• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    LITTLEBOYAnonymita na internetu :: TOR - FREENET - FREEPROXY - ...
    JDEE
    JDEE --- ---
    Dovolim si opdovedet za Inglora2.
    V naproste vetsine pripadu vedi uzivatele, jak spravne volit "hesla" z nichz jsou generovany pomoci SHA-2 klice. V nekterych pripadech se jedna o nase proskoleni. Odhadoval bych to tak na 5:1 ve prospech spravne volby bez proskoleni.
    Samozrejme jsme se setkali i s nazorem, ze celociselne heslo je bezpecnejsi :)
    DANYSEK
    DANYSEK --- ---
    INGLOR2: jak muzes videt delku hesla, kdyz jim nekoukas pres rameno? :)
    btw ale stale neodpovidas na polozenou otazku, zda jde o vliv vaseho proskoleni ci o jejich common praxi... to je u akademiku normalni? :)
    INGLOR2
    INGLOR2 --- ---
    Danysek: nekoukám klientům přes rameno a jejich hesla neznám, ale stačí vidět, jakou mají délku, a slyšet dotazy typu "mohu použít složené závorky, křížek, hvězdičku" etc.
    DANYSEK
    DANYSEK --- ---
    INGLOR2: cimz neodpovidas na otazku... zda jde o bezprostredni vliv proskoleni... nebo o jejich obvyklou praxi... :) Ostatne, pokud rikas, ze Vasim klientum zalezi na bezpecnosti, pak me vcelku udivuje ze mate prehled o heslech klientu... prece kdyz zadavam heslo, tak nenecham nikoho koukat pres rameno :)
    INGLOR2
    INGLOR2 --- ---
    Danysek 18.42 a 18.06: pohybuješ se v jiném prostředí. Tví uživatelé jsou lidé, kteří bezpečnost podceňují a hesla volí blbě proto, že je v zásadě považují za nadbytečná. Naši klienti jsou lidi, kteří jsou si hodnoty své bezpečnosti vědomi natolik, že jsou ochotni za ni platit. Pak by byli sami proti sobě, kdyby si u zakoupeného programu volili špatná hesla.
    Zatím jsem neviděl žádného zákazníka, který by volil špatné heslo.
    REDTIME
    REDTIME --- ---
    JESSE_MORENO: heh mno nevim zda u tohle je nejake realne vyuziti. I kdyz mozna je to jen prvni krucek ......
    JESSE_MORENO
    JESSE_MORENO --- ---
    MobSpy – mobilní odposlech vás nenechá spát
    Autoři serveru :-)mojelogo připravili několik novinek a mezi nejzajímavější patří aplikace MobSpy určená k mobilnímu odposlechu. Článek na Mobilmanii
    DANYSEK
    DANYSEK --- ---
    JDEE: kdyz spousta lidi nema tu trpelivost ani na normalni klavesnici... tak na mobilech to bude jeste horsi :)
    JDEE
    JDEE --- ---
    Pamatovat si musis pouze heslo k aplikaci nikoliv klice pro sifrovani zprav (ty jsou ulozene a zasifrovany hlavnim heslem aplikace). Staci mit tedy dost trpelivosti pro zadavani jednoho hesla(aplikace) a dobre nastavit klice (ktere samozrejme stejne jako heslo aplikace muzes menit s frekvenci umernou sve paranoii :))) ).
    Nedelam si samozrejme iluze o tom, ze by nase aplikace zvysila IQ jejich uzivatelu, ale ze jsme vytvorili AI jsme snad nikdy netvrdili :))))
    TANTRAMAN
    TANTRAMAN --- ---
    po pravdě, nejlepší správce má být chorobný paranoik. takovej ten na psychiatra co má i speciální zámky na dvěřích :-))) a uživatelům se z principu nevěří.
    DANYSEK
    DANYSEK --- ---
    JDEE: Nepodcenuju, vychazim z praxe (svoji). Mam v tomto smeru urcite osobni ne zrovna dobre zkusenosti (od armady az po male firmy; hesla ktera lidi voli na serverech [nekdy i radove tisice uzivatel v databazi]), to co bylo obcas k videni bylo otresne. Holt mas zatim pozitivnejsi zkusenosti - je otazkou, zda jde u tebe o bezprostredni vliv proskoleni (tise predpokladam, ze u placenych instalaci na vysvetlujete dulezitost hesla a zpusob jeho volby), nebo ta hesla lidi voli skutecne sami a dobrovolne (a jestli se treba po chvili sloziteho zadavani nena*erou a nezmeni si to, lidska lenost je *****).

