Поиск сообщества

Первоисточник https://www.atrainin...rity-questions/ Telegram, MTProto 2.0, и все-все-все Это будет достаточно необычная статья, потому что стандартно я на странице с полезными статьями публикую учебные материалы. Здесь же – что-то вроде “нас часто спрашивают” вкупе с “чтобы сэкономить время на постоянных объяснениях”. Мессенджер Телеграм недавно попал под блокировку со стороны Роскомнадзора – по причине того, что руководство отказалось сотрудничать с правоохранительными органами, которые по решению суда запросили какую-либо информацию о 6 абонентах. Следствие запросило любую информацию – даты и IP-адреса входов, списки контактов и прочее – но руководство Телеграма решило исполнить мы свободные и против Системы, а ряд СМИ и вовсе переврал ситуацию, рассказывая о Роскомнадзор запросил все ключи шифрования всех пользователей и возможность чтения архива всех переписок, а ведь таких ключей нет технологически, в принципе, ахахаха, ох и айхахахаха, ну тупыыыыыыые Что же по факту с вопросами безопасности Телеграм? Технологичность При блокировке Телеграм первым делом началось муссирование тезиса о безусловной, полной и окончательной хайтековости этого сервиса. Аудиторию буквально унавоживали ковровыми бомбардировками про “Это уникальный, прорывной, не имеющий аналогов, безупречный, супер-сервис” – ну а потом, по готовой почве, уже работали очевидным выводом “… а значит запрет его – это анти-технологичность, скатывание вниз в кромешный ад и ужас, средневековье и прочее”. Если честно, то на рынке сейчас пара десятков крупных мессенджеров и сотни прочих, поменьше. Взяв тот же Skype мы увидим тьму возможностей – от совместного использования десктопа, видеоконференций, затейливых схем соединения голосовых звонков и конференц-связи с обычной телефонной сетью до интеграции с LiveID, PowerPoint, использования HoloLens и прочим. Взяв ту же древнюю ICQ – ну или какой-нибудь Pidgin – можно вообще поразиться объёму функциональности и списку доступных плагинов для таких систем. Почему же так упорно вбивается тезис “Телеграм – это абсолютно прорывное и технологичное, пользование им – это признак принадлежности к будущему и хайтеху”? Безусловно, данный метод – объявление какого-либо продукта или сервиса “признаком принадлежности к касте особых людей” – давнишний и всегда рабочий. Но в данном случае, думаю, всё ещё проще. Дело в том, что в настоящее время наблюдается культ комфорта и некий комфортоцентризм любого UX. Абсолютно всё, что проще, объявляется святым и прорывным. Если какое-то действие делалось в 5 кликов мышки, а в новой версии ПО делается в 4 – то это прорыв и хайтех, без вариантов и обсуждений. Интерфейс в стиле “детская книжка с крупными буквами и разноцветными картинками, 3-5 строчек текста на странице” – идеал. В случае с Телеграм мы видим как раз крайне урезанный по функционалу, для середины 2018 года, программный продукт – но простой. Крайне простой, шустро работающий и имеющий минимум настроек. Поэтому технологичностью объявляется именно это. Хотя полностью было бы корректнее – Телеграм – это технологичный [с точки зрения простоты интерфейса и упрощённый по функционалу] продукт. Ну а теперь к безопасности. Безопасность Телеграм Вопросы безопасности базируются на изучении открытой документации и открытых исходниках некоторых клиентских приложений. Основной акцент, как понятно – на протоколе MTProto 2.0 и e2e-шифровании в “секретных чатах”. Сразу хочется заметить, что исходники на гитхабе обновляются не параллельно с выходом новых версий Telegram – что, в общем, вызывает очевидные вопросы, но не суть. Скриншот документации Телеграм Вопрос по алгоритму Диффи-Хеллмана-Меркля Для генерации сессионных ключей выбран алгоритм Диффи-Хеллмана-Меркля, что неудивительно. Удивительно то, что его почему-то называют “гарантией отсутствия возможности доступа к информации сессии”. Алгоритм Диффи-Хеллмана-Меркля уязвим для атаки MitM, “человек посередине” изначально, и был уязвим для неё всегда. Дабы не переписывать документацию на 100500 раз задокументированный протокол, оставлю здесь ссылку на русский вариант его подробного описания и буду в дальнейших рассуждениях предполагать, что вы по ней сходили. Да, DH даёт возможность противостоять пассивному наблюдению за установкой сессии – т.е. читающий всё пересылаемое, но не модифицирующий трафик сервер будет испытывать проблемы с чтением секретных чатов. Но если сервер может модифицировать данные во время согласования ключей “на лету”, то всё наоборот – алгоритм DH ничего не может сделать. В самом деле, промежуточный участник может согласовать с каждым из двоих свой ключ, имитируя “вы напрямую друг с другом общаетесь”. Единственная защита от этого – сверка ключевого материала после установки сессии и до начала отправки по ней секретных данных. Данная возможность в Telegram есть – но учитывая, что пересогласование ключей идёт достаточно часто – раз в 100 сообщений – многие ли действительно вручную сверяют этот параметр? По сути нужен механизм, который бы после каждого rekey позволял бы как-то по другому каналу удостовериться, что у каждого из 2 участников ключ сменился на одинаковый. Пока его нет – сервер в любой момент может сделать вышеупомянутое действие, никакой гарантии или возможности сделать проверку на невозможность такого действия – нет. Утверждение о “раз там DH, то в принципе никак сервер не может получить доступ к данным” – ложное. Оно нуждается в дополнении “если проводится постоянный дополнительный контроль на фазе работы протокола и по завершению работы оного”. Сам алгоритм не просто уязвим, а полностью беззащитен перед MitM. Он спасает от eavesdropping, это – другое. Пока мы не имеем исходный код серверной части и не уверены, что именно из этого исходного кода собрано то, что по факту работает на серверах Телеграм, обсуждать безопасность конечных пользователей нет смысла – сам факт использования DH ничего не решает. Сервер может выборочно применять MitM-атаку на нужные сессии пользователей – этого никто не заметит, так как клиенты очень часто меняют ключи сессии и никак не журналируют этот факт. Вопрос по сетевым параметрам сессии В Телеграм отсутствует возможность прямой связи 2 абонентов. Она была и в древнем ICQ, и у других сервисов – и действительно убирает возможность “подслушать” со стороны сервера. Несмотря на очевидность схемы “не хочешь, чтобы абонентов могли читать – сделай так, чтобы сервер использовался для согласования параметров и установки сессии, а сама сессия была бы у них напрямую” – пусть с ограничениями возможностей, с задействованием UPnP и прочего – в Телеграм такой возможности почему-то нет в принципе. Трафик всегда проходит через сервера Телеграм. Почему так – вопрос. Ведь такая возможность сразу же и полностью убрала бы все вопросы “может ли сервер иметь доступ к данным”. Вопрос по криптографическим параметрам сессии Процитируем документацию: User A executes messages.getDhConfig to obtain the Diffie-Hellman parameters: a prime p, and a high order element g. Executing this method before each new key generation procedure is of vital importance. It makes sense to cache the values of the parameters together with the version in order to avoid having to receive all of the values every time. If the version stored on the client is still up-to-date, the server will return the constructor messages.dhConfigNotModified. Client is expected to check whether p is a safe 2048-bit prime (meaning that both p and (p-1)/2 are prime, and that 2^2047 < p < 2^2048) Клиент не генерит простое число для DH. Он запрашивает его у сервера и лишь поверхностно проверяет. Вопрос генерации “хороших простых чисел” и проверки их на “хорошесть” я разобрал в статье про SSH, скажем простое – при утверждаемом в документации “меняем ключ на каждые 100 сообщений” секретные чатики должны были бы ощутимо подлагивать, потому что пересогласование приводит к получению нового числа и перепроверке его на простоту. Судя по тому, что это не происходит, имеет место какая-то ускоренная/упрощённая проверка присланного сервером числа. Почему так? По сути, все современные используемые тесты на простоту являются вероятностными. Провести полноценный тест – т.е. честно тестово поделить число масштаба 2^2048 на все простые числа до него – вычислительно невозможно. И по причине сложности деления, и по причине нахождения всех простых чисел меньше указанного. Чтобы проще представлялись масштабы, 2^2048 – это десятичное число с чуть более чем 600 знаками. Составление же даже таблицы “все простые числа до 2^100” и сохранение её локально – уже проблема как вычислительная, так и хранения. Раз с полноценными тестами у нас ничего не выйдет даже если клиентская система будет заранее к ним готовиться (она, говоря проще, будет тогда только готовиться к ним, и больше ничего, на эту задачу можно отправить сколько угодно вычислительной мощности), то в дело вступают вероятностные тесты. Два самых популярных – это Соловея-Штрассена и Миллера-Рабина. Оба этих теста умеют говорить “Данное число точно составное”, либо “Данное число предположительно простое”. Именно в таких формулировках, т.е. не-прошедшее тест число – точно на что-то делится кроме себя и единицы. А вот прошедшее – вроде как не делится. Всё просто – клиенту действительно, зная “глубину” и алгоритм проверки, можно подсунуть число, которое он будет считать простым и не просто считать, доверяя серверу – а даже если и проверит, то со своими методами убедится, что оно не составное. Так что “нам сервер присылает число, а мы его проверяем” нуждается в корректировке – учитывая априори разные мощности клиентского устройства и сервера, а также характеристики алгоритмов генерации и проверки, можно утверждать, что у сервера Телеграм есть реализуемая на практике и не отслеживаемая локально (логов нет, старых чисел нет) возможность прислать “слабое” число, в результате чего компрометация сессии – дело очень простое. Но верующие в “безопасность Телеграм” не заморачиваются такими деталями – джентльменам ведь верят на слово, так? Вообще, сама возможность прислать это число, а не наглухо вбить его в реализацию продукта, в общем, является отдельной проблемой. Казалось бы – ведь как раз когда это число одно, и прошито в коде продукта, то вот тут-то и небезопасно. А сменяемое число – это хорошо. На самом деле нет. Дело в том, что когда prime у DH прошито на клиентской части, то его можно разово на аудите продукта проверить на “насколько оно простое” и, в случае провала тщательной проверки, забраковать всю систему. На клиентской системе вы не можете “на лету” генерить стойкие prime для “старших” групп DH – для этого у вас банально не хватит вычислительных мощностей. Настолько, что даже “установить 1 сессию раз в секунду” будет проблемой. Вы можете пройти по этой ссылке и попробовать создать prime для DH и проверить их на качество, оценив и затраченное время, и процент prime, которые оказались не prime. Поэтому число вам присылает добрый сервер, а вы его “по быстрому” проверяете. Добрый сервер никто не удерживает от того, чтобы для специальных сессий – по желанию сервера – присылать особые, проходящие клиентский тест на простоту числа, не являющиеся простыми. Такие существуют в природе. В пользовательском интерфейсе Телеграм отсутствует возможность увидеть текущее p, использованное при последнем прогоне протокола DH. Также отсутствуют какие-либо исследования, в которых присылаемые сервером числа журналировались и впоследствии проверялись на простоту чем-то более мощным, чем тестом, встроеным в клиентское ПО. Ничего не мешает серверу Телеграм прислать вам лично такие параметры DH, которые сделают криптоанализ сессии тривиальным. Вы этого просто не увидите. Старые параметры не хранятся на клиенте, но могут храниться на сервере. К вопросу о том, насколько вопрос “какой prime используем на DH-обмене” является серьёзным, можно глянуть RFC 5114. Т.