Kysymys:
Vältäisikö roskaposti todella salakuuntelua?
fredley
2014-12-09 15:30:54 UTC
view on stackexchange narkive permalink

spammimic.com tarjoaa palvelun, joka 'salaa' postisi roskapostiksi. Perusteluna on, että kaikki postipalvelut suodattavat roskapostin automaattisesti, ja jos siis haluat olla yhteydessä jonkun kanssa Ilman salakuuntelijaa huomaamatta, naamioimalla viestisi roskapostiksi tämä tapahtuu.

Onko todisteita siitä, että tämä tosiasiallisesti toimisi? Jotta viestisi pääsee läpi, sen on oltava riittävän ei roskapostin kaltainen, jotta sitä ei poisteta heti. Olettaen, että lähetät sen omalta tililtäsi, otsikot jne. Ovat ehjiä, ja eikö tämä ole ensimmäinen asia, jonka roskapostisuodattimet tarkistavat? Eikö se olisi ensimmäinen asia, jonka salakuuntelija myös tarkistaa?

Lyhyesti:

Hyvä ystävä, erityisesti sinulle - tämä kuuma ilmoitus | Jos et enää halua saada julkaisujamme, vastaa vain aiheeseen "POISTA" ja sinut poistetaan välittömästi klubistamme. Tämä viesti lähetetään senaatin lakiehdotuksen 1621 mukaisesti. Nimike
1; 309 §. Tämä EI ole ei-toivottu joukkoposti
. Miksi työskennellä jonkun muun hyväksi, kun voit tulla rikkaaksi 61 päivän sisällä! Oletko koskaan huomannut, että kukaan ei tule nuoremmaksi, ja ihmiset ostavat todennäköisemmin luottokortilla kuin käteisellä. No, nyt on tilaisuutesi hyödyntää tätä! Autamme sinua MYYTÄÄ LISÄÄ - & käyttää luottokortteja verkkosivustollasi. Sinulle taataan menestyminen, koska otamme kaiken riskin. Mutta älä usko meitä! Delawaressa asuva rouva Ames yritti meitä ja sanoo "Olen ollut köyhä ja olen ollut rikas - rikas
on parempi"! Meillä on lupa toimia kaikissa osavaltioissa
! Älä mene nukkumaan tilaamatta. Rekisteröidy ystäväsi
niin myös ystäväsi on rikas! Kippis . Hyvä ystäväni | Erityisesti sinulle - tämä huippuluokan älykkyys
! Tämä on kertakäyttöinen postitus, eikä sinun tarvitse pyytää poistamista, jos et halua enää! Tätä postia ollaan lähettämässä lähetetty senaatin lakiehdotuksen 2416, osaston 3 mukaisesti
| Luku 302! Tämä ei ole rikastumisjärjestelmä! Miksi työskentelet jonkun muun hyväksi, kun voit rikastua 71 viikon kuluessa! Oletko koskaan huomannut, että yhteiskunta näyttää liikkuvan yhä nopeammin ja useimmilla kaikilla on matkapuhelin
! No, nyt on tilaisuutesi hyödyntää tätä!
Autamme sinua MYYMÄN LISÄÄ ja lisäämään asiakkaiden vastauksia
170%! Menestyksesi taataan, koska me kaikki otamme kaiken riskin. Mutta älä usko meitä. Georgian herra Jones, Georgiasta, yritti meitä ja sanoo "Nyt olen rikas monien muiden asioiden kanssa"! Tämä tarjous on 100% laillista! Joten
tee itsesi rikkaaksi tilaamalla heti! Rekisteröi ystäväsi ja saat 60% alennuksen. Ystävällisin terveisin!

