BoyRadeon
а в опере на винде или линуксе ничего в обход настроек не сделаешь
Я тут только напомню, что на движке Webkit сделан не только Хром и Сафари
И это в теории "ничего в обход не настроишь", практика все-таки отличается.
Как, собственно, и в этом примере.

BoyRadeon

Цитата:

---

Вопрос — сколько бэкдоров гугл запихнул в свой замечательный хром-кобальт...

---

Почитав недолго про шпионские устремления гугла, будет недалеко от истины предположить, что хром представляет собой один большой рут кит с элементами фишинга, а функционал броузера так, второстепенная функция

Hacking case's body of evidence

Цитата:

---

It says that in February a Twitter account with the name @AnonW0rmer, alleged to be Ochoa's, pointed followers to a website where the information lifted from the law enforcement websites was displayed.

At the bottom of the website was a photograph of woman — believed to be Ochoa's Australian girlfriend — taken from the neck down and holding a sign saying ''PwNd by w0rmer & CabinCr3w <3 u BiTch's''.

According to the FBI, data taken from the picture showed it was taken by an iPhone. GPS co-ordinates taken from the photo also pinpointed the exact Wantirna South street and house where it was taken.

---

Сказ о том, что и толковый хакер может глупо спалиться. Короче говоря, чувак хакнул несколько амергоссайтов, унёс много добра, выложил в Инет и приступил к браваде. Всё бы ничего, но он сфоткал бюст своей подружки с плакатиком ''PwNd by w0rmer & CabinCr3w <3 u BiTch's'' и тоже выложил. Этим и спалился. Нет, в ФБР нет базы данных по сиськам. Дело в том, что фоткалось с iPhone дома у подружки, и в EXIF фотки остались GPS координаты. Агенты пожаловали прямиком к ней в гости, остальное было делом техники.

Операстам смысла нет вставлять руткиты в свой браузер — в политических играх они не участвуют, доля рынка минимальная, всю эту бяку еще писать надо, у них и так проблем полно. Зато там есть драгонфлай, при помощи которого легко отследить любую скрытую функциональность сайтов.

Если будет нужно, и в Оперу вставят руткит. Доверять можно только открытому софту.

Walter S. Farrell
Доверять можно только открытому софту.
Очень сомневаюсь, что кто-то действительно проверял код большинства программ из мира открытого ПО
Еще очень сомневаюсь, что кто-то всерьез будет компилировать программы из исходников, и проверять, действительно ли они полностью совпадают с откомпилированными исходниками?

Единственное, чем теоретически может похвастаться открытое ПО — это возможностью его проверить.
А вот проверяется ли оно в действительности — я как-то очень сомневаюсь

matik, безоговорочно доверять можно лишь самому себе, да и то не всегда


>Очень сомневаюсь, что кто-то действительно проверял код большинства программ из мира открытого ПО

Смотрящие за CVS/SVN этим занимаются. Были попытки вставить бэкдоры в код TCP/IP стэка Линукса, провалились уже на этой стадии. В общем, если софт делает что-то подозрительное, то можно отловить нужную функцию дебаггером, затем уж смотреть в нужное место исходников и думать. В случае закрытого софта смотреть толком некуда, разве что бинарники ковырять.


>Еще очень сомневаюсь, что кто-то всерьез будет компилировать программы из исходников, и проверять, действительно ли они полностью совпадают с откомпилированными исходниками?

В каком смысле? Что руткит может быть в компиляторе?

Walter S. Farrell
Что руткит может быть в компиляторе?
В том смысле, что убедиться в том, что шедшая в дистрибутиве программа действительно компилируется из существующих исходников, и имеет именно такой MD5
А то уже готовое легко может содержать "оптимизации", а мы и успокоимся: дескать, исходники есть, можно не волноваться

безоговорочно доверять можно лишь самому себе, да и то не всегда
Это безусловно

Walter S. Farrell писал(а):

---

В каком смысле? Что руткит может быть в компиляторе?

