fhunter
Активный участник-
Публикации
554 -
Зарегистрирован
-
Посещение
Все публикации пользователя fhunter
-
Блокчейн: история принятия
тему ответил в Robot_NagNews пользователя fhunter в У нага
Только для этого блокчейн не нужен. Вот что сейчас программист делает, когда начинает работать? git checkout ... И, ура, у него появляется локальная копия всей истории. Совершенно добровольно, заметим. Ну, немного поворчит, если проект уж очень здоровый. Дальше он с этой историей работает и когда изменения хочет сделать видимым другим - публикует на том самом 'центральном' сервере. Или еще где-то, куда остальные за изменениями ходят. Если паранойя у владельцев повышенная - все будет еще и подписано. После чего все заинтересованные видят, что некий xyz решил, что строка(запись) такого-то файла должна быть такой-то. А если настроено неправильно, но потом делает git push -f и теперь у всех его копия истории. -
Мессенджеры и сим-карты теряют анонимность
тему ответил в Robot_NagNews пользователя fhunter в Обсуждение контента портала Nag.Ru
Боты бывают и хорошие и плохие.Привязка к симке, ну как бы это сказать - дофига всего плохого. Начиная от вопросов со сменой страны обитания/оператора/потерей симки. Нафига завязывать мессенджер, ещё и на сотового оператора и хорошие отношения с ним? Ну и да - если мне нужно больше одного аккаунта (поделить рабочий и нерабочий) - заводить вторую sim-карту? От ботов защищаться нужно техническими средствами - вариант "не принимать сообщения от пользователей не в контакт-листе" решает проблему на 99.9% -
Как будут запрещать VPN
тему ответил в Robot_NagNews пользователя fhunter в У нага
Законодательное безумие заразно. К сожалению, за исключением варианта голосования ногами на рынке государственных услуг, оно нам дано в ощущениях. Так и живём. <sarcasm>UDP уже пытались</sarcasm> -
Как будут запрещать VPN
тему ответил в Robot_NagNews пользователя fhunter в У нага
Не очень. Спектр лицензированный, почти весь. Остаются: 27МГц, 433МГц/900МГц, и гигагерцовые диапазоны. Ловится на раз, триангуляцией. На низких частотах - нужны большие антенны и скорость маленькая. На высоких - ограничения прямой видимости. Ну и есть вопрос как по симплексному каналу связи ходят несколько соединений TCP/IP с современными протоколами. Так что если только через границу так канал кинуть. Но лазерный будет менее наблюдаемым. -
Как будут запрещать VPN
тему ответил в Robot_NagNews пользователя fhunter в У нага
Боже! Сертификат уже содержит открытый ключ. Это фиксированная, высокоэнтропийная строка байт, криптографически связанная с твоим закрытым ключом. *Чем* это грозит, надеюсь, разжёвывать не нужно? Ок. Вот такой-то IP установил с помощью вот этого публичного ключа соединение с другим IP. TLS пока ещё не запрещён. Что из этого можно получить? Кому IP принадлежит и так уже известно. Генерация ключевой пары - дешёвая. На своих соединениях PFS отключать не обязательно. При выдаче ключа - ну сменили и пошли дальше. При невыдаче - частному лицу - 5к штрафа в настоящий момент. Если это частное лицо является распространителем информации в сети интернет. Но да, разжевать. -
Как будут запрещать VPN
тему ответил в Robot_NagNews пользователя fhunter в У нага
