|
|
| Коментар от: zombody zombody__at__dev[ точка ]null[ точка ]com |
Дата: 9-09-2013 |
| [ Други коментари] |
Трудна, почти невъзможна работа.
Добър старт е: www.prism-break.org. Но уви нещата са доста сложни.
Единственото сигурно крипто е PGP (поне 4096 бита дължина на ключа), но начина по който се пазят кючовете е проблем. Ако лесно може да
се компрометира машината на която пазите частните кючове - дори PGP-то е безмислено.
За сега мога само да препоръчам, Pidgin+OTR, и Thunderbird + Enigmail/OpenPGP плъгин. Не ползвайте Уеб-мейл !
Ако ползвате Gmail, настройте си Thunderbird и ползвайте IMAP/SMTP сървъра на Google. Криптирайте мейловете с PGP си и изисквайте
хората с които общувате да правят същото (до колкото е възможно, уви).
Също браузвайте само през TOR (конфигуриран и като DNS). Ограничете кукитата на session only. Използвайте ад/тракинг блокери. Не
ползвайте Гугъл, Бинг и прочие големи търсачки за търсене. Алтернативи има - startpage.com, ddg.com, етц. Не ползвайте ФБ !!!!
Смарт-фоните - big NO NO. Особено IOS, Android и Windows Phone !
Имате ли смартфон гарантирате че устройството ви разполага с координатите ви до 10 м точност, както и ред други благи данни, които за
щяло и нещяло отиват не само при вашия телефонния оператор, а и в Интернет (при който трябва). По принцип мобилните мрежи са абсолютно
несигурни - най-малкото поради начина по който са организирани.
Също не ползвайте комерсиални ОС - със сигурност са бек-дорнати. Големите Линукс дистрота също не са оферта - не знаем дали бинаритата
които дистрибутират са билднати от оригиналните сорсове и не са бек-дорнати също.
Не тръствайте на никой root-CA, които идват by default с браузера. Self-signed сертификатите са по-сигурни.
Ако сте технически грамотни и не се страхувате да си пооцапате ръцете ориентирайте се към сорс базирани дистрибуции - Gentoo, Linux
from Scratch, FreeBSD и прочие. Не ползвайте и инсталирайте бинарита за които нямате сорсове. Билдвайте си ги сами !
Но уви всичко това дори не е достатъчно. Голяма част от интернет инфраструктурата е компрометирана. Болшинството рутери използват
симетрично шифроване - AES. НСА имат възможност да ги разбиват в реално време. Не стига мрежовата инфраструктура (болшинството от която
е бек-дорната), но самите ПЦ-та не са сигурна платформа. Дори да билднем целия ОС от сорс от сигурни източници, не можем да гарантираме
че BIOS-a, EFI-to и прочие firmware в PC-то не са компрометирани и няма имплантирани задни врати. Дори не можем да гарантираме че
микрокода в самите процесори не е бек-дорнат. Уви цялата сигурност е безмислена, ако има дори едно слабо звено в системата.
В хардуерно отношение мога само да препоръчам да не се ползва x86 или сложни системи с много firmware. Уви нещата стигат толкова
надълбоко, че за да можем да гарантираме сигурност, ще трябва да ползваме хардуер който сме направили сами !?! Тук решението е
единствено хардуер с отворени схеми и употреба на програмируеми логически матрици - FPGA вместо процесори. По този начин хардуера ще
може да бъде flash-нат с процесор и SoC по наш избор - например OpenSparc, OpenRisc или MicroBlaze, за които има Linux портове.
Но дори употребата на FPGA матрици не е съвсем сигурно !. Нищо не ни гарантира че производителят на тези матрици - обикновено
американските компании Altera или Xilinx не вкарват хардуерни задни врати, както и всеки друг чип по принцип. Едва ли не трябва да
имаме собствени мощности за производството на чипове (както направиха Китай, колко хитро!), за да се гарантира някаква сигурност на
чиповете !. Нещата стигат абсурдно надълбоко, и ако само едно звено от тези е компрометирано, всички останали губят всякакъв смисъл.
Единствено най-примитивните чипове - тези от 7хх TTL серията са сигурни. Стигаме до безумната ситуация, че единствено домашно направени
машини като тази http://www.homebrewcpu.com/ и http://mycpu.eu предлагат някаква сигурност на хардуерно ниво !!!
Проблемът е много сериозен и тепърва се очаква отговорът на IT обществото и техничарите. Свидетели сме на краят на Интернет като мрежа
базирана на доверие (SSL/Certificates/crypto, etc). Това не е Интернетът, който си представяхме. Това е SpyNet. Очаквам 2014 да е много
интересна по отношение на сигурността, така че stay tuned.
|
| << ... | Към: Защита >> |
|
|
|
|
|
|
|
|
|