---

АФАИР, это (или что-то подобное) уже было с одним из Паскалей...
---
А w0rmer тот — просто : картинки для сети надо правильно готовить! Открываем прямо в Опере св-ва последнего плаката и читаем:
Ориентация изображения: 1
Файл изменён: 2008:09:24 17:13:59
Использованное ПО: Adobe Photoshop CS Windows

matik писал(а):

---

В том смысле, что убедиться в том, что шедшая в дистрибутиве программа действительно компилируется из существующих исходников, и имеет именно такой MD5 А то уже готовое легко может содержать "оптимизации", а мы и успокоимся: дескать, исходники есть, можно не волноваться

---

Количество решает. Наверняка хватает параноиков, которые в соответствии исходников исполняемому коду готовы убедиться (и убеждаются), и если бы несовпадения возникали — то тут же началась бы истерика, и об этом бы уже знали все.

Гарантий, конечно, никаких, — но тем не менее.

Stranger_NN
Количество решает.
Брось Подавляющее большинство пользуется одной — двумя популярными программами

Наверняка хватает параноиков, которые в соответствии исходников исполняемому коду готовы убедиться (и убеждаются), и если бы несовпадения возникали — то тут же началась бы истерика, и об этом бы уже знали все
Сам посчитаешь, сколько здесь недоказанных допущений?

Гарантий, конечно, никаких
О. О чем и речь.
Потенциально открытое ПО безопаснее.
На деле этого никто никогда не проверял полно и дотошно.

matik писал(а):

---

На деле этого никто никогда не проверял полно и дотошно.

---

Неверное утверждение. Тот же пИнгвин используется в государственных органах многих стран, причем вполне определенные проверенные дистрибутивы. Так что — проверяли.

С другой стороны, тысячи человек проверяли и пересобирали отдельные пакеты, и даже если каждый из них пересобрал по 1-2 — то в целом каждую программу ежедневно перекомпилируют и изучают результаты десятки человек.

Stranger_NN
Неверное утверждение
Верное, верное.

Тот же пИнгвин используется в государственных органах многих стран, причем вполне определенные проверенные дистрибутивы. Так что — проверяли
Угу. Не знал бы я таких людей в РФ — тоже верил бы

Stranger_NN
Тот же пИнгвин используется в государственных органах многих стран, причем вполне определенные проверенные дистрибутивы. Так что — проверяли.
Знаю я один такой "проверенный" дистрибутив.
Который допиливали вообще сторонние люди

matik писал(а):

---

Угу. Не знал бы я таких людей в РФ — тоже верил бы

---

Не в людях дело. Система проверяется на соответствие конкретным стандартам, полная и дотошная проверка всего в системе заняла бы неприемлемое количество времени (многие годы). Да и смысла в такой полной проверке нет — когда находится проблема, которая не нарушает писанных требований, то и проблемы технически нет.

Buntar
полная и дотошная проверка всего в системе заняла бы неприемлемое количество времени (многие годы).
Я-то с этим делом согласен, и паранойи у меня нет.
Но это автоматически (!) означает, что никакой реально обоснованной и проверенной уверенности в безопасности открытого ПО просто нет.

Да и смысла в такой полной проверке нет
Тогда и смысла говорить о безопасности ПО вообще нет.

matik
Я только написал, что не в людях дело, когда провереный Пингвин полностью не проверяется. Причём, я живу спокойно, сертифицировав его с известными мне проблемами, т.к. он соответствует требуемым стандартам.

Об открытом ПО — мне вообще без разницы Линукс или Винда, и то и другое успешно применяются. Это только ОС, и там могут быть и есть свои проблемы. Недавно Хром браузер в состав Линукса добавили — я на его (Хрома) исходники даже не взглянул, просто сертифицировал новый Линукс, теперь с Хромом. Могу так делать, т.к. уверен в безопасности системы (система здесь — совокупность всего железа и софта в сети) в целом. Безопасность достигается совокупностью требований к каждому из отдельных компонентов.

Buntar
просто сертифицировал новый Линукс, теперь с Хромом
Кстати, а Хром (открытый проект, насколько помню), шпионящий за пользователями, и отсылающий информацию о них в Гугл, может считаться безопасным ПО?

matik
Тут есть несколько разных моментов:
1. Не отсылает он ничего о пользователе в Гугл, если какое-либо отсылание не включать.
2. Та конкретная система, которая теперь с Хромом, к Гуглу или Интернету подключиться не может в принципе, железно нет подключения (ну, потенциально есть через не один уровень железных межсетевых экранов, что по стандартам = нет).
3. Абсолютно безопасного ПО не бывает и быть не может. ПО может считаться только достаточно безопасным, т.е. соответствующим стандартам или требованиям безопасности.

