arne22 Skrevet 14. desember 2014 Del Skrevet 14. desember 2014 I følge VG så er det lsik at det er tilnærmet umulig å sikre seg mot "tapping" av digital kommunikasjon. http://www.vg.no/nyheter/meninger/politiets-sikkerhetstjeneste-pst/saarbarheten-dokumentert/a/23355387/ http://www.vg.no/nyheter/innenriks/solberg-regjeringen/for-alvorlig-til-at-det-er-opp-til-hver-enkelt-aa-sikre-seg/a/23355365/ Er dette nødvendigvis helt riktig? Vil det være mulig for en forholdsvis liten organiasjon med små middler å sette opp et kommunikasjonssytem som har en forholdvis høy grad av sikkehet? Hvordan gjør man i så fall det ? Lenke til kommentar
FenrisC0de Skrevet 14. desember 2014 Del Skrevet 14. desember 2014 I følge VG så er det lsik at det er tilnærmet umulig å sikre seg mot "tapping" av digital kommunikasjon. http://www.vg.no/nyheter/meninger/politiets-sikkerhetstjeneste-pst/saarbarheten-dokumentert/a/23355387/ http://www.vg.no/nyheter/innenriks/solberg-regjeringen/for-alvorlig-til-at-det-er-opp-til-hver-enkelt-aa-sikre-seg/a/23355365/ Er dette nødvendigvis helt riktig? Vil det være mulig for en forholdsvis liten organiasjon med små middler å sette opp et kommunikasjonssytem som har en forholdvis høy grad av sikkehet? Hvordan gjør man i så fall det ? Tror ikke du skal bruke VG som referanse for IT-sikkerhets-relatert spørsmål. Uansett, svaret på spørsmålet ditt avhenger av hvem man ønsker å beskytte kommunikasjonen sin fra. Det er stor forskjell på kapasiteter som statlige aktører besitter kontra gutteromshackere så ressursene man må investere for å beskytte kommunikasjonen sin varierer deretter. Lenke til kommentar
Pop Skrevet 14. desember 2014 Del Skrevet 14. desember 2014 Husk at teknisk sikring ikke lenger har alt fokus nå. Det er vel så mye fokus på brukere. Hjelper ikke med sterkeste kryptering når brukerne dine gir fra seg passordet sitt over telefon til en som sier han er fra "teknisk avdeling". Ei heller når en ikke kan vite med sikkerhet om krypteringsalgoritmen din har en bakdør som kun noen få statlige byrå vet om. Det vil være en aldri så liten krise om det kommer frem at NSA sitter på en bakdør til AES f.eks. Men utgangspunktet ditt kan godt være at du aldri kan være 100% sikker, så får du vurdere konsekvensen av at din kommunikasjon blir tilgjengelig for noen. Lenke til kommentar
arne22 Skrevet 14. desember 2014 Forfatter Del Skrevet 14. desember 2014 (endret) Tror ikke du skal bruke VG som referanse for IT-sikkerhets-relatert spørsmål. Uansett, svaret på spørsmålet ditt avhenger av hvem man ønsker å beskytte kommunikasjonen sin fra. Det er stor forskjell på kapasiteter som statlige aktører besitter kontra gutteromshackere så ressursene man må investere for å beskytte kommunikasjonen sin varierer deretter. Hvis en guttegjeng setter opp et kablet hjemmenettvek uten tilkobling til internett eller noen andre eksterne kommunikasjonslinjer, ut if ra bygningen, hvordan går de statlige aktørene fram for å komme seg inn på dette nettverket ? Hvor i ligger forskjellen i de tekniske prinsippene som en guttegjeng kan benytte seg av kontra de prinsippene som "statlige aktører" kan benytte seg av ? Benytter man seg av forskjellige naturlover? Hva er det som er teknisk forskjellig i forhold til de metoder som en guttegjeng kan benytte kontra de metoder som statlige hackere kan benytte? Endret 14. desember 2014 av arne22 Lenke til kommentar
