Безопасность информации

Опубликовано 16-01-2012

57

Каждый стремится сохранить какую-то информацию в секрете от посторонних.

Это и личная информация, и корпоративная , и разная иная.

Равно точно так же находятся те,-кто желает ее заполучить по разным причинам.

Делается острее меч атаки - совершенствуется щит защиты.

Казалось бы - незыблемо это правило.

Но вот начинают поступать данные - что наступает некий пороговый уровень, когда уже сам факт просмотра инфыормации законным пользовталем влечет ее утерю.

Специалисты научились извлекать информацию из отражения монитора в глазном яблоке,в очках, кофейных чашках, пластмассовых бутылках, металлических украшениях и звуках работающего принтера.

Отражение экранных изображений - только один из многих путей утечки информации по так называемым "побочным каналам" . Эти пути не предусматривают никакого программного проникновения, поэтому в данном случае бессильны любые системы шифрования, фильтры и антивирусные пакеты.

Ученые недавно продемонстрировали пять разных способов того, как можно тайно отследить нажатия клавиш без установки какого-либо специального ПО на контролируемый компьютер.

http://www.sciam.ru/article/4473

Что нас ждет дальше? Конец секретности? Или таки будут надены новые кардинальные пути защиты - и щит снова нарастит свою броню?

Обеспечение секретности хранения -также востребованная функция.

Какими путями вы решаете (если решаете) эти вопросы?

Что наиболее популярно?

Примечание: в этой теме говорим о безопасности информации от подбора паролей, взлома, кражи и т.п.

Физические методы хранения информации на носителях обсуждаем здесь http://vkontakte.ru/topic-3090109_25196912

Comments Page 1 2

А так ли много у обычного человека информации, которая была бы кому-то интересна?

Для особо важной информации всегда найдут способы ее защиты…

Здесь речь идет о самих принципах.

Большинству обычных российских людей вообще не нужен ни компьютер,ни интернет (как это можнопрочитать из соответствующей ветки).

Поэтому если вести обсуждения лишь того,что нужно обычным российским гражданам,- то тогда говорить вообще не о чем будет,- не будет никаких тем в нашей группе.

Ибо всё,о чем мы здесь говорим – упомянутой Вами категории граждан не нужно.

В этой группе общаются между собой те,-кто не относят себя к этой категории ( иначе бы они сюда и не попадали сами по себе).

Ну я немного расширил рамки обычности. Имеется ввиду те, кто по роду деятельности и статусу не является интересным до такой степени, чтобы у него дома устанавливали жучки)

Таковым достаточно иметь внешний жесткий диск, который отключался бы при подключении к интернету. Или второй комп.

Если человек неинтересен для шпионажа -тогда ему и второй диск тоже не нужен.

Все же тема заявлена не по этому поводу.

Имется в виду,что человек интересен для шпионажа ( это не обсуждаемое условие) ,- и вот много способов,как получить у него инфу.

Вы ставите экран сетевой – но оказывается,что можно получить инфу и не через инет. Или через -но совршенно иными способами.

Вы сидите и смотрите на монитор – а инфа снимается с вашего глаза.

Словом – обсуждаем различные методики обычные и необычные ,-и методы защиты от них.

Кажется, что всегда можно создать специальную изолированную комнату для работы, перед входом в которую проверять и себя и эту комнату)

Однако американцы полностью сносили построенное для них здание посольства в Москве.

Оказалось -что в стенках комнаты в самом бетоне были заложены датчики,-которые переизлучали сигналы. Действовали пассивно.

Вот и комната то…

Ну таких факторов уже хрен избежишь технологическими методами. Тут только четкий контроль.

И все же как видим – четкий контроль мало что может.

поэтому обсудим технологии…

Подключить небольшой и очень мощный и защищенный компьютер к мозгу, и проводить всю работу в виртуальной реальности, беспокоясь только о сохранности "информационного кирпичика"))

Но об этом рано

#11

Такое вполне возможно . Фактически получим нечто вроде Лукьяновских "Фальшивых зеркалов".

Другое дело -что опять таки "защищенный". Да как его создать то – этот зашишенный ?

Об этом ведь и разговор ведем.

На сей день единственный защищенный -это наш компьютер в голове.