    Ze jste s Inglorem oba spise optimisti vim a je to poznat i tady... :) ja jsem holt ponekud vice paranoidni a mene optimisticky, zejmena pokud jde o bezne uzivatele ci prohlaseni vladnich organizaci USA :-) Ja bejt Krejcirem tak neverim nicemu... :)
    JDEE
    JDEE --- ---
    Mozna, ze dost podcenujes pripadne uzivatele. Zatim se prodalo nejvic nejdrazsich licenci tj. licenci, ktere instalujeme a uzivatele zaskolujeme. Koutkem oka jsem zahledl volbu hesel. Nikdo nevolil hesla kratsi deseti znaku a vsichni pouzivali mala(velka) pismena, cislice a specialni znaky.
    Nemyslim si, ze vyvolavame falesny pocit bezpeci. Kdyby chtel aplikaci pouzivat Bin Laden :) asi bych ho upozornil, ze v jeho pripade ji duveruji tak na 85% . V pripade Krejcire bych nasi aplikaci duveroval zcela.
    Shrnuti: Krajne podcenujes uzivatele
    Nikdo neni neomylny. Nic neni 100%, ale s tim je nutne se smirit.
    DANYSEK
    DANYSEK --- ---
    JDEE: Nemci take nepredpokladali, ze jejich nepritel vi, jak na enigmu. A samozrejme nepritel nikde nevytruboval, ze vi, jak desifrovat (naopak se to silne tajilo). To je vec, o ktere mluvim - na jedne strane existoval pocit, ze sifra je dokonala (na pozici nemcu dosad NSA) a na druhe strane nekdo v klidu louskal (rusaci, cinani, nekdo jiny?)... kdo vi, ze nevis ty ani ja prece nic neznamena :-) Pripad enigmy se v historii mnohokrat opakoval (presvedcovani o tom, ze nejaka sifra je bezpecna... a jeji nasledne prolomeni), a to vcetne sifer doporucovanych NSA...
    Vsimni si, ze nikde nerikam, ze sifrovat se nema. Jen tu vyvracim falesny pocit bezpeci, ktery se tu snazite navodit v lidech, kdyz 'NSA to prece doporucuje'. Ani NSA neni dokonala a neomylna. A udivuje mne, ze ty (profesional v oboru kryptologie) jim tak bezmezne duverujes ;-)
    JDEE
    JDEE --- ---
    DANYSEK: V podstate rikas vse je marnost ;) . Nac nabizet zamky, kdyz lide kupuji spatne dvere, ci nezaviraji okna :))) . ZRUSME PRODEJ ZAMKU! NEZAMYKEJME!
    Nic neni dokonale krome Boha ;) . Nicmene my zijeme v tomto svete.
    Jestlize NSA predpoklada, ze AES chrani statni tajemstvi dost pred Rusy ci Cinany, myslim, ze je dost bezpecne i pro nase potencialni zakazniky.
    Nikdy jsme netvrdili, ze kdyz si koupis nasi aplikaci bude z Tebe Superman.
    Mozna nase tvrzeni vyvolavaji mylny dojem pouze v Tobe. Promin.
    DANYSEK
    DANYSEK --- ---
    INGLOR2: no, ale vase prezentace je udelana tak, ze ochrani kazdeho (pesaka i generala) a ona to byt pravda nemusi a o tom vedeme diskuzi :)

    Ze dosud nikdo verejne nepublikoval prolomitelnost nejake sifry (potazmo ze Ty o zadnem zpusobu nevis) neni prece garanci neprolomitelnosti a neexistence nejakeho slabeho mista.
    Nerikam, ze NSA produkuje slabe sifry, rikam je tolik, ze neni 100% jistota, ze NSA ci nekdo dalsi nedisponuje nejakym zpusobem, jak se prolomit - prave proto, ze my nevime co se za jejich zdmi deje.

    Ostatne proc by nekdo verejne publikoval takovou vec? To je jednodussi vse chvili tutlat a ve statnim tajemstvi US se naopak hrabat :-) [myslis ze ve valce valecnik verejne prozradi, ze rozlustil sifru nepritele??].

    Stejne tak nikdy nevis, kdo je tvym protivnikem. Tvrdit, ze obycejny novinar/obchodnik/politik je nezajimavy cil je trosku zvlastni a odvazne - nebo ty dokazes ohodnotit jakoukoliv informaci kdo ma a jaka je jeji cena pro potencialniho nepritele, tzn. kolik bude ochoten nepritel vynalozit usili a prostredku k jejich ziskani (a jaka rizika bude ochoten podstoupit)?