arne22 Skrevet 14. desember 2014 Forfatter Del Skrevet 14. desember 2014 (endret) Husk at teknisk sikring ikke lenger har alt fokus nå. Det er vel så mye fokus på brukere. Hjelper ikke med sterkeste kryptering når brukerne dine gir fra seg passordet sitt over telefon til en som sier han er fra "teknisk avdeling". Ei heller når en ikke kan vite med sikkerhet om krypteringsalgoritmen din har en bakdør som kun noen få statlige byrå vet om. Det vil være en aldri så liten krise om det kommer frem at NSA sitter på en bakdør til AES f.eks. Men utgangspunktet ditt kan godt være at du aldri kan være 100% sikker, så får du vurdere konsekvensen av at din kommunikasjon blir tilgjengelig for noen. Hvorfor skal man benytte passord eller andre tilvarende metoder som har "innebygd menneskelig svakhet" ? Kan man ikke benytte kommunkasjoneløsninger der passord eventuelt bare er en liten del av det totale opplegg for sikkehet. Må det være slik at uvedkommende har mulighet til å taste inn et passord? Endret 14. desember 2014 av arne22 Lenke til kommentar
Pop Skrevet 14. desember 2014 Del Skrevet 14. desember 2014 Husk at teknisk sikring ikke lenger har alt fokus nå. Det er vel så mye fokus på brukere. Hjelper ikke med sterkeste kryptering når brukerne dine gir fra seg passordet sitt over telefon til en som sier han er fra "teknisk avdeling". Ei heller når en ikke kan vite med sikkerhet om krypteringsalgoritmen din har en bakdør som kun noen få statlige byrå vet om. Det vil være en aldri så liten krise om det kommer frem at NSA sitter på en bakdør til AES f.eks. Men utgangspunktet ditt kan godt være at du aldri kan være 100% sikker, så får du vurdere konsekvensen av at din kommunikasjon blir tilgjengelig for noen. Hvorfor skal man benytte passord eller andre tilvarende metoder som har "innebygd menneskelig svakhet" ? Kan man ikke benytte kommunkasjoneløsninger der passord eventuelt bare er en liten del av det totale opplegg for sikkehet. Må det være slik at uvedkommende har mulighet til å taste inn et passord? Selvsagt. To-faktor bør jo være et minimum. Det vil likevel ikke ta deg til 100% sikkert. Lenke til kommentar
Pop Skrevet 14. desember 2014 Del Skrevet 14. desember 2014 Uansett bør jo spørsmålene dine være hva du ønsker å sikre, og mot hvem. Svarene bør være utslagsgivende for hvor mye ressurser du er villig til å bruke for sikringen. Lenke til kommentar
arne22 Skrevet 14. desember 2014 Forfatter Del Skrevet 14. desember 2014 (endret) Hvorfor behøver man å bruke "store ressurser"? Vel fysisk adskillelse, det er da noe de fleste kan få til. Man har et internt kommunikasjonsnettverk som ikke er koblet opp mot internett eller noe annet nettverk. Hvis man er koblet opp mot Internett så er jo OpenVPN en gratis og forholdvis enkel løsning. Hvis man kombinerer OpenVPN med gratis open source brannmursløsninger som for eksempel bare slipper gjennom "godkjente IP" hvordan kommer man forbi dette? (Og invisteringene er jo fortsatt tilnærmet kroner 0,-) Hva er argumentet mot å la de lokale telefonsamtelene kjøre gjennom et kryprt VPN i stedet for å la de kjøre via "åpne" kommersielle teleleverandører? Er det ikke en forskjell på å la døra stå helt på vid vegg, kontra å sikre tingene ørlite? Endret 14. desember 2014 av arne22 Lenke til kommentar
