victor_sudakov: (Default)
В мессенджер Telegram добавили голосовые и видеозвонки. Вот даже не знаю, радоваться ли. И окончательно перестаю понимать, за чей счёт банкет. https://telegram.org/blog/calls

Хотя способ верификации отпечатка ключа порадовал. Можно голосом сверить.
victor_sudakov: (Default)
Чтобы сабжевая конфигурация заработала, надо на клиенте в .ovpn явно прописывать тип шифрования, идентичный серверному. Иначе получим в логе на стороне сервера:

openvpn[44674]: x.x.x.x:59463 WARNING: 'cipher' is used inconsistently, local='cipher AES-256-CBC', remote ='cipher BF-CBC'

Предположительно Tunnelblick не поддерживает NCP, как openvpn версии <=2.3

Lavabit

Feb. 3rd, 2017 07:32 pm
victor_sudakov: (Default)
You don't fully understand the importance of privacy until you've lost it (Ladar Levison)

"Насколько важна неприкосновенность частной жизни, осознаёшь только когда потеряешь её"

https://rublacklist.net/25180/

MAB

Jan. 19th, 2017 12:25 pm
victor_sudakov: (Default)
Для включения контроля доступа по списку разрешенных MAC адресов, при этом на порту можно иметь >1 разрешенного адреса:

aaa authentication dot1x default group radius

dot1x system-auth-control

interface GigabitEthernet1/0/29
  authentication host-mode multi-auth
  authentication order mab
  authentication port-control auto
  authentication timer reauthenticate 120
  authentication violation restrict
  mab
end

В RADIUS в users:

e8de27c96a2e Auth-Type = Local, Password = "e8de27c96a2e"
victor_sudakov: (Default)
http://hitech.vesti.ru/news/view/id/10753

Как минимум рекомендуют в меню "Безопасность" включить опцию "Показывать уведомления безопасности". У меня по умолчанию было выключено.
victor_sudakov: (Default)
https://rublacklist.net/24658/

Это означает, что при получении запроса телекоммуникационная компания должна удалить всё шифрование, чтобы обеспечить правительственным агентам доступ к любым каналам связи. Это указывает на обязательство сохранять возможность доступа для сотрудников правоохранительных органов к зашифрованным устройствам и услугам, прекращая на этом законное использование шифрования end-to-end.

Очевидно же, что кончится эта тенденция появлением децентрализованных мессенджеров, за которыми не будет никакой телекоммуникационной компании. Это сейчас можно надавить на владельцев WhatsApp или Telegram, а если никаких владельцев вообще не будет, а будет обмен сообщениями peer-to-peer?

Поставить такие децентрализованные мессенджеры вне закона? Так и выйдет по пословице "where privacy is outlawed, only outlaws will have privacy." Т.е. как раз у преступников и террористов тайные мессенджеры останутся.

Проще уж сразу троянить все пользовательские устройства, смартфоны да планшеты, да снимать все нужные данные прямо с клавиатур.

OTPdroid

Dec. 25th, 2016 09:48 pm
victor_sudakov: (Default)
Лучший OTP калькулятор для Android: https://play.google.com/store/apps/details?id=de.ub0r.android.otpdroid

Умеет посчитать несколько фраз за 1 раз (аналог "opiekey -n").
victor_sudakov: (Default)
Похоже втихую готовится внедрение тотальной слежки за автомобилистами:
https://ria.ru/society/20161114/1481325254.html
https://ria.ru/society/20161110/1481047454.html

Я мог бы согласиться с "чёрным ящиком", который будет писать и сохранять внутри себя информацию на случай ДТП и т.п. Пусть даже в нем будет аварийная кнопка "Я в беде, передать мои координаты в службу спасения или автосервис".

Но если речь об устройстве, которое будет непрерывно передавать данные о местонахождении моего автомобиля - это никуда не годится, это тоталитаризм. Мало нам мобил!

