О защитах приватности и свободах_ границы и взаимовлияние

[Oleg]

о жизни на помойке .. зато с сейфом

https://www.youtube.com/watch?v=1QFuy7590HI

- E-mail — среднее между сейфом и помойкой. Как это исправить?

[Oleg]

--->
4pda.to/forum/index.php?showtopic=992200 - Session - Private Messenger | Переписка без метаданных
4pda.to/Mailvelope
4pda.to/Delta Chat

п.2
https://4pda.to/forum/index.php?showtopic=1060944 - SimpleX Chat | SimpleX
, web.archive.org/4pda.to/&Print&showtopic=1060944
&
4pda.to/SimpleX Chat
Оф сайт simplex.chat/ru, simplex.chat
habr.com/SimpleX

google/security audit site:simplex.chat
--->

simplex.chat/blog/20240426-simplex-legally-binding-transparency-v5-7-better-user-experience.html
We are planning a 3rd party security audit for the protocols and cryptography design in July 2024, and also the security audit for an implementation in December 2024/January 2025, and it would hugely help us if some

, google/"security audit" "simplex.chat"

reddit.com/r/SimpleXChat/comments/y91ce7/simplex_chat_v41_released_and_we_got_the_draft_of
21 окт. 2022 г. SimpleX Chat v4.1 released and we got the draft of security audit report!

https://github.com/simplex-chat/simplex-chat/blob/stable/README.md
The security audit was performed in October 2022 by Trail of Bits, and most fixes were released in v4.2.0 – see the announcement.

en.wiki/Information_security_audit
отсель
youtube.com/watch?v=maI_Ri2ucxo - БЕЗОПАСНЫЙ МЕССЕНДЖЕР. Самые лучшие программы для тайной переписи

[Oleg]

нонче приватдоцентские новостя шойта зело-сс

Matrix.org has broken the federation connection

google/"github.com/matrix-org/matrix.org/issues/2483"
yandex/"github.com/matrix-org/matrix.org/issues/2483"

google/"t.me/ru_tech_talk/562"
yandex/"t.me/ru_tech_talk/562"

t.me/ru_tech_talk/562

Tech Talk
Forwarded from
Roman Sv
У меня для вас Новость о matrix.org, которую вы скорее всего пропустили.
Дефолтный и самый крупный сервер для регистрации аккаунтов в сети matrix - matrix.org сломал федеративность. А именно нарушил обмен ключами шифрования со всеми остальными серверами.
Юзеры с аккаунтами на matrix.org могут общаться между собой. Но не могут расшифровать сообщения от юзеров с аккаунтами на любых других серверах. Ошибка “unable to decrypt message” в Element и “message could not be decrypted due to missing key” в Nheko.
При этом нет никаких проблем с ключами между юзерами любых других серверов.

То есть, matrix.org окуклился. Вынуждая всех остальных (кто поднимал собственные серверы или регистрировался на маленьких серверах компаний, например) заводить учётки в matrix.org, чтобы не потерять связь с большей частью людей в сети.
Разрабы молчат, как шпионы: https://github.com/matrix-org/matrix.org/issues/2483
Хотя проблема наблюдается минимум с конца июля.
Я считаю, что на волне борьбы с e2e шифрованием в англии, германии и франции к ним просто напросто ПРИШЛИ. И попросили создать загон, чтобы люди не расползались по неконтролируемым серверам.
Думаю, вам стоит хотя бы упомянуть об этом событии в одном из выпусков.
PS Проблема проверялась на разных клиентах (и на ПК, и на андроиде) в разных ОС, с разными серверами, под ВПН и без, у разных провайдеров по всей РФ. Пробовалась команда /discardsession. -Однозначно это не что-то у меня лично поломалось.
t.me/ru_tech_talk/562
8.1K views Sep 23 at 18:09