Horrorbyte Skrevet 15. desember 2014 Del Skrevet 15. desember 2014 Sikkerhet er og blir komplisert. Det tekniske er én faktor, og bare der er det mye som kan gå feil. Det er jo tross alt komplekse systemer, med underliggende avhengigheter. Bare se på Heartbleed, som indirekte skapte sårbarhet i OpenVPN og massevis av andre systemer. Angående å begrense IP-adresser, så er IP-trafikk basert på tillit. Hvis en etterretningstjeneste virkelig vil, så klarer de nok å stjele IP-adressen din ved å annonsere den over BGP lenge nok til å gjøre det de skal på nettverket ditt – men de vil nok heller ta over kontrollen av PC-en du bruker til å aksessere nettverket, kjøre aktivt MITM-angrep på trafikken (ved å signere et X.509-sertifikat med en godkjent CA-nøkkel) eller fysisk bryte seg inn der nettverket står. Lenke til kommentar
Abigor Skrevet 15. desember 2014 Del Skrevet 15. desember 2014 (endret) Hvis vi ser for oss at brukersikkerhet er optimal, hva skal til for teknisk sikring av kommunikasjonen? Holder det med kryptering og autentisering? Hvilke alternativer er best? AES? RSA for initalisering av symmetrisk nøkkel? Hva med autentisering? Hva med full forward secrecy? Er det nok å kryptere innhold, eller er det nødvendig å skjule ip-adresser? Med tunneler, proxy, vpn eller hva? Endret 15. desember 2014 av Abigor Lenke til kommentar
arne22 Skrevet 16. desember 2014 Forfatter Del Skrevet 16. desember 2014 (endret) Sikkerhet er og blir komplisert. Det tekniske er én faktor, og bare der er det mye som kan gå feil. Det er jo tross alt komplekse systemer, med underliggende avhengigheter. Bare se på Heartbleed, som indirekte skapte sårbarhet i OpenVPN og massevis av andre systemer. Angående å begrense IP-adresser, så er IP-trafikk basert på tillit. Hvis en etterretningstjeneste virkelig vil, så klarer de nok å stjele IP-adressen din ved å annonsere den over BGP lenge nok til å gjøre det de skal på nettverket ditt – men de vil nok heller ta over kontrollen av PC-en du bruker til å aksessere nettverket, kjøre aktivt MITM-angrep på trafikken (ved å signere et X.509-sertifikat med en godkjent CA-nøkkel) eller fysisk bryte seg inn der nettverket står. Vel samtlige av de metodene som du beskriver står jo beskrevet i denne boken fra år 2000. (Jeg har 3'dje utgave fra år 2001 i bokhylla, og det er egentlig den jeg refererer til.) http://www.amazon.com/Hacking-Exposed-Network-Security-Solutions/dp/0072127481 Det står forklart basic hvordan metodene gjennomføres, hvordan de avdekkes og hvordan man gjennomfører "nødvendige mottiltak". Heartbleed står står riktig nok ikke forklart, men det står forklart de metodene man tok i bruk for å avdekke heartbleed. Spørsmål: Hvor mange rapporter finnes det som dokumenterer at noen faktisk hacket og kom seg inn på en OpenVPN server ? Hva ville problemet i så fall være? Hvis en etterretningstjeneste "stjeler en ip" hvordan gjør man det, og hvordan gjør man det uten at det oppstår driftsforstyrrelser hos ip adressens "rettmessige bruker"? Hvordan kan de "gjøre noe på nettverket mitt" ved å sette opp feil routing for en ekstern ip? Hva med en litt med utdypende forklaring på hvordan en etterretnigntjeneste tar kontroll på min PC for å bruke den til "man in the middle angrep" uten at dette blir oppdaget. Hva slags PC bruker jeg? (Dette er jo også et av de temaene som behandles i boken fra 2001.) Ellers så er jo en del ting i denne verden litt enklere i praksis enn i teorien. Har kjørt servere opp mot internett siden, så vidt jeg kan huske 1998. Når man setter opp en server som er koblet opp mot Internett i dag, så vil den naturlig være under vedvarende angrep hele tiden. Ved et litt fornuftig sikkerhetsmessig opplegg så kjører det år etter år uten hacking og uten noe problem som helst. Edit: Det finnes jo denne rapporten på "hacking av OpenVPN" men det står ikke beskrevet noen "skade skjedd": https://community.openvpn.net/openvpn/wiki/heartbleed Endret 16. desember 2014 av arne22 Lenke til kommentar