Buntar
Не отсылает он ничего о пользователе в Гугл, если какое-либо отсылание не включать.
Отдельно от настроек политики безопасности есть галочка "показывать рекламу по интересам".
ОТКУДА Гугл знает интересы человека?

Абсолютно безопасного ПО не бывает и быть не может. ПО может считаться только достаточно безопасным, т.е. соответствующим стандартам или требованиям безопасности.
Отлично.
Что мы по факту имеем?

1. Утверждается, что полностью безопасного ПО не бывает.
2. Утверждается, что "открытое ПО безопасно".
3. По факту ПОЛНОСТЬЮ открытое ПО никто не проверял.

Собственно, все про "безопасность" открытого ПО.

Непонятно что с жаром перетирается уже не один абзац)) ежу понятно, что рут кит можно с одинаковым успехом встретить и у, как правильно matik говорит "так называемого свободного" ПО, и у проприетарного, а уж где оно будет чаще, б-г весть..как карта ляжет

matik
Интересы он сопоставляет с твоими запросами поиска в гугле. Яднекс уже давно это делает и галочек никаких не ставит — просто давит рекламой и всё.

BoyRadeon
Интересы он сопоставляет с твоими запросами поиска в гугле. Яднекс уже давно это делает и галочек никаких не ставит — просто давит рекламой и всё.
Причем оба — ярые "сторонники открытого ПО"

matik

Это точно... Навязчивая "открытость" яндекса видна даже на других сайтах в виде всяких яндекс-директов и прочей подобной каки.

Оказывается, "корпорация добра" обманывала окружающих насчет "случайной прослушки WiFi"?

28-го апреля стала доступна новая версию отчета о расследовании в отношении Google по делу о сборе данных из незащищенных WiFi сетей. Выяснилось, что версия событий, представленная компанией широкой общественности, отличается от фактов, найденых FCC. Google препятствовал разглашению отчета FCC, и изначально комиссией был опубликован отчет с большим количеством выбеленных строк.

Из отчета следует, что сбор трафика из WiFi сетей (включая содержимое сообщений эл. почты, паролей, адресов сайтов и т.д.) не был случайным результатом копирования «старого» программного кода, как это первоначально пытались представить в компании. Компания делала это намеренно, собранные данные передавались в дата-центр компании в Орегоне. В FCC утверждают, что компания пыталась предотвратить разглашение этих фактов.

Неизвестный Инженер, которым, по всей видимости, является Marius Milner, известный хакер в области беспроводных сетей, в документе, описывающем дизайн системы сбора данных о Wi-Fi сетях, сообщал о неоднозначности оценки системы с точки зрения неприкосновенности частной жизни и указывал на необходимость консультаций с юридическим советником компании. По версии Google, таких консультаций проведено не было. Неизвестный Инженер отказался сотрудничать с FCC, воспользовавшись Пятой Поправкой, дающей право не свидетельствовать против себя.

Сращивание АНБ США (крупнейшей в мире службы электронного шпионажа) и Google
В мае нынешнего года апелляционный суд американского столичного округа Колумбия вынес (в очередной раз) любопытнейший вердикт относительно закулисных дел между Google и Агентством национальной безопасности США.
В вердикте суда, опубликованном 11 мая, еще раз подтверждено: АНБ США не обязано ни подтверждать, ни отрицать свои связи с корпорацией Google. Американский суд полностью согласился с позицией АНБ, в соответствии с которой разведслужба имеет право вообще никак не реагировать на запросы касательно отношений с Google

Благодаря расследованиям журналиста Ноя Шахтмена (Noah Shachtman), ведущего известный блог Danger Room о новостях военно-разведывательного комплекса США на сайте Wired.com, известно немало подробностей и о куда более ранних деловых отношениях Google c американскими спецслужбами.
В частности, особо заинтересовала Шахтмена молодая ИТ-компания Recorded Future («Записанное будущее»), без ложной скромности заявляющая, что открывает новый этап в делах сбора и анализа разведывательной информации. Recorded Future прочесывает соответствующие веб-страницы Интернета для сбора текущей информации о том, кто-что-когда-где и по какой причине делает, устанавливая скрытые связи между никак внешне не связанными между собой людьми и событиями недалекого будущего.
При этом особо интересно, что щедрыми инвесторами Recorded Future, как установил Шахтмен, одновременно являются Google и ЦРУ.

