leo_sosnine (![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png)
leo_sosnine) wrote2019-09-11 08:56 am
leo_sosnine) wrote2019-09-11 08:56 am
Entry tags:
Приватность почты
Спасибо полезному идиоту и тупейшему мудаку, позорному инфобезничку Эдварду Сноудену (недавно он "написал" книжку, разумеется, читать не надо), в отличие от того, что было 5-10 лет назад, большая часть обмена почтой между почтовиками идёт через шифрованные каналы, SMTP over TLS:
Проблема, однако, в том, что большинство почтовиков (и для этого я попробую тоже сделать хороший граф) соглашается на анверифаед TLS, т.е. без верификации цепи доверия до центра сертификации публичного PKI.
Постепенно и мало помалу (5-10 кейсов в год для крупного энтерпрайза) верифицированные каналы настраиваются между крупняком по соображениям HIPAA, PCI DSS и проч. compliance, чтобы не мучиться с end-2-end encryption с личными MIME сертификатами или PGP или методом "ссылка на веб-интерфейс нашего почтовика с уникальным линком действующим один раз отправленным по почте", так что, допустим, чисто для примера, Хумана и Унитед Хелтхкаре наверняка настроили свои фронтэнд почтовики с верификацией, так что коннекты от с непроверяемыми сертификатами между ними отвергаются.
Не то, чтобы это, впрочем, было большой проблемой для силовиков получить валидный и проверяемый сертификат. Для непроверяемых сертификатов с их возможностями MITM вообще элементарен.
Поэтому, если почта пересылается между различными почтовиками, доверять её приватности всё равно нельзя. Она наверняка перлюстрируется.
Мудак Сноуден, кстати, это знал, поэтому для обмена секретной информацией с журнапидорами типа Гринвальда он ставил условием чтобы они завели себе ящег на lavabit.com, с тем чтобы обмениваться сообщениями внутри одного почтовика, помешанного на приватности. Лавабит, кстате, возобновил работу после нескольких лет простоя, рекомендую. У меня там был моднейший бесплатный ящег на блатном домене как у early adopter и я его потерял из-за этого скандала.
Кстати, смешное, позорные вонючки из обосранных Сноуденом агентств went out of their way чтобы обосрать в ответ lavabit.com среди формирующих различные списки секьюрити вендоров, а типовые позорные инфобезнички, разумеется, прогнулись, поэтому на многих корпоративных файрволлах, снабжаемых этими секьюрити вендорами соответствующими списками, при попытке доступа к веб-интерфейсу лавабит мы видим это:
Таким образом, почта пересылаемая между, допустим, gmail.com и lavabit.com наверняка перлюстрируется на уровне канала. Между gmail.com и outlook.com навряд ли, т.к. и те и другие сливают им всё сами, после того как ихние инфобезнички отсосут у этих с причмокиванием и скажут спасибо благодетели, конечно, прямо в датацентре перед камерами CCTV.
Презираю их всех, но больше всего презираю прекраснодушных чмошников, рассуждающих в энтронетах о безопасности приватных коммуникаций и о том, что законопослушным гражданам всё равно скрывать нечего, а также о том, что уж Запад-то это не Роисся и там всё по-другому. Нет, это просто вы дураки. На Западе всё то же самое, просто вертикаль власти менее крепкая и периодически сбоит из-за борьбы разных интересантов за ресурсы. Интернет когда-то был боле-мене свободен, но уже мейнстримно давно как нет.
Проблема, однако, в том, что большинство почтовиков (и для этого я попробую тоже сделать хороший граф) соглашается на анверифаед TLS, т.е. без верификации цепи доверия до центра сертификации публичного PKI.
Постепенно и мало помалу (5-10 кейсов в год для крупного энтерпрайза) верифицированные каналы настраиваются между крупняком по соображениям HIPAA, PCI DSS и проч. compliance, чтобы не мучиться с end-2-end encryption с личными MIME сертификатами или PGP или методом "ссылка на веб-интерфейс нашего почтовика с уникальным линком действующим один раз отправленным по почте", так что, допустим, чисто для примера, Хумана и Унитед Хелтхкаре наверняка настроили свои фронтэнд почтовики с верификацией, так что коннекты от с непроверяемыми сертификатами между ними отвергаются.