е. выверенные “реально и действительно простые числа” опубликованы и надлежат к использованию в ряде специфичных проектов. Авторство, кстати – NIST, после утверждения со стороны NSA. Время шуток про тащмаёра и сертифицированную свободу, не так ли? Вопрос по исходным кодам Исходники клиентской части Телеграма доступны, но тут вступает в силу основная проблема СПО. От теоретической доступности исходников и продвижения тезисов вида “а раз исходник доступен, то ясное дело – миллионы полупрозрачных экспертов постоянно вычитывают код и постоянно находят в нём уязвимости и сразу же что-то заметят” до практического аудита кода – пропасть. В реальности все просто ходят с флагом “а главное что исходники доступны”, но ничего не делают – ждут, пока кто-то другой будет разбираться. Вопрос “насколько то, что выложено на гитхабе, действительно является текущей версией Телеграм” – актуален. Вдобавок актуален вопрос “нет ли в коде буквально крохотных различий, благодаря которым сервера Телеграм могут различить “свой стандартный” клиент и “то, что собрано из исходников”. Если так, то можно иметь идентичный протокол MTProto 2.0, но при использовании “самосборного” клиента применять другую логику поведения со стороны сервера. Мы никак не можем это узнать, т.к. сервер – “чёрный ящик”. Надо проводить полновесное исследование, сравнивая фактический машинный код и поведение у “обычного” телеграм-клиента и у собранного из исходников с гитхаба. Вопрос по энтропии Откроем документацию. If the client has an inadequate random number generator, it makes sense to pass the random_length parameter (random_length> 0) so the server generates its own random sequence random of the appropriate length. Important: using the server’s random sequence in its raw form may be unsafe. It must be combined with a client sequence, for example, by generating a client random number of the same length (**client_random**) and using final_random := random XOR client_random. Client A computes a 2048-bit number a (using sufficient entropy or the server’s random; see above) and executes messages.requestEncryption after passing in g_a := pow(g, a) mod dh_prime. Говоря проще, у клиентского ПО есть некий критерий “мой генератор энтропии плоховат, возьму с сервера”. Про генерацию случайных чисел я уже писал отдельную статью, поэтому предположу, что вы её уже прочитали. В документации телеграма, а также в документации на клиентское ПО нигде не указано, как именно клиент принимает такое решение. Вопрос исчерпания пула энтропии – вполне реальный, тут никто не спорит; другое дело, что противомерой является не, допустим, создание своего пула с RKG или чем-то подобным, а-ля kernel 4.8 с /urandom и бесконечной выдачей на основе ChaCha20, а “пусть тогда сервер выдаст”. Это удивительный ход для продукта, подчёркивающего безопасность и децентрализованность. Помимо того, что такая схема сама по себе примечательна, сразу же возникает возможность простого действия – зная, как именно клиент принимает решение “что-то мой генератор энтропии слабоват – попрошу случайные числа у сервера”, можно вынудить его это сделать. Возможно, многократным запросом rekey, или чем-то подобным – то есть сервер, зная всю техническую реализацию пула энтропии у клиента, зная как определяются критерии исчерпания оного, просто запрашивает пересогласование ключей сессии несколько раз – ведь ничего этого не журналируется, клиент это просто не видит. Главное, что есть сама возможность и предсказуемый алгоритм поведения. В документации указывается, что полученная с сервера энтропия должна XOR’иться с клиентской – так, мол, идёт “только усиление”, ведь 2 энтропии в XOR – это ещё более энтропия. Да, 2 энтропии в XOR – это хорошо. Но две энтропии. А в данном случае одна из них – предсказуемый генератор – у нас клиент же запрашивает у сервера энтропию в ситуации “мой родной источник стал гнать одни единички” и подобной, так? – плюс полученное с сервера – уже плохо. Пример – если у вас генератор выдаёт случайные числа, регулярно по некоему критерию проводит оценку “насколько они случайные”, и в случае, если он выдаст число 58, алгоритм понимает “Вышло не случайное” и запрашивает энтропию у сервера, и потом её XOR’ит с имеющейся (т.е. известным числом 58), то никакого улучшения безопасности от этой дополнительной операции XOR мы не увидим. По сути, мы имеем дело с имитацией усиления энтропии, взятой с сервера – ведь она XOR’ится только с предсказуемой. Ну а как только клиент перейдёт на запрос энтропии с сервера – дальнейшее обсуждать смысла нет. Вполне очевидно, что скормив клиенту строчку “случайных” байт и сохранив её у себя, сервер идентично воспроизведёт все последующие действия и по установке сессии, и по генерации ключевого материала. Стартовав с синхронизированным генератором ПСЧ-то, да. Вопрос по обновлениям Клиентская часть Телеграм достаточно часто обновляется. У подавляющего большинства современных пользователей есть рефлекс, состоящий в “любое обновление – это всё станет лучше, быстрее, безопаснее, добавят функционала и исправят ошибки”, поэтому обновления применяются или автоматически, или вручную по критерию “увидел что есть – сразу поставил”. Если посмотреть размер обновлений, то они достаточно крупные – в десятках мегабайт. Т.е. никто не парится особо с дельтами, diff и прочим – обновляют модули целиком. Безусловно, обновления делают всё, что перечислено выше – и закрывают обнаруженные уязвимости, и исправляют ошибки, и добавляют функционал. Вопрос только в том, что никто не проверяет, что по факту приходит с обновлениями. Ведь куда как проще сослаться на “там исходники выложены”, правда? А всякие мелкие детали – насколько скачанное обновление совпадает с выложенными в открытый доступ исходниками той же версии – они заминаются. Ведь это надо изучать, проверять. Кто это будет делать? Я не нашёл людей, которые на постоянной основе изучают код клиента Телеграм и хотя бы пытаются сопоставлять декларируемое в плане функционала/изменений с фактическим. Но попытка обсудить этот вопрос натыкается на глухое урчание со стороны пользователей Телеграм. Притом тех, кто замечательно обсуждает, допустим, закрытый программный код других продуктов. Здесь фактически мы видим психологический момент – некую “подсадку” на ощущение приобщённости к “переднему краю хайтеха”. Эта подсадка достаточно масштабна, её эхо видно и в обычном “а, у тебя телефон не последней модели, ну значит не тянешь, а я-то вот с хайтехом в обнимку”, и в удобном самообмане вида “скачал новую версию софта X – всё реально залетало прямо”. Благодаря этому вырабатывается инстинкт “всё обновить на самые распоследние версии, ведь это по сути приближает меня к некоему хайтеху и будущему”, который после – как и любое предсказуемое поведение пользователей – удобно монетизировать. В результате разработчик ПО может установить такой темп обновлений, что аудит текущей актуальной версии будет не иметь смысла – всегда будет более новая, и любые вопросы “а почему в версии 8.7.1 по факту, если посмотреть отладчиком, работает так?” упрутся в “да у всех уже 8.7.3, поэтому нет смысла обсуждать старьё 8.7.1” и “а есть версия новее – в ней стопудово всё уже исправили”. Вкупе с выложенными исходниками (какой версии? насколько соответствующими распространяемому через сервис обновлений комплекту исполняемых модулей?) ситуация превращается в патовую – разработчик ПО может делать всё что угодно, добавлять в клиентскую часть что хочется, а также убирать оттуда ранее добавленное. Сочетание: Выложенных исходников некоей версии продукта; Масштабности исходного кода; Темпа обновлений; делает ситуацию зафиксированной. Пассивность типового потребителя такого сервиса довершает картинку – по сути, люди живут в тезисе “Всё, что делает владелец сервиса – для моего личного блага. За это я в него верую, ведь он меня за руку в светлое хайтех-будущее ведёт. А значит ему всё прощается и он во всём прав. Он всегда всё правильно делает, ведь он мне бесплатно даёт программный продукт, который в моём круге общения является признаком продвинутости, особой свободы и успешности”. По факту же только один факт – в самом начале блокировок от Роскомнадзора, к Телеграм-клиенту пришёл патч размером где-то в 30 мегабайт. Основной тезис про обновления выглядел так – “в новую версию добавили улучшения связанные с пуш-уведомлениями, для обхода блокировки”. Кто-то вообще проверял, так ли это? Реально механизм пуш-уведомлений (он, кстати, в клиенте уже был) потребовал такого масштабного добавления программного кода? Размер обновления – больше дистрибутива Windows 95. Кто-то проверял, а не было ли что-то “слишком очевидное” удалено из клиентской части таким обновлением? Предположу, что нет. Ведь джентльменам верят на слово – раз обновление чего-то, объявленного технологичным, знаковым для “успешности”, символом “свободы”, то всё это просто после обновления становится ещё лучше, а поставившие получают удовлетворение от сделанной задачи – “у меня самая распоследняя версия, кайф”. Чистая психология, а в сухом остатке – вроде и исходники есть, вроде и продукт открытый, а информации о том, что по факту – ровно столько же, сколько если бы он был официально “закрытым”. Видел ли кто-то, кстати, альтернативный Телеграм-клиент, который бы не представлял собой клон достаточно старого исходника с изменениями в UI? (см. склад подобных вот тут)? К примеру – если декларируется, что end-to-end шифрование в secret chat’ах никак не читается сервером – можно ведь взять исходник клиента и добавить ещё один уровень безопасности, дополнительно шифруя блок отдаваемой на сервер информации ключом, согласуемым через другое приложение. Идея очевидна, но почему-то не реализована. Безопасно? Ну, а это каждый решает для себя. Это же всего лишь вопросы, правда? Которым уже не первый месяц, если что. И нуль ответов на оные со стороны декларирующих себя вроде-как-разбирающимися-в-безопасности юзерами телеграма. Как странно выходит – т.е. репостить ртом лозунги “Телеграм супербезопасен ибо супербезопасен все так считают поэтому нет смысла обсуждать” – у всех выходит, а чуть в конкретику углубление – какие-то панические “вывсёврёётииииии” и “нет смысла обсуждать ибо против Свободы” выскакивают. В итоге, с тезисами вида Павел разработал прорывной уникальный продукт, с лучшей и неуязвимой схемой защиты сессий пользователей, и технически не может отдать ключи, ведь это невозможно, ибо аббревиатуры E2E-шифрование и DH, а дальше нет смысла объяснять вышло, скажем честно, не очень. Да, такие аббревиатуры и технологии есть, и их можно называть вслух как заклинания, гордясь сопричастностью к хайтеху. Можно даже флаг сделать – “Диффи и Хеллман прийде, порядок наведе, безопасность принесе”. Вопрос о том, как они реализованы в данном конкретном продукте. Всё зависит от того, с какой стороны зеркала ты стоишь. P.S. не силён сильно в таких подробностях, думаю знающие подтянутся и выскажут свои мысли. Простите за копипаст, источник указал, все ссылки сохранены...