Horrorbyte Skrevet 16. desember 2014 Del Skrevet 16. desember 2014 (endret) Hvor mange rapporter finnes det som dokumenterer at noen faktisk hacket og kom seg inn på en OpenVPN server ? Hva ville problemet i så fall være? Hvor mange rapporter? Umulig å si, da slike rapporter nesten aldri publiseres offentlig – enten fordi offeret ikke vil fortelle verden om det, eller fordi offeret ikke vet om angrepet. Hvis en etterretningstjeneste "stjeler en ip" hvordan gjør man det, og hvordan gjør man det uten at det oppstår driftsforstyrrelser hos ip adressens "rettmessige bruker"? En IP-adresse som brukes i et AS kan stjeles ved å annonsere dette fra et annet AS (som i praksis gjøres over BGP). At samme IP-adresse annonseres flere steder er vanlig – det kalles anycast og brukes av blant annet DNS-servere – og resultatet er at trafikk normalt vil gå til det alternativet som er nærmest. Dette kan føre til at trafikk som er adressert til deg ikke når deg. Hvordan kan de "gjøre noe på nettverket mitt" ved å sette opp feil routing for en ekstern ip? Alle kan i utgangspunktet sette den avsenderadressen de vil på IP-pakker. Om denne trafikken ikke stoppes av nettoperatøren(e), vil den nå serveren din som om det skulle vært fra riktig maskin/nettverk. Man må imidlertid stjele IP-adressen for å også få trafikken fra serveren til seg og ikke til offeret. Resultatet er at de slipper gjennom brannmuren som om det skulle vært en godkjent IP-adresse, men for å gjøre noe på nettverket må de også få tilgang til VPN-serveren. Hva med en litt med utdypende forklaring på hvordan en etterretnigntjeneste tar kontroll på min PC for å bruke den til "man in the middle angrep" uten at dette blir oppdaget. Hva slags PC bruker jeg? (Dette er jo også et av de temaene som behandles i boken fra 2001.) Ikke ta over kontrollen for å utføre MITM-angrep, men ta over kontrollen eller utføre MITM-angrep. Ta over kontrollen kan man gjøre på ulike måter, blant annet ved å utføre aktivt MITM-angrep der man injiserer kode i nettside (avhengig av sikkerhetshull) eller i kjørbar programvare (avhengig av at brukeren ikke sjekker at denne er signert, og har verifisert offentlig nøkkel på en trygg måte). Man kan også satse på et vannhullsangrep, som er relativt vanlig. Endret 16. desember 2014 av Horrorbyte Lenke til kommentar
arne22 Skrevet 16. desember 2014 Forfatter Del Skrevet 16. desember 2014 (endret) En IP-adresse som brukes i et AS kan stjeles ved å annonsere dette fra et annet AS (som i praksis gjøres over BGP). At samme IP-adresse annonseres flere steder er vanlig – det kalles anycast og brukes av blant annet DNS-servere – og resultatet er at trafikk normalt vil gå til det alternativet som er nærmest. Dette kan føre til at trafikk som er adressert til deg ikke når deg. Først av alt: IP routing og DNS det må vi vel være enig om har absolutt ingen ting med hverandre å gjøre? Ellers så går jeg ut fra at noe av det som snakkes om er dette: http://en.wikipedia.org/wiki/Border_Gateway_Protocol Altså hvordan trafikken routes over internet vis lokale ISP og regionale "linjer" og over "Internet backbone" Her hevdes det at man kan "stjele en ip ved hjelp av anycast" Er det mulig å få en liten teknisk beskrivelse av hvordan dette kan gjøres og hvordan