И то лишь потому,- что еще к нему не подключились.

Как подключатся -то сдается мне,что он станет самым незащищенным.

Что вообще тогда будет защищенным ? Как можно будет идентифицировать личность на доступ к информации?

Уже сейчас любой клерк в банке может оформить кредит на подставное лицо,введя все паспортные данные (которые всем доступны).

Останется лишь судиться, доказывая -что подпись не Ваша.

Получается- на сегодняшний день -единственная защита,- это росчерк шариковой ручки на бумаге.

Легко ли его продублировать?

К примеру,-экспертиза подтвердит,что это Ваш росчерк (но Вы и действительно не расписывались).

Что же тогда будет?

в цифровую эпоху уже этого росчерка нет. В западных банках выдается цифровой код.

В пластиковой карточке также вводится код. В дистанционном банкинге набирающем оборот также лишь код участвует.

Подобрав код разными методами – можно сделать что угодно.

Определение банком айпи такого мошенника ничего не дает – выход может идти с клубов, с разово купленной и выброшенной симке, с купленной интернет -карточке и входе с арендованной на сутки квартиры или нелегальном подключении в подъезде к чьей-то линии ночью – способов много при желании.

Таким образом айпи получается не привязынным к личности.

>Подобрав код разными методами – можно сделать что угодно.

Подбор кода – это крайне неэффективный метод, а в случае хорошей защиты, в том числе ограничения на временной интервал между двумя вводами, бессмысленный. И тут никакие технологии не помогут.

На данный момент пароли весьма таки могут благополучно существовать.

Под разными методами -я и имел в виду действительно "разные",-т.е. не просто разные методы программного перебора.

Например,- подсмотрев сам код, установив программу регистрации нажатия клавишей, тем или иным методом установив заранее часть кода или часть сохраненной под кодом инфы и т.д.

Интервал перебора помогает – но ведь и сам интервал можно обойти.

Можно код и дистанционно снять -тем же грабером с пультов машин.

Поэтому говорим здесь более широко -а не буквально.

О буквальном не надо говорить – это всё и так понятно.

И уж если говорить о ограничении на временной интервал – то всё это запросто обходится. Не то что технологнии не помогут – это элементарно…

Лишь дайте доступ к компьютеру – и первое что будет взломано,-так это именно защита на интервал.

А потом – кто же в лоб то будет делать переюор… Разве что ребенок какой. Или программер недоучившийся.

Этот же недоучившийся еще предложит перебор по словарю, по частоте букв…

Серьезный ломатель так к делу не подходит -если он серьезный.

>На данный момент пароли весьма таки могут благополучно существовать.

Ну да… как же.

В идеализированном варианте разве.

Еще раз говорю -в лоб только недоучившийся программер будет действовать.

Мало-мальски понимающий что-то программер первым делом взломает почтовый ящик на сайте ,- хотя-бы.

Практически везде пароли там передаются открыто -и снифером вполне можно отхватить запросто.

Где-же они передаются закрыто (гугля ),-так там потом весь трафик идет открытый,-и уже отттуда можно выхватить все необходимое.

Это я говорю об элементарнейших вещах – доступных всем.

А уж о немного более мудренных – коих полно…

А недоучившийся программер будет думать,что ломатель прийдет к нему с разрешением на ломалку,представится,сядет за его комп и будет цивильно ломать его пароль методом перебора в лоб,-да еще на проге,где включен ввод очередного пароля через час после неправильного.

И после этого программер сделает вывод -что его пароль взломать невозможно в принципе.

Вот в таких фантазийных ситуациях они и пребывают,- наши программеры в наших конторах.

Было написано "Подобрав", я и говорю о чистом подборе. Описанное тобой уже не является подбором по сути.

>Лишь дайте доступ к компьютеру – и первое что будет взломано,-так это именно защита на интервал.

Дайте доступ к компьютеру – и подбирать пароль во многих случаях будет ни к чему. Если уже имеешь доступ, можно и в базах пароль посмотреть.

>Практически везде пароли там передаются открыто -и снифером вполне можно отхватить запросто.

А тут лишь вопрос криптографии. Не использовать MD5. Он дешифруется за секунды-минуты на мощном компьютере.