Публикуем серию статей по VPN от Лаборатории Касперского. VPN нынче актуален, как никогда прежде. Даже в домашних роутерах стали появляться не просто VPN-серверы, а еще и с аппаратным ускорением шифрования. Что же такое VPN и для чего он вообще нужен? Попробуем рассказать об этом простыми словами. Что такое VPN? Как-то так получилось, что даже в учебниках не дают расширенного и глубокого определения того, что это такое, VPN. Мол, и так ведь все понятно: аббревиатура VPN расшифровывается как Virtual Private Network, то есть виртуальная частная сеть. И зачем еще что-то обсуждать? Что такое «сеть» — понятно: на примитивном уровне это объединение двух и более узлов каким-либо видом связи для того, чтобы они могли обмениваться информацией. Естественно, наиболее удобным способом и с поддержкой всех необходимых сервисов. Что такое «частная», тоже вроде бы очевидно — не публичная, поэтому и частная. То есть такая, в которой находится не абы кто, а только дозволенные узлы. Если копнуть чуть глубже, то именно эта составляющая VPN и является самой главной, так как она определяет ряд требований к этой самой «частности». Во-первых, надо как-то маркировать участников этой сети и ту информацию, которой они обмениваются, чтобы она не смешивалась с чужой. Во-вторых, определенно полезно эту информацию защитить от посторонних глаз. Ну хотя бы зашифровать, что снова накладывает следующий круг ограничений, связанных со стойкостью этого шифрования. В-третьих, надо сохранять целостность такого способа передачи информации — не пускать посторонних в частную сеть, проверять источник передаваемых сообщений и следить за тем, чтобы информация нигде не просачивалась в «голом виде». В общем, все как на приватных вечеринках у сильных мира сего: шумят на всю округу, а кто и что там делает — не ясно. И суровая охрана на входе и выходе устраивает не только фейс-, но и прочих мест контроль. С понятием «виртуальная» все чуть попроще. Это всего лишь значит, что такая сеть абстрагирована от физической составляющей — ей не важно, по каким и скольким каналам связи она проложена, так как для участников этой сети она работает прозрачно. Или же, с другой стороны, физическая сеть чаще всего просто не принадлежит пользователю виртуальной. Например, в серьезных организациях сотрудников при подсоединении рабочего ноутбука к любым проводным или беспроводным сетям, находящимся за пределами стен этой самой организации, обязуют сразу же задействовать VPN-подключение до офисной сети. При этом не важно, через какие именно дебри будет установлено это соединение, но можно не сомневаться, что пойдет оно по публичным, чужим сетям связи. Такое соединение принято называть туннелем, впоследствии этот термин нам встретится еще не раз. Для чего нужен VPN? Приведенный выше пример подключения удаленного пользователя к корпоративной сети — один из наиболее типичных сценариев использования VPN. Пользователь ощущает себя как дома — вернее, дома, на отдыхе или в командировке он способен ощутить себя как на работе и может без проблем пользоваться корпоративными сервисами. Заодно и злоумышленник не сможет просто так пронюхать, чем конкретно занят этот пользователь, какие данные он передает и получает. Более того, в компаниях, озабоченных собственной безопасностью, на всех используемых работниками устройствах принудительно включается обязательное использование VPN-подключений где бы то ни было. Даже использование Интернета в таком случае идет сквозь корпоративную сеть и под строгим надзором службы безопасности! Второй по распространенности вариант использования схож с первым, только подключаются к корпоративной сети не отдельные пользователи, а целые офисы или здания. Цель та же — надежно и безопасно объединить географически удаленные элементы одной организации в единую сеть. Это могут быть как крупные представительства корпораций в разных странах, так и раскиданные по городу мясные ларьки ООО «Рога и копыта». Или даже просто камеры, сигнализации и прочие охранные системы. При такой простоте создания VPN — благо кабель каждый раз протягивать не нужно — виртуальные частные сети могут создавать и внутри компаний для объединения и изоляции тех или иных отделов или систем. Не менее часто организовываются VPN-сети и между серверами или целыми вычислительными кластерами для поддержания их доступности и дублирования данных. Частота их использования напрямую связана с ростом популярности облачных технологий. Причем все вышеперечисленное — это не какие-то временные решения: такие подключения могут поддерживаться (и поддерживаются) годами. Впрочем, сейчас наметился переход к следующему уровню абстракции — SDN (Software Defined Networks, программно-определяемые сети), которые преподнесут еще немало сюрпризов, в равной степени приятных и не очень. Однако это отдельная и весьма обширная тема, касаться которой мы сейчас не будем. У России свой, особый путь применения VPN на практике. Когда-то крупные ISP строили свои сети на основе простых неуправляемых коммутаторов — очевидно, в целях экономии. Для разделения трафика клиентов стали использовать различные варианты VPN-подключений к серверу провайдера, через который и выдавали доступ в Интернет. Удивительно, но такой метод используется до сих пор, а производители домашних роутеров для российского региона все еще вынуждены добавлять поддержку таких подключений в прошивку своих устройств. Так что в каком-то смысле Россия была лидером по числу одновременных VPN-подключений среди пользователей Сети. Контрпример таких постоянных VPN-соединений — это сессионные подключения. Они нередко используются при предоставлении клиентского доступа к различным сервисам, которые, как правило, связаны с обработкой очень чувствительной информации в области финансов, здравоохранения, юриспруденции. Впрочем, для обычного пользователя гораздо важнее другой вариант практического использования VPN. В наших советах по безопасности Android и iOS настоятельно рекомендуется применять защищенное VPN-соединение до надежного узла (будь то домашний роутер или специальный VPN-провайдер) при подключении к любым публичным сетям, чтобы защитить свой трафик от возможного вмешательства злоумышленников! Наконец, последний вариант применения VPN в частном порядке — это обход разнообразных сетевых ограничений. Например, для получения доступа к ресурсам, которые заблокированы или не предоставляют свои услуги на определенной территории. Согласно отчету GlobalWebIndex, только в 2014 году для доступа к социальным сетям VPN использовали около 166 млн человек. Читайте также: Какие бывают VPN и в чём их отличие? (2 часть) Что нужно знать перед переходом на VPN? (3 часть) Источник