Популярные и общедоступные интернет-сервисы «Гугла» порой дают характерные сбои, больше всего похожие на искусственные манипуляции с целью ограничения доступа к «неудобной» для властей информации. Один из ярчайших тому примеров в свое время предоставил сервис Google Video (так именовался первоначальный ответ «Гугла» на YouTube, пока не было решено, что проще купить сам этот видеосервис, нежели раскручивать альтернативу). Осенью 2006 года стало известно, что администрация «Гугла» принудительно обнуляет счетчики, учитывающие на Google Video количество просмотров видеофильма Terrorstorm — документального журналистского расследования про то, как международный терроризм пестовался и финансировался разведслужбами. Когда факты обнуления счетчика стали известны, это было названо «технической ошибкой», которую в «Гугле» публично признали и пообещали быстро исправить. Однако и далее цифры счетчика сбрасывались вновь, упорно не пропуская Terrorstorm в список сетевых хитов и, соответственно, существенно сокращая потенциальную аудиторию картины.

Так, в недавнем интервью для британской газеты The Guardian Сергей Брин счел нужным предупредить, что имеются «очень мощные силы, объединившиеся — со всех сторон и по всему миру — против открытого Интернета; это пугающий процесс, сейчас вызывающий беспокойство гораздо большее, чем прежде».

Юрисдикция и законы США ограждают от тотального и ничем не санкционированного перехвата коммуникаций исключительно американских граждан. Что же касается переписки и прочих данных всех остальных граждан и организаций мира, то разведслужбы США вполне официально имеют от своего государства разрешение на полный и беспрепятственный к ним доступ без всяких там ордеров и предписаний.

Кстати, подозреваю, что если нечистоплотный работник АНБ продаст известно кому перехваченные данные моего мобильного банка, то найти крайнего в исчезновении денежки будет аналогично также крайне сложно Ведь я не американский гражданин...

Ой, никто и не мог подумать такое!

Washington Post: вирус Flame создан США и Израилем

Газете Washington Post не привыкать к роли разоблачителя — на её счету знаменитый Уотергейт, приведший к единственной в истории США досрочной отставке Президента страны. На сей раз нашему вниманию предлагается материал, в котором утверждается, что вирус Flame родился в рамках совместной программы США и Израиля по созданию кибероружия. Косвенно эти сведения уже подтверждались ранее — в начале июня министр обороны Израиля Эхуд Барак публично признал, что Израиль располагает наступательными кибервооружениями.

Журналисты Washington Post утверждают, что целью вируса Flame, как и Stuxnet (другого детища секретных служб США и Израиля) является удар по иранской ядерной программе. Разработка этих образцов кибероружия велась при участии ЦРУ, Агентства национальной безопасности США, а также израильских спецслужб. При этом авторы статьи утверждают, что одной из задач, ставившихся перед вирусами, являлось замедление процесса создания Ираном ядерного оружия с целью получения большего времени на дипломатическое урегулирование вопроса. Все остальные подробности лучше узнать из первоисточника — материала под названием "U.S., Israel developed Flame computer virus to slow Iranian nuclear efforts".

Это что же это, светочи демократии не уважают суверенитет других государств?

matik, а разве он когда либо был, если страна не ведет изоляционную политику по отношению к остальным странам? Да и это — неудивительно, в нашу эпоху войны перешли на цифровой уровень.

http://www.3dnews.ru/offsyanka/634341/
Неплохая статейка, подытоживающая все то, что нас будет ожидать в недалеком будущем и в плане исчезновения привата, а также средств управления массами

в 2008 году корпорация Abraxas прикупила себе фирму Anonymizer – весьма Известный в интернете «бренд приватности», обеспечивающий своим клиентам анонимную работу в Сети. Через некоторое время специалисты-маскировщики из Abraxas трансформировали Anonymizer в якобы самостоятельную фирму Ntrepid, которая получила от госструктур США заказ на поставку «ПО управления образами» (Persona Management Software).

Под данным техническим термином подразумевается средство управления армией программных роботов, которые достоверно имитируют в Сети множество разных реальных людей. То есть имеют работающие адреса электронной почты, Twitter-аккаунты, регулярно наполняющиеся контентом страницы в социальных сетях и тому подобные признаки «живого человека». А нужно же это для того, чтобы умелый специалист спецслужбы (или корпорации) практически в одиночку мог бы «устроить консенус» – просто свернув или направив «как надо» любую вредную или потенциально опасную дискуссию в Сети.

