Topic: Сетевая безопасность для новичков (Read 18761 times)
Спасибо , полезно и актуально !
~
Я на днях летел из Москвы и в Шереметьево при прохождении погран контроля меня попросили включить телефон, немного ёкнуло в душе, но пограничник лишь глянул, что он включился и сказал проходить дальше. Зачем это было так и не понял.
Я на днях летел из Москвы и в Шереметьево при прохождении погран контроля меня попросили включить телефон, немного ёкнуло в душе, но пограничник лишь глянул, что он включился и сказал проходить дальше. Зачем это было так и не понял.
Как правило - это очень простая проверка на то, является ли телефон - телефоном, а ноутбук - ноутбуком.
При просвете виден только предмет, на входе в аэропорт.
Но если проверить, что внутри ноутбука заложено что-то очень не хорошее, то его просят включить. Причем да, таможеннику достаточно увидеть, что устройство - работает. И эта практика не только в РФ.
Но не 100%, бывает, что такой проверки нет.
Интересная статья
" Мой мобильный телефон хотят досмотреть. Как защитить криптовалютный кошелек и другую информацию"
Автора не нашла, по плагиатам ищется только пару форумов. Чтение на одном форуме доступно без регистрации.
https://moneymaker.hk/teoriya-i-praktika-aib-131/moi-mobil-nyi-telefon-hotyat-dosmotret-kak-zaschitit-kriptovalyutnyi-koshelek-i-druguyu-informaciyu-32363/#post211137
https://wwh-club.net/index.php?threads/moj-mobilnyj-telefon-xotjat-dosmotret-kak-zaschitit-kriptovaljutnyj-koshelek-i-druguju-informaciju.150386/
" Мой мобильный телефон хотят досмотреть. Как защитить криптовалютный кошелек и другую информацию"
Автора не нашла, по плагиатам ищется только пару форумов. Чтение на одном форуме доступно без регистрации.
https://moneymaker.hk/teoriya-i-praktika-aib-131/moi-mobil-nyi-telefon-hotyat-dosmotret-kak-zaschitit-kriptovalyutnyi-koshelek-i-druguyu-informaciyu-32363/#post211137
https://wwh-club.net/index.php?threads/moj-mobilnyj-telefon-xotjat-dosmotret-kak-zaschitit-kriptovaljutnyj-koshelek-i-druguju-informaciju.150386/
Я на днях летел из Москвы и в Шереметьево при прохождении погран контроля меня попросили включить телефон, немного ёкнуло в душе, но пограничник лишь глянул, что он включился и сказал проходить дальше. Зачем это было так и не понял.
Вот здесь неплохая весьма полезная статья про то, как грамотно хранить свои сид фразы: https://dcntr.org/encrypted-seed-phrase
В первом посте мы рассмотрим безопасность DNS на стороне клиента. Итак. Поехали!
Некоторые вирусы(или шаловливые руки техников, что смотрели ваш комп) меняют настройку протокола TCP/IP в OS Windows дописывая туда левый DNS
Для чего это делается?
Чтобы ничего не подозревающий пользователь введя(правильно введя) необходимое имя сайта в адресной строке браузера попал на фейковый ресурс и слил свои данные.
Некоторые вирусы(или шаловливые руки техников, что смотрели ваш комп) меняют настройку протокола TCP/IP в OS Windows дописывая туда левый DNS
Для чего это делается?
Чтобы ничего не подозревающий пользователь введя(правильно введя) необходимое имя сайта в адресной строке браузера попал на фейковый ресурс и слил свои данные.
Добавлю вариант. Отживающий, но тем не менее.
Стоит у вас, например, старая программа, которая проверяет обновления для себя по незашифрованному соединению, которые уже давно не выходят. И прописывают вам хакерский сервер в настройках DNS. А этот сервер такую программу хорошо знает и с удовольствием подсоввывает вам "обновление".
Ещё вариант. Прописывают вам хакерский сервер в настройках DNS. Он просто раздаёт вам правильные адреса, но! Отслеживает, куда вы ходите в интернете. А это ооочень плохо, потому что зная ваши интересы и привычки намного проще становится подловить вас на фишинговое письмо с вредоносным вложением.
Ещё вариант, аналогичный приведённому примеру со старой программой, но намного хуже:
"Исследователи извлекли из коробки только что купленный ноутбук ASUS, запустили Windows, а затем – с помощью другого компьютера – для начала с помощью Computrace дистанционно активировали на новом ноутбуке веб-камеру, после чего сделали и кое-что посерьезнее, инициировав процедуру полного уничтожения файлов с общей зачисткой диска на машине. Все это вредительство, подчеркнем, было сделано благодаря слабостям «законного шпиона» – перехватом незашифрованных сетевых пакетов и отправкой обратно нужных инструкций, имитирующих команды легитимного сервера Computrace."