* Onko tämä hyvä idea? *
Käytätkö roskapostia todella hyväksi? Pidän siitä!
Steganografian tehokkuutta voidaan mitata kahdella tavalla: "1." Mikä on hyötykuormabittien ja sanomabittien suhde. Kuinka todennäköisesti joku huomaa piilotetun viestin olemassaolon. Luulen, että lähestymistapa ei petä kokonaan kummallakaan alueella, mutta mielestäni liitteenä oleva kuvatiedosto voittaisi sinun molemmissa toimenpiteissä.
Roskapostisalaus: salaa sähköpostisi tavalliseen tapaan, liitä se sitten tähän työkaluun ja nauti vihdoin roskapostisalaamastasi sähköpostista.
Luin koko jutun yrittääksesi nähdä, onko siellä viesti.
"Jotta viestisi pääsee läpi, sen ei tarvitse olla riittävän samanlainen kuin roskaposti, jotta sitä ei poisteta heti" - Jos joku yrittää vastaanottaa roskapostiksi naamioitua viestiä, eikö hän ajattele sammuttaa roskapostiaan suodattaa? (Tai etsi roskapostikansiosta, ohittamalla se tehokkaasti)
Todennäköisyys, että NSA pysäyttää tavallisen postin: erittäin pieni. Todennäköisyys roskapostitetun postin estämisestä roskapostiksi: ei niin alhainen. Tämä on naurettavaa. Lisäksi ei ole varmuutta vahvasta salauksesta, he vaarannavat [MitM]: n (https://fi.wikipedia.org/wiki/Man-in-the-middle_attack) tuon itse allekirjoittaman sertifikaatin kanssa, ja sinun on luotettava, että he eivät älä kirjaa * kaikkea *. Tässä on helmi heidän usein kysytyistä kysymyksistään: * Anteeksi, yhteydenottolomake on poistettu käytöstä roskapostin takia. *
@AndréDaniel: Pienin turvallisesti salattu sisältö olisi liian suuri kyseiselle lomakkeelle (katso UKK), joten et voi tehdä sitä. Sinun on luotettava mihin tahansa salaukseen, jota he käyttävät, mikä on melko taattu joko heikkona tai kokonaan puuttuvana. Sinun on paljon parempi käyttää steganografiaa salatun viestin työntämiseen kuvaan ja sen liittämiseen ilmeiseen roskapostiin.
Neljä vastused:
cremefraiche
2014-12-09 16:24:41 UTC
view on stackexchange narkive permalink

On hyödyllistä, jos tarkennat, jos puolustut kohdennetulta hyökkäykseltä tai olet vain varovainen ja mitä vektoria potentiaalinen vastustaja käyttäisi salakuunteluun.

Tästä huolimatta menetelmä olet viittausta kutsutaan nimellä tietoturvan kautta, ja sitä

"... standardielimet eivät suosittele eikä suosittele."

Sanoisin, että se on hienosti. Suojaus, vaikka epäselvyys onkin erittäin huonoa huonoa (yksinään).

Kokeile tätä Def Con 21: n videota, joka kerrotaan rikostutkijoiden näkökulmasta. Ne esittävät useita esimerkkejä siitä, miksi hämäryyden kautta tapahtuva turvallisuus on huono idea. Voit myös saada käsityksen rikostutkijoiden käyttämien työkalujen ominaisuuksista.