https://habr.com/ru/news/845420/
23 сен в 17:22
Дуров: поиск в Telegram стал безопаснее, IP-адреса и номера телефонов нарушителей правил могут быть раскрыты по запросу
habr.com/ru/news/845420/comments
pvsur  23 сен в 21:58
До матрикса тоже вроде добрались, говорят, что клиенты matrix.org не могут теперь общаться с клиентами других серверов федерации. И это явно не программная ошибка или сбой. Сам не проверял ещё...
https://t.me/ru_tech_talk/562
Wesha  23 сен в 22:47
Использовать для работы с децентрализованной софтиной централизованный сервер — это для тонких извращенцев.

Akhristenko  23 сен в 18:12
крупнейший сервер matrix.org с конца июля сломал фередерализацию, т.е. люди с этого сервера не могут общатся с людми с других серверов. https://github.com/matrix-org/matrix.org/issues/2483

vikarti  26 сен в 10:38
news.ycombinator.com/item?id=41633904 обсуждение.
И таки да - у меня - работает (мой хоумсервер физически в России но конкретно у него связность через VPN, так оказалось сделать проще чем доставать еще один IP-адрес(из-за особенностей моей конфигурации - шарить адрес не вариант)).

znsoft  24 сен в 02:59
а что если запилить свой клиент телеги, но с обфускацией сообщений ,со своим шифрованием и передачей в чат base64 ? понятно что это не убережет от раскрытия ip и номера телефона , но свое шифрование на популярной платформе , почему нет?

Voland69  24 сен в 09:36
Можно, взять тот же PGP например, но тут есть целый ряд вопросов, который противоречит массовости решения:
1. Надежный и безопасный обмен ключами - нужен другой канал, чтобы исключить перехват.
2. Проверка публичного ключа собеседника - опять же, альтернативный канал - чтобы исключить MitM с перешифрованием сообщения.
3. В интересов разного рода федералес к переписке граждан сам факт обмена нечитаемыми блобами работает как привлечение внимания федералес к собеседникам. (сюда же и то, что не исключено что мессенджер подобный траффик начнет пессимизировать и оно банально будет тупить/перестанет работать)
Nulliusinverba  24 сен в 03:35
У SimpleXChat функционал и рюшечки во многом пересекаются с телеговским, а индентификаторов пользователя таких как телефон - нет.

artptr86  23 сен в 17:56
А ничего, что вся ваша прошлая переписка и контакты уже будут у спецслужб? То что вы перейдёте сейчас на другой мессенджер, не сотрёт вашу историю с серверов Телеграма.
Wesha 23 сен в 18:08
А ничего, что вся ваша прошлая переписка и контакты уже будут у спецслужб?
"Почему ты не заводишь себе Telegram?" — спрашивали они...

nerudo  23 сен в 17:06
Исходный код есть, свой сервер создать можно. Чего еще по ТЗ выше не хватает? Не, давайте кто-нибудь запилит еще аналог телеграмма с нуля.
dartraiden
23 сен в 17:28
Именно так, если вы не готовы сами вкладывать в развитие своё время и скиллы или деньги (если ни времени, ни скиллов нет), вы будете сидеть и ждать. Возможно, вечность.
Понимаете, от ваших "ну, давайте, сделайте" ничего не сделается.
Если над Tox мало работают, то откуда возьмутся люди, которые будут много работать над условным Ololox, который как Tox, но другой? Причины, по которым нет 100500 желающих работать бесплатно, они ведь никуда не денутся.