Источник: https://kiwibyrd.org/2014/05/17/145/
Не знаю поднималась ли данная тема но я думаю стоит отнести к сетевой безопасности. Т.к настройки в виде смс действительно приходят и не многие заморачиваются откуда они.
Компания Check Point Research обнаружила уязвимость, которая затрагивает большинство популярных смартфонов на Android - таких, как Huawei, Samsung, LG, Sony и ряда других.
Исследователи утверждают, что злоумышленники могут завладеть доступом к электронной почте, отправив на смартфон всего лишь одно SMS-сообщение, аппарат при этом может даже не быть подключен к сети Wi-Fi.
Атака происходит следующим образом. На смартфон приходит SMS с настройками параметров, которые пользователь может принять или отклонить. Скомпоновать эти настройки мошенники могут таким образом, что после их применения интернет-трафик начнет, например, проходить через прокси-сервер хакеров, и те смогут просматривать его содержимое.
Проверить, отправлено SMS с настройками самим оператором или злоумышленниками, невозможно. Мошенники обманом заставляют пользователя принимать настройки, после чего смартфон становится уязвим для "прослушки".
Многие смартфоны не имеют системы проверки подлинности, что и делает их уязвимыми для подобного рода атак. В Samsung и LG уже выпустили "заплатку" для устранения уязвимости, Huawei собирается сделать это позднее в текущем году. Sony отказалась признать уязвимость.
Взято отсюда https://rg.ru/2019/09/05/najden-sposob-vzlomat-pochti-liuboj-android-smartfon-kak-eto-delaetsia.html
Более расширенно на английском https://research.checkpoint.com/advanced-sms-phishing-attacks-against-modern-android-based-smartphones/
Надеюсь будет полезно.
Компания Check Point Research обнаружила уязвимость, которая затрагивает большинство популярных смартфонов на Android - таких, как Huawei, Samsung, LG, Sony и ряда других.
Исследователи утверждают, что злоумышленники могут завладеть доступом к электронной почте, отправив на смартфон всего лишь одно SMS-сообщение, аппарат при этом может даже не быть подключен к сети Wi-Fi.
Атака происходит следующим образом. На смартфон приходит SMS с настройками параметров, которые пользователь может принять или отклонить. Скомпоновать эти настройки мошенники могут таким образом, что после их применения интернет-трафик начнет, например, проходить через прокси-сервер хакеров, и те смогут просматривать его содержимое.
Проверить, отправлено SMS с настройками самим оператором или злоумышленниками, невозможно. Мошенники обманом заставляют пользователя принимать настройки, после чего смартфон становится уязвим для "прослушки".
Многие смартфоны не имеют системы проверки подлинности, что и делает их уязвимыми для подобного рода атак. В Samsung и LG уже выпустили "заплатку" для устранения уязвимости, Huawei собирается сделать это позднее в текущем году. Sony отказалась признать уязвимость.
Взято отсюда https://rg.ru/2019/09/05/najden-sposob-vzlomat-pochti-liuboj-android-smartfon-kak-eto-delaetsia.html
Более расширенно на английском https://research.checkpoint.com/advanced-sms-phishing-attacks-against-modern-android-based-smartphones/
Надеюсь будет полезно.
В первом посте мы рассмотрим безопасность DNS на стороне клиента. Итак. Поехали!
Некоторые вирусы(или шаловливые руки техников, что смотрели ваш комп) меняют настройку протокола TCP/IP в OS Windows дописывая туда левый DNS
Для чего это делается?
Чтобы ничего не подозревающий пользователь введя(правильно введя) необходимое имя сайта в адресной строке браузера попал на фейковый ресурс и слил свои данные.
Некоторые вирусы(или шаловливые руки техников, что смотрели ваш комп) меняют настройку протокола TCP/IP в OS Windows дописывая туда левый DNS
Для чего это делается?
Чтобы ничего не подозревающий пользователь введя(правильно введя) необходимое имя сайта в адресной строке браузера попал на фейковый ресурс и слил свои данные.
Добавлю вариант. Отживающий, но тем не менее.
Стоит у вас, например, старая программа, которая проверяет обновления для себя по незашифрованному соединению, которые уже давно не выходят. И прописывают вам хакерский сервер в настройках DNS. А этот сервер такую программу хорошо знает и с удовольствием подсоввывает вам "обновление".
Ещё вариант. Прописывают вам хакерский сервер в настройках DNS. Он просто раздаёт вам правильные адреса, но! Отслеживает, куда вы ходите в интернете. А это ооочень плохо, потому что зная ваши интересы и привычки намного проще становится подловить вас на фишинговое письмо с вредоносным вложением.