В веб-почтах сейчас вообще никак не шифруется . Открыто передается всё.

В гугле по умолчанию лишь сам пароль только шифром передается. Дальше опять все письма и всё что угодно -открыто.

Правда в гугле можно в настройках поставить что всё шифром передавать – но народ никто ведь не лезет туда.

>Не использовать MD5.

Народ всё это непонмиает ,- как браузер соединяет,-так и пользуют.

Вон -большинство сидит на 6-ке ослике,-что тут еще говорить… Что в операционке было встроено -тем и пользуются.

Обновления не включают -ибо ворованным пользуются.

Пароли всегда шифруются. Попробуй найти в cookies хотя бы одну запись с нешифрованным паролем.

Тесты писем да… Но по электронной почте обычно и не передают что-то очень важное, особенно на бесплатные почтовые сервера.

Насчет MD5 – это не от народа зависит. Это сайты решают, как им шифровать.

Поголовное использование ослов больше удивляет не столько безразличием к безопасности, сколько безразличием к элементарному удобству.

>Пароли всегда шифруются

в мэйл ру не создает шифрованного канала для передачи паролей,-в отличие от гугли.

Хотя в гугле его можно и отключить тоже -но по умолчанию он там есть.

Видимо,-о чем то разном говорим.

>Но по электронной почте обычно и не передают что-то очень важное

Да всё передают что угодно. Я в коммерческой фирме подрабатываю – всё передают,-сам передаю так.

>Насчет MD5 – это не от народа зависит. Это сайты решают, как им шифровать.

Я же и сказал это,-что как браузер соединяет,-так и работают. Браузер ,понятно,соединяет так -как есть настройка на сервере.

Ибо как же он соединит на том протоколе шифра,который серваком не поддерживается?

>Поголовное использование ослов больше

Такой народ – и в этом, и в остальном.

Украли опрерационку.поставили – и что в ней было -тем и пользуются. До остального и не догадываются.

Я давно Оперой пользуюсь – но народу ее не рекомендую. Она не для девочек-дурочек.

>Видимо,-о чем то разном говорим.

Я говорю о шифровании пароля, а не о шифровании соединения. О том шифре, который хранит и отсылает браузер, если сессия аутентификации открыта.

>Да всё передают что угодно.

Ну остается успехов пожелать этим коммерческим фирмам)

А почему упоминаешь пиратство, ассоциируя его с быдловостью?) Если есть возможность получить бесплатно, че такого то?) Ради обновлений платить несколько тыс. рублей?)

>Я давно Оперой пользуюсь

А тут у кого как повелось. Я к огнелису привык. Они все сейчас на одном уровне по безопасности.

>Ради обновлений платить несколько тыс. рублей?

Не говоря о маральных принципах,- элементарно могут посадить.

Просто так не посадят – но как только кому-то навредишь или чем-то покажешься не так.

Может быть даже по самому простому -о чем и сам не подумаешь.

Не поздоровался, или не так вперед кого-то в подъезд зашел или еще что совршенно ничтожное…

Будет донос – и по факту поступивших сведений имеет право зайти с проверкой в квартиру ( в этом случае каких-то ордеров не требуется).

В доносе уже будет -что используешь программы,фильмы,игры,музыку нелецинзионные (ворованные т.е.).

Далее будет подсчитана стоимость всего того,что окажется на компе.

При превышении суммарно 50 тысяч – уголовное дело. Ст.146 УК.

При меньшей сумме -административное дело и гражданские иски на всю сумму ворованного.

В Росиии очень любят доносительство – на этом вся работа строится правоохранительных органов.

Каждый,конечно, рискует сам по себе – может кайф от этого получает.

Или считает,-что кого угодно могут посадить -но только не его. Так все считали -кто сидит уже.

Риск тоже денег стоит) Любая нелегальная деятельность – это своего рода работа, когда ты получаешь деньги за решение рисковать и способность отступить от моральных принципов) Стоимость ОС – вполне таки оправданная плата за столь незначительный риск.

У самого у меня стоит лицензионная предустановленная Vista и бесплатная beta-версия 7-ки. И Ubuntu. Но у кого же нет дома нелегальной копии MS Office?)