Zanudd  23 сен в 19:09
Объясните мне кто-нибудь, что изменилось? Telegram и раньше выдавал данные о пользователях по запросу властей.
https://habr.com/ru/news/702490/
https://www.securitylab.ru/news/534299.php
https://ria.ru/20180828/1527360899.html

denis-19  23 сен в 19:44
В Privacy Policy уточнили, что теперь сервис готов раскрывать данные не только подозреваемых в террористической активности, но и в обычных преступлениях. Для этого достаточно официального запроса от «компетентных судебных властей».
Вот как было:
If Telegram receives a court order that confirms you're a terror suspect, we may disclose your IP address and phone number to the relevant authorities. So far, this has never happened. When it does, we will include it in a semiannual transparency report published at: https://t.me/transparency.
И что стало:
If Telegram receives a valid order from the relevant judicial authorities that confirms you're a suspect in a case involving criminal activities that violate the Telegram Terms of Service, we will perform a legal analysis of the request and may disclose your IP address and phone number to the relevant authorities. If any data is shared, we will include such occurrences in a quarterly transparency report published at: https://t.me/transparency.

vikarti  26 сен в 10:13
А с каких пор секретные чаты скрывали IP-адреса и номера телефонов участников?
Это не обещали как бы.
Это не говоря о том, что сами секретные чаты в телеграме - пародия на безопасность (для начала - их нет в официальных десктопных клиентах).

gbeam  23 сен в 18:50
Похоже, что французы умеют нагревать паяльник более сильно (но нежно), чем их российские коллеги. Достаточно сравнить прошлую эпическую битву Дурова с Роскомнадзором, и нынешний французкий блицкриг.
ishchu_kota  23 сен в 19:10
Ну так французы эксперты в приготовлении лягушек. А лягушек, как известно, варят медленно

saboteur_kiev  23 сен в 17:49
Ну для начала я не хочу, что бы мою переписку сливали куда либо, хотя бы потому, что это моя личная жизнь, даже если я там и говорю только о котиках и собачках.
Вы уверены, что ваш провайдер инета не сливает ваш трафик куда-либо?

saboteur_kiev  23 сен в 17:59
Ну для начала я не хочу, что бы мою переписку сливали куда либо
Для начала, сотрудничество с властями в виде - мы даем данные по запросу - это гораздо лучше, чем мы властям даем админский аккаунт и хай они там делают что хотят.
Во-вторых, вы как-бы можете понять, что инфраструктура любого приложения должна где-то хоститься? И это где-то, для почти миллиарда пользователей, это огромное количество распределенных серверов в разных странах, а значит надо это все покупать, регистрировать, то есть вести законную деятельность.
Хотите вести личную переписку - да кто ж вам мешает сделать https чатик при помощи chatgtp на своей виртуалке, позвать туда 5-10 знакомых, и никто ваше переписку не только не сольет, но даже не найдет.
Что же по законам, которые принимают - ну французские власти к российским чиновникам отношения не имеют. Но в каждой стране есть власти и в каждой стране могут быть и глупые законы и самопроизвол властей. Иметь полную свободу от властей для крупного игрока практически невозможно.
Как по мне, телеграм все еще выглядит меньшим из зол, по сравнению с вк и фб.

gbeam  23 сен в 19:13
@Для начала, сотрудничество с властями в виде - мы даем данные по запросу - это гораздо лучше, чем мы властям даем админский аккаунт и хай они там делают что хотят.
А кто может проверить как именно осуществляется сотрудничество с властями? Может так как раз "админский аккаунт" и есть?

vikarti  26 сен в 10:46
Хотите вести личную переписку - да кто ж вам мешает сделать https чатик при помощи chatgtp на своей виртуалке, позвать туда 5-10 знакомых, и никто ваше переписку не только не сольет, но даже не найдет.
DeltaChat примерно про эту тему (серверов нет, используются почтовые серверы которые юзер укажет, ключи генеряться пользователями). РКН от них начал требовать выполнять все требования к ОРИ, ключи предоставлять и прочее

saboteur_kiev  27 сен в 05:12
Так в этом и смысл, что любой популярный более-менее централизированный сервис, может быть разоблачен.
Поэтому для секретности надо использовать то, про что знает сугубо небольшая компания, либо ставить свой джаббер на свою виртуалку