Директор ФСКН Виктор Иванов заявил, что в скором времени планируется открыть "Музей хитрости наркоторговцев". ФСКН России откроет музей, где будет показано, на что идут наркоторговцы, чтобы обмануть правоохранительные органы. «Мы планируем создать музей, где воспроизведем все такие ухищрения», - сказал Иванов. По его словам, музей появится в Москве до конца этого года, сообщает РИА Новости. Ну а пока в России музей находится "в разработке", мы продемонстрируем вам подобные экспонаты из музея французского. При школе таможенников в городе Ла-Рошель существует музей контейнеров, в которых изобретательные туристы пытались провезти через границу разного рода наркотики. 1. Четки 50 г гашиша 2. Антикварная книга «Арабские повести» 9 г гашиша 3. Гипс 3,2 кг кокаина 4. Автомобиль Chrysler Voyager 135 г марихуаны 5. Сувенирный плюшевый бычок 365 г гашиша 6. Баллон из-под бутана 5 кг гашиша 7. 13 раковин улиток 1,66 кг кокаина 8. 11 стеблей сахарного тростника 6 кг марихуаны 9. Туфли на платформе 900 г героина 10. Деревянная статуэтка 2 кг героина 11. Почтовая открытка 2 г смолы конопли 12. Клетка для перевозки собак 7,812 кг кокаина 13. Сумка 3,6 кг гашиша и 1,9 кг конопляного масла 14. 288 банок пива Stella Artois 112 кг гашиша 15. 3 гидравлических насоса 254 кг метаквалона 16. Саквояж с двойным дном 12,885 г героина 17. Африканская статуэтка 600 г марихуаны 18. Виниловый диск 12 г кокаина 19. Африканская статуэтка 1,5 кг марихуаны 20. Сверлильный станок 2,19 кг кокаина Материал подготовлен при помощи Lentach и Esquire Обсудить на форуме

Телеграмм предлагает пользователям посмотреть и скачать свои личные данные за всю историю пользования мессенджером. В конце августа 2018 года мессенджер Telegram согласился выдавать властям данные предполагаемых террористов (хотя еще ни разу этого не делал — по крайней мере, мы об этих случаях не знаем). За пару месяцев до этого мессенджер открыл пользователям возможность скачать все их данные. В теории, в этом архиве должно оказаться все, что у мессенджера есть на пользователя — а значит, власти не смогут получить что-то больше. Журналист «Медузы» Султан Сулейманов выкачал и изучил данные своего аккаунта в Telegram — и нашел там личные сообщения за всю историю существования аккаунта, а также IP-адреса входа в Telegram за последние 12 месяцев и другую информацию. Процедура В конце мая 2018 года Telegram запустил специального бота, через которого пользователи могут запросить свои данные. Создать такую процедуру интернет-компании обязывает европейский регламент защиты персональных данных GDPR. Сама процедура появилась у Telegram только через месяц, и она не задействует созданного ранее бота (все, что он может сделать — прислать инструкцию или связать со службой поддержки). Чтобы получить данные, нужно зайти в свой аккаунт через клиент мессенджера для Windows или macOS, скачанный с сайта, перейти в настройки, и в разделе Advanced выбрать пункт Export Telegram Data. Обратите внимание, что у вас должна быть версия приложения 1.3.8 или выше (на момент написания заметки — 1.4.2). При этом в версиях клиента, начинающихся на четверку, как и в мобильных приложениях, возможности скачать данные нет. Во всплывшем окне можно выбрать, какие именно данные хочется скачать: личные сообщения; переписки с ботами; переписки в группах; публикации в каналах; список контактов; активные сессии; другие данные. Кроме того, в настройках экспорта можно указать, какие медиафайлы скачивать: фотографии, видео, аудиосообщения и так далее. Пользователь также может выбрать, в каком формате получить данные — html-файл, который можно открыть в браузере, или csv, удобный для компьютерного анализа. Скачивание архива начнется сразу — никаких дополнительных подтверждений личности Telegram не запрашивает. Что нашлось в архиве: имя, фамилия и описание пользователя (из профиля); привязанный номер телефона; текущая и прошлые аватарки (они тоже видны в профиле); список контактов с телефона (в том числе номера пользователей, не зарегистрированных в Telegram); список наиболее близких контактов (формируется автоматически); личные сообщения — отправленные и полученные — со всем медиаконтентом; сообщения, отправленные в групповые чаты и каналы; активные сессии; установленные и созданные стикеры; неотправленные черновики; список IP-адресов, не совпадающий с адресами активных сессий. Чего в архиве не оказалось Секретных чатов — даже следов того, что они создавались. Вероятно, потому, что секретные чаты привязаны к конкретным устройствам и не хранятся в «облаке» Telegram в расшифрованном виде. Удаленных сообщений. Правда, мне удалось найти переписку от 2013 года (одну из первых после создания аккаунта), для которой в архиве оказалось сообщение, которого уже не видно в приложении Telegram. Но было ли оно удалено, или пропало по другой причине, неизвестно. Обновлено: читатель «Медузы» Руслан предположил, что исчезновение этого сообщения может быть связано с ограничением на количество сообщений, которые видны в приложении: в 2017 году сообщалось, что если их больше миллиона, то старые помещаются в архив на сервере Telegram. Истории звонков. Информацию о последних звонках можно просмотреть в приложении Telegram, но в отчете эта категория информации никак не упоминается. Заблокированных пользователей. Опять же, их список можно получить в приложении Telegram, но не просмотреть в отчете. Теперь подробнее о некоторых разделах Телефонная книжка Telegram после входа в аккаунт просит дать доступ к списку контактов в телефоне пользователя. Если согласиться, мессенджер будет хранить имена и номера контактов у себя на сервере (и добавлять новые, если они у вас появятся). Telegram объясняет, что список контактов используется, чтобы уведомлять вас, когда ваши знакомые тоже зарегистрируются в мессенджере. Еще одна причина: знакомых людей Telegram подпишет по имени, которое вы записали в список контактов, а не тому, которое он указал в своем профиле. Близкие контакты На основе того, как много и часто вы общаетесь с человеком, Telegram высчитывает специальный рейтинг — число, обозначающее степень вашей «близости». Оно нужно, чтобы на экране поиска отображать блок с людьми, которым вы вероятнее всего захотите написать. В скачанном архиве можно увидеть это число; само по себе оно ничего не даст, но если скачивать данные раз в несколько месяцев, можно проследить, как (по мнению Telegram) менялись ваши отношения с друзьями. Личные сообщения В архиве оказались все отправленные и полученные сообщения, к которым остался доступ у пользователя. Мессенджер в том числе сохраняет переписки с пользователями, которые позже удалили свой аккаунт — тогда вы не увидите имя собеседника, но сможете прочитать саму переписку. Правда, эти же переписки остаются доступными в приложении Telegram. Если выставить соответствующие настройки, вместе с сообщениями скачаются и все медиафайлы, которыми вы обменивались с собеседниками. Причем, в отличие от «ВКонтакте», присылавшей ссылки на фотографии, Telegram присылает сами файлы (из-за этого архив может занимать несколько гигабайт или даже больше). Групповые чаты Кроме личных переписок, Telegram включил в архив содержимое групповых чатов, в том числе тех, в которых пользователь больше не состоит. Но не всех. Логика, по которой Telegram сохраняет или не сохраняет содержимое групповых чатов, довольно сложная: в некоторых чатах, в которых я состоял, но вышел (или был удален), остались все сообщения за то время, что я был в нем; в некоторых — только мои сообщения и действия, но не чужие; чат, созданный с моего аккаунта (и позже удаленный), остался в архиве целиком. Каналы В отчете Telegram в списке чатов можно найти все каналы, в которых состоит или когда-нибудь состоял пользователь (отдельной секции для каналов в архиве не предусмотрено). При этом прочитать содержимое этих каналов нельзя — в отчет вошли только сообщения, отправленные с моего аккаунта. IP-адреса Информация об активных сессиях Telegram. IP-адреса в «Других данных» выглядят иначе (это просто список) В отчете, присланном Telegram, есть секция «Другие данные». В ней оказались черновики сообщений (мессенджер автоматически сохраняет то, что вы ввели в поле для текста, но не отправили), пустое поле для адреса электронной почты, а также — список IP-адресов, с которых я входил в аккаунт. Ссылка на установленные наборы стикеров в разделе «Другие данные» Этот список шире, чем тот, что представлен в секции «Активные сессии»: как утверждает Telegram, компания хранит историю IP-адресов, изменений имени пользователя и номера телефона за последние 12 месяцев, чтобы пресекать спам и другие нарушения правил. При этом список может быть неполным — эта функция еще находится в процессе совершенствования. Источник: meduza.io