Правильно! Правильно! Главное не забывать аутентифицироваться по клиентским сертификатам. Пусть «товарищ Майор» лопнет... Со смеху! И ротацию ключей RFC5077 отключить (или в некоторых случаях и не включать). TLS — вотчина интернет-компаний. TLS разрабатывался Нетскейпом: одной из первых инетрнет-компаний. Он защищает интересы интернет-компаний. Не твои. Блин. 0) адекватные настройки SSL/TLS - это уже по-дефолту. (недефолтные параметры DH, нормальный набор методов шифрования и т.д.) a) да, только vpn-сервер контролируете вы. при других раскладах это совсем не интересно. тем более что для личных целей получается ну совсем дёшево. б1) клиентский сертификат содержать в себе чего либо ценного с точки зрения идентификации вообще не обязан. Вплоть до самоподписанного с левыми данным, лишь бы его сервер на той стороне принимал. б2) ну ок, можно нагенерить таких несколько десятков и периодически их менять. ну увидит "товарищ майор" самоподписанный сертификат с пустыми/левыми полями - что дальше? в) в случае с тоннелем через TLS - клиентский сертификат помогает закрыться от активной атаки - "потыкать палочкой в этот порт - а там точно https как нашлось?" Вопрос был - как замаскировать VPN от DPI. точка. Модель угроз - фильтрация VPN системами DPI, ничего другого описанная схема не решает. Задача - вывести трафик из юрисдикции текущей страны. -
Как будут запрещать VPN
тему ответил в Robot_NagNews пользователя fhunter в У нага
С этим проблем не вообще! DPI решает. Date first seen Duration Proto DPI Proto Flows(%) Packets(%) Bytes(%) pps bps bpp ... 2017-07-06 16:24:58.958 28497.152 any GRE 11394( 0.1) 82.2 M( 0.5) 42.5 G( 0.3) 2883 11.9 M 517 ... 2017-07-06 16:24:58.958 28497.152 any pkt-krb-ipsec 11394( 0.1) 60.9 M( 0.4) 31.3 G( 0.2) 2137 8.8 M 513 ... 2017-07-06 16:24:58.958 28497.152 any openvpn 11394( 0.1) 27.1 M( 0.2) 17.2 G( 0.1) 951 4.8 M 634 ... 2017-07-06 16:24:58.958 28497.152 any l2tp 11394( 0.1) 20.6 M( 0.1) 8.6 G( 0.1) 721 2.4 M 419 ... 2017-07-06 16:24:58.958 28497.153 any ssh 11394( 0.1) 8.9 M( 0.1) 7.0 G( 0.1) 311 2.0 M 789 ... 2017-07-06 16:24:58.958 28497.152 any ipsec-nat-t 11394( 0.1) 8.8 M( 0.1) 5.3 G( 0.0) 308 1.5 M 601 ... И как тогда сделать возможность недетектирование OlpenVPN таким способом? Имитировать обычное HTTPS или TLS соединение? После обмена ключами - делать можно что угодно поверх этого канала. Штатных средств из коробки, насколько я понимаю, (поправьте если не так) в настоящий момент нет. По крайней мере для телефонов. Для компьютера с linux/роутера - можно где-то за час наколхозить из командной строки. PS. https://serverfault.com/questions/675553/stunnel-vpn-traffic-and-ensure-it-looks-like-ssl-traffic-on-port-443 PPS. Но соединение активное и долгоживущее - как сказано в ссылке выше - всё равно детектироваться будет. -
Поэтапное введение "закона Яровой" предложили утвердить решением правительства
тему ответил в Robot_NagNews пользователя fhunter в У нага
Для активного вмешательства в случае TLS 1.3 потребуется закрытый ключ DH и [ключ от SessionTicket или закрытый ключ сертификата]. В случае TLS 1.2 достаточно только актуального ключа от SessionTicket. Прямая секретность идёт лесом в обоих сценариях, но есть важный нюанс: должен быть «заснят» момент хэндшейка. Вообще, давать однозначные оценки было бы немного некорректно. С точки зрения интернет-компаний, безопасность схемы с Session Ticket намного выше: значительно меньше поверхность атаки на долговременный ключ сертификата. Вот только в случае с TLS 1.2 это отключается с клиентской стороны одним флагом, а в случае TLS 1.3 и статического DH, если я правильно понял документацию - нет.Безопасность Session Ticket и долговременный ключ - тут накладываются вопросы оплаты сертификатов и бюрократия на их получание. Короткоживущие ключи, и собственные сертификаты отдельно на каждую машину решили бы проблему. Но Session Ticket - это ещё и сокращение времени на handshake, поэтому с учётом тенденции - "всё через TLS/SSL" - его будут активно продвигать. PS. ИМХО - крупные централизованные корпоративные сервисы не доверены по определению. -