Tämä steganografian muoto EI OLE epävarmuuden kautta tapahtuvaa turvallisuutta. Oletuksena on, että olet jo salannut viestisi ja muutat nyt salatun viestin roskapostiksi näyttäväksi.
Ajatus siitä, että hämäryyden kautta tapahtuva turvallisuus on luonnostaan ​​negatiivinen ja että sitä tulisi itsessään välttää, on virheellinen. Turvallisuuden käyttöä epäselvyydellä VAHVEMPIEN menetelmien sijasta tulisi ehdottomasti välttää, mutta ei ole haittaa lisätä viestiin uusia hämärtymistasoja, kun tavoitteena on olla huomaamatta, eikä estää salauksen salaamista.
Salausta ei ole oletettu. Kuten Philipp huomautti, tämä menetelmä on koodaus / dekoodaus, ei salaus. Lisäksi kuka tahansa vastustaja, jolla on tietoa tästä hämmentämismenetelmästä, tietää tarkalleen, mitä allekirjoituksia on etsittävä. Tämä aiheuttaisi sitten viestin välittömän tarkastuksen, jossa arvokas selväkielinen viesti löytyisi edelleen, mutta oletettavasti lisätarkastuksella.
@barbecue: Tässä menetelmässä on varmasti haittaa. Tuottamalla roskapostia (olipa kyseessä sitten oikea roskaposti tai keinotekoinen roskaposti) varastat minulta ja kaikilta muilta. Postipalvelimet käyttävät ylimääräistä aikaa roskapostin skannaamiseen ja heuristiikka kärsii. Tämä johtaa väistämättä siihen, että enemmän _todellisia_spam-tiedostoja pääsee läpi, mikä tarkoittaa kaistanleveyden ja ajan (ja kaikkien muiden) varastamista. Jos taas lähetät steganokuvan, tuhlaat palveluntarjoajan kaistanleveyttä, _ mutta maksat siitä_ (ja toisen pään kaistanleveyden, _ mutta he haluavat sitä_), joten se on hieman erilainen asia.
@Damon Luulen, että ymmärrät täysin väärin tämän luonteen. Kukaan ei oikeastaan ​​lähetä roskapostia. He eivät todellakaan roskapostia ihmisiä. He tekevät viestistä RESEMBLE spam, joten satunnainen tarkastus vastaanottajan postilaatikossa näyttää, millainen LOOKS kuten roskaposti. Kukaan ei ehdottanut, että tosiasiallisesti käytetään ei-toivottuja joukkoviestejä.
@cremefraiche Oletin, että tätä palvelua lukiessani oli heti, että sen tarkoituksena oli HÄIRITTÄTÄ JO JO salattu viesti, jotta salattu viesti näyttäisi vähemmän salatulta viestiltä. Minusta ei koskaan tullut mieleeni, että tämä korvaisi salauksen. Ilmeisesti olen vähemmistössä, koska se näyttää vallitsevan mielipiteen. En koskaan tarkoittanut tai ehdottanut, että tämä lähestymistapa itsessään olisi ollut turvallinen, kuten se ei selvästikään ole. Mutta se tarjoaa naamioinnin tason.
Yleislauseke "Turvallisuus hämärän kautta on huono" on virheellinen ja väärä kuvaus tarkoitetusta. Hämäryyden kautta tapahtuva turvallisuus on huono vain, kun tämä on ainoa käytetty suojauksen hallinta. Edellyttäen, että epäselvyyttä käytetään yhdessä muiden hallintalaitteiden kanssa, se ei ole vain laillista, vaan erittäin hyödyllistä. Älä vain luota siihen ainoana suojaustasona.
@TimX Tämä on erittäin kiistanalainen. Kuten olen aiemmin maininnut, jos vastustajalla on ennakkotietoa tästä hämärtämismenetelmästä tai mistä tahansa käytetystä hämärtämismenetelmästä, minkä kuka tahansa pätevä haluaisi, vastustaja kykenisi erottamaan nämä allekirjoitukset vastaavan liikenteen välittömästi. Kuten linkitetyssä Def Con -videossa näkyy, kun oikeuslääketieteen analyytikot etsivät tietoja, huonosti hämärtynyt data erottuu ja he tutkivat sen ensin. Tässä tapauksessa tämän hämärtämismenetelmän käyttö on vaikuttanut vain negatiivisesti käyttäjään.
Sovellussivustolta: "Viestisi ovat turvassa, eikä kukaan tiedä, että ne on salattu!" - Joten ei ole tarkoitettu käytettäväksi ainoana tietoturvaratkaisuna, vaan lisäkerroksena.
Philipp
2014-12-09 16:39:02 UTC
view on stackexchange narkive permalink

Tämän tekniikan ongelma (oikeastaan ​​kaikenlaisella steganografialla) on, että se perustuu turvallisuuteen hämäryyden kautta.

Salakuuntelija, joka on tietoinen spammimic.comista, voisi kouluta valvontajärjestelmänsä helposti tunnistamaan spammiikan luomille viesteille tyypilliset mallit, kirjaa ne ja poimi piilotettu hyötykuorma.