det kan gjøres uten at det medfører pakketap for "Ip-adressens opprinnelige eier". En løs antakelse om at det kanskje kan gjøres, er jo ikke noe annet enn "løs påstand". Det er i alle fall ikke en beskrivelse av gjennomføringen. Alle kan i utgangspunktet sette den avsenderadressen de vil på IP-pakker. Om denne trafikken ikke stoppes av nettoperatøren(e), vil den nå serveren din som om det skulle vært fra riktig maskin/nettverk. Man må imidlertid stjele IP-adressen for å også få trafikken fra serveren til seg og ikke til offeret. Resultatet er at de slipper gjennom brannmuren som om det skulle vært en godkjent IP-adresse, men for å gjøre noe på nettverket må de også få tilgang til VPN-serveren. Dette blir i så fall "søppelpakker" som ikke kan brukes til noen datakommunikasjon. Man kan ikke logge seg in på noen server ved hjelp av "spoofede" avsender ip adresser. Jeg tror ellers ikke at slike spoofede IP adresser blir stanset av internettleverandøren. Disse prinsippene står både forklart i den nevnte Hacking Exposed fra 2001 og i Linux Firewalls Exposed 2'nd edition fra 2003. (Robert Ziegler) http://www.amazon.com/Linux-Firewalls-Edition-Steve-Suehring-ebook/dp/B000RH0EQ6 Hvorfor skulle "tilgang" til VPN serveren nødvendigvis gi "tilgang til nettverket" og hva er "tilgang til VPN serveren" ? Ikke ta over kontrollen for å utføre MITM-angrep, men ta over kontrollen eller utføre MITM-angrep. Ta over kontrollen kan man gjøre på ulike måter, blant annet ved å utføre aktivt MITM-angrep der man injiserer kode i nettside (avhengig av sikkerhetshull) eller i kjørbar programvare (avhengig av at brukeren ikke sjekker at denne er signert, og har verifisert offentlig nøkkel på en trygg måte). Man kan også satse på et vannhullsangrep, som er relativt vanlig. Dette var det ikke så lett å få mening i. Snakker du her om angrep mot Web servere, eller OpneVPN servere eller mot maskiner på LAN? Litt mer konkret ? Edit: Det finnes jo veldig masse info for den datatrafikken som skjer på lokalt nivå under ISP (internettleverandør) men hva som skjer på nivå over, eller mellom ISP, det er det ikke like lett å finne noen dokumentasjon på. Fant imidlertid denne: http://www.cl.cam.ac.uk/teaching/0708/AdvSysTop/ Endret 16. desember 2014 av arne22 Lenke til kommentar
L4r5 Skrevet 16. desember 2014 Del Skrevet 16. desember 2014 Hvordan gjør man i så fall det ?TOX eller OTR. Lenke til kommentar
arne22 Skrevet 16. desember 2014 Forfatter Del Skrevet 16. desember 2014 (endret) Det var vel et forslag til svar på det opprinnelige spørsmålet. går jeg ut i fra:http://en.wikipedia.org/wiki/Tox_%28software%29 http://en.wikipedia.org/wiki/Off-the-Record_Messaging Kjenner ikke til disse komunikasjonsløsningene, må jeg tilstå, men det ser interessant ut. Hva er det ellers ved virkemåten som eventuelt medfører en høy grad av sikkehet? Endret 16. desember 2014 av arne22 Lenke til kommentar
Horrorbyte Skrevet 16. desember 2014 Del Skrevet 16. desember 2014 (endret) Først av alt: IP routing og DNS det må vi vel være enig om har absolutt ingen ting med hverandre å gjøre? Det er vanskelig for meg å forklare relativt komplekse ting om du ikke har nødvendig fundament for å forstå det, så om du ikke forstår noe så grunnleggende som at kommunikasjon med DNS-servere over Internett er avhengig av IP så må jeg bare råde deg til å kjøpe en nettverksbok og lese litt – om dette er ting du ønsker en inngående kjennskap til. Alternativt, om du har et faktisk behov for å implementere sikkerhet i din organisasjon, kan du leie inn kompetansen du trenger. Endret 16. desember 2014 av Horrorbyte Lenke til kommentar