    Obavam se, ze vetsina 'normalnich' lidi (na ktere je Vas produkt cilen) ani nedokaze posoudit rizika, ktere jim eventuelne hrozi... a produkt v nich vyvola jen mylny pocit absolutniho bezpeci (sifrujte a nikdo vas uz neodposlechne), a to i presto ze pouzita hesla budou stat za h***o. Ackoliv doporuceni na tema volby hesel existuji uz pekne dlouho a porad se dokola omilaji, tak nakonec lidi volej takovy... no nebudu sprostej :) A to bez ohledu na jejich postaveni (dulezitost chranenych informaci).
    JESSE_MORENO
    JESSE_MORENO --- ---
    Odposlech
    Podle jednoho zdroje vzrostl počet odposlechů z 1336 případů v roce 2000 na 5015 případů v roce 2003. Podle nulové reakce veřejnosti včetně právnické, snad s výjimkou Nejvyššího státního zastupitelství, na informace o enormním nárůstu telefonních odposlechů lze soudit, že obecně je odposlech vnímán jako rutinní policejní opatření, cosi jako silniční kontrola nebo výslech svědka.Clanek na Pravnim Radci
    INGLOR2
    INGLOR2 --- ---
    Danysek:
    musis pocitat s tim, ze protistrana pouzije vsech moznych (i nemoznych) prostredku, aby se k pozadovanym informacim dostala

    Nemá smysl uvažovat o bezpečnosti bez nějakého kontextu. Jakýkoliv bezpečnostní produkt je bezpečný jen proti nějakým konkrétním způsobům útoku, a jen při správném použití. Je na člověku, aby posoudil, jaké útoky mu nejvíce hrozí, a kdo je jeho protivník.

    Příklad z reálného života: neprůstřelná vesta tě ochrání před zásahy palbou lehčí ruční zbraní do trupu za předpokladu, že si ji oblečeš. Vůči zásahu Tomahawkem nebo přejetí tankem ovšem nemá žádný efekt, akorát vzniklé kašovité s---ky váží o pár gramů více a hoří trochu jiným plamenem.

    Přesto v situaci, kdy se musíš pohybovat po bojišti, si tu neprůstřelnou vestu vezmeš. Dost podstatné procento úmrtí je totiž způsobeno právě palbou z příručních zbraní. Na normálního vojáka či důstojníka nebude nepřítel plýtvat ani Tomahawkem, ani tankovou rotou. Pokud jsi ovšem čtyřhvězdička z generálního štábu, je jasné, že ochranná opatření se nezastaví jen u vesty; na takového člověka se vyplatí vysadit i speciální komando.

    Totéž se týká software a světa sítí.

    Pokud pašuješ obohacený uran, půjdou ti po krku tajné služby všech států a vynaloží ohromné úsilí na tvoje usvědčení, což znamená, že tvoje obytné prostory a auto budou prošpikovány štěnicemi a je možné, že si někdo dá i to úsilí odcizit ti nenápadně telefon. V takovém případě je ti ovšem PGP nebo SMS 007 nebo cokoliv jiného nanic, protože stejně dříve nebo později řekneš něco nahlas apod.

    Na druhou stranu, pokud jsi normální byznysmen, politik nebo novinář, tvoji protivníci nebudou mít obvykle prostředky k takovým aktivním útokům, jako kdybys byl pašerák uranu. Jednak se taková akce prodraží, jednak míra rizika při prozrazení obvykle neopodstatní výsledek. Kdykoliv nějaká vysoce postavená osoba pojme podezření, že je sledována, nastává peklo v médiích, paranoia populace se zvyšuje a to lidem, zabývajícím se šmírováním, nepřidává klidu v práci. Proto je naprostá většina útoků proti soukromí lidí pasivních - tj. prostý odposlech.

    Ad vytýkaný fakt - ten je docela dobře vyvážen snadnou změnou klíčů. Není potíž si co tři týdny změnit se svým partnerem šifrovací klíče; ba není potíž to učinit každý den, když jsi hodně paranoidní. V takovém případě, i když dojde k úspěšnému aktivnímu útoku a někdo se dostane ke tvé současné klíčence, bude mu platná jen pro tu komunikaci, kterou jsi uskutečnil s momentálním klíčem. Naproti tomu častá výměna X-509 certifikátů či PGP klíčů je dost nepohodlná, vzniká z ní parádní chaos (lidé píšou na staré klíče apod.)

    Pokud vím, soutěž o AES byla vypsána s tím, že výsledný algoritmus musí být optimální z hlediska parametrů bezpečnost+rychlost+snadnost implementace. U žádného z finalistů se neukázaly žádné bezpečnostní potíže, tudíž by z hlediska bezpečnosti měly být všechny plus mínus stejné: nejlepší cesta k jejich zlomení by měl být bruteforce na klíče. Naproti tomu jejich rychlost a snadnost implementace se dost lišily, a proto byl vybrán Rijndael.