Поэтапное введение "закона Яровой" предложили утвердить решением правительства
тему ответил в Robot_NagNews пользователя fhunter в У нага
А я про то, что ловит именно электронику. Точнее, оно умеет распознавать кремниевые кристаллы, что в чипах. Как делает - а кто его знает. Скорее всего нелинейная реакция на радиоизлучение/переменное магнитное поле. Чудес не бывает - оно не должно убивать электронику при случайном проносе через детектор. Значит все высокоэнергетические штуки идут лесом. Фольги (только замкнутым объёмом) должно хватить чтобы экранировать внешние воздействия. -
Поэтапное введение "закона Яровой" предложили утвердить решением правительства
тему ответил в Robot_NagNews пользователя fhunter в У нага
Я подозреваю, что меньше чем кажется. Вроде бы современные агрегаты на умеют электронику ловить. В магнитике сувенирном из какой-нибудь страны (за магнитом). В пряжках (металлических). В... естественных полостях тела при должной упаковке. Где-нибудь рядом с металлическими деталями чемодана. И т.д. Если будет обёрнуто в фольгу - ловиться как электроника не будет. Как вариант - в аптечке между таблетками чего-нибудь обезболивающего. -
Поэтапное введение "закона Яровой" предложили утвердить решением правительства
тему ответил в Robot_NagNews пользователя fhunter в У нага
https://geektimes.ru/post/290389/ - вам понравится ;-) PS. Запретят телеграмм - будет что-то другое. Я уже кидал ссылку на Briar, который полностью P2P, с синхронизацией через Bluetooth/локальный wifi/Интернет/Tor. Да и кеш браузера тоже. А то вдруг там содержимое запрещённых сайтов ввозится нелегально. И доказывайте что у вас на диске truecrypt контейнеров нет. Или стеганографии какой.PS. Одна microSDXC карточка - до 128Гб (вроде бы). Размер - 1x1.5 см . Внимание вопрос - сколько их можно незаметно провезти? -
Поэтапное введение "закона Яровой" предложили утвердить решением правительства
тему ответил в Robot_NagNews пользователя fhunter в У нага
Ну почему же... Останется добавить уголовную ответственность за отказ выдачи ключей дешифровки по решению суда. И всё. -
Регулирование мессенджеров все ближе
тему ответил в Robot_NagNews пользователя fhunter в Обсуждение контента портала Nag.Ru
А в это время... https://www.nixp.ru/news/14119.html - или - P2P, end-to-end шифрование и код прошёл аудит. Ах, да, ещё и возможность синхронизироваться не только через интернет, но и локально. Ждём других подобных решений. -
Россияне начали подключать ICQ из-за боязни блокировки Telegram
тему ответил в Robot_NagNews пользователя fhunter в Обсуждение контента портала Nag.Ru
Почему, очень даже юзаю. А под дроид, имхо, самый нормальный это Xabber. Он батарейку очень уж жрал, когда я последний раз пользовался. У Conversations беда-беда с BOSH - ну то есть "мы его в принципе поддерживать не будем". А так - очень неплох. -
Ваня, Петя и другие - не страшнее гриппа
тему ответил в Robot_NagNews пользователя fhunter в У нага
Это вы про политики? Это не механизм, это самый примитивнейший костыль, который каждый дурак сможет сделать с таким же эффектом. Это просто записи в реестре. Кто хочет, тот их читает и им подчиняется. Не больше. На эти записи бывает даже сама Майкрософт забивает. Примитивнейший пример: можно запретить устанавливать сетевые принтеры пользователю. Угу. Но если пойти в Help, найти там "как установить сетевой принтер", ткнуть на ссылку и вуаля - всё работает. Есть ещё ACL по правам доступа. Они наследуются - то есть на подкаталог может влиять тот который выше. И флажки: Read & Execute и Read - раздельные. Аналогично там есть прямой флажок запрета этого. Правда, скорее всего обходной механизм в стиле sh /home/user/script.sh найдётся. -