FoxWMulder  23 сен в 20:00
главная проблема этих мессенджеров что ими никто не пользуется, т.е. малая распростроннëность. если нужно двум людям или группе людей взаимодействовать тогда да, а в остальных случаях это абсолютно бесполезные мессенджеры. поставлю я этот мессенджер и буду я там в гордом одиночестве среди своего окружения. но забавно то, что так же было с телегой, и с другими мессенджерами: пока они малопопулярны власть ими не интересуется и владельцы заявляют о суперпупер анонимности, а когда популярность взлетает,
то власть ищет и обычно находит точки давления на владельцев мессенджера. дальше либо закрытие сервиса, либо он ложится под власть. примеров при желание можно найти кучу. вот и тут как и ожидалось, у Дурова было два варианта. Нельзя осуждать по-человечески какой вариант он выбрал. Но.. такие изменения это просто публичное признание: меня прижали.

Wesha  23 сен в 20:31
власть ищет и обычно находит точки давления на владельцев мессенджера
Именно поэтому Open Source — наше всё. Нельзя найти точки давления на то, чего нет.
viiprogrammer  24 сен в 00:58
Всё же Open Source как-то распространяется, вот и точка давления. Если усложнить доступ, популярности решению особо не видать. Удаление репозиториев по запросу никогда не было проблемой.
Wesha
24 сен в 01:04
Open Source как-то распространяется, вот и точка давления
magnet:
Ваш ход.
P.S. либген на енто ваше давление — с этой самой, того.

viiprogrammer  24 сен в 02:58
Действительно популярные решения не распространяются через magnet, они доступны через GitLab, GitHub, Play Market, App Store и другие платформы.
Ограничить доступ, как видно на примере последних событий, не такая уж и большая проблема. Запретить все нельзя, ограничить очень даже можно, этого хватает. GitHub не ограничивает, а выпиливает репозитории по тому же DMCA.
Если решение не популярно, оно умирает. Не знаю ни одного знакомого, кто пользовался бы LibGen (даже если он жив и будет жить), не говоря уже о таких вещах, как приложения или мессенджеры по magnet или еще чего)
Может еще через Tor приложения качать с onion?

kenoma  23 сен в 17:16
Matrix уже есть. но его главная проблема - отсутствие нормального UI. Элементом без психиатрических отклонений нормально пользоваться нельзя.
artemisia_borealis  23 сен в 19:07
Это не так. Он рабочий и довольно удобный. Видео и аудио связь работает.
А в чём-то даже лучше: например там треды есть в дискуссии.
(имеется ввиду клиент Element, другие не использовал)
kenoma  23 сен в 21:43
Вот в этом самом элементе просто невозможно работать при контактах свыше сотни. Найти нужного человека, даже если вы недавно переписывались с ним - невозможно.

TheMrWhite  23 сен в 18:14
кстати почему вотсап дырявый, если там е2е шифрование по дефолту в каждом чате? чего в телеге нет.
Alesh
23 сен в 18:54
Как сейчас обстоят дела не скажу, но когда я удалял со своей мобилы ватцап в ковид кажется, был доступен эксплоит который его ломал не то гифкой, ни то джепегом.
DMGarikk
24 сен в 14:00
, если там е2е шифрование по дефолту в каждом чате?
вы утверждаете это потому что в описании вацапа это написано? вы вообще уверены что оно там вообще есть? нет никакой гарантии что вацап у себя ключи хранит и передает их кому надо, е2е есть? есть! что вам еще надо? ключи вон у товарищамайора лежат, чтобы надежнее, а то вдруг вы потеряете
saboteur_kiev
23 сен в 17:46
Жаль я не кодер, так бы стартанул этот движ по созданию аналога
Кому это нужно?
Суть не в движке и не в коде. Суть в том, кто будет поддерживать всю эту инфраструктуру, которая может обходиться в миллионы долларов в год?
artptr86  23 сен в 18:29
Можно поднимать ноды у добровольцев
А если доброволец Вася Пупкин окажется товарищем майором?
что бы ключи хранились на сервере и всё что делал сервере это состыковывал людей (что бы с ключами люди не заморачивались), а после состыковки, они бы продолжали общение уже p2p
Во-первых, это уже будет не обратно совместимый с Телеграмом мессенджер, потому что протокол обмена данными изменится.
Во-вторых, если ключи хранятся на сервере, то владелец сервера сможет их передать спецслужбам. А шифрованную этим ключом переписку они возьмут у провайдеров.
В-третьих, протокол многопользовательского шифрованного P2P-чата — это уже серьёзная задача для криптографов, если не ошибаюсь.