CRAIG_DT

Народ уже активно разрабатывает плагины вторичного шифрования к скайпу, потому как после того как долбозвонный микрософт изгадила клиент и разбазарила ключи шифрования кому попало, он потерял практически всю защиту. Для аськи есть сторонние клиенты со своим шифрованием, которое доступно только тем, у кого эти клиенты установлены.

Народ активно ведется на подобные вбросы. Голосовой Skype — это p2p. Просто ключей шифрования тут недостаточно.

Rucha

Видео похоже точно идет через их долбаный сервак, потому как частенько при полностью незагруженном канале между юзверями и пинге 3-4мс видео идет жатое-пережатое и еще и заикаться умудряется. Насчет голосового не в курсе.

Rucha писал(а):

---

Народ активно ведется на подобные вбросы. Голосовой Skype — это p2p. Просто ключей шифрования тут недостаточно.

---

Достаточно перехвата на уровне провайдера (СОРМ-2 обязателен уже лет 10 как) при известных ключах. И не поможет никакой p2p. Это так сложно?

Stranger_NN

Ключи стали "известными" только с подачи замечательных обалдуев из микрософт. Именно поэтому и делается софт с генерацией ключей на локальных машинах.

Stranger_NN
Достаточно перехвата на уровне провайдера (СОРМ-2 обязателен уже лет 10 как) при известных ключах. И не поможет никакой p2p. Это так сложно?
На самом деле абсолютно все производители месанжеров (Майкрософт, Гугл, и т.д.) сотрудничают со спецслужбами, и при необходимости дают доступ. У них нет других вариантов, собственно: иначе им не разрешат работать в той или иной стране.
Та же самая фигня и в США. Так что не тешьте себя иллюзиями: абсолютной безопасности нет нигде.

BoyRadeon писал(а):

---

Ключи стали "известными" только с подачи замечательных обалдуев из микрософт. Именно поэтому и делается софт с генерацией ключей на локальных машинах.

---

Разумеется. Проблема-то (а) в переводе в режим генерации ключей шифрования на сервере и (б) в бесконтрольном (без решения суда) доступе правоохранительных (хаха) органов к данным. Но это ИСКЛЮЧИТЕЛЬНО дело рук (и незаконных действий) мелкомягких.

matik писал(а):

---

На самом деле абсолютно все производители месанжеров (Майкрософт, Гугл, и т.д.) сотрудничают со спецслужбами, и при необходимости дают доступ. У них нет других вариантов, собственно: иначе им не разрешат работать в той или иной стране.

---

И что ты сделаешь с ключами, сгенерированными на клиенте? Ну, перехватил ты трафик... И?

Stranger_NN
И что ты сделаешь с ключами, сгенерированными на клиенте? Ну, перехватил ты трафик... И?
Записал его. А потом попросил у автора мессанжера мастер-ключ. Надеюсь, ты не считаешь, что таких не существует?

matik писал(а):

---

Записал его. А потом попросил у автора мессанжера мастер-ключ. Надеюсь, ты не считаешь, что таких не существует?

---

В общем-то, если используются известные алгоритмы типа AES или Serpent — то ключа может и не быть в принципе. Технически, так сказать. Математика криптоалгоритма такова, что "встроить" туда мастер-ключ просто некуда. Так что очень долго будешь этот "мастер-пароль" искать.

Stranger_NN
В общем-то, если используются известные алгоритмы типа AES или Serpent — то ключа может и не быть в принципе. Технически, так сказать.
Жаль, жаль, что никто не знает (производители "почему-то" заботливо НЕ говорят), какие алгоритмы использованы? Кстати сказать, и указанные тобой алгоритмы допускают использование мастер-ключей.
Какой алгоритм используется в Гугл-толке, не подскажешь?
Откуда знаешь, что этот?

Математика криптоалгоритма такова, что "встроить" туда мастер-ключ просто некуда
Ничего подобного. Кроме приватного и публичного ключей (кстати, как ты проверишь, знает ли Гугл приватный ключ?), допустимо использование мастер-ключа. Реализации AES различные есть.
И логика мне подсказывает, что действительно безопасной передача ни в Скайпе, ни в гугл-толке, ни в любом другом мессенжере не является.