    Samozřejmě nevíme, co se děje za zdmi NSA. Avšak stejně tak NSA neví, co se děje za zdmi tisíců univerzit po celém světě, ve kterých sedí různí matematičtí geekové a luští a luští. Svého času NSA změnila definici algoritmu Lucifer, čímž vznikl DES. Bylo kolem toho hodně povyku, a mnoho lidí se domnívalo, že jde o úmyslné oslabení algoritmu, aby se dal snáze lámat. Nakonec se však ukázalo (1991), že šlo naopak o posílení algoritmu proti diferenciální kryptoanalýze, kterou tehdejší civilní svět neznal (míněno koncem 70.let), a kterou v roce 1991 publikovali Izraelci.

    Má soukromá domněnka je, že NSA neprodukuje slabé šifry, respektive šifry se skrytými vrátky. Hovoří pro to skutečnost, že lidé v NSA musejí sloužit především americkým státním zájmům, a není v americkém státním zájmu používat pro vládní a diplomatickou korespondenci oslabené šifry. Jak Číňané, tak Rusové, tak třeba Izraelci mají velmi dobré matematiky, a možnost, že by některá z těchto stran na zadní vrátka přišla a potom se pásla na tajných údajích USA dle libosti, musí být pro Američany naprosto děsivá. Kdybych byl odpovědným činitelem, nedal bych jí šanci - i kdybych věděl, že mi kvůli tomu unikne korespondence nějakých mých protivníků. Na protivníky můžu nasadit fyzický odposlech, zrádnou sekretářku, falešné spojence - skoro nepřeberné množství prostředků - ale co si počnu, když mi někdo prorazí šifru, pomocí které tajně komunikuji se svými lidmi, a já se to ani nedozvím??
    JESSE_MORENO
    JESSE_MORENO --- ---
    Státní zástupkyně měla ve svém domě odposlech
    Šéfka Okresního státního zastupitelství v Domažlicích Helena Raková měla ve svém domě funkční odposlech . Přestože štěnici v elektrické zásuvce u televize odhalil už před dvěma lety její osmadvacetiletý syn, policisté od samého počátku vyšetřování uvalili na případ přísné informační embargo. Clanek na Novinkach
    DANYSEK
    DANYSEK --- ---
    INGLOR2: no porad jsme u toho naslouchajiciho nepritele... musis pocitat s tim, ze protistrana pouzije vsech moznych (i nemoznych) prostredku, aby se k pozadovanym informacim dostala. Tzn. pocitat i s tim, ze odposlouchajici se bude snazit nejakym zpusobem ziskat telefon, aby se dostal ke komunikacnim heslum (predpokladame, ze ono hlavni heslo bude 'user/keyboard-friendly'; coz je trend pozorovatelny na vetsine normalnich lidi... bohuzel). Stejne je to s obmenou hesel - malokdo hesla meni sam a dobrovolne, naopak casto byvaj problemy i s systemem 'vynucenou' zmenou, a to presto ze chranis citlive udaje (bohuzel, opet praxe). Jedna z veci, kterou muze clovek hned vytknout je fakt, ze ziskanim telefonu z jedne strany po prolomeni hlavniho hesla mam klic k obousmerne komunikaci dvou lidi.
    To 'davno vi' implikuju z informaci, ktere jsem vycetl z dokumentu, ktere popisuji proces vyberu pro us.gov (link uz nemam, je to dyl). Explicitne tam je uvedeno, ze kvalita (nerozlousknutelnost) nebylo jedine kriterium, dalsim byla i rychlost algoritmu / moznost hw implementace... s tim, ze parametry vitezneho algoritmu z pohledu bezpecnosti sice nejsou nejlepsi, ale dlouhodobe _postacuji_. Kde mas 100% garanci, ze doporuceni vladni organizace v pozadi neskryva nejaky utajovany nastroj na rozlousknuti (lidi at to pouzivaj s pocitem superbezpeci, ale na nas =us.vladu si neprijdou)? Uz jen fakt, ze se nedoporucuje to nejsilnejsi co existuje me nuti zpozornet... a ze neexistuje zatim zadny realny (=verejne popsany) utok nic neznamena - i v mnohem banalnejsich vecech existuje hromada veci, co dokumentovana z ruznych duvodu neni. Prodat neco vlade za slusnej peniz muze byt 'vyhodnejsi', nez to verejne vykricet do internetu... a mit z toho h***o (pardon, dobre jmeno).

    Ber to tak, ze kdyz me o necem bude presvedcovat vladni organizace USA, tak tomu moc verit nebudu - z principu, na lhani jsou to experti :-)
    JDEE
    JDEE --- ---
    ZVIRATKO: Projekt TOR jsem neznal, ale nad necim podobnym uvazujeme ...
    Kliknutím sem můžete změnit nastavení reklam