Názory k článku Yahoo skenuje poštu pro vládu, Google a Microsoft to prý nedělají
-
Honza Jaroš (neregistrovaný)
Nedávno jsem rozbíhal jeden server umístěný v Panamě u CCIHostingu (neptejte se mě proč, prostě to tak zákazník chtěl) a běžel na něm i mailserver. Když jsem poprvé zkusil odeslat zprávu na server do Prahy, pět minut se nic nedělo, mail visel ve frontě a pak teprve zpráva přišla. Pri bližším zkoumání hlavičky a následně logů jsem zjistil, že se nedařilo navázat šifrované spojení a po pěti minutách to tedy spadlo do nešifrovaného. Nejdřív jsem zkusil na tentýž server odeslat mail skrz OpenVPN tunel, to prošlo v pohodě, v nastavení mailserveru tedy chyba nebyla. Analýza paketů na obou stranách komunikace ukázala, že po odeslání STARTTLS dojde do Panamy jeden paket navíc, který pražský server neodeslal a který způsobí, že se panamský server začne pokoušet navazovat spojení přes staré SSL, zatímco pražský očekává TLS, pět minut se marně pokouší domluvit a pak spojení spadne do klasického bez šifrování.
Zkoušel jsem z Panamy přes 'openssl s_client' navazovat spojení s různými (tuším že asi deseti) free mailservery v Evropě i v USA, jediné které prošly bez problému byly servery Googlu a Microsoftu. O tom, proč se tenhle divný MITM útok těchto dvou společností netýkal, můžu jen spekulovat, osobně jsem dospěl k závěru, že NSA se na jejich servery může dostat jinak a tak neplýtvá kapacitami... :-)
Trošku mi uniká, proč útočník dělal takhle blbě, když mailservery obvykle certifikáty protistrany nekontrolují a přijmou i self-signed, ale jiné vysvětlení pro to, co se dělo nemám.
Server jsme pak z Panamy přesunuli jinam.
-
Ondřej CaletkaZlatý podporovatelInjektovat paket navíc je určitě levnější řešení než dělat MitM na všechna spojení.
Je to stejné jako s cenzurováním nepovolených internetových stránek na HTTPS – namísto MitM na veškerý provoz se pouze analyzuje SNI volba a likvidují se jen konkrétní spojení.
-
Ondřej CaletkaZlatý podporovatel
Jinak tohle by se možná dalo změřit systémem RIPE Atlas. Bylo by zajímavé odhalit takovýto útočný systém.
-
Ondra Satai NekolaZlatý podporovatelA on trebas gmail nefunguje, kdyz clovek nepouziva webove rozhrani?
-
hugochavez (neregistrovaný)
"..ale nedá se dodržet důvěrnost toho, že komunikace probíhá, kdo komu, kdy, kolikrát (...) píše..."
no napr.Bitmessage tohle resi tak ze posila VECHNY ZPRAVY VSEM, ale jen ten kdo ma prislusnej privatni klic k tomu verejnemu (kterym je zprava prijemci zasifrovana) si umi tu zpravu desifrovat/otevrit/precist.......... :o))) coz sice system dela dost nepouzitelnej pro mobilni koncovy zarizeni nicmene funguje to OK a ten kdo chce sledovat "kdo s kym komunikuje" si to muze jit mrsknout ;o)))Holt jak pravi klasik "the convenience is the enemy of security" :o)
-
hugochavez (neregistrovaný)
"..Pokud chce nekdo sifrovat maily, nemuze pouzivat ani google ani M$ ani nic podobnyho, a zaroven .. snima nesmi ani nijak komunikovat...Pokud chce nekdo sifrovat maily, nemuze pouzivat ani google ani M$ ani nic podobnyho, a zaroven .. snima nesmi ani nijak komunikovat.
myslim ze muze, ale musi vychazet z premisy "kazdej po ceste si chce moji zpravu precist a pouzit ji proti me" proto je potreba prijmout proti-opatreni = sifrovat VSECHNO a to poradne.