artptr86
23 сен в 19:36
Т.е. сейчас если сервер Tor поднят у майора Васи Пупкина, то все скомпроментированы?

Конечно. /quora.com/ Более того, это уже давно известная история, что многие тор-серверы специально отслеживаются спецслужбами.

Т.е. нельзя сделать так, что бы зашифровать сам сервер так, что бы достать из него ключи было нельзя? Мне всегда казалось, что можно.

«Зашифровать сервер» от владельца — это нонсенс. А зашифровать ключ, конечно, можно, но это нужно будет сделать на устройстве пользователя, в котором и будет храниться ключ, которым зашифрован ключ В итоге это выглядит несколько нелепо. Либо ключ будет зашифрован паролем пользователя, который тот ни в коем случае не должен терять. Более того, сменить пароль и зашифровать им тот же самый ключ — чревато проблемами с безопасностью, когда спецслужбы будут иметь две шифровки X и Y, которые содержат одно и то же. Нужен отдельный анализ стойкости используемого алгоритма на этот счёт.

Ну так сделать два протокола, один для внутренней работы
Видел такие месседжеры, может у них можно подсмотреть реализацию, если они будут не против

То есть по сути вы будете «продавать» аудитории «совершенно новый» мессенджер «с настоящим полным шифрованием», который временно совместим с ТГ. Как-то у желающих перейти с ТГ по причинам безопасности эта риторика уже не будет вызывать доверия.
Опять-таки, изначальная хотелка была просто сделать открытую реализацию сервера Телеграма, совместимого с существующими клиентами, а в результате оказалось, что нужно разрабатывать полностью новые протоколы, делать реализацию и протокола, и сервера, и клиентов, развернуть всю инфраструктуру, долго и упорно продвигать всё это в массы, а вы, не вложив ни денег, ни усилий потом скажете: «Мне не нравится, оно что-то тормозит / криво работает / некрасивое / неудобное / нефункциональное / там никого нет».

brotchen  24 сен в 17:12
Потому что проблема не в том, что бы тайно общаться со своей агентурой - для этого средства есть. Люди хотят иметь возможность публично высказывать своё мнение на широкую аудиторию, не боясь попасть за это в тюрьму.

--->

[Oleg]

--->

artptr86
23 сен в 19:36
Т.е. сейчас если сервер Tor поднят у майора Васи Пупкина, то все скомпроментированы?

Конечно. /quora.com/ Более того, это уже давно известная история, что многие тор-серверы специально отслеживаются спецслужбами.

--->

/quora.com/+translate.yandex.ru
Скомпрометирована ли сеть Tor правительствами по всему миру? Действительно ли это безопасно, поскольку большинство узлов Tor в США уже находятся под наблюдением?

Энди Лонгфелло, магистр философии, из School of Hard Knocks6y
Короткий ответ - да, за ними следят. Не только в США, везде.
Да, это безопасно, если вы используете его по правильным причинам.