Какие вообще могут быть моральные принципы касательно софта?) Если я увижу человека, который сугубо из принципа купит Windows, я для себя сделаю вывод, что ему успели промыть мозги те, кому это было выгодно.

> Но у кого же нет дома нелегальной копии MS Office?

У меня. Оппен офис хватает за глаза .

И лицензионная Винда ХР Номе – правда я ее не покупал.

Из нелегального у меня музыка,игры,фильмы.

Программ вообще нет нелегальных – как-то начал потихоньку менять на бесплатные аналоги,- и постепенно всё заменил.

Убунтя тоже есть – но не пользуюсь.

ОО все еще имеет проблемы совместимости с документами MS Office, а это важно, т.к. распечатываю и работаю с документами как правило не дома.

Нелегальной музыки у меня примерно на 400 килорублей)

У себя не замечал несовместимости – открывал разные документы.

Версия 3.

>т.к. распечатываю и работаю с документами как правило не дома.

Тогда пусть организация покупает MS

Ага, попрошу у университета)

Еще одна проблема ОО – не отображаются фрагменты из других программ, например, части документа MathCad.

Может в новой версии уже поправили – я не устанавливал. Мне и моей хватает более чем.

Таких специфических задач у меня нет.

У меня знакомый создал слайд-шоу на ОО, не знал о проблемах совместимости. Его часть презентация обломилась) Неприятные моменты бывают, поэтому предпочитаю рисковать в том, где риск меньше)

>Его часть презентация обломилась)

ну так ему и надо :) – раз не понимает,что перед презентацией надо проверить функционирование.

Если инета нет, негде проверить. Только к кому то домой идти.
Но у него была возможность, так что да..

У меня была раньше ломаная ХР Про .

Теперь моя Номе лицензионная ничем для меня не хуже.

Это я к тому,-что когда оно ворованное ,- то народ ставит всё самое крутое.

Но нужно ли оно для них ?

В результате они не умеют обходиться оптимально подобранным.

Да и не изучают его – меняют ворованное на ворованное. Даже не понимая ни смысла, ни надобности.

У меня Vista Home стоит и мне недостает визуальных эффектов)) Если уж воровать – то своровал бы Ultimate.

>Но нужно ли оно для них ?

Всегда есть некоторый минимум смысла: как минимум они радуются самому факту, что у них стоит самое крутое)

Научиться выбирать самое нужное несложно, как только за яйца схватят – сразу научишься)

Я и сейчас предпочитаю лаконичность. Все типа крутое и ненужное – лишняя нагрузка на аппаратуру. А оно надо?

>Все типа крутое и ненужное – лишняя нагрузка на аппаратуру.

Нативное оно всегда предпочтительнее.

>и мне недостает визуальных эффектов

разными прогами не эмулируется?

Не, прозрачность и анимация при сворачивании/разворачивании/открытии/закрытии нет.

Лекс NekroVoron Безымянный▼
15 авг 2009 в 20:47
Ну, лично я все пароли помню наизусть, для каждого логина отдельно свой. Что до нужных данных, то пока что флешка выручает.

Алена Камарга Вилижанина▼
15 авг 2009 в 21:20
ежедневник всегда был лучшем другом (пароли, логины и прочее).

Ну а насчет данных … диски, флэшки, зачастую элементарно бумага.

>ежедневник всегда был лучшем другом (пароли, логины и прочее).

А как насчет секретности и безопасности?

Вы про это что-то не помянули у лучшего друга…

Запросто можно потерять,или у вас отберут ( милиция,к примеру или еще кто).

Или без вас дома в нем все прочтут – а хоть и не дома.

Мобильность -с собой нести и при этом быть уверенным ,что никто не прочтет ? Каким образом?

Да тем более в вопросах паролей – это Вы их в ежедневнике держите, выходит?

Илья [Creator] Журавлёв▼
15 авг 2009 в 22:14
Сейчас существует масса программ для шифрования всех данных на носителе информации. Запомнить один, пусть и 10-значный пароль, может каждый. Очень удобно, иногда использовал.

>Что до нужных данных, то пока что флешка выручает

В том то и дело -что "пока что".

Вот и тема про то,-что как бы избежать этого "пока что".

Вы про это ничего не сказали.

Вы флешку вставляете в компьютер – нет считывания данных. И что дальше?

