Может дать ZoldBerger у дадите возможнсть высказаться?

← →
Dmitry S © (2008-01-17 15:52) [120]

Я разок сайт снес с хостинга. Я не закрывался вообще никак. Так вот нашли меня на следующий день, и хотели выдвинуть обвинение. Но внятного доказательства того что это сделал именно я они не предоставили. На каждый их вариант я находил объяснение. И тем не менее готовы были меня осудить

← →
Rouse_ © (2008-01-17 15:53) [121]

> Шифрование нужно, чтобы не узнали, что я через прокси в
> Гватемале соединяюсь

Шифрование нужно чтоб ты думал что никто не знает что ты соединяешся через прокси в гватемале.

← →
@!!ex © (2008-01-17 15:53) [122]

> [119] Marser © (17.01.08 15:52)

спор о том, возможна ли полная анонимность...

← →
ketmar © (2008-01-17 15:53) [123]

>[119] Marser ©(17.01.08 15:52)
>Объясните танкисту, что произошло?
обычный трепологический флэйм. %-)
так как древовидности в форуме нет, то тут параллельно обсуждается 3 или 4 темы. ну, как всегда. %-)

← →
Kerk © (2008-01-17 15:56) [124]

> Rouse_ © (17.01.08 15:51) [117]
> Если нужно будет тебя взять за задницу, поверь - тебе ни
> SSL с ключем в мегобайт ни дружественная Зимбабва не помогут.

Если нужно будет, то вообще ничего не поможет. И шифрование тут не причем.

> Не уж-то ты думаешь что там работают люди глупее тех, которые
> разрабатывали протоколы безопасности?

Видимо там работают самые умные люди в мире, иначе бы давно кто-то кроме них увидел уязвимости и предложил переделать.

Какая милая и наивная вера во всесилие органов :)
То-то они Бен Ладена до сих пор ловят и многих других

← →
Marser © (2008-01-17 15:56) [125]

> @!!ex © (17.01.08 15:53) [122]
> > [119] Marser © (17.01.08 15:52)спор о том, возможна
> ли полная анонимность...

Ну уж давать постить незарегистрированным точно не надо...

← →
antonn (work) (2008-01-17 15:56) [126]

так просто чтоб "вот рррраз - и нашли" не бывает. тем более кому тут нужны на дельфимастере, чего тут ломать то))) в каком году хоть того парня ловили, что пытался поломать и его вычислили?

← →
oxffff © (2008-01-17 15:57) [127]

> ketmar © (17.01.08 15:43) [104]
> >[95] Rouse_ ©(17.01.08 15:39)
> я бы хотел посмотреть, как Раймонду доказывают, что раз
> он хакер, то это значит, что он занимается взломами.
> %-)

Что я не понял, почему активность на уровне сети, а именно использование брешей системе, протоколе, алгоритме, перехват и подмена трафика не относиться к деятельности хакера?

← →
Kerk © (2008-01-17 15:57) [128]

> Rouse_ © (17.01.08 15:53) [121]
>
> > Шифрование нужно, чтобы не узнали, что я через прокси
> в
> > Гватемале соединяюсь
>
> Шифрование нужно чтоб ты думал что никто не знает что ты
> соединяешся через прокси в гватемале.

У тебя какие-то аргументы кроме "милиция всесильна потому что она милиция" есть? Я тебе в течении ветки свою логику по полочкам разложил. Уязвимых мест в ней нет. Мне повторить все заново?

← →
@!!ex © (2008-01-17 15:58) [129]

> [126] antonn (work) (17.01.08 15:56)

точно больше двух дет назад... потомчто я такого не помню. :)

← →
ketmar © (2008-01-17 16:00) [130]

>[127] oxffff©(17.01.08 15:57)
не понял — учись. я тебе не репетитор. почитай хотя бы тексты Столлмана, Раймонда и Линуса.

блин, всякихразных «журналистов» надо подвешивать на фонари за шеи или половые органы. загадили моск людям, и теперь сии люди доказывают, что они лучше самих хакеров знают, что хакеры делать должны.

← →
Ins © (2008-01-17 16:02) [131]

> У тебя какие-то аргументы кроме "милиция всесильна потому
> что она милиция" есть?

Она не всесильна. Но уж с кульксакепом-выскочкой, который знает SSL, думаю справится если захочет, иначе грошь ей цена )))

← →
oxffff © (2008-01-17 16:02) [132]

Удалено модератором
Примечание: Китайское предупреждение №2

← →
Rouse_ © (2008-01-17 16:03) [133]

> Уязвимых мест в ней нет. Мне повторить все заново?

Да, повтори пожалуйста, с приведением математических выкладок, которые ты сделал, изучив этот протокол, выступая в качестве серцифицированного криптоаналитика :) О том что там нет брешей - тебе тоже кто-то сказал и ты поверил на слово? :)

← →
oxffff © (2008-01-17 16:08) [134]

> oxffff © (17.01.08 16:02) [132]
> Удалено модератором
> Примечание: Китайское предупреждение №2

Давай бань. Зачем предупреждаешь?
Покажи справедливость.