Длинный ответ - да.—
Если вы занимаетесь какой-то незаконной деятельностью, которая привлекает к вам внимание, вы станете мишенью и будете найдены.
Если вы просто хотите сохранить конфиденциальность от интернет-провайдеров и т.д., используйте локально зашифрованные текстовые файлы (PGP, GPG, AxCrypt или целый ряд локальных приложений) и tor /tails. Не зависите от почтовых провайдеров, которые шифруют вашу электронную почту за вас. Конечно, они полезны, но ответственность за шифрование несете вы, а не провайдер, к которому можно обратиться с повесткой в суд.

Как видно из недавних сообщений, почти все конечные узлы TOR контролируются государственными или частными организациями. Было обнаружено, что некоторые организации также используют несколько ретрансляторов. Выяснилось, что самым большим разочарованием американских спецслужб в tor было то, что они не смогли полностью скомпрометировать tor, но добились определенного успеха с некоторыми целевыми пользователями. - Не становитесь мишенью, будьте хорошим человеком.

Тем не менее, если трафик, исходящий из сети tor, зашифрован, вы по-прежнему в достаточной безопасности. Люди могут видеть, куда вы направляетесь и с кем разговариваете, но не будут видеть, какие транзакции / коммуникации происходят.
Целью tor было обеспечение конфиденциальности, а не безопасности. Самая большая проблема с tor заключается в том, что конечный пользователь не осознает, что его компьютер постоянно подключен к Интернету. Для домашних телефонов телеметрия Microsoft является еще одним методом сбора данных. Ссылки, встроенные в документы, видео и т.д., могут быть использованы для отправки вашего реального IP-адреса злоумышленнику.
Простое использование tor не гарантирует вашей анонимности. Лучше всего использовать Tails, работающий через VPN, вдали от вашего дома (в кафе).

Интернет-провайдерам не нравится tor, потому что они не могут отслеживать вашу активность в интернете и монетизировать ее.
Google, Microsoft и другие известные компании не любят tor по той же причине, по которой вы попадаете в ловушку проверки с помощью CAPTCHA при попытке воспользоваться их сервисами. Они говорят, что это делается для предотвращения незаконной деятельности, но настоящая причина в $$.
Чтобы исключить интернет-провайдера из уравнения, воспользуйтесь услугами надежного VPN-провайдера, а затем tor. Это остановит уведомления от вашего интернет-провайдера.
Не пользуйтесь Google. Пользуйтесь услугами почтовых провайдеров, которые ценят вашу конфиденциальность и разрешают подключение через tor. Для поиска используйте startpage или duckduckgo.
Если вам необходимо использовать операционную систему на базе Microsoft, используйте брандмауэр стороннего производителя и научитесь правильно его программировать. Таким образом, приложения по-прежнему будут выполняться, но не обязательно смогут взаимодействовать с вашей платформой без вашего ведома или разрешения.

Шава Нерад. Работал в проекте Tor (2005-2008), автор 8,1тыс. ответов и 17,6 млн просмотров ответов 9 за год

Действительно ли сеть Tor была скомпрометирована правительством США? Какие лазейки присутствуют в узлах выхода и входа сети Tor, которые можно использовать для отслеживания реального ip-адреса пользователя?
Maxe Johnson wrote a very good answer to this. If you can get through the technical information he linked, you probably didn't have to ask the question. But it's good stuff, if you can get through it.
Макс Джонсон написал очень хороший ответ на этот вопрос. Если вы можете ознакомиться с технической информацией, на которую он ссылается, вам, вероятно, не нужно было задавать этот вопрос. Но это хороший материал, если вы можете с ним ознакомиться.

Tor был разработан таким образом, чтобы противостоять враждебным силам, контролирующим большое количество узлов в сети. Правительство США также не хочет, чтобы, скажем, китайцы начали развертывать большое количество узлов для входа/выхода из сети и шпионить за ними. Подумайте об этом. Облако Tor обладает высокой устойчивостью к подобным атакам, потому что, несмотря на то, что АНБ/ФБР / и т.д. стонут, ноют и жалуются на Tor, они регулярно используют его, как и все другие правоохранительные, военные и разведывательные службы. Незадолго до того, как в публикациях Сноудена появилась довольно печально известная информация о том, что "Tor воняет", мы провели тренинг в Форт-Миде (штаб-квартира АНБ), чтобы научить сотрудников АНБ, как лучше использовать Tor в своих расследованиях.