Или как вы секретность данных на ней обеспечиваете – чтобы не каждый взявший эту флешку не прочитал?

Если там таких данных нет -то эта флешка не имеет отношения к этой теме.

Лекс NekroVoron Безымянный▼
16 авг 2009 в 9:06
На моей флешке пароль, куда ж без него. Меня коробит, когда кто-то (пусть даже теоретически) может получить доступ к моей личной информации.

Интересно,-сколь надежен этот пароль на флешке?

Я сам не в курсе,- но вроде как там не более 8-ми знаков?

Да и система шифрации крайне слабая – вроде как при таком пароле вскрывается также,-как и зиповские пароли иль на ворде,- т.е. практически моментально.

Расшифровать можно любой алгоритм с любым паролем по длине,- но здесь важно количество затраченного времени.

AES 256-битный полностью надежен для перебора.

Расшифровать его возможно лишь за немыслимый срок для современных компьютеров.

Что же вы сравниваете здесь флешку с 8-ми значным максимальным паролем и крайне слабым алгоритмом кодирования,-который вскрывается на обычном компе за секунды.

Илья [Creator] Журавлёв▼
16 авг 2009 в 19:10
>-который вскрывается на обычном компе за секунды.

Он не вскрывается на обычном компе за секунды, это точно) Даже пароль в куках, зашифрованный в MD5, не вскрывается за секунды. Если б так было, система шифрования данных была бы практически бессмысленна. Там даже расшифровка с паролем больше секунды длиться.

Ну не знаю,-у меня зиповский вскрывается почти сразу.

На флешках там и вообще примитивный алгоритм,- насколько я вскользь читал как-то про это.

Там очень сильно зависит не столько даже от длины пароля-сколько от алгоритма.

Ты точно про флешку знаешь -или предполагаешь?

Илья [Creator] Журавлёв▼
16 авг 2009 в 19:59
Шифровать то шифровал. Взламывать сам не пробовал (только пароли в MD5, но для этого и специальные сервисы в инете есть), руководствуюсь прочитанным и логикой.

>Кому сильно надо то да..

Можете любому кому сильно надо предложить взломать AES 256…

Очевидно,коли вы оба в этом так сильно уверены ,-то у вас есть такие люди на примете. Да и вы сами уж езнаете результатыт таких экспериментов- иначе не были бы в этом уверены.

Так вот -до сих пор идет соревнование именно тех,кому ну оооочень сильно надо -потому как обещана немалая денежная сумма за взлом,-или хотя бы за алгоритм взлома .

Но что-то никто так и не смог …

А методом "кому надо " не путем подбора действуют, -а путем мордобоя.

Если у вас на флешке есть что стоящее -то с вас выбьют при таком закрытии инфы.

Если там нет стоящего-то можете вообще не защищать,-раз оно лишь для баловства.

Илья [Creator] Журавлёв▼
16 авг 2009 в 20:16
Зачем же сразу кидаться в высшие степени. Может быть стоящее, но не настолько, чтобы рожу за это били; может быть стоящее, но никому об этом не будет известно; флешку можно потерять или оставить у кого-нибудь дома. Много случаев бывает. Что ж ты сам осмысленность собственной темы опровергаешь тем, что если надо будет, то и рожу набьют.

Я сказал,- что тввой принцип "кому надо " которым ты собрался раскрыть AES овский алгоритм возможет только через мордобой,- но никак не методом обычного компьютерного взлома.

Даже если ты сотни лет будешь сидеть с теми,"кому надо" вместе с тобой,-то ты его все равно не вскроешь.

Если же выбить через мордобой сам пароль,- то так можно что угодно вскрыть .

Поэтому я предположил,что под вскрытием AES алгоритма методом "кому надо" ты имел в виду мордобой.

Если нет- то изложи тогда иной метод ,-раз ты полностью поддержал таковое вскрытие теми, "кому надо" без мордобоя.

Ты же меня стал обсуждать,-вместо приведения обоснования своих слов.

>Может быть стоящее, но не настолько, чтобы рожу за это били

Тогда это ерунда ничего не стоящая. Детские игры во взрослого дядю.

> может быть стоящее, но никому об этом не будет известно

Тогда это не представляет интереса ,- раз никто не знает. Можно вообще об этом не думать.