В крупных городах России, таких как Москва, Санкт-Петербург, Сочи и др., полицейские требуют от прохожих показать переписку в Telegram якобы в рамках борьбы с наркоторговлей, выяснил Tjournal. В первую очередь проверяют посетителей парков. Несколько пользователей мессенджера анонимно рассказали изданию, как сотрудники полиции заставляли их показывать содержимое своих смартфонов. Так, один из москвичей сказал, что его остановили возле Ботанического парка рядом с метро Владыкино, изучили два его телефона на наличие Telegram и Tor и осмотрели руки в поисках грязи под ногтями. Житель Красноярска вспоминал, как однажды зимой стоял на остановке, зашел в аптеку погреться и в ожидании автобуса стал копаться в телефоне. Из-за этого сотрудник полиции заподозрил его в распространении наркотиков, потребовал показать ему фотографии и переписки в телефоне, а на вопрос зачем ответил: «Я найду, зачем». По словам собеседников Tjournal, силовиков интересуют чаты с людьми с ненастоящими или иностранными именами, сохраненные сообщения, фотографии, заметки, недавние приложения. Смотрят переписки не только в Telegram, но и в WhatsApp. За отказ показать разблокированный телефон горожанам угрожают поездкой в отделение. В ответ на публикацию пресс-служба МВД отрапортовала, что изложенная в материале информация «не соответствует действительности». В ведомстве отметили, что проверка сообщений и звонков на телефоне незаконна без соответствующего судебного решения, и посоветовали пострадавшим обратиться в полицию. Ранее Readovka писала, что в Смоленске полицейские проверяют телефоны у гуляющих в местном парке горожан и ищут в нем приложение Telegram. Якобы этим мессенджером в регионах пользуются в основном наркопотребители и наркоторговцы. Источник издания в силовых ведомствах утверждал, что таким способом удалось поймать несколько дилеров. Источник: lenta.ru

"Антитеррористический" пакет законов от депутата Ирины Яровой и сенатора Виктора Озерова вошел в десятку инициатив хранения данных, представляющих мировую угрозу инновационному развитию в рейтинге Information Technology & Innovation Foundation (ITIF). Меры российских властей авторы доклада назвали «самыми жёсткими». В список также вошли Китай, Индонезия, Турция, Вьетнам и Германия. «В основном инициативы касались лишь локализации данных в стране, что, по мнению экспертов ITIF, вредит всей экосистеме мировой торговли и инноваций», — сообщает издание. 7 июля Путин подписал «антитеррористический пакет Яровой». Документ обязывает операторов связи (включая интернет-провайдеров) хранить все переписки и звонки как минимум полгода, а также делиться ими с органами. Президент уже поручил правительству внимательно следить за исполнением новых законов, чтобы «минимизировать риски», связанные с затратами компаний на оборудование для хранения звонков и переписки граждан. 19 января экспертная рабочая группа федерального уровня, которую возглавляет министр по вопросам «Открытого правительства» Михаил Абызов, рассмотрит вопрос об отмене «закона Яровой». По материалам furfur.me

25 апреля Московский городской суд рассмотрит жалобу на арест математика Дмитрия Богатова. Пресненский суд Москвы отправил его в СИЗО по обвинению в призывах к терроризму. По версии обвинения, они содержались в одном из постов на сайте sysadmins.ru — запись якобы была сделана с IP-адреса, принадлежащего Богатову. Следствие считает, что ее сделал сам математик. При этом, Богатов мог и не размещать эту запись — известно, что на его компьютере был запущен выходной узел (exit node) анонимной сети Tor. Это значит, что оставлять комментарии с IP-адреса Богатова мог практически любой пользователь. Узлы сети Tor держат у себя, как правило, энтузиасты — сторонники свободного обмена информацией в интернете. «Медуза» поговорила с двумя операторами узлов Tor. Что такое exit node и как это работает? Пока вы не пользуетесь сетью Tor (или другими анонимными сетями), узнать, на какие сайты вы заходили, и что там делали, несложно — например, история запросов с вашего IP-адреса к любому сайту хранится у его владельцев. Анонимная сеть Tor скрывает IP-адрес: вместо того, чтобы отправить запрос прямо на сайт, сеть пропускает его через цепочку серверов. И у владельцев сайта остается информация только о крайнем сервере в этой цепочке — его и называют выходным узлом или exit node. Владимир Иванов 38 лет, закончил МГУ, работал в нескольких IT-компаниях Я поднял первую экзит-ноду около десяти лет назад. Тогда Tor был совсем экспериментом. Официально заявлялось, что не надо всерьез полагаться на его анонимность. Это была новая забава для шифропанков. Идея, что деспотичные режимы могут фильтровать интернет или следить за людьми, тогда была довольно теоретической, ведь у таких режимов интернет еще был так себе — какая там слежка. К 2009 году слежка в интернете стала реальностью, а к 2011-му — и цензура. Думаю, примерно тогда моя мотивация перестала быть исследовательской и стала политической. Tor для меня превратился в инструмент поддержки людей. В 2009-м я думал, что речь идет о диссидентах в условном Иране. Из-за экзит-ноды, в среднем, раз в два-три месяца приходили предупреждения моему хостеру, в основном, это было связано с правами на какую-нибудь интеллектуальную собственность. Я писал, что у меня Tor-нода — и провайдеру этого было достаточно. Один раз мне написали голландские, кажется, полицейские, я им ответил, что у меня экзит, дал ссылку на описание Tor, все пояснил. Больше они не возвращались. Меня это особо не беспокоило, я понимал, что какие-то жалобы будут — надо вежливо отвечать и не раздражать сотрудников поддержки хостера. Российские правоохранители мне никогда не писали. У меня было три ноды, две из них — выходные. Сейчас я все закрыл. Во-первых, цензура в России (у меня ноды стояли у российских хостеров) добралась до магистральных провайдеров. Так что если кто-то попадал на мой экзит и хотел посмотреть заблокированный сайт, то видел заглушку. У сообщества Tor нет строгого регламента, что делать в таких случаях, но все-таки глупо выглядит экзит-нода с цензурой. Во-вторых, [власти] стали говорить про передачу ключей шифрования организаторами распространения информации (речь идет о требованиях «пакета Яровой» — прим. «Медузы»). Tor-ноду можно считать таковым. Я решил, что лучше «положить» узел, чем скомпрометировать потенциальных пользователей. В-третьих, я переехал из России, и банально стало неудобно платить хостерам. Риторика по поводу Tor сменилась. Стало некомфортно. Риторика такая, что Tor — это обязательно детская порнография, экстремизм и торговля наркотиками. Около года назад появилось поручение [президента России Владимира] Путина по итогам форума «Интернет-неделя», вот тогда стало понятно, что все — это конец. Aлександр Батов 37 лет, Москва, секретарь центрального комитета партии «Российский объединенный трудовой фронт» Сейчас у меня всего один узел — серединный. Работает стабильно уже несколько лет. Были мысли поднять и exit-ноду, но мешали технические проблемы: у меня маломощное железо и посредственный канал. По образованию я инженер, кандидат наук, моя специальность связана с наукоемкой промышленностью. Мог бы работать технологом на заводе или развивать науку, Но, к сожалению, и промышленность, и наука в нашей стране влачат жалкое существование. Увлекся информационными технологиями: программирование, веб-разработка, базы данных, администрирование, мониторинг. Многие несистемные оппозиционеры и мои товарищи беззаботно относятся к информационной безопасности. Они обсуждают в электронной почте планы на предстоящий митинг, делятся идеями в соцсетях, передают конфиденциальные данные по телефону. А потом удивляются, что их задержали у подъезда, акция сорвана, а у следователя оказались все явки и пароли. Государство не ограничивает себя никакими законами, никакой моралью. Они хотят контролировать все — не ради безопасности, а ради сохранения власти. Поэтому я начал задумываться, что можно противопоставить тотальному контролю в XXI веке. Ленин писал молоком между строк, большевики вшивали прокламации в корешки книг. А что можно сделать в эпоху интернета? Я начал понемногу разбираться в таких технологиях как OpenPGP, Tor, i2p. Первоначально — как пользователь, но понимал, что этого мало. Тот же Tor строится на добровольной инициативе, и я стал одним из добровольцев. Надо не только брать, но и давать. Конечно, я понимаю, что у меня могут быть проблемы из-за ноды. Но я уже достаточно «засвечен» — участвовал в протестах, выступал публично, несколько раз привлекался к административке. Одной проблемой больше, одной меньше — какая разница? В нашей стране могут «закрыть» любого человека, для этого даже не нужен повод. Впрочем, пока правоохранители ко мне из-за ноды не обращались, но, учитывая последние события, я буду теперь этого ожидать. Дело Богатова — это очередной акт сознательного запугивания. То, что обвинения в его адрес не дружат со здравым смыслом, власть не волнует. Они тупо рубят всех, кто не вписывается в их концепцию законопослушного обывателя: пришел на нелояльный митинг — потенциальный «экстремист», поднял плакатик — злодей, помог кому-то сохранить анонимность — преступник. Они и дальше будут так поступать. Я не исключаю, что скоро они вообще запретят Tor. Источник: https://meduza.io Интересующимся: Что не так с делом Дмитрия Богатова. Медуза объясняет техническую сторону простым языком