Не то, чтобы это, впрочем, было большой проблемой для силовиков получить валидный и проверяемый сертификат. Для непроверяемых сертификатов с их возможностями MITM вообще элементарен.
Поэтому, если почта пересылается между различными почтовиками, доверять её приватности всё равно нельзя. Она наверняка перлюстрируется.
Мудак Сноуден, кстати, это знал, поэтому для обмена секретной информацией с журнапидорами типа Гринвальда он ставил условием чтобы они завели себе ящег на lavabit.com, с тем чтобы обмениваться сообщениями внутри одного почтовика, помешанного на приватности. Лавабит, кстате, возобновил работу после нескольких лет простоя, рекомендую. У меня там был моднейший бесплатный ящег на блатном домене как у early adopter и я его потерял из-за этого скандала.
Кстати, смешное, позорные вонючки из обосранных Сноуденом агентств went out of their way чтобы обосрать в ответ lavabit.com среди формирующих различные списки секьюрити вендоров, а типовые позорные инфобезнички, разумеется, прогнулись, поэтому на многих корпоративных файрволлах, снабжаемых этими секьюрити вендорами соответствующими списками, при попытке доступа к веб-интерфейсу лавабит мы видим это:
Таким образом, почта пересылаемая между, допустим, gmail.com и lavabit.com наверняка перлюстрируется на уровне канала. Между gmail.com и outlook.com навряд ли, т.к. и те и другие сливают им всё сами, после того как ихние инфобезнички отсосут у этих с причмокиванием и скажут спасибо благодетели, конечно, прямо в датацентре перед камерами CCTV.
Презираю их всех, но больше всего презираю прекраснодушных чмошников, рассуждающих в энтронетах о безопасности приватных коммуникаций и о том, что законопослушным гражданам всё равно скрывать нечего, а также о том, что уж Запад-то это не Роисся и там всё по-другому. Нет, это просто вы дураки. На Западе всё то же самое, просто вертикаль власти менее крепкая и периодически сбоит из-за борьбы разных интересантов за ресурсы. Интернет когда-то был боле-мене свободен, но уже мейнстримно давно как нет.
no subject
no subject
no subject
no subject
Также как и с ВПН сервисами, можно заплатить и юзать. Но кто хостит этот ВПН и действительно ли они делают всё как говорят -- об этом можно только гадать.
Лавабит, по-крайней мере, имеет рекорд -- а) не прогнулись б) пошли в суд в) потеряли бизнес. Хотя могли бы и не. Сноуден им влетел по моим прикидкам в >1кк лехко. И они это просто потеряли, пошли на принцип.
Уважайу.
no subject
защита от пассивной прослушки всё же лучше, чем её отсутствие
> без верификации цепи доверия до центра сертификации публичного PKI
а что, есть стандарт, ЧТО именно проверять? ну корень ок, а дальше?
соединяется в наш сокет какой-то МТА, говорит (как? ну допустим, Via), что он от гугла
промежуточный сертификат выдан летсэнкриптом на pupkin.ru с правом выпуска, дальше пупкин подписал *.gmail.com и...???? или требовать прям сразу от корня?
ресолвать днс от IP раутера, который соединяется? так он может и на пыщь-пыщь-cloud.aws.net и прочих технических доменах
если требовать прописывать в днс публичную часть сертификата а-ля дким, то хм, днс даже проще митм
по понятным соображениям, если от корневых днс серверов требовать днссек с сертификатами, то властям будет очень удобно
> снабжаемых этими секьюрити вендорами соответствующими списками
корпоративный маразм выжирает много кого
общее соображение такое, что для работы тайные переписки не нужны, поэтому нефиг на работе туда ходить
есть соображения, что если пидор-эмплойи начнёт тырить инфу или сливать, или бот на его компе -- то даже не перехватишь для отлова и увольнения
у нас на работе весь домен .tk забанен, скопом
например google.tk тоже
поэтому хочешь на работе инет -- свой девайс со своим провом, например мобильный
no subject
Лол.
no subject
что конкретно проверять-то?
между, допустим, gmail
gmail- БЫЛ СОЗДАН для того чтобы там рыться...
Re: между, допустим, gmail
no subject
Тот же лавабит небось бежит где-нибудь в облаке. Даже если он всё-всё шифрует на входе и на выходе, на диске или в памяти оно лежит незашифрованное. Большие облачные провайдеры наверняка дают доступ комунадо.