А уж как бандиты порадуются: уж они сумеют купить или захакать для себя доступ к данным о передвижениях интересных им авто.
victor_sudakov: (Default)
Почитал про организацию key signing parties (даже по-русски есть https://github.com/ivladdalvi/keysigning-party/blob/master/keysigning.md )

Попробовал даже создать такую встречу для Томска: http://biglumber.com/x/web?keyring=5984;readonly=1

Вывод: сложно всё это, "страшно далеки они от народа".
victor_sudakov: (Default)
Сабж https://en.wikipedia.org/wiki/Opportunistic_encryption имеет право на существование, потому что пассивное прослушивание - это разновидность атаки, что оказывается признается и в RFC двухлетней давности https://tools.ietf.org/html/rfc7258 и популяризаторами конечно: http://victor-sudakov.livejournal.com/176485.html

Как по мне, так веб-сайт с самоподписанным сертификатом (но известным заранее из надежного источника экземпляром) может понадежнее будет, чем подписанный УЦ Чунгва-Телекома. Полагаемся же мы на такую модель при удаленном доступе по SSH.
victor_sudakov: (Default)
Кто знает, как можно в браузерах добавить дополнительный доверенный корневой УЦ, но чтобы он мог подтверждать подлинность нескольких сайтов из заданного списка, а не любого сайта. Допустим, https://oblstat.tom.ru/webstat/ имеет самоподписанный сертификат. Я бы хотел установить этот сертификат в доверенные УЦ, но только для самого oblstat.tom.ru и поддоменов.
victor_sudakov: (Default)
Если есть необходимость разрешить доступ к "show running-config" непривилегированному пользователю (в моем примере 3-го уровня доступа), то обычных команд
privilege exec level 3 show running-config view full
privilege exec level 3 show running-config view
privilege exec level 3 show running-config
privilege exec level 1 show
может оказаться недостаточно, конфиг будет отдаваться пустой или почти пустой.

Тогда надо добавить
file privilege 3

Источник: http://commandline.ninja/2016/05/30/rancid-and-ios-15-2-blank-config-and-how-to-work-around-newer-file-privileges/
victor_sudakov: (Default)
Имя пользователя из клиентского сертификата получаем командой
$ openssl x509 -noout -subject -in sudakov.pem
subject= /C=RU/ST=Siberia/L=Tomsk/O=SibPTUS/OU=PL/CN=Victor Sudakov/emailAddress=sudakov@sibptus.ru


Если в имени пользователя есть пробелы, то в AuthUserFile вписываем это имя без кавычек:
/C=RU/ST=Siberia/L=Tomsk/O=SibPTUS/OU=PL/CN=Victor Sudakov/emailAddress=sudakov@sibptus.ru:xxj31ZMTZzkVA


а в .htaccess в кавычках
Require user "/C=RU/ST=Siberia/L=Tomsk/O=SibPTUS/OU=PL/CN=Victor Sudakov/emailAddress=sudakov@sibptus.ru"


После этого в конфиге апача включить
SSLVerifyClient optional
SSLCACertificateFile "/usr/local/etc/apache22/cacert.pem"
<Directory "/path/to/your/site">
    SSLOptions +StdEnvVars +FakeBasicAuth
</Directory>
victor_sudakov: (Default)
Возможностью опубликовать PGP ключ в профиле, зашифрованными уведомлениями и особенно хедером

X-Mailer: ZuckMail [version 1.00]
victor_sudakov: (Default)
Американские законодатели захотели читать весь зашифрованный трафик: https://www.schneier.com/blog/archives/2016/05/julian_sanchez_1.html

У нас законопроект Яровой-Озерова http://rublacklist.net/16352/ , у них эти клоуны.
victor_sudakov: (Default)
Некоторые автомобили уже можно хакнуть через Интернет, а теперь такую фичу хотят поставить всем: https://lenta.ru/news/2016/04/21/police/

И замечу от себя: не только полиция. Хакерам-то какое раздолье будет! Представьте: отключить двигатель кому-нибудь в момент обгона на трассе.

То, что даже применение данной фичи полицией строго по назначению будет опасно для окружающих, потому что без двигателя не будут работать усилитель руля и тормозов - об этом кто-то подумал?
victor_sudakov: (Default)
Сегментация трафика нужна не только государству для эффективной борьбы с терроризмом и экстремизмом, но и операторам связи, подчеркнул Жаров. «Для оператора связи с точки зрения бизнеса важно приоритизировать, например, голосовой трафик, чтобы монетизировать платные услуги, которые он предоставляет, за счет других видов трафика. Например, торрент-трафика, который находится в условно легитимном поле», — пояснил глава Роскомнадзора.

Подробнее на РБК:
http://www.rbc.ru/technology_and_media/19/04/2016/57163a459a79472b3512770d

Profile

victor_sudakov: (Default)
Виктор Судаков

May 2017

S M T W T F S
  123456
7 8 9101112 13
14151617 181920
21222324252627
28293031   

Syndicate

RSS Atom

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated May. 24th, 2017 07:39 pm
Powered by Dreamwidth Studios