Анонимная сеть Tor запускает официальный браузер для Android. Раньше у Tor были только десктопные версии, а также мобильные браузеры, разработанные третьими лицами. Пока что Tor опубликовал предварительную версию браузера, ее уже можно скачать в магазине приложений Google Play, окончательная версия ПО должна появиться в начале следующего года. «Выход в интернет с мобильных устройств растет во всем мире, в некоторых регионах это единственный вариант доступа в интернет. В этих же регионах часто наблюдается жесткий надзор и цензура в интернете, поэтому в прошлом году мы сосредоточились на поддержке таких пользователей»,— говорится в блоге Tor Project. Tor — анонимная сеть, основанная на принципе так называемой луковой маршрутизации, при которой сообщения несколько раз шифруются и отправляются через несколько промежуточных маршрутизаторов, каждый из которых снимает один уровень шифрования (именно поэтому маршрутизация называется луковой). Тем самым достигается более высокий уровень шифрования, так как промежуточные узлы не знают источник и содержание сообщения. Использование Tor является одним из самых популярных методов анонимного выхода в интернет, в то же время сеть неоднократно критиковали за то, что ей часто пользуются в нелегальных целях. p.s. для тех, кто пользуется тором, на нашем сайте убрана заглушка авторизации. Источник: kommersant.ru

Интернет-компании не способны исполнять «закон Яровой» из-за отсутствия нормативных актов. Об этом сообщает РБК со ссылкой на собственные источники. Организаторы распространения информации до сих пор не получили документы, в которых описывается процесс передачи пользовательских данных правоохранительным органам. «Пока никто не начал хранение данных, так как не готовы последние уточняющие документы, которые будут разработаны Министерством цифрового развития, скорее всего, до конца лета. В этой ситуации нет ничего нового, так происходит со многими подобными законами, поэтому сейчас можно только ждать», — рассказал один из собеседников издания. Эту информацию также подтвердила директор по стратегическим проектам Института исследований интернета Ирина Левова. В Роскомнадзоре на вопрос о необходимости дополнительных подзаконных актов для исполнения «закона Яровой» ответили, что не могут проводить подобные аналитические исследования. Однако представители службы считают, что имеющейся информации должно хватить. «По мнению Роскомнадзора, дополнительных подзаконных актов не требуется», — отметил регулятор. В конце июня в Минкомсвязи подсчитали затраты на исполнение «закона Яровой». В ведомстве отметили, что интернет-компаниям с 500 тысячами активных пользователей придется выделить около 20 миллионов рублей на модернизацию необходимого оборудования и софта. 28 апреля правительство России обязало интернет-компании хранить все пользовательские данные за полгода. К ним относятся голосовые сообщения, изображения, аудио и видео. Поправки вступили в силу 1 июля 2018 года. Инициатива правительства связана с антитеррористическими законопроектами, известными как «закон Яровой», который президент России Владимир Путин подписал в июле 2016 года. Источник: lenta.ru

Каждый, кто хоть раз хотел купить семена через интернет, задумывался о последствиях и безопасности такого шага... Первое что приходит нам в голову при желании купить семена конопли - это законность намерений. Безопасно ли покупать семена конопли? Что говорит закон о покупке семян? Внимание, ответ: семена конопли не содержат наркотических веществ, поэтому не запрещены законом в большинстве стран (включая Россию, Украину, СНГ). Семена конопли можно использовать в качестве сувенира, оберега, корма для птиц, получения масел, научных исследований и других законных целей. Итак, мы выяснили, что покупать семена конопли не запрещено. Что же делать дальше? Как выбрать магазин для покупки семян? При столь нелегком выборе стоит обратить внимание на: - Официальное представительство сидбанка в России Как правило производители семян имеют в большинстве стран официальных представителей, обычно это проверенные временем интернет магазины, которые совершают оптовые покупки или на прямую у производителя или у одного из оптовых дистрибьютеров. Сидбанки указывают данные интернет магазинов только в случае полной уверенности порядочности магазинов. - Качество продукции Лучшей гарантией качества, является покупка семян в оригинальной упаковке производителей (оригинальность упаковки также можно проверить на сайте производителей. - Скорость обработки заказа В среднем занимает один - два дня для отправки, а далее ждем нашу родную почту либо транспортную компанию. Дополнительно можно взглянуть на рейтинги Дзаги. - Скорость обратной связи Важной характеристикой является скорость обратной связи не только во время оформления заказа, но и при сопровождении заказа, после его оформления. Обращайте внимание, сколько способов обратной связи доступно в магазине, указана ли электронная почта и есть ли он-лайн консультант. (При общении с менеджерами магазинов рекомендуем обращать внимание на рабочий график. Если вы написали письмо в 2:00 по Мск, не следует ожидать ответа немедленно!). - Цены Официальные магазины (определение см. выше) всегда придерживаются рекомендованных производителем цен. Как следствие, розничная стоимость семян соответствует стоимости указанной на официальном сайте производителя, конечно, с учётом колебания курса валют. Если при выборе магазина, вы замечаете значительное отличие в стоимости семян, это повод задуматься о порядочности данного магазина; - Бонусы, подарки и скидки Не являются частью темы о безопасности, но всегда приятно получить вместе с желанным заказом приятный сувенир. - Гарантии магазина и конфиденциальность информации Это один из самых важных пунктов, на что следует обратить внимание: где и как хранится персональная информация покупателей, кто имеет к ней доступ, возможно ли удаление персональной информации по первому требованию; - Отзывы покупателей уже сделавших покупку Советуем ознакомиться с отзывами перед тем, как сделать покупку. Хороший отзыв – лучшая гарантий качества. Но не стоит доверять отзывам от пользователей с одним - двумя сообщениями, иногда сотрудники магазинов могут создавать «ботов» для того что бы написать о себе пару - тройку лестных сообщений и ввести потенциальных покупателей в заблуждение. Обращайте внимание на отзывы от форумчан с большим количеством сообщений и регистрацией от 1 года и старше; - Удобство оформления заказа У каждого магазина могут быть свои преимущества: - оформление заказа без регистрации, либо с регистрацией и рядом преимуществ; - онлайн консультации; - удобный поиск по сайту; - отправление заказов «До востребования» - данную услугу предоставляют не все интернет магазины, но данная услуга почтовой службы может быть полезна, если у получателя нет постоянного адреса проживания, а также если он пребывает в месте назначения временно. Для того, чтобы адресат смог получить таким образом письмо или посылку, отправителю достаточно указать лишь Ф.И.О., город (область, район, село) и индекс почтового отделения, но следует помнить, что в этом случае вам не будет доставлено «Почтовое извещение о прибытии» (вы же не указываете адрес)!; - отправление заказов наложенным платёжом. Это очень популярный способ оформления заказа. Его суть заключается, в том, что покупатель оплачивает свой заказ при получении в Почтовом Отделении. Таким образом, покупатели избегают интернет - мошенников, которые взяв оплату (часто это происходит в Скайпе) в счёт заказа, перестают отвечать на письма покупателей; - возможность отслеживания процесса доставки заказа, с помощью номера РПО (Регистрируемые Почтовые Отправления), особенность доставки данного типа отправлений, заключается в том, что при регистрации в почтовом отделении, отправлению присваивается уникальный номер, указав который, на сайте Почты России/СПСР/EMS получатель может видеть, где в данный момент находится его заказ и какая транспортная операция с ним в данный момент происходит; - Качество упаковки заказа Имеет огромное значение. Качественно упакованный заказ – гарантия того, что вы получите его в целости и сохранности; Примеры хорошей упаковки: Внутренний конверт из плотной бумаги с воздушно-пузырьковой пленкой, который обладает определенной защитой от внешнего физического воздействия Семена в оригинальной упаковке помещаются между двумя листами пенофола, это термостойкий и защитный материал Конверт службы EMS Аналогичный внутренний конверт из плотной бумаги с воздушно-пузырьковой пленкой Коробка (по прочности будет круче конверта) Внутри коробки мягкие шарики из пенопласта Несколько простых правил, которые обеспечат хорошую безопасность каждому гроверу! 1. При посещении тематических ресурсов используйте анонимайзеры или прокси - сервера; 2. Покупая семена конопли, оформляйте заказ на друга, у которого никогда не росли эти самые семена и который всегда сможет сказать, что посылка была выслана ему ошибочно; 3. Не указывайте ваш реальный адрес проживания. Извещения о прибытии посылки почтальоны в 9 из 10 случаях не приносят, а если магазин высылает заказы с номером РПО, вы всегда сможете узнать, где находится ваш заказ; 4. При оформлении заказа с доставкой курьером, всегда можете указать адрес «на соседней улице», а когда курьер доставки позвонит, чтоб узнать дома вы или нет, тут-то с ним можно договориться встретиться где угодно, и зачастую курьеры при логичном объяснении отсутствия паспорта (он всегда необходим при получении отправлений), идут на встречу и заполняют данные со слов получателя (ведь курьер уверен, что он вручает отправление настоящему получателю, ведь он звонил по указанному на заказе номеру)!. 5. И самое главное правило каждого гровера: молчать о своих планах и не продавать результаты своих достижений! Дополнительно: Новичку о Dzagi 4 важных правила безопасного общения на форуме Anonymous Inkognitus: подробно об анонимайзерах Почему выращивать коноплю нельзя? Безопасно покупаем семена в интернете "Если вы параноик, то это еще не значит, что за вами не следят!" Исчерпывающая инструкция по правильному пользованию DZAGI.club и не только Статья подготовлена при поддержке магазина Коноплёвв Обсудить на форуме