По поводу ПО - часто баунти просят использовать/установить их кошелек, а после переводить токены с него. Я бы такие кошельки ставил бы на отдельный комп.
Отдельный комп для многих-это роскошь, а именно держать комп для всяких гадостей не очень разумно. Есть обычные виртуальные машины, виртуалбокс — бесплатная версия. Всегда на компе можно установить дополнительную машину, и после использования, просто делать новый клон своей системы. Так вы будете всегда иметь кристально новую оперативную систему, притом есть возможность ставить все и линукс и виндовс.
А еще есть удобная программа, которая поможет содержать ваш компьютер в чистоте, и при каждой новой сессии будет загружаться например, чистый браузер. Прогу зовут Shadow Defender-я уже, где-то тут писала про ее удобства, ну кому будет интересно, погуглите. Для линукса тоже есть удобная песочница Firetools. Ну линуксоиды я думаю, и сами курсе удобств линукса.
Для виндовс параноиков запуск песочницы и виртуалки успокоит ваши нервы.
Сколько сразу пищи для ума. Спасибо. Придется на выходных почитать про виртуальные машины и Shadow Defender. Просто я заморочился, и купил старый бу ноутбук. 50 евро и комп для гадостей и тестов всегда под рукой.
По поводу ПО - часто баунти просят использовать/установить их кошелек, а после переводить токены с него. Я бы такие кошельки ставил бы на отдельный комп.
Отдельный комп для многих-это роскошь, а именно держать комп для всяких гадостей не очень разумно. Есть обычные виртуальные машины, виртуалбокс — бесплатная версия. Всегда на компе можно установить дополнительную машину, и после использования, просто делать новый клон своей системы. Так вы будете всегда иметь кристально новую оперативную систему, притом есть возможность ставить все и линукс и виндовс.
А еще есть удобная программа, которая поможет содержать ваш компьютер в чистоте, и при каждой новой сессии будет загружаться например, чистый браузер. Прогу зовут Shadow Defender-я уже, где-то тут писала про ее удобства, ну кому будет интересно, погуглите. Для линукса тоже есть удобная песочница Firetools. Ну линуксоиды я думаю, и сами курсе удобств линукса.
Для виндовс параноиков запуск песочницы и виртуалки успокоит ваши нервы.
По поводу ПО - часто баунти просят использовать/установить их кошелек, а после переводить токены с него. Я бы такие кошельки ставил бы на отдельный комп.
Наверное тема уже изьедена, но на всякий случай оставлю здесь.
В качестве взлома могут быть использованы сообщения электронной почты.
Обращайте внимание на адрес отправителя прежде чем открыть письмо или вложение в нем (напр. сообщения от bitcointalk.org могут быть заменены например на bitc0intalk.org или bitco1ntalk.org).
Во вложении может быть шифровальщик, java скрипт или элементарно bat файл.
Так же не лишним будет напомнить о том что не стоит скачивать ПО с непроверенных ресурсов ,т.к установочный файл может быть элементарно перепакован.
Ну и на всякий случай делайте бэкап системы и храните в отдельном месте.
В качестве взлома могут быть использованы сообщения электронной почты.
Обращайте внимание на адрес отправителя прежде чем открыть письмо или вложение в нем (напр. сообщения от bitcointalk.org могут быть заменены например на bitc0intalk.org или bitco1ntalk.org).
Во вложении может быть шифровальщик, java скрипт или элементарно bat файл.
Так же не лишним будет напомнить о том что не стоит скачивать ПО с непроверенных ресурсов ,т.к установочный файл может быть элементарно перепакован.
Ну и на всякий случай делайте бэкап системы и храните в отдельном месте.
Можно просто все копировать и хранить на флешке
НЕТ! плохой совет. На простой флешке хранить ничего нельзя.Причины:
1) флешка может сломаться. Такое бывает часто. Из 100 флешек 3-4 ломаются в течении года-двух. Если у вас 10 флешек и все они исправно работают это не значит что 11 флешка не сломается. При этом при поломке шанс на восстановление данных довольно мал.
2) флешку могут украсть и вы опять же потеряете все свои данные.
3) флешку могут стереть родственники по незнанию.
4) к флешке могут получить доступ родственники. И не нужно недооценивать этот факт. Жажда наживы меняет людей. Как бы вы им не доверяли.
Как вариант:
- Использовать 2-3 флешки с полным дублированием информации.
- Не записывать на флешку информацию в открытом виде. Используйте зашифрованные контейнеры. Например TrueCrypt.