← →
Kerk © (2008-01-17 16:09) [135]

> Rouse_ © (17.01.08 16:03) [133]

В процесс SSL рукопожатия входят следующие этапы: 1.Клиент посылает серверу версию своего SSL протокола, криптографические настройки и другие данные, которые необходимы серверу для взаимодействия с клиентом с использованием SSL протокола. 2.Сервер посылает клиенту версию своего SSL протокола, криптографические настройки и другие данные, которые необходимы клиенту для взаимодействия с сервером посредством SSL протокола. Сервер также посылает свой сертификат и, если клиент запросил область ресурсов сервера, для обращения к которой необходим сертификат со стороны клиенты, сервер посылает запрос на сертификат клиента. 3.Клиент использует информацию, принятую от сервера, чтобы аутентифицировать сервер(см. п. 3.2. Аутентификация сервера). Если сервер не может быть аутентифицирован, пользователь информируется о том, что защищенное соединение не может быть установлено. Если сервер успешно аутентифицирован, клиент переходит к этапу 4. 4.Используя все сгенерированные до этого этапа данные, клиент(в зависимости от выбраного метода шифрования) создает предварительный секретный ключ сеанса(pre-master secret), шифрует его открытым ключом сервера(полученным из сертификата сервера, который был послан на этапе 2) и посылает его серверу.

ну и т.п.
http://66.102.9.104/search?q=cache:nxiI-J0msMwJ:www.re.mipt.ru/infsec/2007/essay/2007_SSL_secure_communications_on_the_Internet__Zhelnin.pdf+SSL+%D0%BF%D0%B5%D1%80%D0%B5%D0%B4%D0%B0%D1%87%D0%B0+%D0%BA%D0%BB%D1%8E%D1%87%D0%B0&hl=en&ct=clnk&cd=4

См мое выделение. Нужно объяснять, что не имея закрытого ключа сервера (а где его взять?), НИКТО не сможет получить ключ сеанса?

Чтобы иметь закрытый ключ сервера, нужно иметь сертификат сервера. Сертификаты выдаются центром сертификации (работа, которого держится на доверии к нему) и приписываются к конкретному домену.

Чтобы расшифровывать в реальном тайме весь трафик проходящий через "шкаф", нужно иметь ВСЕ реальные сертификаты выданные центром сертификации (который представляет собой иностранную коммерческую организацию).

Технически это реализуемо, НО! Я повторюсь, работа центра сертификации держится на доверии. Первый же пойманный с помощью расшифровки трафика, напишет об этом в газету. Мне нужно рассказать как быстро эта инфа распространится по инету и куда сможет засунуть доверие к себе центр сертификации?

---
Где тут бреши? Или тебе сказали и ты поверил на слово? Вроде не маленький уже.

← →
DVM © (2008-01-17 16:11) [136]

Все таки вера во всесилие КГБ, а теперь ФСБ крепко была вбита в головы советских, а теперь российских граждан. Даже сами ФСБ шники стали верить в то, что они некое подобие эльфов, обладающих скрытым знанием.
Пресловутая, СОРМ кстати, профанация и существует больше на бумаге, для отчетности.

← →
clickmaker © (2008-01-17 16:11) [137]

> Первый же пойманный с помощью расшифровки трафика, напишет
> об этом в газету

он же уже на лесопилке будет, как напишет? )

← →
Rouse_ © (2008-01-17 16:11) [138]

> НИКТО не сможет получить ключ сеанса?

Еще раз повторяю - прозрачный MITM все умеет :)

← →
Dmitry S © (2008-01-17 16:13) [139]

Да опять же, если и нашли когото когдато не факт, во-первых, что нашли виновного, а во-вторых, не факт, что нашли НЕ случайно :)

Простейший способ. Делается программа которая делает гадости. И при этом может копироваться на флешки и стартоваться с них автораном. Закидывается комунить, а затем распространяется в течении месяца к примеру. А затем запускается на выполнение вредоносного кода, и фсё:)

Блин да способов получить анонимность море, главное успеть сделать гадость:) А SSL действительно дает возможность защищать трафик. ИМХО глупо тут спорить. Одно дело, когда подменяют ключ какому нить овощу, простите, другое дело, когда это делают компутерному хулигану, который сразу заподозрит чтото неверное. К тому же посмотреть открытый ключ какого либо сервера можно попросить когонить. А затем сравнить.

← →
Kerk © (2008-01-17 16:13) [140]

> Rouse_ © (17.01.08 16:11) [138]
> > НИКТО не сможет получить ключ сеанса?
>
> Еще раз повторяю - прозрачный MITM все умеет :)

Ты пойми. Расшифровать ключ сеанса можно только при наличие закрытого ключа, который есть только у того, у кого есть сертификат (а проблемы с его получением кем-то кроме владельца сервера я описал выше). Ну или еще брутфорсом, что нереально.

← →
Ins © (2008-01-17 16:14) [141]

1. Центр располагает данными о своих клиентах?
2. Центр выдаст эти данные по требованию органов государственной (или международной) безопасности?