Николай Никифоров, занимающий пост министра связи и массовых коммуникаций РФ, в ходе пресс-конференции в Москве заявил, что "антитеррористический пакет законов Яровой" будет реализован. Николай Никифоров "Закон вовсе не про слежку. Это антитеррористический пакет законов, который предъявляет дополнительные требования для операторов связи в части хранения данных. В РФ четко определен порядок доступа к этой информации. Это будут судебные решения… Речь идет о расширении технических вопросов хранения информации. Данный закон реализуется строго по плану, в силу он вступает в 2018 году. Уверен, что закон будет реализован", - сказал Никифоров. При этом министр отметил, что президент страны вместе с подписанием закона подписал целый ряд поручений, направленных на дополнительную проработку вопросов. "Президент услышал позицию телекоммуникационной отрасли относительно возможных рисков. Нашf общая задача - сделать так, чтобы принятие закона не приводило к таким негативным последствиям, как рост цен на связь", - добавил Никифоров. Он также подчеркнул, что любые заявления на данную тему преждевременны, поскольку ответственные за выпуск специального оборудования для хранения данных ведомства занимаются проработкой технических условий и возможностей для разработки такого оборудования в стране, после анализа ситуации можно будет говорить о необходимых поправках. Напомним, ранее Владимир Путин заявлял, что "закон Яровой" может быть откорректирован. По материалам nakanune.ru

В статье «Безопасность гровера» нами была затронута тема конфиденциальности личной информации в интернете и кратко перечислены способы, которые помогут общаться и получать нужную информацию без опасения попасть в поле зрения интересующихся людей. Одним из таких способов является использование анонимайзеров. Подробно о фундаментальном элементе безопасности в интернете мы расскажем в этой статье. На сегодняшний день интернет все меньше напоминает свободное пространство, где каждый волен говорить, что вздумается и пойти куда захочется. Невидимые стены порой блокируют очень нужные сайты и вполне себе реально не пропускают к нужной информации, а суровые стражи, в лице Роскомнадзора и других надзорных организаций, незримо наблюдают за пользователями на просторах интернета. Однако любую стену можно преодолеть, а взор наблюдателя отвлечь и все что для этого нужно – специальные сервисы, роль которых в интернете выполняют анонимайзеры. Анонимайзер - это «средство» (программное обеспечение или сайт), которое позволяет скрыть данные о пользователе в сети Интернет. В перечень этих данных входит ip-адрес, данные об оборудовании, используемом программном обеспечении, а так же о версии браузера, с помощью которого осуществляется подключение. Главное преимущество анонимайзеров заключается в том, что они скрывают основной источник информации о пользователе - ip-адрес, с помощью которого определить местоположение этого самого пользователя не составит большого труда. Если у вас еще возникает вопрос о целесообразности маскировки своего ip-адреса, подумайте, хотели бы вы оказаться среди огромной толпы незнакомых вам людей (среди которых есть как мошенники, так и стражи порядка, окромя обычных обывателей) с большим подсвеченным плакатом на котором написаны ваш домашний адрес и все места которые вы посещали. Выходя, в интернет без анонимайзера вы оказываетесь, в приблизительно такой же ситуации, поэтому его постоянное использование может стать весьма полезной привычкой. Дополнительным бонусом к анонимности и невидимости пользователь анонимайзера получает возможность легко просматривать заблокированные в своем регионе сайты, т.к. его реальный ip-адрес, показывающий, что он находиться в одном из городов этого самого региона, заменяется на ip-адрес рандомного proxy-сервера, который может располагаться в любой точке планеты, хоть в Нью-Йорке, хоть в Сингапуре, к тому же некоторые анонимайзеры могут существенно ускорить подключение к запрашиваемому сайту, т.к. нет необходимости при каждом обращении заново скачивать требуемую страницу. Несмотря на все эти преимущества, у анонимайзеров так же есть слабости: они не могут обеспечить сохранность личных данных между пользователем и необходимым proxy-сервером. Поэтому настоятельно не рекомендуется пользоваться анонимайзером при работе с банковскими системами и финансовыми службами, во избежание попадания информации в руки мошенников. В настоящее время анонимайзеры существуют во множестве различных форматов, самые распространенные из них, это: • Web-сайты (онлайн-анонимайзеры) • Расширения для браузеров • Программы для компьютера Рассмотрим подробнее каждый из них. Web-сайт: это, пожалуй, один из самых удобных форматов анонимайзера. Он не требует особых знаний, вам не придется дополнительно устанавливать софт на свой компьютер или вникать в тонкости подключения к proxy-серверам. Фактически это самая обыкновенная веб-страница, на которой реализована возможность ввода необходимого адреса, после чего анонимайзер отрабатывает запрос и перенаправляет пользователя на искомый ресурс. При этом получается, что пользователь не обращался напрямую к искомому ресурсу, а отправил запрос на сервер анонимайзера, который в свою очередь скачал запрашиваемую страницу и далее показал пользователю. Примером такой web-страницы может служить сайт «Хамелеон» или «Hydemyass», это распространенные и популярные ресурсы. При выборе онлайн-анонимайзеров следует соблюдать осторожность, т.к. сейчас в сети великое множество сайтов, которые лишь имитируют действия, на деле же перехватывают все вводимые данные и отправляют их мошенникам. Кроме того, стоит упомянуть, что некоторые анонимайзеры могут нарушать работу сайта, так что, если у вас что-то не отображается или не включается при работе анонимайзера, попробуйте его сменить. Расширения для браузеров: существует их великое множество и выбор в основном зависит от того каким именно браузером пользоваться для серфинга. Так, например, для Safari таких расширений нет в принципе, а в Opera они есть, например Browsec. Для Google Chrome созданы такие расширения - анонимайзеры как «friGate CDN», Zenmate, или «Hola», которые встраиваются в сам браузер. Найти их можно в меню «Настройки>Расширения>Еще расширения» и далее набрав их название. Принцип работы этого формата анонимайзеров точно такой же, как и у всех остальных, поэтому все достоинства и недостатки аналогичны другим видам анонимайзеров. Программы для компьютера: отличаются от остальных необходимостью скачивать и устанавливать на свой компьютер клиент программы, а так же необходимостью дальнейшей настройки этого клиента, что может поставить в тупик человека далекого от программирования. Из-за этих особенностей больше подходит для опытных пользователей и позволяет воспользоваться более широким списком функций. К этому типу анонимайзеров относятся «TOR» и, например, «CyberGhost VPN». {В нашей статье мы не будем, углубятся в нюансы настройки этих программ, но если появиться желание опробовать этот способ, то в сети имеется масса подробных гайдов по установке и настройке таких анонимайзеров}. Какой бы из перечисленных способов сохранения анонимности вы не выбрали, главное, что в этом случае вы надежно обезопасили себя от нежелательного распространения частной информации и обеспечили себе комфортную работу в сети, без барьеров и любопытных глаз. Отдельно отметим, что данный текст не является рекламой и преследует лишь одну цель - повысить уровень знаний посетителей нашего форума в области конфиденциальности личных данных. Поэтому призываем вас делиться своими способами обеспечения анонимности в комментариях. Расскажите про приложения и расширения, которыми вы пользуетесь. А может, у вас есть какие-нибудь экзотичные методы? Статья подготовлена при поддержке магазина RastaRasha. Обсудить на форуме

На рассмотрение депутатов Госдумы внесен законопроект о запрете использования VPN-сервисов и анонимайзеров для просмотра заблокированных сайтов. Проект опубликован в базе нижней палаты парламента. Согласно тексту законопроекта, депутаты предлагают обязать сервисы и сайты, которые используются для обхода блокировок, работать с Роскомнадзором и обеспечивать ограничение доступа к запрещенным сайтам из реестра. В качестве наказания авторы инициативы настаивают на 30-дневной блокировке сервисов. Кроме того, в проекте значатся поисковые системы, которые депутаты хотят обязать удалять из выдачи для российских пользователей заблокированные сайты. Авторы инициативы— депутаты Максим Кудрявцев из «Единой России», Николай Рыжак из «Справедливой России» и Александр Ющенко из КПРФ. В пояснительной записке они указывают, что из-за VPN-сервисов и анонимайзеров типа Tor ныне существующие способы блокировки неэффективны. Источник: lenta.ru