- Храните флешки в разных местах. Если данные на флешке не обновляются то можно оду флешку держать у себя. Вторую не у себя дома. (включите фантазию)
- Так же очень желательно иметь бекап этих данных не на флешке. Допустим положить шифрованный контейнер на сервер. Даже если сервер взломают открыть злоумышленник контейнер не сможет. Максимум удалит. Но тогда вы об этом узнаете и примите меры.
В этом случае данные защищены наверняка.
Даже если ваш дом ограбят, даже если дом сгорит или обрушится данные будут с вами.
Я предпринял такие меры безопасности: храню ключи от кошельков на сторонних ресурсах,установил на рабочий комп хороший антивирус и фаервол.Также стараюсь не заходить на подозрительные сайты.
чтобы хранить крипту можно иметь отдельный компьютер.
Можно просто все копировать и хранить на флешке Взято отсюда http://www.yaplakal.com/forum3/topic1865685.html
Любопытно, что автор сего не указывает источник. Оригинальная статья (точнее - ее перевод) фигурировал у меня в ответе про OpenVPN в соседней теме.
VPN-провайдеры обычно предлагают на выбор несколько типов подключения, иногда как часть различных тарифных планов, а иногда в составе единого тарифного плана. Цель этой статьи – провести обзор доступных вариантов VPN и помочь понять основы используемых технологий.
Заметка про длину ключа шифрования
Грубо говоря, длина ключа, используемого при создании шифра, определяет, сколько времени потребуется для взлома с помощью прямого перебора. Шифры с более длинными ключами требуют значительно больше времени для перебора, чем более короткие («брутфорс» означает перебор всех возможных комбинаций, пока не будет найдена верная).
Сейчас почти невозможно найти VPN-шифрование с использованием ключа длиной менее 128 бит и все сложнее найти 256-битное шифрование в предлагаемых OpenVPN-решениях, ключи которых бывают даже 2048 бит. Но что означают эти цифры на практике, 256-битное шифрование действительно более безопасное, чем 128-битное?
Краткий ответ таков: при практическом применении – нет. Это правда, что взлом 256-битного ключа потребует в 2128 больше вычислительной мощности, чем взлом 128-битного ключа. Это означает, что потребуется 3.4х10^38 операций (количество комбинаций в 128-битном ключе) – подвиг для существующих компьютеров и даже в ближайшем будущем. Если бы мы применили самый быстрый суперкомпьютер (по данным 2011 года его скорость вычислений 10.51 петафлопс), нам потребовалось бы 1.02х10^18 (около 1 миллиарда) лет, чтобы взломать 128-битный AES-ключ путем перебора.
Так как на практике 128-битный шифр не может быть взломан путем перебора, было бы правильно говорить, что ключа такой длины более чем достаточно для большинства применений. Только настоящие параноики (например, чиновники в правительстве, имеющие дело со сверхсекретными документами, которые должны оставаться в тайне в течение следующих 100 или более лет) могут использовать 256-битное шифрование (правительство США, например, использует сертифицированный NIST 256-битный AES-шифр).
Так почему же все более часто встречаются VPN-провайдеры, предлагающие 256-битное шифрование (не говоря уже о 2048-битном)? Особенно если учесть, что использование шифрования с 256-битным или более длинным ключом требует больше вычислительных ресурсов. Ответ прост – маркетинг. Проще продать VPN-услуги с более длинным ключом шифрования.
Крупные корпорации и правительства могут испытывать потребность в дополнительной безопасности, обеспечиваемой длинными ключами, но для среднего домашнего пользователя VPN с ключом 128 бит более чем достаточно.
Различные шифры имеют уязвимости, которые могут быть использованы для быстрого взлома. Также могут быть использованы специальные программы, такие как клавиатурные шпионы. Подводя итоги, можно сказать, что использование шифрования с ключом более 128 бит на самом деле вряд ли имеет значение для большинства пользователей.
PPTP
Протокол туннелирования точка-точка (Point-to-Point Tunneling Protocol) – это протокол, изобретенный Microsoft для организации VPN через сети коммутируемого доступа. PPTP является стандартным протоколом для построения VPN уже на протяжении многих лет. Это только VPN-протокол и он опирается на различные методы аутентификации для обеспечения безопасности (наиболее часто используется MS-CHAP v.2). Доступен как стандартный протокол почти во всех операционных системах и устройствах, поддерживающих VPN, что позволяет использовать его без необходимости установки дополнительного программного обеспечения. PPTP остается популярным выбором как предприятий, так и VPN-провайдеров. Его преимущество также в том, что он использует меньше вычислительных ресурсов, следовательно обладает высокой скоростью работы.
