Запретная информация

Re: Запретная информация

Сообщение xixinik » Ср июл 11, 2018 5:58 am

Ехе-шник не нужен, если есть исходники и хочется чуть большей безопасности.


Смешная шутка ... На сайте телеги могут скомпилить и выложить exe с бекдором а сырцы выложить чистые.
и 99.99999% хомячков скачают exe с бекдором.

Вы сырцы телеги компилировать пробовали ?
Сравнивали с готовым exe ?

Против аппаратных закладок нужно пользоваться компьютером со своей нестрандартной архитектурой на FPGA


Компилятор под свою архитектуру вы сами писать будете ?
А линукс под него компилить тоже сами ? А телеграм компилировать ? :lol:
xixinik
 
Сообщения: 271
Зарегистрирован: Пн дек 28, 2015 9:30 am

Re: Запретная информация

Сообщение xixinik » Ср июл 11, 2018 6:06 am

Вон, ТрюКрипт проверяли, чета нашли, а в итоге, что нет подходящей замены. Так и сидят на нем.


Его проверяли более года нашли в районе десяти косячков но вроде не критичных.
Потом закрыли проект .. но есть его форк VeraCrypt

https://www.veracrypt.fr/

Под win10 только VeraCrypt поэтому народ на него переползает.
И кстати аудита VeraCrypt НИКТО не делал.
xixinik
 
Сообщения: 271
Зарегистрирован: Пн дек 28, 2015 9:30 am

Re: Запретная информация

Сообщение xixinik » Ср июл 11, 2018 6:10 am

Но тем не менее для открытого софта переодически выходят обновления безопасности закрывающие ту или иную уязвимость. А это значит, что аудит все-таки происходит.


Это происходит потому что это оплачивают крупные конторы типа Oracle которые САМИ используют данные продукты.
Поэтому они и оплачивают аудит .
xixinik
 
Сообщения: 271
Зарегистрирован: Пн дек 28, 2015 9:30 am

Re: Запретная информация

Сообщение U235 » Ср июл 11, 2018 3:30 pm

xixinik писал(а):
Смешная шутка ... На сайте телеги могут скомпилить и выложить exe с бекдором а сырцы выложить чистые.
и 99.99999% хомячков скачают exe с бекдором.

Вы сырцы телеги компилировать пробовали ?
Сравнивали с готовым exe ?


Хомячки с тем же успехом могут скачать "супер-новый клиент телеграмм, бесплатно, без смс" с совсем левого сайта, а в итоге окажется что это троян или вирус. Меня проблемы хомячков мало волнуют.
Выбор такой: Если есть исходник, и нет доверия/есть подозрения/ к бинарнику или бинарник не под твою систему, то бери исходники, проверяй и компилируй сам.
А если есть доверие, то качай бинарник и пользуйся.
Третий вариант - не пользуйся ничем (или воспользуйтесь абсолютной защитой по Шекли :D )
Лично я компилировать не пробовал, но народ компилирует, под такие системы, как RPi, тут https://habr.com/post/249265/
Могу сделать тоже самое, получить ELF для ARM и запустить. Это убедит? Или вопрос был риторический?
Вот только, боюсь, сравнить elf с exe для win не получиться, они априори разные. :mrgreen:
Жить вообще небезопасно, если так рассуждать. ;)
U235
 
Сообщения: 47
Зарегистрирован: Пн июл 03, 2017 1:59 am

Re: Запретная информация

Сообщение xixinik » Ср июл 11, 2018 9:42 pm

Вот только, боюсь, сравнить elf с exe для win не получиться, они априори разные.


Это как бы очевидно ....

под такие системы, как RPi, тут https://habr.com/post/249265/


Уговорили .... перехожу на Малинку. :lol:

... уходит напевая ... в Малинки, Малинки, такие вечеринки, брюнетки и блондинки, Сережки и Маринки :D :lol: :lol: :lol:
xixinik
 
Сообщения: 271
Зарегистрирован: Пн дек 28, 2015 9:30 am

Re: Запретная информация

Сообщение xixinik » Ср июл 11, 2018 9:53 pm

то бери исходники, проверяй и компилируй сам.

У меня нет доверия. Взял исходники ...распаковал.
Там сырцов на 25 мегабайт на С++.
Чисто кода 8 мегабайт сырцов.

Я С++ не владею и опыта аудита кода у меня нет.
Даже если бы и был ... 8 мегабайт это годы уйдут на аудит.

Вывод исходники НИКАК мне не помогут.
xixinik
 
Сообщения: 271
Зарегистрирован: Пн дек 28, 2015 9:30 am

Re: Запретная информация

Сообщение U235 » Чт июл 12, 2018 5:26 am

xixinik писал(а):
то бери исходники, проверяй и компилируй сам.

У меня нет доверия. Взял исходники ...распаковал.
Там сырцов на 25 мегабайт на С++.
Чисто кода 8 мегабайт сырцов.

Я С++ не владею и опыта аудита кода у меня нет.
Даже если бы и был ... 8 мегабайт это годы уйдут на аудит.