Osobne kdyz sem chtel neco duvernyho nekomu poslat tak sem vyrobil TrueCrypt kontejner, nasypal do nej data + v textaku nakej ten pokec a zasifroval to heslem s 50ti znaky......
Pokud si nekdo cestou poridil kopii a rozhodl se ji lamat tak "good luck with that!" =je mi to uplne sumak, protoze vim ze heslo je takovy ze ho bude lamat dalsich milion let viz. https://www.grc.com/haystack.htm Dnesni Internet je Wild West kde si tajny sluzby, hackeri a podobny spolky delaj co chtej takze soukromi si musi clovek chranit sam....Mimochodem pokud jde o Yahoo lidi radi zapominaj takze urcite neuskodi "to refresh the memory"
https://9to5mac.files.wordpress.com/2013/06/prism-slide.jpg
a ty zvasty ze Google, acebook nebo M$ v tom nejedou a jsou MIrkove Dusinove to muze bastit jen totalni retarda :o))))))) -
hugochavez (neregistrovaný)
velmi zajimava prednaska-diky za link!
A abysme to meli vsechno pohromade tak tohle video ji dobre doplnuje (a je nemene poucne):Max Schrems: Safe Harbor [32c3]
https://www.youtube.com/watch?v=t_Y1cJI-WgwMax Schrems a jeho nazor na "novinku z dilny EK" jmenem Privacy Shield
https://www.youtube.com/watch?v=rWO0b3gG6zAPodle toho, co psala DK obdoba ceskeho Root.cz kde dusledky tohoto noveho "pocinu" EK probirali tak by Privacy Shield znamenalo ze se americke firmy SAMY PRIHLASI k tzv.certifikaci pokud si SAMY mysli ze splnuji pravidla pro presun dat Evropanu do USA podle pravidel sepsanych v onom pamfletu. JESTLI ALE REALNE SPLNUJI VYZADOVANE PODMINKY ZEJMENA TEDY PRIVACY ZABEZPECENI NEBUDE ANI EVROPSKA KOMISE ANI JINY ORGAN KONTROLOVAT.........
Evropan se muze obratit na ombudsmana.............ktery bude ale American sedici v USA :o))))))Osobne tedy nevychazim z uzasu..........
-
hugochavez (neregistrovaný)
ano to je klasicka "advokatstina" neni to vylozene lez ale taky to nepopisuje celou pravdu = prelozeno do jadrne cestiny "my to takto nedelame.........protoze my to delame jinak ale vysledek je stejnej"
Treba otevrou pro NSA/FBI atd API a ti si pak za drobny peniz data hledaj sami.
Napomaha tomu i US legislativa (kterou se Americani ve sve bezbrehe aroganci snazi vnutit i jinym statum) a cele to zakryva tzv.gag-order cili "nahubkovy zakon" ktery primo zakazuje dotcenym firmam cokoliv zverejnovat a to nee pod pokutou ale primo hrozbou kriminalem pro vedeni spolecnosti.
Je pak otazka nakolik je tato "spoluprace" dobrovolna ci vynucena, tedy nakolik je fer tyto firmy za to co delaji odsuzovat..............?
Pro Evropana existuje ale reseni= sluzeb techto firem nepouzivat a kdyby ve vedeni EU nesedela banda sasku tak by bylo mozne legislativne upravit aby americke firmy vubec nemohly zpracovavat data pochazejici z Evropy. (Napr.Australie podone zakony ma = zadne registry obcanu ci jejich soukroma data ve vladnich DB nesmeji opustit uzemi Australie)
Co si pak US gov dela s daty svych vlastnich obcanu je jejich vec a pokud pritom porusuje americkou Ustavu je na US obcanech aby takovou vladu vymetli.
Pokud vsak US obcan rezignoval a ke stestimu staci kybl popcornu a polodemnetni reality -show v TV s uhloprickou 2m pak je to zase a jen ciste US problem :o)