Вы не должны смотреть на "правительство США" как на нечто монолитное. Tor получил финансирование от Совета управляющих вещанием (учредителя "Голоса Америки" и т.д.), чтобы помочь людям вывести журналистику из Китая и внедрить ее в Китае (в то время мы были тем, как пекинские бюро NPR и CNN отправляли свои репортажи домой через "Великий брандмауэр"). Tor получила финансирование от группы за свободу Интернета при Государственном департаменте.

В нашей стране много людей с интересными идеями о том, каким должно быть будущее Интернета.
Вот как выглядит демократия. Работайте с людьми, которые продвигают то, как, по вашему мнению, должна выглядеть сеть в будущем, которое вы хотели бы видеть. Не просто читайте и пишите материалы в Интернете.
Ответ Кима Гульдберга неверен в том смысле, что узел входа знает ваш IP-адрес (но ваш контент зашифрован), но узлы выхода не знают IP-адрес пользователя (в этом-то и суть, ребята...).

В облаке Tor есть тысячи узлов, многие из которых управляются известными организациями, не относящимися к IC, такими как университеты, частные компании и частные лица, а также государственными учреждениями, не относящимися к 5eyes, которые не стали бы делиться информацией с нашим государственным разведывательным сообществом. Так что, если вас беспокоит АНБ, есть множество исследователей в области безопасности, которые готовы рискнуть и сказать, что Tor по-прежнему представляет наибольший риск при использовании с хорошей защитой от несанкционированного доступа.

Nothing is perfectly safe. If you are looking for something perfectly safe, I recommend going back to Ben Franklin's opsec, which advised that a secret is safe among three, if two of them are dead. And I believe Ben was averse to using the Internet.
Ничто не может быть абсолютно безопасным. Если вы ищете что-то абсолютно безопасное, я рекомендую обратиться к книге Бена Франклина "Оперативная безопасность", в которой говорится, что тайна хранится у троих, если двое из них мертвы. И я полагаю, что Бен не любил пользоваться Интернетом.
google/Ben "Franklin" "opsec"

/web.archive.org///.pdf
The way to be safe is never to be secure.
Benjamin Franklin
Distrust and caution are the parents of security.
Benjamin Franklin
They that can give up essential liberty to obtain a little temporary a little temporary safety deserve neither liberty nor safety.
Benjamin Franklin
Единственный способ обезопасить себя - это никогда не чувствовать себя в безопасности.
Бенджамин Франклин
Недоверие и осторожность - вот основы безопасности.
Бенджамин Франклин
Те, кто готов променять свободу на безопасность, не достойны ни свободы, ни безопасности. habr
Бенджамин Франклин
///
What are the Origins of OPSEC?
они ввели в обиход термин “Безопасность операций” или OPSEC.
///
Жизнь - это либо смелое приключение, либо ничего.
Хелен Келлер Хелен Келлер (Американская писательница и педагог, слепая и глухонемая, 1880-е гг. р. 1880-1968)
Почему препперы и невоенные люди должны думать об OPSEC?
Сегодня OPSEC - это признанная методология, используемая военными, федеральными структурами, гражданскими агентствами и предприятиями. Все больше и больше представителей частного сектора осознают важность обеспечения безопасности операций в повседневной деятельности. Это помогает защитить служебную и конфиденциальную информацию от случайного раскрытия, корпоративного шпионажа, внутреннего шпионажа и многого другого.
Вы не хотите делиться всем со всеми. Если вы сделаете это, вы откроете себя и своих близких для ‘атаки’ хевенотов во время кризиса или чрезвычайной ситуации. Даже самый законопослушный гражданин становится смертельно опасным, когда пытается обеспечить безопасность и пропитание себе и своим близким.
Функция автоматической геотеггинга доступна на многих смартфонах. Некоторые из них включены по умолчанию. Пользователи могут запретить публикацию своей информации, отключив функцию GPS на своем телефоне.
Вы хотите продемонстрировать свой новый автомобиль и сфотографироваться с помощью смартфона. Затем вы публикуете снимок в Picasa или Flickr, социальных сетях, основанных на определении местоположения. Но знаете ли вы, что информация GPS, встроенная в эту фотографию, может показать людям, где вы живете или работаете?
///
большинство пользователей смартфонов не осознают, какие данные они публикуют. Публикуя эту информацию, они позволяют кому угодно записывать и анализировать их перемещения. Проанализировав ваши фотографии, кто-то может узнать, где вы живете, как ездите на работу, где работаете и сколько часов проводите на работе каждый день, что может сделать ваш дом уязвимым для потенциальных воров.
Такие функции, как регистрация на Facebook, Foursquare, Gowalla и Loopt, позволяют пользователям смартфонов сообщать о своем местоположении. Эти приложения обычно используются для получения баллов, значков, скидок и наград в различных торговых точках. Уильямс предупреждает о таких функциях, добавляя, что публичное сообщение о вашем местонахождении и раскрытие каждого вашего движения может подвергнуть вас опасности.