Хотя PPTP обычно и используется со 128-битным шифрованием, в следующие несколько лет после включения этого протокола в состав Windows 95 OSR2 в 1999 году были найдены ряд уязвимостей. Наиболее серьезной из которых явилась уязвимость протокола аутентификации MS-CHAP v.2. Используя эту уязвимость, PPTP был взломан в течение 2 дней. И хотя компанией Microsoft была исправлена эта ошибка (за счет использования протокола аутентификации PEAP, а не MS-CHAP v.2), она сама рекомендовала к использованию в качестве VPN проколов L2TP или SSTP.
Плюсы:
- клиент PPTP встроен почти во все операционные системы
- очень прост в настройке
- работает быстро
Минусы:
- небезопасен (уязвимый протокол аутентификации MS-CHAP v.2 все еще много где используется)
L2TP и L2TP/IPsec
Протокол туннелирования 2 уровня (Layer 2 Tunnel Protocol) – это протокол VPN, который сам по себе не обеспечивает шифрование и конфиденциальность трафика, проходящего через него. По этой причине, как правило, используется протокол шифрования IPsec для обеспечения безопасности и конфиденциальности.
L2TP/IPsec встроен во все современные операционные системы и VPN-совместимые устройства, и так же легко может быть настроен как и PPTP (обычно используется тот же клиент). Проблемы могут возникнуть в том, что L2TP использует UDP-порт 500, который может быть заблокирован файрволлом, если вы находитесь за NAT. Поэтому может потребоваться дополнительная настройка роутера (переадресация портов). Кстати, протокол SSL, например, использует TCP-порт 443, чтобы быть неотличимым от обычного HTTPS-трафика.
Протокол IPsec на данный момент не имеет никаких серьезных уязвимостей и считается очень безопасным при использовании таких алгоритмов шифрования, как AES. Однако, поскольку он инкапсулирует данные дважды, это не так эффективно, как SSL-решения (например, OpenVPN или SSTP), и поэтому работает немного медленнее.
Плюсы:
- очень безопасен
- легко настраивается
- доступен в современных операционных системах
Минусы:
- работает медленнее, чем OpenVPN
- может потребоваться дополнительная настройка роутера
OpenVPN
OpenVPN является достаточно новой технологией с открытым кодом, которая использует библиотеку OpenSSL и протоколы SSLv3/TLSv1, наряду с множеством других технологий для обеспечения надежного VPN-решения. Одним из его главных преимуществ является то, что OpenVPN очень гибок в настройках. Этот протокол может быть настроен на работу на любом порту, в том числе на 443 TCP-порту, что позволяет маскировать трафик внутри OpenVPN под обычный HTTPS (который использует, например, Gmail) и поэтому его трудно заблокировать.
Еще одним преимуществом OpenVPN является то, что используемые для шифрования библиотеки OpenSSL поддерживают множество криптографических алгоритмов (например, AES, Blowfish, 3DES, CAST-128, Camelia и другие). Наиболее распространенные алгоритмы, которые используют VPN-провайдеры – AES и Blowfish. AES является новой технологией, и хотя оба считаются безопасными, тот факт, что он имеет 128-битный размер блока, а не 64-битный как у Blowfish, означает, что он может работать с большими (более 1Гб) файлами лучше. Различия, однако, довольно незначительные. То, как быстро работает OpenVPN, зависит от выбранного алгоритма шифрования, но, как правило, работает быстрее, чем IPsec.
OpenVPN стал технологией №1 при использовании VPN, и хотя он изначально не поддерживается операционными системами, этот протокол широко поддерживается через стороннее программное обеспечение. Совсем недавно невозможно было использовать OpenVPN на iOS и Android без джейлбрейка и рута, а сейчас появились сторонние приложения, которые частично решили эту проблему.
С этим связана другая проблема OpenVPN – гибкость может сделать его неудобным в настройке. В частности, при использовании типовой программной реализации OpenVPN (например, стандартный открытый клиент OpenVPN под Windows) необходимо не только скачать и установить клиент, но и загрузить и установить дополнительные конфигурационные файлы. Многие VPN-провайдеры решают эту проблему путем использования преднастроенных VPN-клиентов.
Плюсы:
- гибко настраивается
- очень безопасен (зависит от выбранного алгоритма шифрования, но все они безопасны)
- может работать сквозь файрволлы
- может использовать широкий спектр алгоритмов шифрования
Минусы:
- необходимо стороннее программное обеспечение
- может быть неудобен в настройке
- ограниченная поддержка портативными устройствами
SSTP
Протокол безопасного туннелирования сокетов (Secure Socket Tunneling Protocol) – был представлен Microsoft в Windows Vista SP1, и хотя он теперь доступен на Linux, RouterOS и SEIL, он по-прежнему используется в значительной степени только Windows-системами (есть очень маленький шанс, что он появится на Apple устройствах). SSTP использует SSL v.3 и, следовательно, предлагает аналогичные преимущества, что и OpenVPN (например, возможность использовать TCP-порт 443 для обхода NAT), а так как он интегрирован в Windows, он проще в использовании и более стабилен, чем OpenVPN.