Вывод исходники НИКАК мне не помогут.

Интересно, а что такого ДОЛЖНЫ сделать разработчики, чтобы к их продукту появилось доверие?
Представляю примерно такой диалог (разработчики-Р, xixinik -x) прошу не обижаться и отнестись с юмором: :D
x: а ваш телеграмм безопасен?
Р: - ну, мы используем e2e шифрованием таким-то алгоритмом. Этот алгоритм считается, в настоящий момент безопасным.
x: А это точно так? Я вам не верю!
P: Вот исходники, можете их проверить и скомпилировать, у нас открытый клиент и e2e шифрование реализовано именно в нем.
x: Все равно вам не верю! Исходники вообще не по-русски написаны! Тарабарщина сплошная! Ах это латиница? С++? Я в этом ничего не понимаю.
P: Можем предложить самостоятельно изучить С++ или обратиться к знакомому специалисту по С++, которому доверяете или просто не пользоваться нашей программой.
x: Эти варианты меня не устраивают, изучать - долго, специалист денег захочет, а сам толком и не проверит. А не пользуюсь я, потому что это не безопасно! Убедите меня в безопасности месенжера.
P: Хорошо, видно, что вы настроены серъезно, тогда вот наш последний аргумент: В нашем коде нет закладок, МАМОЙ КЛЯНУСЬ!
x: А! Так бы сразу и сказали! Хорошо, поставлю ваш месенжер сразу и на телефон и на Windows!
:mrgreen:
U235
 
Сообщения: 47
Зарегистрирован: Пн июл 03, 2017 1:59 am

Re: Запретная информация

Сообщение Souran » Пт июл 13, 2018 3:54 am

U235 писал(а):
В чем неверность? Т.е. рассуждение о том что "передвижение на автомобиле менее безопасно чем на поезде" не верно? И надо говорить, что и то и то опасно, и передвигаться надо только пешком, а лучше вообще никуда не ходить, т.к. только это безопасно.


Неверность в том, что не учитывается уровень угрозы. Для гипотетического Бен Ладена единственно безопасным методом было вообще никуда не выходить, а использовать глубоко законсперированных курьеров.

А это значит, что аудит все-таки происходит.


Происходить то он происходит, но никто не знает, насколько качественно и на сколько ему можно доверять. В спецслужбах просто, там у оперативника есть инструкция - пользоваться только средством "А". И он не парится, т.к. решение об использовании средства принимается не им. А вод "подпольщик" решение принимает самостоятельно. На свой страх и риск и отвечает за это своей головой. А тут ему в красивой коробке подгоняют безопасную "телегу". Ну цирк же!

Чем, условный PGP отличается от Telegramm?


Например тем, что телега предполагает риск аппаратной уязвимости всех этих сраных смартфонов. Если рассуждать в чисто математическом аспекте, то я не могу ответить на этот вопрос - не мое это. Может ПГП и ни чуть не безопаснее.

Зачем серьезным дядям интересоваться домохозяйкой, постящей котиков в инстаграмме? Там таких домохозяек миллионы.


Классика жанра "нам нечего скрывать". Да хотя бы для фабрикации и пожизненного преследования. Сегодня можно постить котиков, а завтра нельзя. А вы уже запостили. А даты мы поменяем. Ну или возьмем пул информации о вас за последние пару лет, сопоставим с какой группой и включим в разработку. Может даже не посадим, но в деле вы у нас пройдете, опасных террористов мы найдем, вас может даже и оправдаем (а может и нет). Но нервов вам попортим много, как и свой "гешефт" (а также звания возможно) получим. Вся эта городушка воздвигается именно для тотальной власти над всеми холопами без исключения и возможности их использовать по своему усмотрению. Именно эта основная цель, а не ловля террористов. Т.е. появтяся люди, имеющие возможность добраться до любого скелета в шкафу у всех и каждого. Это же сказка! Если понадобился для чего-то "U235" - смотрим досье, фабрикуем, вызываем на беседу и можно из U235 узлы вязать.
Souran
 
Сообщения: 644
Зарегистрирован: Пн ноя 11, 2013 6:43 pm

Re: Запретная информация

Сообщение Souran » Пт июл 13, 2018 5:31 pm

xixinik писал(а):
Вон, ТрюКрипт проверяли, чета нашли, а в итоге, что нет подходящей замены. Так и сидят на нем.


Его проверяли более года нашли в районе десяти косячков но вроде не критичных.
Потом закрыли проект .. но есть его форк VeraCrypt

https://www.veracrypt.fr/

Под win10 только VeraCrypt поэтому народ на него переползает.
И кстати аудита VeraCrypt НИКТО не делал.


Видел я это все. Сама история появления ТруКрипт, его автора, поддержки очень неоднозначная. Также и неоднозначный "конец" - публичное объявление о приостановке проекта и рекомендация переходить на битлокер. Особенно изящно сия история выглядит на фоне того, что автора-программиста-бизнесмена приняли и склонили к сотрудничеству. Очень логично предположить, что и Вера - поделие того же рода, куда переползет большинство хомяков-юзеров ТруКрипт - торговцев всякой нелегальщиной, наркотой в основном, а также взрывчаткой, вербовщиков и прочей швали.