Muuten: Sanan "salaus" käyttö tässä yhteydessä on teknisesti epätarkkaa. Salaus vaatii aina salaisen avaimen. Kun viestin "salauksen purkamiseen" ei tarvita avainta, kuten tässä tapauksessa, oikeita termejä ovat koodaus ja dekoodaus . koodattu mutta salattu viesti ei ole suojattu salakuuntelulta, koska hyökkääjän on tiedettävä vain algoritmi.

Spammimic tarjoaa myös vaihtoehdon, joka vaatii salasanan, joka lisää salauskerroksen koodauskerrokseen. Olisiko salausalgoritmi vahva, tämä mahdollistaisi luottamuksellisen viestinnän, mutta he myöntävät, että se on hyvin heikko salaus, joka ei sovi vakavaan käyttöön.

Päätelmä: roskapostia. com on viihdyttävä lelu, mutta mitään, mitä sinun pitäisi käyttää vakavaan luottamukselliseen viestintään, ellet salaa hyötykuormasi vakavalla salausalgoritmilla ennen sen koodaamista.

Toisin sanoen: Voit käyttää sitä, mutta vain jos käytät ensin vakavia menetelmiä. Mikä tarkoittaa periaatteessa: Ei ole mitään syytä käyttää sitä. Tai Rot13 ainakin: P
Sen käyttämisen tarkoituksena on tehdä selväksi, että lähetät salattuja tietoja.
@barbecue 1. Kuten sanoin, kun salakuuntelija on tietoinen käyttämästäsi steganografiajärjestelmää, heille on selvää, että teet **. 2. kun käytät asianmukaista salausta, tieto siitä, että lähetät salattuja tietoja, on arvoton, koska niitä ei ole mahdollista murtaa ennen vuosituhannen loppua. 3. kun luulet, että salauksen käyttö itsessään on merkki siitä, että sinulla on jotain piilotettavaa, se tarkoittaa vain sitä, että ihmisten tulisi käyttää paljon, paljon enemmän salausta.
@Philipp Tieto siitä, että lähetät salattuja tietoja, ei ole arvotonta, jos joku voi voittaa sinut kumiletkulla, lupasit olla lähettämättä salattuja tietoja tietyssä verkossa tai lupasit olla ottamatta yhteyttä tahoon, jolle lähetit salattuja tietoja.
http://xkcd.com/538/
Dennis
2014-12-09 23:18:59 UTC
view on stackexchange narkive permalink

Steganografian käyttäminen salauksen sijaan on melko huono idea, varsinkin kun käytetty työkalu on vapaasti käytettävissä. Kuka tahansa voisi käyttää sitä paljastamaan viestin.

Yksinkertaisella salauksella on kuitenkin puute steganografiaan verrattuna: Salatut viestit ovat yleensä tunnistettavissa sellaisenaan, joten kukaan ei tiedä mitä lähetät jollekulle, on olemassa todiste, jonka lähetit jotain . Salaa viesti vahvalla algoritmilla ja piilota salakirjoitus jotenkin. Ihannetapauksessa tämä pitäisi tehdä joidenkin ohjelmistojen suorittamalla molemmat tehtävät, koska PGP-otsikko, joka on koodattu pinnalta näyttäväksi roskapostiksi, maksaa sinulle kelvottomuuden, jos se löydetään.

Jotta viestisi pääsee läpi, sen on oltava riittävän ei roskapostin kaltainen, jotta sitä ei poisteta suorana. Olettaen, että lähetät sen omalta tililtäsi, otsikot jne. Ovat ehjiä, ja eikö tämä ole ensimmäinen asia, jonka roskapostisuodattimet tarkistavat?

Tietenkin, jos sinulla on GMail-tili, et välttämättä pysty päättämään, mitkä sähköpostit SMTP-palvelimelta hylätään. Jos kuitenkin hallinnoit omaa postipalvelinta, se on vain määrityksen asia.

