:22:06) crowe: и носок
(21:22:08) crowe: Лучше иметь
(21:22:10) crowe: впн тор носок
(21:22:15) crowe: и использовать виртуалки для изоляции
(21:22:23) crowe: у вас будет большое количество инфы с
пейном по практике
(21:22:28) crowe: он вам даст уже и овтетит более
подробюно
(21:22:34) crowe: вам эта информация как и я сказал ранее
что дам
(21:22:34) crowe: пост
(21:22:42) crowe: в вашей конференции вопрос ответ там
(21:22:47) crowe: чтобы понимали не множко
(21:22:59) crowe: Если нет на сегодня вопросов то будем
закругляться и отправляться до завтра
(21:23:04) crowe: прощаться то есть
(21:24:02) crowe: Тогда всего доброго ребят, до завтра !