И вот мне так имхуется, что телега - ровно того же сорта штуковина, чтобы пасти всех сразу в одном загоне.
Souran
 
Сообщения: 644
Зарегистрирован: Пн ноя 11, 2013 6:43 pm

Re: Запретная информация

Сообщение U235 » Вт июл 17, 2018 3:31 pm

Souran писал(а):
Неверность в том, что не учитывается уровень угрозы. Для гипотетического Бен Ладена единственно безопасным методом было вообще никуда не выходить, а использовать глубоко законсперированных курьеров.

А курьерам можно разве доверять? ;)
Не говорю о том, что и цели и ценности условного Бен Ладена могут отличаться от общепринятых. Не факт что религиозный фанатик ценит жизнь и свободу (и свою в том числе).
Souran писал(а): В спецслужбах просто, там у оперативника есть инструкция - пользоваться только средством "А". И он не парится, т.к. решение об использовании средства принимается не им. А вод "подпольщик" решение принимает самостоятельно. На свой страх и риск и отвечает за это своей головой. А тут ему в красивой коробке подгоняют безопасную "телегу". Ну цирк же!

Свобода выбора как бы и предполагает ответственность. Это как работать на зарплате и ни о чем не думать или открыть свое дело и принимать решения на свой страх и риск. В решении "не париться", на мой взгляд, есть элемент страусиной логики. "Я ничего в этом не понимаю, но там наверху точно не дураки сидят, напишут в инструкции что 2x2=5 значит так оно и есть."
Например тем, что телега предполагает риск аппаратной уязвимости всех этих сраных смартфонов. Если рассуждать в чисто математическом аспекте, то я не могу ответить на этот вопрос - не мое это. Может ПГП и ни чуть не безопаснее.

Телега кросплатформенна. Даже аппаратная уязвимость одной из платформ ничего не говорит об уязвимости ПО. По мне как: если ПО имеет бэкдор - покажи/докажи это. Иначе как понять, уязвимость эта объективна, или это субъективизм/иррационализм/параноя/дискридетация "годного" ПО.
Это как обобщение - любое ПО имеет бекдор. Вопрос в доверии. Кто-то доверяет telegram, кто-то GPG, кто-то средству А.
Особые параноики шифруют всем что есть в наличии последовательно, и постят котиков. :D




Да хотя бы для фабрикации и пожизненного преследования. Сегодня можно постить котиков, а завтра нельзя. А вы уже запостили. А даты мы поменяем. Ну или возьмем пул информации о вас за последние пару лет, сопоставим с какой группой и включим в разработку. Может даже не посадим, но в деле вы у нас пройдете, опасных террористов мы найдем, вас может даже и оправдаем (а может и нет). Но нервов вам попортим много, как и свой "гешефт" (а также звания возможно) получим. Вся эта городушка воздвигается именно для тотальной власти над всеми холопами без исключения и возможности их использовать по своему усмотрению. Именно эта основная цель, а не ловля террористов. Т.е. появтяся люди, имеющие возможность добраться до любого скелета в шкафу у всех и каждого. Это же сказка! Если понадобился для чего-то "U235" - смотрим досье, фабрикуем, вызываем на беседу и можно из U235 узлы вязать.

А зачем фабриковать пожизненное преследование, какой в этом смысл? С тем же успехом можно ловить первого попавшегося на улице.
Как показывает история, произвол, массовый террор, опричнина обязательно приводят через какое-то время упадку. Падает индекс доверия/лояльность населения к органам власти. Детей "дядей милиционером" пугают. :mrgreen:
Более-менее талантливые (в особенности молодежь, в силу большей мобильности) эмигрирует. Кто работать будет?
Народ боится власть, власть боится народа. Вот так и живем. :)
Про миграцию:
Мне кажется, что если в 20 веке миграция была в основном из деревни в город, который представлял лучшие условия жизни, то в 21ом миграция идет в страны обеспечивающие лучшие условия жизни и/или безопасность (в том числе от произвола). История Дмитрия Лопатина тому пример. Или можно рассмотреть отток пилотов гражданской авиации из России в Китай. Не представляю как это было бы возможно 20 веке. Экономика стала глобальной. А мышление у нас осталось от 20 века, это в лучшем случае, в худшем - средневековье.
Тем же программистам/дизайнерам/веб-разработчикам бывает не важно, в какой стране находиться физически, чтобы работать по удаленке.
U235 сам по себе это всего лишь атом, относящийся в своему существованию по-философски. Сегодня есть - завтра нет. Один атом не важен. Важна критическая масса. :roll:
U235
 
Сообщения: 47
Зарегистрирован: Пн июл 03, 2017 1:59 am

Пред.След.

Вернуться в Нехимическое

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2