arne22 Skrevet 16. desember 2014 Forfatter Del Skrevet 16. desember 2014 (endret) Det er vanskelig for meg å forklare relativt komplekse ting om du ikke har nødvendig fundament for å forstå det, så om du ikke forstår noe så grunnleggende som at kommunikasjon med DNS-servere over Internett er avhengig av IP så må jeg bare råde deg til å kjøpe en nettverksbok og lese litt – om dette er ting du ønsker en inngående kjennskap til. Alternativt, om du har et faktisk behov for å implementere sikkerhet i din organisasjon, kan du leie inn kompetansen du trenger. Nå har jeg da lest noen bøker om emnet og driftet noen DNS servere opp gjennom årene, men det hjalp tydeligvis ikke. Selv om ikke jeg forstår de tekniske forklaringene så kan det jo være andre som gjør det. Foreløpig så har det jo ikke vært noen tekniske forklaringer. Jeg synes at DNS funksjonen er ganske lett å forstå, men det er vel bare fordi jeg ikke forstår den. DNS er jo bare en servertjeneste som "oversetter" fra "domeneadresse" til "ipadresse". DNS har jo ingen ting med routing av IP pakker å gjøre. Hvis man vil sette opp "lab med dns server" så er jo Bind et utmerket alternativ. http://en.wikipedia.org/wiki/BIND Dns server eller dns resolving har jo ingen ting å gjøre med den hacking problematikk som er diskurert over. Man kunne jo godt ha dreid diskusjonen i den retning, og atter igjen så er denne problematikken også godt behandlet i "Hacking Exposed utgave 3 fra 2001". Man må vel kunne forutsette at "noen" på diskusjon.no er i stand til å forstå det innholdet i en teknisk beskrivelse av de hackingmetoder som er nevnt? Her er ellers en annen "god gammel klassiker" som også har ganske gode forklaringer på en del av disse "tekniske virkemåtene": http://shop.oreilly.com/product/9781565928718.do Endret 16. desember 2014 av arne22 Lenke til kommentar
Horrorbyte Skrevet 16. desember 2014 Del Skrevet 16. desember 2014 DNS «oversetter» ja, men du må jo kunne snakke med DNS-serveren. Hvordan gjør du det, på tvers av nettverk, uten å bruke IP? Brevpost? Nei, man bruker naturlig nok IP – internettprotokollen – som ligger til grunn for trafikk som går mellom de ulike nettverkene på Internett (et internett er et nettverk av nettverk). DNS har en hierarkisk oppbygging, med 13-rotservere. At det er 13 rotservere betyr ikke at det er 13 fysiske servere. I realiteten er det hundrevis servere, fordi det eksisterer kopier rundt omkring i verden som har samme IP-adresse. Disse annonseres ut mot Internett over BGP, slik at andre nettverk kan sende trafikk til den serveren som er nærmest. Dette kalles anycast, og formålet er lastbalansering og hastighet. DNS er blant de mest kjente applikasjonene som knyttes til anycast, og derfor nevnte jeg det som et eksempel. Slik annonsering kan gjøres i ond hensikt, og på den måten urettmessig få andres trafikk tilsendt. Dette er fordi adressering på tvers av AS er basert på tillit – mens den innad i et AS kontrolleres av samme organisasjon, og dermed kan styres på ønsket vis. Det har vært eksempler der store deler av Internett-trafikken har blitt sendt feil. Noen av disse er listet her. Lenke til kommentar