Assistant
Сеть Tor предназначена для обеспечения анонимности и конфиденциальности своих пользователей путем маршрутизации интернет-трафика через ряд серверов, или узлов, управляемых добровольцами. Хотя Tor может обеспечить значительную степень анонимности, существует несколько важных соображений, касающихся ее безопасности и потенциальных угроз:
    Наблюдение за узлами: Это правда, что многие узлы Tor расположены в Соединенных Штатах, и некоторые из этих узлов могут контролироваться государственными органами. Такое наблюдение потенциально могло бы позволить этим объектам наблюдать за схемами трафика или метаданными, но они не смогли бы расшифровать содержимое зашифрованных сообщений, если бы они также не контролировали конечные точки (узлы входа и выхода).

    Риски, связанные с выходным узлом: Выходной узел является последним узлом Tor, через который проходит ваш трафик, прежде чем он достигнет конечного пункта назначения. Поскольку операторы выходного узла могут видеть незашифрованный трафик, покидающий сеть Tor, они потенциально могут перехватить конфиденциальные данные. Вот почему при передаче конфиденциальной информации крайне важно использовать сквозное шифрование (например, HTTPS).

    Анализ трафика: Правительства и другие организации могут участвовать в анализе трафика, наблюдая за тем, как трафик входит в сеть Tor и выходит из нее. Если они смогут сопоставить время и объем трафика, они смогут определить определенные действия или идентификационные данные, особенно если они контролируют точки входа и выхода.
    Потенциальные угрозы: Были случаи, когда правоохранительные органы пытались взломать сеть Tor, либо запуская вредоносные узлы, либо используя другие методы для деанонимизации пользователей. Однако эти усилия, как правило, требуют значительных ресурсов и опыта.

    Поведение пользователя: Безопасность использования Tor также в значительной степени зависит от поведения пользователя. Пользователи должны избегать раскрытия личной информации или участия в действиях, которые могут нарушить их анонимность.
    Текущее развитие: Проект Tor постоянно работает над улучшением функций безопасности и конфиденциальности в сети. Это постоянная задача - опережать потенциальные угрозы.

Таким образом, несмотря на то, что Tor обеспечивает высокий уровень анонимности, он не является безошибочным. Пользователи должны быть осведомлены о рисках, особенно в отношении узлов выхода и анализа потенциального трафика, и принимать соответствующие меры предосторожности для сохранения своей конфиденциальности в Интернете.