>флешку можно потерять или оставить у кого-нибудь дома

Тогда посмотрят ,-если оно интересно и закрыто никаким алгоритмом.

Проще говоря,- ты утверждаешь авторитетно :

1) флешевский алгоритм не вскрыть за приемлемое время,-скажем за час

2) AES вскроет "кому надо" ( я утверждаю, что никто не вскроет – даже кому надо выше крыши и у него все технические возможностив наличии ).

Илья [Creator] Журавлёв▼
16 авг 2009 в 23:29
Увел от темы.

Уже исходя из твоих утверждений, да, есть алгоритмы, шифрующие "необратимо". Единственный способ раздобыть данные – выбить их у человека. Разве мое "кому надо" предполагало ограничение компьютерными средствами?

В чем же тогда суть темы? Из твоих постов выходить примерно следующее: есть алгоритм AES, данные, им зашифрованные, невозможно расшифровать без применения метода "по морде, и все скажет", и им должны шифроваться серьезные данные, но тем, кому эти данные будут нужны, применят этот метод, остальное же – детские игры. Вроде как либо ставишь продвинутую противоугонную систему на феррари, либо оставляешь жигули открытыми.

>Тогда это не представляет интереса ,- раз никто не знает. Можно вообще об этом не думать.

Как просмотрят – тогда и станет интересным.

>1) флешевский алгоритм не вскрыть за приемлемое время,-скажем за час

Не могу точно сказать (и алгоритм не флешевский, а тот, который предоставляет конкретная программа), но вероятность, что взломом станут заниматься, например, студенты, случайно нашедшие флешку в системнике компьютерного зала университета, или обычные люди, подобравшие флешку с земли, очень мала.

Так о чем же тема? Об алгоритмах шифрования? Тогда так и надо называть. Или о том, как загримироваться под деда или ходить по улицам, постоянно оглядываясь, а то мало ли что.

Все в разных степенях бывает. Может у человека на флешке пароли от каких нибудь сайтов. Не очень важная информация, но защитить полезно. Если однобоко рассматривать только "сверхсекретные" данные, то и говорить, собственно, не о чем будет.

Сергей deacon Fazedies Канаев▼
18 авг 2009 в 12:00
[QUOT by #22]
Уже исходя из твоих утверждений, да, есть алгоритмы, шифрующие "необратимо".
[END QUOT]
Давайте разделим понятия. Шифрование — оно всегда необратимое, из шифра шифруемое узнать не удастся. А Если вы скрываете информацию посредством применения к ней некоторого алгоритма, с целью его безопасного прочтения, только тем, кто знает обратный алгоритм — то это уже кодирование (как пример кодирование при передаче данных, с той целью, что бы принимающая сторона смогла обнаружить сколько ошибок произошло, где они произошли, и исправить их). Далее могу сказать только то, что явное применение шифрованию видимо только шифрование паролей, с целью передачи шифра и сравнения шифров (т.е. алгоритм шифрования есть не что иное как взаимно-однозначное соответсвие между двумя векторными пространствами разных размерностей [это как его видит математика]), сюда же можно добавить еще и алгоритмы сжатия.
ВЫВОД.
Если вы кодируете информацию, можно ее раскодировать.
Если вы шифруете пароль, можно спереть у вас шифр, и подобрать к нему пароль.
И неважно сколько это займет времени. Важен сам факт, что это — возможно. Не нужно только говорить что на компъютере это займет много времени.
Во-первых — можно составить вычислительную сеть и поручить эту задачу нескольким (пусть даже и персональным) компъютерам.
Во-вторых — необходимо признаться — мы восточный рынок, и сюда не идет все самое качественое и самое новое, наоборот сюда идет все на опробацию и на обкат.
В-третьих — Если этим делом занимается гос-учереждение — так там не персоналки стоят, а мощные вычислительные машины, и наних подбор ключа (даже подбор ключа) займет на много меньше времени чем на персоналке.

Илья [Creator] Журавлёв▼
18 авг 2009 в 12:26
Слово стояло в кавычках. "Необратимо" – имелось ввиду, что займет гигантское количество времени или потребует огромных вычислительных ресурсов. Сам факт возможности ясен.