arne22 Skrevet 16. desember 2014 Forfatter Del Skrevet 16. desember 2014 (endret) DNS «oversetter» ja, men du må jo kunne snakke med DNS-serveren. Hvordan gjør du det, på tvers av nettverk, uten å bruke IP? Brevpost? Nei, man bruker naturlig nok IP – internettprotokollen – som ligger til grunn for trafikk som går mellom de ulike nettverkene på Internett (et internett er et nettverk av nettverk). DNS har en hierarkisk oppbygging, med 13-rotservere. At det er 13 rotservere betyr ikke at det er 13 fysiske servere. I realiteten er det hundrevis servere, fordi det eksisterer kopier rundt omkring i verden som har samme IP-adresse. Disse annonseres ut mot Internett over BGP, slik at andre nettverk kan sende trafikk til den serveren som er nærmest. Dette kalles anycast, og formålet er lastbalansering og hastighet. DNS er blant de mest kjente applikasjonene som knyttes til anycast, og derfor nevnte jeg det som et eksempel. Slik annonsering kan gjøres i ond hensikt, og på den måten urettmessig få andres trafikk tilsendt. Dette er fordi adressering på tvers av AS er basert på tillit – mens den innad i et AS kontrolleres av samme organisasjon, og dermed kan styres på ønsket vis. Det har vært eksempler der store deler av Internett-trafikken har blitt sendt feil. Noen av disse er listet her. Interessant. Slike ting har man jo faktisk hørt om og lest om i avisene, men da er det jo ikke snakk om å kunne "hacke" en enkelt ip adresse, men der i mot å gjøre "saker og ting" som vil medføre omfattende trafikkproblemer på Internett, og som derfor ikke skjer "i all diskresjon". Dette vil lett oppdages. Å vite "at det kan gjøres" er ellers ikke det samme som "å kunne gjøre det". Her er nok avstanden stor. Ellers så bruker jeg selv aldri noen gang domeneadresser ved oppsett av nettverk, eller "kommunikasjonslinjer" kun fysiske ip adresser, for å eleminere "dns som unødvendig risiko". Det synes jeg nesten er en selvfølge. Kom ellers på en nok en bok fra "de gamle dager" med meget gode forklaringsmodeller for en del tema. Legger en link for senere referanse: http://shop.oreilly.com/product/9781565928718.do Edit: Den klassiske måten å fot å oppnå feil DNS adressering det er jo å "fikse det" inne på lan eller på brukerens egen pc, eventuelt ved terminering til ISP. (Dette står jo også beskrevet i den gamle Hacking Exposed boken fra 2001.) Når man bruker fysiske ip i stedet for domenenavn, da har man eleminert noe av denne risikoen. Endret 16. desember 2014 av arne22 Lenke til kommentar
arne22 Skrevet 16. desember 2014 Forfatter Del Skrevet 16. desember 2014 (endret) Hvis vi ser for oss at brukersikkerhet er optimal, hva skal til for teknisk sikring av kommunikasjonen? Holder det med kryptering og autentisering? Hvilke alternativer er best? AES? RSA for initalisering av symmetrisk nøkkel? Hva med autentisering? Hva med full forward secrecy? Er det nok å kryptere innhold, eller er det nødvendig å skjule ip-adresser? Med tunneler, proxy, vpn eller hva? Det er vel veldig ofte slik at det meste av krypreting holder med unntak av "gammel wan, wep" og "gammel 2g mobiltelefon kryprering." (Med unntak av enkelte historiske unntak.) Problemet er vel heller i større grad at man på en eller annen måte klarer å "bypasse" krypteringen. Det ser da ut som om "mobiltelefon spionasjen" bygger på dette enkle prinsippet. Man får mobiltelefonene til å koble seg på en falsk basestasjon, som så kommuniserer enten ukryptert eller med gammel og dårlig kryptering. http://www.vg.no/nyheter/meninger/overvaakningsavsloeringen/kommentar-ikke-sikkert-storebror-ser-deg/a/23357103/ Endret 16. desember 2014 av arne22 Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå