https://opennet.ru/openforum/vsluhforumID10/5462.html Хотел бы выслушать ваши мнения и советы по действиям при такой моделе угрозы:<br><br>Условия.<br>Враждебность провайдера. Кроме MITM он может атаковать клиента для получения доступа к системе. Это обязательное условие.<br>Врагу известен предполагаемый список форумов, чатов и т.п. где может быть жертва. Часть этих мест может администрироваться врагом. Полный отказ от них запрещен условиями.<br>Враг имеет базу старых сообщений жертвы и составлена модель для стилометрической идентификации авторства.<br>Враг имеет весь спектр средств нападения вместе с неизвестными широкой публике zerodays.<br><br>Меры защиты.<br>Запрещение любого не related входящего траффика в iptables.<br>Тор для серфинга.<br>Отключение скриптов на сайтах.<br>Песочница для тора и браузера.<br><br>Задачи.<br>Не допустить постороннего доступа к системе.<br>Не допустить привязку новых учеток и сообщений к личности автора.<br><br>Какие еще методы и инструменты защиты вы стали бы использовать? Anonymouth для противодействия стилометрии мне известен.<br> https://opennet.ru/openforum/vsluhforumID10/5462.html#18 Tue, 19 Jun 2018 06:45:19 GMT Не вы первый.<br>Следует хотя бы разделить задачу: провайдер, атакующий, форумы.<br><br>В последнее время многие активно пишущие в рунете свои мысли столкнулись с аналогичными проблемами. Провайдер, конечно, "при чём", но не надо делать из него профессионального дьявола. Схема работает несколько иначе. <br>Есть государство, есть граждане. Граждане иногда выражают своё мнение, идущее в разрез с линией представителей "охраняющих" государство. Благодаря интернету выражать свои мысли большему числу людей стало проще, это уже не кухонные беседы. И в нормальном государстве мнение его жителей учитывается.<br><br> Делать всех граждан счастливыми неимоверно трудно, дорого и таки да нужно работать. Поэтому "охранники" приняли более простое решение спонсировать некую маргинальную группу граждан, объединив их в коммерческое предприятие. Эти граждане засирают весь интернет сообщениями как "всё хорошо". Но качество их работы, мягко говоря, низкое, благодаря этому их действия вызывают скорей обратный эффект. Но для изменения статистики https://opennet.ru/openforum/vsluhforumID10/5462.html#17 Mon, 18 Jun 2018 14:55:50 GMT &gt; Самый годный совет в таких обстоятельствах уже неоднократно был дан.<br><br>От такого годного совета, пожалуй, откажусь. :)<br> https://opennet.ru/openforum/vsluhforumID10/5462.html#16 Mon, 18 Jun 2018 05:02:37 GMT &gt; Но и с принципиально старым могут быть ньюансы, которые стоит знать. Например, <br>&gt; какая песочница лучше для моих целей, на какие настройки следует обращать <br>&gt; внимание и подобное. Хитрости в уменьшении поверхности атаки. На самом деле <br>&gt; тут много чего можно советовать.<br><br>Самый годный совет в таких обстоятельствах уже неоднократно был дан.<br><br>&gt; Нет, не в курсе. Установление контроля считал результатом успешных атак, как программных, <br><br>Как вам угодно. Результат для жертвы, тем не менее, не меняется.<br><br>&gt; Наверное у нас разное понимание всемогущества. Вот, например, АНБ - оно всемогущее <br>&gt; или нет?<br><br>Если рассматривать ваше с АНБ противостояние - я бы поставил на АНБ.<br><br> https://opennet.ru/openforum/vsluhforumID10/5462.html#15 Mon, 18 Jun 2018 04:38:05 GMT &gt; Так ничего принципиально нового в user-space пока и не появилось.<br><br>Но и с принципиально старым могут быть ньюансы, которые стоит знать. Например, какая песочница лучше для моих целей, на какие настройки следует обращать внимание и подобное. Хитрости в уменьшении поверхности атаки. На самом деле тут много чего можно советовать.<br><br>&gt; А вы не в курсе, что одним из средств нападения в IT-сфере <br>&gt; является установление контроля над устройствами жертвы? Извините, что повторяю, как попугай, <br>&gt; но согласно вашей вводной - "Враг имеет ВЕСЬ спектр средств нападения..." <br>&gt; ну и так далее...<br><br>Нет, не в курсе. Установление контроля считал результатом успешных атак, как программных, так и соц.инженерии.<br><br>&gt; Ну так это не я, а вы поставили такие рамки - враг <br>&gt; всемогущ, а жертва ограничена в возможностях.<br><br>Наверное у нас разное понимание всемогущества. Вот, например, АНБ - оно всемогущее или нет?<br> https://opennet.ru/openforum/vsluhforumID10/5462.html#14 Mon, 18 Jun 2018 04:02:09 GMT &gt;&gt;&gt; Подстраховка существующих поверхностей атаки (тор, браузер) песочницами или виртуализацией <br>&gt;&gt;&gt; уже лучше чем ничего.<br>&gt;&gt; С этим никто не спорит.