Плюсы:
- очень безопасен (зависит от алгоритма шифрования, обычно используется очень стойкий AES)
- полностью интегрирован в Windows (начиная с Windows Vista SP1)
- имеет поддержку Microsoft
- может работать сквозь файрволлы
Минусы:
- работает только в Windows-среде
Заключение
PPTP небезопасен (даже его создатели в Microsoft отказались от него), поэтому его использования следует избегать. В то время, как простота установки и кроссплатформенная совместимость являются привлекательными, L2TP/IPsec имеет те же преимущества и является более безопасным.
L2TP/IPsec является хорошим решением VPN, но не таким хорошим, как OpenVPN. Однако, для быстрой настройки VPN без необходимости установки дополнительного программного обеспечения остается лучшим решением, особенно для мобильных устройств, где поддержка OpenVPN по-прежнему на низком уровне.
OpenVPN является лучшим решением VPN несмотря на необходимость стороннего программного обеспечения во всех операционных системах. Это надежный, быстрый и безопасный протокол, хотя и требует немного больше усилий, чем другие протоколы.
SSTP предлагает большинство преимуществ OpenVPN, но только в среде Windows. Это означает, что он лучше интегрирован в ОС, но благодаря этому он слабо поддерживается VPN-провайдерами.
Большинство пользователей могут использовать OpenVPN на своих настольных компьютерах, возможно, дополнив его L2TP/IPsec на своих мобильных устройствах.
Взято отсюда http://www.yaplakal.com/forum3/topic1865685.html
Заметка про длину ключа шифрования
Грубо говоря, длина ключа, используемого при создании шифра, определяет, сколько времени потребуется для взлома с помощью прямого перебора. Шифры с более длинными ключами требуют значительно больше времени для перебора, чем более короткие («брутфорс» означает перебор всех возможных комбинаций, пока не будет найдена верная).
Сейчас почти невозможно найти VPN-шифрование с использованием ключа длиной менее 128 бит и все сложнее найти 256-битное шифрование в предлагаемых OpenVPN-решениях, ключи которых бывают даже 2048 бит. Но что означают эти цифры на практике, 256-битное шифрование действительно более безопасное, чем 128-битное?
Краткий ответ таков: при практическом применении – нет. Это правда, что взлом 256-битного ключа потребует в 2128 больше вычислительной мощности, чем взлом 128-битного ключа. Это означает, что потребуется 3.4х10^38 операций (количество комбинаций в 128-битном ключе) – подвиг для существующих компьютеров и даже в ближайшем будущем. Если бы мы применили самый быстрый суперкомпьютер (по данным 2011 года его скорость вычислений 10.51 петафлопс), нам потребовалось бы 1.02х10^18 (около 1 миллиарда) лет, чтобы взломать 128-битный AES-ключ путем перебора.
Так как на практике 128-битный шифр не может быть взломан путем перебора, было бы правильно говорить, что ключа такой длины более чем достаточно для большинства применений. Только настоящие параноики (например, чиновники в правительстве, имеющие дело со сверхсекретными документами, которые должны оставаться в тайне в течение следующих 100 или более лет) могут использовать 256-битное шифрование (правительство США, например, использует сертифицированный NIST 256-битный AES-шифр).
Так почему же все более часто встречаются VPN-провайдеры, предлагающие 256-битное шифрование (не говоря уже о 2048-битном)? Особенно если учесть, что использование шифрования с 256-битным или более длинным ключом требует больше вычислительных ресурсов. Ответ прост – маркетинг. Проще продать VPN-услуги с более длинным ключом шифрования.
Крупные корпорации и правительства могут испытывать потребность в дополнительной безопасности, обеспечиваемой длинными ключами, но для среднего домашнего пользователя VPN с ключом 128 бит более чем достаточно.
Различные шифры имеют уязвимости, которые могут быть использованы для быстрого взлома. Также могут быть использованы специальные программы, такие как клавиатурные шпионы. Подводя итоги, можно сказать, что использование шифрования с ключом более 128 бит на самом деле вряд ли имеет значение для большинства пользователей.
