Wścibski admin - mega problem!

[sokrates]

W tym momencie masz caly ruch po porcie 80 masz tunelowany przez SSH, a co za tym idzie szyfrowany. Oczywiscie mozna przekierowac w ten sam sposob inne porty, ja akurat w ten sposob w pracy omijam firewalla. .

to co to za firewall że się go tak ocyganić? Administrator dupa

[t0m3k]

http://niebezpiecznik.pl/post/firesh...taki-na-sesje/ każdy użytkownik sieci może Ci nabrudzić
Generalnie w internecie po prostu trzeba być bardzo ostrożnym

[costi]

to co to za firewall że się go tak ocyganić? Administrator dupa

Firewall nie wiem jaki, ale zgadzam sie z opinia o adminach

[gregory_21]

No sorki ale skoro tak sprawa wygląda to nie wiem jakim trzeba być specem, żeby nie dać się podejść choćby w przypadku myszkowania po necie dzięki publicznemu hot spotowi w jakiejś galerii
Nie będę się rozwodził jakie dane chciałbym zachować dla siebie ale w takim wypadku nie pozostaje mi nic innego jak tylko przemyśleć sprawę łącza HSDPA.
Cyfrowy Polsat robi zapisy na jakiś super nowy dostęp do neta ale nie wiem ile takie coś będzie kosztowało i czy jest szansa na podłączenie się do tego w moim mieście/mojej lokalizacji.

[seler]

https://www.torproject.org/

[madburn]

taaa zyjcie dalej w nieswiadomosci ze VPN, czy SSH /SSH tunel sa nie do podsluchania
kazdy ale naprawde KAZDY ruch szyfrowany moze byc przez dostawce netu podejrzany z palcem w 4 literach
jest cos takiego jak atak man-in-the-middle - i ten sposob wykorzystuja dostawcy (tyle ze nie musza robic ataku)
prosze sobie doczytac chocby na wikipedii
co prawda gotowe apliance (czyli skrzyneczki do montazu w serwerowni kosztuja mala kupke kasiory) ale nie ma problemu zeby to zrobic na zwyklym pececie z linuchem robiacym za router

przerazajace jest to ze praktycznie nie ma przed tym obrony - bo zawsze mamy jakiegos providera i nie wiemy czy to robi czy nie
ustawowo robia to np w emiratach arabskich - tam jest permanentna inwigilacja
chinczyki pewnie tez wola wiedziec co robia obywatele a szczegolnie obcokrajowcy
u nas sa zakusy na cos takiego

praktycznie w kazdej wiekszej korporacji instaluje sie tego typu urzadzenia
nie ma to na celu szpiegowania i wykradania hasel np do banku
glownie chodzi o monitorowanie czym sie zajmuja ludzie w kanalach szyfrowanych - czyli np jakie strony ogladaja i co wysylaja z firmy

oczywiscie mozna probowac zabezpieczyc sie dodatkowo np TORem czyli zrobic tunel w tunelu jednak i tu nie ma pewnosci - tym bardzoej ze sa juz metody namierzania wezlow tora i sledzenia tych oblesnych pedofilow

jedynym sposobem wykrycia podmiany certyfikatow jest sprawdzanie czasow odpowiedzi - ale jedyne co to mozemy w razie wykrycia ze robi to provider zrezygnowac z komunikacji

wszystko w imie prawa i porzadku , wolnosci slowa i obrony demokracji


co nie znaczy ze nalezy zrezygnowac z szyffrowania i zabezpieczania sie

[siona]

taaa zyjcie dalej w nieswiadomosci ze VPN, czy SSH /SSH tunel sa nie do podsluchania
kazdy ale naprawde KAZDY ruch szyfrowany moze byc przez dostawce netu podejrzany z palcem w 4 literach
jest cos takiego jak atak man-in-the-middle - i ten sposob wykorzystuja dostawcy (tyle ze nie musza robic ataku)
prosze sobie doczytac chocby na wikipedii

z tejże:

Komunikacja jest odporna na atak man in the middle, jeśli jedna strona zna klucz publiczny drugiej lub potrafi go zweryfikować – np. jest on podpisany przez organizację certyfikującą (certification authority).

są routery, które potrafią to wykorzystać

[costi]

(...)
co nie znaczy ze nalezy zrezygnowac z szyffrowania i zabezpieczania sie

Wszystko zależy od tego jak bardzo będzie się komuś chciało. Jeśli bardzo, to, jak piszesz, nic nie pomoże. Jeśli trochę mniej, to odbije się nawet od zwykłego SSH, co najwyżej będzie się zastanawiał czemu mu ruch po porcie 22 nagle wzrósł.

Cała zabawa w tym, żeby odcedzić jak najwięcej tych, co im się nie bardzo chce (i tez zależy jak bardzo nam się chce)

[madburn]

z tejże:

Komunikacja jest odporna na atak man in the middle, jeśli jedna strona zna klucz publiczny drugiej lub potrafi go zweryfikować – np. jest on podpisany przez organizację certyfikującą (certification authority).

są routery, które potrafią to wykorzystać

i tak i nie
niestety musze walczyc z takimi zabawkami - podkaldany certyfikat posiada podpis CA - wiec przewaznie nie da sie zorientowac dopoki nie zacznei sie sprawdzac ( a jest OK - przegladarka wyswietla zielony pasek i gra gitara)

niektore aplikacje sprawdzaja kto jest wystawca CA - wtedy Qpa - nie przejdzie - dlatego musze na takie strony robic bypass co nie znaczy ze nie odklada sie w logach kto i kiedy na cos takiego wchodzi - i musi byc to strona na ktora sie zezwala - wiec marne szanse ze na domowego kompa polityki zezwola :P


swoja droga to smiesznie wyglada - wchodzac na strony konkurencji widac ze poswiadczone sa certyfikatem mojej firmy :P - tyle ze to sa zabawki na ktore stac korporacje albo kraje - wsiowe i osiedlowe adminy nie bawia sie w to - predzej brute-forcem zlamia WPA na domowym wi-fi