<br>&gt; Но и не советует чем еще можно и стоило бы усилить защиту. <br><br>Так ничего принципиально нового в user-space пока и не появилось.<br><br>&gt; Что? Каким образом враг контролирует все действия пользователя? <br><br>А вы не в курсе, что одним из средств нападения в IT-сфере является установление контроля над устройствами жертвы? Извините, что повторяю, как попугай, но согласно вашей вводной - "Враг имеет ВЕСЬ спектр средств нападения..." ну и так далее...<br><br>&gt; Посоветовать можно существующие программные решения, методики, даже статьи и литературу <br>&gt; на тему защиты пользователя от продвинутых угроз. А тут сразу застрелиться. <br><br>Ну так это не я, а вы поставили такие рамки - враг всемогущ, а жертва ограничена в возможностях.<br><br> https://opennet.ru/openforum/vsluhforumID10/5462.html#13 Sun, 17 Jun 2018 20:06:39 GMT &gt;&gt; Подстраховка существующих поверхностей атаки (тор, браузер) песочницами или виртуализацией <br>&gt;&gt; уже лучше чем ничего.<br>&gt; С этим никто не спорит.<br><br>Но и не советует чем еще можно и стоило бы усилить защиту.<br><br>&gt;[оверквотинг удален]<br>&gt;&gt; внутри шифрованого канала.<br>&gt;&gt; Враг - монстр, но не всесилен.<br>&gt; Перечитайте собственные вводные.<br>&gt; 1. "Враг имеет весь спектр средств нападения вместе с неизвестными широкой публике <br>&gt; zerodays." <br>&gt; 2. "Квалификация [пользователя] недостаточна для: решения неочевидных проблем, которые <br>&gt; почти не документированы; решения проблем, ответ на которые дает опыт, а <br>&gt; не документация; решения проблем, требующих анализа исходного кода" <br>&gt; Т.е. фактически враг успешно контролирует любые действия пользователя средствами, пользователю <br>&gt; заведомо недоступными. Что тут можно посоветовать, кроме как застрелиться?<br><br>Что? Каким образом враг контролирует все действия пользователя? Он имеет продвинутые средства нападения. Юзер может иметь публично доступные средства защиты. Юзер не https://opennet.ru/openforum/vsluhforumID10/5462.html#12 Sun, 17 Jun 2018 17:32:08 GMT &gt; Тогда при каких условиях возможно?<br><br>В условиях, когда юзер умнее, сильнее и богаче.<br><br>&gt; Подстраховка существующих поверхностей атаки (тор, браузер) песочницами или виртуализацией <br>&gt; уже лучше чем ничего.<br><br>С этим никто не спорит. <br><br>&gt; Для распознавания юзера тоже нужно что-то делать, сличать время сетевой активности на <br>&gt; точке доступа и сайте, например. Это можно решать созданием постоянного траффика <br>&gt; внутри шифрованого канала.<br>&gt; Враг - монстр, но не всесилен.<br><br>Перечитайте собственные вводные.<br><br>1. "Враг имеет весь спектр средств нападения вместе с неизвестными широкой публике zerodays." <br>2. "Квалификация [пользователя] недостаточна для: решения неочевидных проблем, которые почти не документированы; решения проблем, ответ на которые дает опыт, а не документация; решения проблем, требующих анализа исходного кода" <br><br>Т.е. фактически враг успешно контролирует любые действия пользователя средствами, пользователю заведомо недоступными. Что тут можно посоветовать, кроме как застрелиться?<br><br><br> https://opennet.ru/openforum/vsluhforumID10/5462.html#11 Sun, 17 Jun 2018 17:10:42 GMT &gt;&gt; Квалификация недостаточна для: <br>&gt;&gt; решения неочевидных проблем, которые почти не документированы <br>&gt;&gt; решения проблем, ответ на которые дает опыт, а не документация <br>&gt;&gt; решения проблем, требующих анализа исходного кода <br>&gt;&gt; Так достаточно?<br>&gt; Вполне, но первоначальный ответ не меняется - на таких условиях противостоять провайдеру-монстру <br>&gt; (вооруженного zeroday уязвимостями и способного распознавать юзера по запаху) невозможно. <br><br>Тогда при каких условиях возможно?<br>Подстраховка существующих поверхностей атаки (тор, браузер) песочницами или виртуализацией уже лучше чем ничего.<br>Для распознавания юзера тоже нужно что-то делать, сличать время сетевой активности на точке доступа и сайте, например. Это можно решать созданием постоянного траффика внутри шифрованого канала.<br>Враг - монстр, но не всесилен.<br> https://opennet.ru/openforum/vsluhforumID10/5462.html#10 Sun, 17 Jun 2018 16:01:56 GMT &gt; Квалификация недостаточна для: <br>&gt; решения неочевидных проблем, которые почти не документированы <br>&gt; решения проблем, ответ на которые дает опыт, а не документация <br>&gt; решения проблем, требующих анализа исходного кода <br>&gt; Так достаточно?<br><br>Вполне, но первоначальный ответ не меняется - на таких условиях противостоять провайдеру-монстру (вооруженного zeroday уязвимостями и способного распознавать юзера по запаху) невозможно.<br><br><br>