Совсем недавно мы рассказали вам о новом магазине "ГенПлан". В новости говорилось о различных нововведениях и преимуществах. Мы решили не медлить, а подробнее расспросить о том, что и как происходит в магазине "ГенПлан". Как произошло ваше знакомство с хобби-рынком? Так уж сложилось, что на протяжении более чем 10 лет я в той или иной степени связан с проектами в этой тематике. В основном создавал и поддерживал интернет-магазины по продаже семян. Как вы пришли к идее открыть собственный магазин? Я сделал несколько магазинов для моих клиентов. Магазины успешно работают по сей день, развиваются и набирают обороты. В один прекрасный день я просто подумал: «Почему бы и нет?». И понеслось… Рынок семян - сложный, но все еще достаточно свободный рынок. Здесь нет необходимости «работать локтями», как в большинстве прочих сфер. Попробуйте, например, зайти на рынок сбыта бытовой техники или такси. Даже если есть опыт, стартовый капитал и желание работать – всего этого может оказаться недостаточно, чтобы проект «выстрелил». А на рынке продаж семян все еще есть место для разбега и взлета. Разумеется, для этого нужно предложить аудитории нечто принципиально новое и нужное. Генплан: генеральный план, генный планктон... что это значит? Странные у вас ассоциации, если честно. У меня и у фокус-группы из моих коллег и друзей, с которой я обсуждал название для магазина, были совсем другие. План – думаю не надо объяснять читателям второе значение этого слова, после очевидного. Но «план» хорош еще и тем, что имеет легальное значение, а значит меньше привлекает внимание при поверхностном взгляде на название сайта и его содержимое. Это немаловажно в эпоху тотальных блокировок сайтов от Роскомнадзора. Ну а Генеральный – что-то основательное, надежное, стабильное. Вообще любой проект начинается с плана, в широкоупотребительном значении этого слова. Выращивание растения из семечка – тоже требует плана. Так что название хорошо вписывается в тематику, по-моему. Какова ваша миссия? Ваши цели? Высшая моя цель – быть счастливым в кругу своей семьи. Это личная первостепенная цель. Семья на первом месте. Хочу, чтобы детям не было стыдно за поступки своего отца, поэтому стараюсь делать свою работу хорошо. Стремлюсь быть хорошим специалистом, знать все нюансы своей работы, постоянно учусь, узнаю что-то новое. А ваши планы? Воспитать достойных детей. Развивать свои бизнесы. На 10 лет вперед? Этим и заниматься. Это не результат - это процесс. Процесс, который мне нравится. Чем уникален именно ваш сидшоп? Простота и удобство. Минималистичный дизайн помогает искушенным растениеводам сконцентрироваться на главном - комфортно и безопасно купить знакомый товар по выгодной цене. Мы первые подключили платежного агрегатора, который позволяет производить оплату онлайн банковскими картами или средствами на электронных кошельках в автоматическом режиме приема платежей. В современном мире интернет-торговли это уже не просто правило хорошего тона, но необходимый стандарт качества обслуживания покупателей. Тем же, кто предпочитает более безопасный способ оплаты без передачи личных данных плательщика, мы предлагаем оплату через платежные терминалы и салоны связи. Да, у нас нет описаний товаров и картинок. Но так ли уж необходимы покупателям описания и картинки? Перед первой покупкой – возможно. Но если вы покупаете один и тот же товар второй, третий, четвертый раз? Допустим, вы покупаете какое-то лекарство в аптеке в первый раз. Перед покупкой вы подробно читаете описание, спрашиваете консультанта. Но если вы уже знаете что хотите купить? Вы просто приходите в магазин, говорите название, забираете товар и оплачиваете на кассе. Не боитесь начинать работу в эпоху Роскомнадзора? Наш сайт полностью соответствует законодательству и не содержит никакой запрещенной информации, которую можно было бы при желании расценить как пропаганду. Продавать семена не является нарушением закона. Тем не менее, очень много магазинов попадают в постоянные блокировки сайтов из-за содержания сайта, описаний товаров, изображений. Это доставляет неудобство гроверам, когда вернуться в магазин, где однажды уже сделал покупку, можешь только через «черный ход» - анонимайзер. Мои клиенты – владельцы других магазинов обращались ко мне с просьбой помочь обойти последствия блокировок. Мы пробовали различные способы, с переменным успехом. Но надо смотреть на причину всех бедствий – контент. Чем бороться с последствиями – не проще ли устранить причину? У нас нет контента, за который можно заблокировать сайт магазина. Вот я новичок, почему мне лучше идти в Генплан? Просто, удобно, безопасно. А если я - опытный гровер, тогда почему? Просто, удобно, безопасно. Ничего не изменилось =) Почему гроверы, привыкшие делать покупке в одном и том же магазине, уверенные в его надежности честности, могут изменить своей привычке и прийти к вам? Удобный и безопасный способ оплаты заказа - один из важнейших аспектов в интернет-торговле. На данный момент на хобби рынке семян только мы предлагаем максимально удобную оплату банковскими картами в режиме онлайн. Тем же, кто предпочитает более безопасный способ оплаты без передачи личных данных плательщика, мы предлагаем оплату через платежные терминалы и салоны связи. Ваше Пожелание юзерам дзаги. Как говорит один мой знакомый – удачи и процветания. Особенно процветания. Ну и взаимовыгодного плодотворного сотрудничества. Задать вопрос представителю магазина "ГенПлан" Обсудить на форуме

Очередная волна мошенников и DDoS атак на гроурынок. Момент №1. Сперва нам пришла весть, что с почты admin[at]dzagi.online магазинам приходят письма с предложением о сотрудничестве и размещении рекламы. Мы не занимаемся подобным, мы не общаемся в подобном ключе. Наша официальная почта admindzagi.com . Переписка с магазином. Кликабельно. Вопросами рекламы и размещения на нашем сайте занимается прекрасная девушка Елена с почтой elena.greenplace[at]gmail.com. Не ведитесь на письма с подобным адресатом. Момент №2. 2 апреля с утра и днём на наш сайт было совершено две DDoS атаки (что такое DDoS атака?) Вот так визуально выглядит DDoS атака Мы пережили их, но спустя два дня магазинам семян начали писать в онлайн консультант угрозы со следующим содержанием: (переписка с сидшопом) Переписка с другим сидшопом: В итоге они просят 200$ за проведенные работы по тестированию сайта нагрузкой или же можно заказать конкурента за 300$! Атакам подверглись практически все магазины семян за исключением нескольких. Сегодня, по нашим данным, атакам подверглись гроушопы. Имейте ввиду, други, если сайт выдает ошибки 502, 504 или просто недоступен – это чей-то злой и подлый умысел, и скоро работы сайта возобновятся. Будьте внимательны и берегите себя. P.S. Лучше всех по ситуации высказался GarryBOX:

Приветствую, други!)Наверное многие слышали об атаках Wannacry).Ну а я-то кому сдался.. так я думал до вчерашнего дня :no: Со вчерашнего вечера эта херь бомбит комп всевозможными своими вариациями,при том что вчера были редкие заходы,а сегодня начиная с 17:00 что-то зачастило)Спасает касперский и актуальные базы.. ловит и удаляет сразу....но он делает это тогда когда шняга на компе...закрытие портов,через которые эта штука проникает не дало положительного результата а возможность установить обновление безопасности на винду отсутствует, тк винда ломаная и обновления на ней невозможны.никакие.Так что у кого есть возможность-лучше обезопаситься-обновиться) Вот то,от чего стоит избавляться,но это ещё не весь список,мне прилетело кое что новенькое) Trojan-Ransom.Win32.Scatter.uf Trojan-Ransom.Win32.Scatter.tr Trojan-Ransom.Win32.Fury.fr Trojan-Ransom.Win32.Gen.djd Trojan-Ransom.Win32.Wanna.b Trojan-Ransom.Win32.Wanna.c Trojan-Ransom.Win32.Wanna.d Trojan-Ransom.Win32.Wanna.f Trojan-Ransom.Win32.Zapchast.i Trojan.Win64.EquationDrug.gen Trojan.Win32.Generic Не ленитесь-обновитесь!Добра и вкусных шиш)

По мнению страж порядка, такая плантация сама по себе появится не могла. Во Владимирской области общественники и полицейские уничтожили огромное поле конопли. Растения сначала скосили с помощью специальной техники, а затем собрали в огромный стог и подожгли. Правоохранители уверены, что случайно такая большая плантация марихуаны вырасти не могла. Более того, выяснилось, что в землю вносили удобрения. Эту плантацию конопли уже окрестили самой крупной, которую удалось обнаружить за долгое время в европейской части России. Масштабы действительно поражают: запретным растением высотой уже с человеческий рост засеяно 5 гектаров поля. Подальше от дороги и людского взора — сотни кустов раскинулись в самом центре огромных угодий. Издали обычный сорняк. Не паханная территория — идеальное место для нелегального урожая. В ожидании уборки уже простаивает техника. Ее задача сегодня — под корень уничтожить опасные всходы. Очаг дикорастущей марихуаны полицейские совместно с общественниками обнаружили благодаря местным жителям. В то, что конопля на этом месте выросла случайно, ни активисты, ни правоохранители не верят, дополняя, что это наркотическое растение однолетнее. Общественники и вовсе демонстрируют, что именно там, где зреют незаконные посевы, землю хорошо удобряли. Со стеблями марихуаны трактор справляется не хуже чем с рожью. Скошенное растение собирают в огромный стог. Обильно поливают бензином и обкладывают покрышками. Всего за час работы удалось накосить кучу дурманящего растения, только вот чтобы уничтожить все поле, специалистам потребуется не один день. Весь очаг дикорастущей конопли планируют сжечь дотла за несколько суток. А пока над запрещенными всходами работает коса трактора, полицейские устанавливают, кому же все-таки принадлежит поле. Впрочем, даже если хозяин угодий не причастен к такому посеву, ему грозит серьезный штраф, ведь именно собственник обязан следить за состоянием купленной земли. Источник: ren.tv