← →
Rouse_ © (2008-01-17 16:14) [142]

> А SSL действительно дает возможность защищать трафик

Нет, сервер - это просто железяка и ПО. Все запросы направляются в закрытую песочницу в т.ч. и верификация и т.п. - все шаги будут сделаны так что даже не поймешь, особенно если за тебя уже взялись :)

← →
oxffff © (2008-01-17 16:15) [143]

> Где тут бреши? Или тебе сказали и ты поверил на слово? Вроде
> не маленький уже.

Ключевой момент здесь сертификат, который имеет прододжительность действия. Осталось дождаться окончания его действия, либо вынудить получить новый. А далее внимательно прослушивать трафик.
Еще есть моменты о которых не будет написано в книгах Брюс Шнайер.

← →
Kerk © (2008-01-17 16:16) [144]

> Ins © (17.01.08 16:14) [141]
> 2. Центр выдаст эти данные по требованию органов государственной
> (или международной) безопасности?

Если и так, то очень сомневаюсь, что центру есть какое-то дело до иностранных (ФСБ) органов безопасности.

← →
Rouse_ © (2008-01-17 16:18) [145]

> Расшифровать ключ сеанса можно только при наличие закрытого
> ключа

Это ты не понял, МИТМ - это когда я с твоей стороны представляюсь сервером а серверу тобой используя все данные отправленные тобой и сервером. Помнишь фильм комедию - там два шулера нагревали всех на деньги (одна была женщиной), забыл название фильма. Там она играла против двух шахматистов в разных комнатах, и когда получилось что ничью с обоими сделала. В итоге она просто ходила от комнаты к комнате и повторяла их ходы и получилось что они друг с другом играли.

← →
Kerk © (2008-01-17 16:18) [146]

Я еще раз повторю. Работа центра держится на доверии к нему. Информация о выдачи сертификатов кому-либо это доверие сразу подорвет (а факт выдачи обязательно всплывет, тем более если случай выдачи не единичный).

← →
oxffff © (2008-01-17 16:19) [147]

> Rouse_ © (17.01.08 16:18) [145]

Если наступит завтра.

← →
Kerk © (2008-01-17 16:19) [148]

Rouse_ © (17.01.08 16:18) [145]

> Это ты не понял, МИТМ - это когда я с твоей стороны представляюсь
> сервером а серверу тобой используя все данные отправленные
> тобой и сервером.

Ты по-моему не читаешь мои посты. Ты не сможешь представиться для меня сервером. У тебя нет подписанного центром сертификации сертификата, который привязан к имени домена того сервера, куда я обращаюсь.

> Kerk © (17.01.08 16:16) [144]

Керк, этот центр крышует государство (или международные организации) - они дали возможность ему существовать (иначе он был бы вне закона), и если что-либо угрожает безопасности - они с него и спросят, имеют полное моральное право.

лано, работать нужно - вечерком доспорим а то не успеваю с этим спором блин...

MITM - Не вариант, поскольку это случай, когда органы уже знают за кем охотяться.
О какой анонимности тогда речь вообще?

> @!!ex © (17.01.08 16:21) [151]

Розыч утверждает, что "шкаф" стоящий у провайдера охотится сразу за всеми в реальном времени. Наивная вера в всесилие органов :)

> Я еще раз повторю. Работа центра держится на доверии к нему.

Работа любой (коммерческой или некомерческой) организации держится на доверии к ГОСУДАРСТВУ в первую очередь, которое заботится об этой организации, предоставляет ей возможность существовать и развиваться. Так что спрятать от "папочки" что-либо, при желании государства, любая организация ничего не сможет.
То же самое с отдельно взятыми лицами. Будучи гражданами, они полностью доверяют государству, которое дает им возможность дышать и кушать. Государство не даст им ничего от себя спрятать, если оно будет в этом заинтересовано.

Да кстати, вот что об этом пишет Шнайер:
http://www.schneier.com/blog/archives/2007/12/maninthemiddle.html
И там еще ссылочки есть. Я как то Шнайеру больше доверяю чем тебе Ром :)

> охотится сразу за всеми в реальном времени.
насколько помню, о реальном времени ничего не было как и о всех, срок был от 3 до 7 дней с момента заявлению. (т.е. по одному и в указанный срок)

> DVM © (17.01.08 16:11) [136]
> Все таки вера во всесилие КГБ, а теперь ФСБ крепко была
> вбита в головы советских, а теперь российских граждан. Даже
> сами ФСБ шники стали верить в то, что они некое подобие
> эльфов, обладающих скрытым знанием.

Веришь, нет - примерно то же я говорил по поводу этой темы Керку в аське 20 минут назад :-)

> Rouse_ © (17.01.08 16:25) [155]

Approximately 100% of all SSL MITM attacks are trivially detectable if the user"s software isn"t incompetent, and the users themselves aren"t asleep at the keyboard. (с) оттуда же

Может дать ZoldBerger у дадите возможнсть высказаться? Найти похожие ветки