PPTP
Протокол туннелирования точка-точка (Point-to-Point Tunneling Protocol) – это протокол, изобретенный Microsoft для организации VPN через сети коммутируемого доступа. PPTP является стандартным протоколом для построения VPN уже на протяжении многих лет. Это только VPN-протокол и он опирается на различные методы аутентификации для обеспечения безопасности (наиболее часто используется MS-CHAP v.2). Доступен как стандартный протокол почти во всех операционных системах и устройствах, поддерживающих VPN, что позволяет использовать его без необходимости установки дополнительного программного обеспечения. PPTP остается популярным выбором как предприятий, так и VPN-провайдеров. Его преимущество также в том, что он использует меньше вычислительных ресурсов, следовательно обладает высокой скоростью работы.
Хотя PPTP обычно и используется со 128-битным шифрованием, в следующие несколько лет после включения этого протокола в состав Windows 95 OSR2 в 1999 году были найдены ряд уязвимостей. Наиболее серьезной из которых явилась уязвимость протокола аутентификации MS-CHAP v.2. Используя эту уязвимость, PPTP был взломан в течение 2 дней. И хотя компанией Microsoft была исправлена эта ошибка (за счет использования протокола аутентификации PEAP, а не MS-CHAP v.2), она сама рекомендовала к использованию в качестве VPN проколов L2TP или SSTP.
Плюсы:
- клиент PPTP встроен почти во все операционные системы
- очень прост в настройке
- работает быстро
Минусы:
- небезопасен (уязвимый протокол аутентификации MS-CHAP v.2 все еще много где используется)
L2TP и L2TP/IPsec
Протокол туннелирования 2 уровня (Layer 2 Tunnel Protocol) – это протокол VPN, который сам по себе не обеспечивает шифрование и конфиденциальность трафика, проходящего через него. По этой причине, как правило, используется протокол шифрования IPsec для обеспечения безопасности и конфиденциальности.
L2TP/IPsec встроен во все современные операционные системы и VPN-совместимые устройства, и так же легко может быть настроен как и PPTP (обычно используется тот же клиент). Проблемы могут возникнуть в том, что L2TP использует UDP-порт 500, который может быть заблокирован файрволлом, если вы находитесь за NAT. Поэтому может потребоваться дополнительная настройка роутера (переадресация портов). Кстати, протокол SSL, например, использует TCP-порт 443, чтобы быть неотличимым от обычного HTTPS-трафика.
Протокол IPsec на данный момент не имеет никаких серьезных уязвимостей и считается очень безопасным при использовании таких алгоритмов шифрования, как AES. Однако, поскольку он инкапсулирует данные дважды, это не так эффективно, как SSL-решения (например, OpenVPN или SSTP), и поэтому работает немного медленнее.
Плюсы:
- очень безопасен
- легко настраивается
- доступен в современных операционных системах
Минусы:
- работает медленнее, чем OpenVPN
- может потребоваться дополнительная настройка роутера
OpenVPN
OpenVPN является достаточно новой технологией с открытым кодом, которая использует библиотеку OpenSSL и протоколы SSLv3/TLSv1, наряду с множеством других технологий для обеспечения надежного VPN-решения. Одним из его главных преимуществ является то, что OpenVPN очень гибок в настройках. Этот протокол может быть настроен на работу на любом порту, в том числе на 443 TCP-порту, что позволяет маскировать трафик внутри OpenVPN под обычный HTTPS (который использует, например, Gmail) и поэтому его трудно заблокировать.
Еще одним преимуществом OpenVPN является то, что используемые для шифрования библиотеки OpenSSL поддерживают множество криптографических алгоритмов (например, AES, Blowfish, 3DES, CAST-128, Camelia и другие). Наиболее распространенные алгоритмы, которые используют VPN-провайдеры – AES и Blowfish. AES является новой технологией, и хотя оба считаются безопасными, тот факт, что он имеет 128-битный размер блока, а не 64-битный как у Blowfish, означает, что он может работать с большими (более 1Гб) файлами лучше. Различия, однако, довольно незначительные. То, как быстро работает OpenVPN, зависит от выбранного алгоритма шифрования, но, как правило, работает быстрее, чем IPsec.
OpenVPN стал технологией №1 при использовании VPN, и хотя он изначально не поддерживается операционными системами, этот протокол широко поддерживается через стороннее программное обеспечение. Совсем недавно невозможно было использовать OpenVPN на iOS и Android без джейлбрейка и рута, а сейчас появились сторонние приложения, которые частично решили эту проблему.
С этим связана другая проблема OpenVPN – гибкость может сделать его неудобным в настройке. В частности, при использовании типовой программной реализации OpenVPN (например, стандартный открытый клиент OpenVPN под Windows) необходимо не только скачать и установить клиент, но и загрузить и установить дополнительные конфигурационные файлы. Многие VPN-провайдеры решают эту проблему путем использования преднастроенных VPN-клиентов.