Steganografia on salausta, kun naamiointi on panssarointia. Yksi vaikeuttaa sinut löytämistä, toinen suojaa sinua, kun sinut on löydetty.
@barbecue,, joka oli kaunista. Vaikka Spam Mimicistä näyttää puuttuvan salaus, Dennisin vastaus ehdottaa molempien käyttämistä. "Parempi" toteutus olisi käyttää vakiomuotoista steganografiaa salatun viestin upottamiseksi kuvan sisään ilmeisen roskapostisähköpostin sisällä. ** Tämän järjestelmän suurin puute on kuitenkin se, että vastaanottaja ei välttämättä saa sähköpostia. ** Tietenkin, jos sähköposti on tosi roskapostia, teoreettisesti se arkistoitaisiin roskapostitutkijoiden toimesta. ...
Tim X
2014-12-12 04:24:37 UTC
view on stackexchange narkive permalink

Onko tämä hyvä vai huono idea, riippuu todella vaatimuksistasi ja millä uhilla / riskillä yrität suojautua. Luulen, että tämän lähestymistavan käytännön näkökohtiin liittyy joitain merkittäviä rajoituksia, kuten varmistaa, että viestisi näyttävät tarpeeksi roskapostilta, että se on peitetty, mutta ei niin paljon kuin roskaposti, että vastaanottajien roskapostin torjuntaohjelmisto ei vain poista sitä tai kieltäydy hyväksy se jne.

Jos oletamme, että näihin ongelmiin on puututtu, kysymyksestä tulee yksi, joka määrittää tarkalleen, mitä yrität tehdä. Jos kaikki, mitä haluat tehdä, on hämärtää tosiasiaa, josta olet yhteydessä jonkun toisen kanssa, se saattaa tarjota jonkin verran käyttöä. Toisaalta, jos haluat luottamuksellisuuden, se ei todennäköisesti itsessään riitä. Saatat joutua käyttämään sitä yhdessä muiden toimenpiteiden kanssa. Saatat esimerkiksi joutua ensin salaamaan alkuperäinen viesti käyttäen jotakin sovittua mallia ja asettamaan sen sitten koodatun viestin sisälle.

Tärkeintä on muistaa, että turvallisuuden on oltava sopusoinnussa riskin tarkoituksen ja arvioidun tason kanssa. Yleensä haluat olla selvä miksi ryhdyt toimiin. Jos haluat luottamuksellisuuden, tarvitset yleensä jonkinlaisen salauksen. Jos haluat rehellisyyttä, niin todennäköisesti haluat jonkin verran sekoittamista ja jos haluat vain piilottaa jotain, niin ehkä jonkinlainen stenografia. Jos haluat kaikki kolme, sinun on sovellettava kaikkia kolmea tekniikkaa. Ohittamatta joitain tämän tekniikan käytännön näkökohtia, kaikki mitä todella teet, on piilottaa se. Jos joku tietää mistä etsiä, hän todennäköisesti löytää sen.

Useat vastaukset viittaavat hämäryydestä johtuvaan turvallisuuteen ja toteavat, että se on huono eikä sitä tule käyttää. Tämä on liian yksinkertaista ja samanlainen kuin ohjelmointilausekkeet, kuten "goto on huono eikä sitä tule koskaan käyttää". Todellisuudessa mikään näistä asioista ei ole luonnostaan ​​huono teemoissa - ne ovat huonoja vain väärin käytettynä. Hämäryyden käyttö on hienoa edellyttäen, että toteutetaan muita toimenpiteitä. Ei ole hienoa, kun luotat yksinomaan siihen täyden suojan tarjoamiseksi. Ssh: n suorittaminen epätyypillisessä portissa on epäselvyyttä, mutta on hienoa, koska se ei ole ainoa suojaustaso. tavallisen telnetin tai ftp: n suorittaminen epätyypillisissä porteissa ei ole hienoa, koska luotat vain epäselvyyteen niiden turvallisuuden varmistamiseksi.



Tämä Q & A käännettiin automaattisesti englanniksi.Alkuperäinen sisältö on saatavilla stackexchange-palvelussa, jota kiitämme cc by-sa 3.0-lisenssistä, jolla sitä jaetaan.
Loading...