Оффлайн
- Регистрация
- 12.05.16
- Сообщения
- 1.927
- Реакции
- 523
- Репутация
- 0
Итак, это пожалуй последняя статья о шифровании. Для 100% понимания того, что происходит - советую прочитать все статьи по очереди:
1) Что такое хеш-функции и как они используются
2) Цифровые подписи
3) Уровень защищенных cокетов SSL и безопасность транспортного уровня TLS
4) SSLStrip - перехват http трафика
5) HTTPS (HTTP Secure) защищенный протокол прикладного уровня
6) Цифровые сертификаты
7) Центры сертификации ключей и HTTPS
8) End-to-End шифрование (E2EE), стенография
В дальнейшем я сделаю темку-мануал, как сориентироваться новичку в реалиях необходимости быть анонимным. А сейчас мы с вами прилично поговорили о шифровании, и это фантастический инструмент для приватности, безопасности и анонимности. По факту, я бы сказал, что шифрование - это один из тех инструментов, имеющихся в безопасности, который реально работает. И поскольку он эффективен, злоумышленники будут избегать прямой атаки на шифрование в большинстве случаев. Они будут пытаться обойти его полностью. Злоумышленники, которые понимают, что они делают, будут всегда, всегда атаковать самые слабые места. Все, что они смогут сделать – это найти слабые места. Они никогда не будут пытаться забрутфорсить пароль от вашего зашифрованного диска, если гораздо легче сначала попробовать установить кейлоггер на вашу систему, или подсмотреть его за вашим плечом, или отправить вам фишинговое электронное письмо.
Атакующие будут просто пытаться обойти шифрование. Вам следует иметь это ввиду. Безопасность - это так называемый феномен слабого звена. Она настолько сильна, насколько сильно самое слабое звено в цепочке. Надежное шифрование зачастую - это сильное звено. Мы, человеческие создания, как правило являемся слабым звеном.
В разделе курса под названием OPSEC, или операционная безопасность, я расскажу о человеческих слабостях в области безопасности, и как их предотвратить. Если вы вкладываете множество усилий в свою безопасность, но упускаете нечто важное, как например, обновление вашего браузера или использование сильных паролей, то вы настолько же незащищены, как если бы вы вообще ничего не делали.
В этом проблема обеспечения безопасности. Через несколько часов после неудачного покушения на бывшую премьер-министра Великобритании Маргарет Тэтчер при помощи брайтонской бомбы, Ирландская республиканская армия хладнокровно заявила: "Сегодня нас постигла неудача, но помните, нам достаточно лишь однажды поймать удачу. Вам же нужно ловить удачу всегда".
Атакующие имеют преимущество. Им нужно лишь однажды поймать удачу, и они сначала метят по слабым местам. Убедитесь, что вы снизили количество слабых звеньев, перед тем, как углубляться в их детали.
Ваш механизм обеспечения безопасности должен запускаться еще до того, как вы даже попытаетесь его настроить. Люди и компании часто не могут начать использовать риск-ориентированный подход. Я наблюдал за тем, как время и деньги тратятся на шифрование ноутбуков, в то время как компания мало что делала с уязвимостями перед атаками на браузеры или электронную почту, а эти атаки в любом случае смогут обойти шифрование дисков. Речь идет о риске и приоритизации вашего времени и ресурсов для минимизации в первую очередь самых крупных рисков.
Далее в более полном цикле статей мы обсудим, какие существуют способы для атаки на шифрование, а пока что вот вам хороший материал для чтения, который я рекомендую, на тему того, как криптосистемы могут не справиться с атаками на них.
1) Что такое хеш-функции и как они используются
2) Цифровые подписи
3) Уровень защищенных cокетов SSL и безопасность транспортного уровня TLS
4) SSLStrip - перехват http трафика
5) HTTPS (HTTP Secure) защищенный протокол прикладного уровня
6) Цифровые сертификаты
7) Центры сертификации ключей и HTTPS
8) End-to-End шифрование (E2EE), стенография
В дальнейшем я сделаю темку-мануал, как сориентироваться новичку в реалиях необходимости быть анонимным. А сейчас мы с вами прилично поговорили о шифровании, и это фантастический инструмент для приватности, безопасности и анонимности. По факту, я бы сказал, что шифрование - это один из тех инструментов, имеющихся в безопасности, который реально работает. И поскольку он эффективен, злоумышленники будут избегать прямой атаки на шифрование в большинстве случаев. Они будут пытаться обойти его полностью. Злоумышленники, которые понимают, что они делают, будут всегда, всегда атаковать самые слабые места. Все, что они смогут сделать – это найти слабые места. Они никогда не будут пытаться забрутфорсить пароль от вашего зашифрованного диска, если гораздо легче сначала попробовать установить кейлоггер на вашу систему, или подсмотреть его за вашим плечом, или отправить вам фишинговое электронное письмо.
Атакующие будут просто пытаться обойти шифрование. Вам следует иметь это ввиду. Безопасность - это так называемый феномен слабого звена. Она настолько сильна, насколько сильно самое слабое звено в цепочке. Надежное шифрование зачастую - это сильное звено. Мы, человеческие создания, как правило являемся слабым звеном.
В разделе курса под названием OPSEC, или операционная безопасность, я расскажу о человеческих слабостях в области безопасности, и как их предотвратить. Если вы вкладываете множество усилий в свою безопасность, но упускаете нечто важное, как например, обновление вашего браузера или использование сильных паролей, то вы настолько же незащищены, как если бы вы вообще ничего не делали.
В этом проблема обеспечения безопасности. Через несколько часов после неудачного покушения на бывшую премьер-министра Великобритании Маргарет Тэтчер при помощи брайтонской бомбы, Ирландская республиканская армия хладнокровно заявила: "Сегодня нас постигла неудача, но помните, нам достаточно лишь однажды поймать удачу. Вам же нужно ловить удачу всегда".
Атакующие имеют преимущество. Им нужно лишь однажды поймать удачу, и они сначала метят по слабым местам. Убедитесь, что вы снизили количество слабых звеньев, перед тем, как углубляться в их детали.
You must be registered for see images attach
Ваш механизм обеспечения безопасности должен запускаться еще до того, как вы даже попытаетесь его настроить. Люди и компании часто не могут начать использовать риск-ориентированный подход. Я наблюдал за тем, как время и деньги тратятся на шифрование ноутбуков, в то время как компания мало что делала с уязвимостями перед атаками на браузеры или электронную почту, а эти атаки в любом случае смогут обойти шифрование дисков. Речь идет о риске и приоритизации вашего времени и ресурсов для минимизации в первую очередь самых крупных рисков.
You must be registered for see links
Далее в более полном цикле статей мы обсудим, какие существуют способы для атаки на шифрование, а пока что вот вам хороший материал для чтения, который я рекомендую, на тему того, как криптосистемы могут не справиться с атаками на них.
Оффлайн
- Регистрация
- 18.07.17
- Сообщения
- 107
- Реакции
- 5
- Репутация
- 3
фишинговое электронное письмо -- об этом сейчас уже даже пенсионеры знают и не открывают ссылки. Хотяяя, если заманчиво-обманчиво написать - и на старуху бывает проруха))