Как будут запрещать VPN
тему ответил в Robot_NagNews пользователя fhunter в У нага
И в нем - TLS соединение до почтового сервера, по которому отсылается PGP зашифрованное письмо. Кто больше (хоть сколько-то осмысленных) слоев придумает? С картинкой со стеганографическим контейнером и с ложным контейнером, который показывается при вводе определённого пароля. И добивание случайным потоком данных до постоянной скорости, чтобы нельзя было проверять - передаётся что-то или нет. -
Ваня, Петя и другие - не страшнее гриппа
тему ответил в Robot_NagNews пользователя fhunter в У нага
Backup на съёмный носитель ущербен по своей сути. ИМХО. Выдернули неудачно этот usb-диск и всё - нет на нём файловой системы, битая она.. и бэкапов тоже нет. Только как один из промежуточных вариантов, для оперативного бэкапа часто меняющихся данных. С более редким бэкапом на сетевое хранилище. -
Как будут запрещать VPN
тему ответил в Robot_NagNews пользователя fhunter в У нага
Ну так - не пользуемся российскими VPN и всё (это если для себя). А какова ответственность за невыдачу/утерю ключей? Если компания вне юрисдикции РФ? -
Домовая борода
тему ответил в Robot_NagNews пользователя fhunter в Обсуждение контента портала Nag.Ru
Ага. Теперь понятнее, а то без комментариев это смотрится просто жутко. Собственно с комментариями тоже, но хотя бы понятнее. -
Как будут запрещать VPN
тему ответил в Robot_NagNews пользователя fhunter в У нага
Из бесплатных - возможно. Из платных, даже с минимальным ценником - не верю. Как уже выше сказали - почти любой хостер прокатывает. А для VPN ресурсов много не надо. -
“Китайский” рейтинг
тему ответил в Robot_NagNews пользователя fhunter в У нага
1. Зачем? Wi-Fi + общий на всех VPN. Белых IP всё равно у сотовых операторов особо нет. Можно случайным образом делить на нескольких VPN-операторов. В крайнем случае можно ещё gps spoofing сделать (причём не обязательно по радио). Или там завязка на SIM ? -
Сети сотовой связи стали технейтральными
тему ответил в Robot_NagNews пользователя fhunter в Обсуждение контента портала Nag.Ru
плевать на потребности 1 гика, не надо выпускать ничего, всё уже есть. Дайте больше рекламы 4 и 5 G А ничего, что вне города покрытие того же 3g - как пятна у леопарда. леопарда-альбиноса. ? -
Как будут запрещать VPN
тему ответил в Robot_NagNews пользователя fhunter в У нага
Забыли ещё расстрел за незаконное производство бумаги - потому как это далеко не rocket science.Ну и да - писать не обязательно на бумаге, некоторые пластики ничуть не хуже. Ой, да, ещё береста/папирус/etc. Так что сразу и чернила с карандашами тоже запрещайте. А что - карандаш острый, им человека убить можно. Только по спец разрешению. Так. Всё, завязываю. Нефиг им давать идеи. -
Домовая борода
тему ответил в Robot_NagNews пользователя fhunter в Обсуждение контента портала Nag.Ru
Да ладно, везде так ( ) Утащено отсюда: http://fixik-papus.dreamwidth.org/60859.html -
Как будут запрещать VPN
тему ответил в Robot_NagNews пользователя fhunter в У нага
Зачем? Это же оружие - сейф для хранения, регулярные проверки СЭС (кухня же - а все санитарные правила соблюдаются?), обязательное предъявление санитарной книжки и справок от психиатра. Ну и лицензия на применение кухонной утвари/готовку. Всё для улучшения вашего уровня жизни. <sarcasm>При спонсорском содействии сети ресторанов "Едим дома".</sarcasm> (Не моё, идея утянута из ЖЖ у vitus-wagner).