В этом отношении протонмейл интереснее, потому что они у себя всё шифруют на ключе, которого у них нет. Комунадо могут отдать максимум метаданные.
А ещё интереснее Signal. Но там шило на мыло, лучше с шифрованием но хуже с анонимностью.
no subject
Веб-интерфейса для почты там раньше не было и щас скорее всего нет. RCE для серверов через SMTP или POP3 за всю историю индустрии было очень мало. Фишинг таким образом бессмыслен.
Функции восстановления пароля там нет. Проебал пароль -- прощай, почта.
Раньше нет, да и щас крайне маловероятно, это один из основных пострадавших от скандала с облаками, уж там-то наверняка хорошо выучили урок. Почта там тоже вся лежит зашифрованная, расшифровывается только в момент использования ключом деривативом от пароля.
no subject
Ну это всё предположения. Утверждать с какой-то степенью уверенности может только тот, кто там непосредственно разраб/админ в данное время.
no subject
no subject
no subject
Вот я, к примеру, стираю все после прочитывания.
Стертые тоже можно прочитать?
no subject
Какое-то время наверняка можно, какое именно зависит от сервера. Проще пометить сообщение как удалённое, чем действительно стирать. Опять-таки легче сделать undelete. Плюс к тому есть резервные копии.
Я сразу стираю только спам и ненужную почту, нужную распихиваю по фолдерам. Посланную почту тоже храню долго, часто нужно повторить или вспомнить, что именно и когда я говорил кому-то по данному поводу.
no subject
А резервные копии делаются ведь не в реальном времени? Один раз в сутки?
no subject
no subject
-
Можно и в реальном времени. Разницы нет. Как настроишь
(хмыкнув)
Стертые тоже можно прочитать?
-
письмо может быть в двух видах
а) файл на диске
б) запись обьекта в базе
В обоих случаях команда удаления помечает обьект как удаленный, ничего с ним не делая.
В случае чанги все еще веселей, обьект помечается как "назначенный к удалению", а не "удаленный"
Re: (хмыкнув)
Re: (хмыкнув)
К тому же пользователь привык к возможности отменить последнюю операцию, если например удалил сообщение по ошибке.
Re: (хмыкнув)
Плюс есть судебное удержание и много арочих полезных функций
no subject
-
(достав калькулятор) предположим, что имея суммарно мегабайт (10е6) данных на гражданина (в форме всяких да\нет\адрес\прочая - короче текстовый мегабайт) на миллиард (10е9) граждан нам будет нужно иметь суммарную базу данных 10е15, то есть 1024 тб данных - петабайт, или, набивая некую дисковую полку дисками по 30 Тб SSD (Samsung PM1643) в формате 24 SSD на 2 U = 720 TB минус пусть triple raid - округленно пусть 250 тб на 2 юнита, вся база на миллиард жителей влезет на аж 8U.
ну или (у нас текст) имея LTO8 Compressed capacity 30 Tb - то нужно аж две коробки кассет.
Исходя из этого, надо иметь не только белую пушистую и темную сетевую личность, но и серенькую такую - ну там чтобы было чего писать в файлик. Типа заказать пару раз травы в даркнете, иметь просмотры какого-то коммунистического порно, такое вот.
no subject
Если личности периодически менять, чтобы уменшить потери после прокола, то теряется наработанная карма и репутация.
Плюс к этому сложно помнить, что было сделано или сказано от имени какой личности.
no subject
-
Кроме того существует частотно-словесный анализ
no subject
Если бы я был плодовит как Пушкин тогда может быть, но вон даже с Шекспиром этот анализ не очень-то однозначные результаты даёт. Ну может возраст можно определить плюс-минут пять лет, уровень образования и пол, и то примерно.
no subject
no subject
Ну и наконец никто не мешает выборку искусственно расширять, прикидываясь кем-то другим. Трёхбуквенные агенства или bellingcat так не обмануть, но можно отвертеться от массовой автоматизированной деанонимизации.
no subject
А втех. плане гораздо и гораздо продвинутее.
no subject
no subject
https://22century.ru/popular-science-publications/uh-oh-silicon-valley-is-building-a-chinese-style-social-credit-system.
Там же: https://22century.ru/popular-science-publications/digital-star-chamber.
no subject
no subject
Согласен со вторым тезисом. Насчет первого пока не знаю.