Плюсы:
- гибко настраивается
- очень безопасен (зависит от выбранного алгоритма шифрования, но все они безопасны)
- может работать сквозь файрволлы
- может использовать широкий спектр алгоритмов шифрования
Минусы:
- необходимо стороннее программное обеспечение
- может быть неудобен в настройке
- ограниченная поддержка портативными устройствами
SSTP
Протокол безопасного туннелирования сокетов (Secure Socket Tunneling Protocol) – был представлен Microsoft в Windows Vista SP1, и хотя он теперь доступен на Linux, RouterOS и SEIL, он по-прежнему используется в значительной степени только Windows-системами (есть очень маленький шанс, что он появится на Apple устройствах). SSTP использует SSL v.3 и, следовательно, предлагает аналогичные преимущества, что и OpenVPN (например, возможность использовать TCP-порт 443 для обхода NAT), а так как он интегрирован в Windows, он проще в использовании и более стабилен, чем OpenVPN.
Плюсы:
- очень безопасен (зависит от алгоритма шифрования, обычно используется очень стойкий AES)
- полностью интегрирован в Windows (начиная с Windows Vista SP1)
- имеет поддержку Microsoft
- может работать сквозь файрволлы
Минусы:
- работает только в Windows-среде
Заключение
PPTP небезопасен (даже его создатели в Microsoft отказались от него), поэтому его использования следует избегать. В то время, как простота установки и кроссплатформенная совместимость являются привлекательными, L2TP/IPsec имеет те же преимущества и является более безопасным.
L2TP/IPsec является хорошим решением VPN, но не таким хорошим, как OpenVPN. Однако, для быстрой настройки VPN без необходимости установки дополнительного программного обеспечения остается лучшим решением, особенно для мобильных устройств, где поддержка OpenVPN по-прежнему на низком уровне.
OpenVPN является лучшим решением VPN несмотря на необходимость стороннего программного обеспечения во всех операционных системах. Это надежный, быстрый и безопасный протокол, хотя и требует немного больше усилий, чем другие протоколы.
SSTP предлагает большинство преимуществ OpenVPN, но только в среде Windows. Это означает, что он лучше интегрирован в ОС, но благодаря этому он слабо поддерживается VPN-провайдерами.
Большинство пользователей могут использовать OpenVPN на своих настольных компьютерах, возможно, дополнив его L2TP/IPsec на своих мобильных устройствах.
Взято отсюда http://www.yaplakal.com/forum3/topic1865685.html
чтобы хранить крипту можно иметь отдельный компьютер.
Как говорят хакеры не дремлют - появился новый вирус для андроид платформ GPlayed.
Обнаружили его исследователи из Cisco Talos - насколько я понял вирус позволяет полностью управлять устройством.
Подробнее здесь https://threatpost.ru/android-trojan-gplayed-jack-of-all-trades/28702/
Обнаружили его исследователи из Cisco Talos - насколько я понял вирус позволяет полностью управлять устройством.
Подробнее здесь https://threatpost.ru/android-trojan-gplayed-jack-of-all-trades/28702/
Внесу свои 3 копейки в обсуждение:
1. В винде столько дырок что вам их НИКОГДА не заткнуть, как бы умело вы это не делали и чего бы не предпринимали. Поэтому главное что требуется- не пользуйтесь виндой. Никогда.
Лично я бы закрыл тему поиска багов и уязвимостей в винде. Если хватает средств - купите МАК - нет - поставьте Линукс.
2. Используйте АППАРАТНЫЙ КОШЕЛЕК. Лейджер или Трезор (дело вкуса). Без него вы опять подвергаете свои активы риску.
Эти два простых правила вполне помогут вам избежать рисков хака и потери активов.
1. В винде столько дырок что вам их НИКОГДА не заткнуть, как бы умело вы это не делали и чего бы не предпринимали. Поэтому главное что требуется- не пользуйтесь виндой. Никогда.
Лично я бы закрыл тему поиска багов и уязвимостей в винде. Если хватает средств - купите МАК - нет - поставьте Линукс.
2. Используйте АППАРАТНЫЙ КОШЕЛЕК. Лейджер или Трезор (дело вкуса). Без него вы опять подвергаете свои активы риску.
Эти два простых правила вполне помогут вам избежать рисков хака и потери активов.
Так что при открытии файлов внимательно смотрим с каким расширением он хранится
Да и вообще в Windows рекомендуется включить отображение расширений файлов, если вдруг оно отключено. Одна из старых уловок хакеров - подсовывать файлы вида "superpesnya.mp3.exe", которые в Проводнике со скрытыми расширениями отображаются просто как "superpesnya.mp3". Соответственно, ничего не подозревающий пользователь может жмакнуть по такому файлу, думая, что запускает суперпесню - и на самом деле запустить вирус.
Jump to: