Google сообщил о взломе сотен аккаунтов Gmail хакерами из Китая

>фишинг (кражу информации путем создания поддельных сайтов).

высокопоставленные американские госслужащие, военнослужащие, журналисты, а также китайские правозащитники и сотрудники правительственных структур ряда стран Азии, в первую очередь, Южной Кореи.

Стадо идиотов, раз повелось на «поддельные сайты».

аккаунты сотрудников Белого дома на Gmail взломаны не были.

Ну эти поумнее будут.

>>> ...сотрудников Белого дома на Gmail...

Америке конец. А всё начиналось с того, что президенту разрешили сотовый...

сравнивать сертификат, полученный полученный по различным источникам?

>не на настоящую почту, а на фишинговые сайты
Говорят, ЛОР — не настоящий!

>А всё начиналось с того, что президенту разрешили сотовый...

некоторым iphone и ipad дали... страшно.

> А вывод-то какой? 1 - по возможности шифровать

а что, на лоре до сих пор остались клоуны, которые не подписывают письма и не шифруют их, если есть что прятать?

>В числе пострадавших от действий хакеров, сообщила компания Google, высокопоставленные американские госслужащие, военнослужащие, журналисты, а также китайские правозащитники и сотрудники правительственных структур ряда стран Азии, в первую очередь, Южной Кореи.

б-оже, спаси Америку!

Теперь какеры насрут президенту Обаме в тви^W^Wна фейсбук.

опять?

>А вывод-то какой? 1 - по возможности шифровать, 2 - по возможности использовать защищённые каналы.

Неа, проще

1) Не использовать в качестве рабочей почту на популярных почтовых серверах
2) Разделять личную и деловую почту, деловой адрес по возможности не светить
3) Пользоваться почтовыми клиентами а не веб-почтой

>3) Пользоваться почтовыми клиентами а не веб-почтой

В принципе имея всю полноту власти над шлюзом,наверное можно организовать подмену не только странички, но и pop/imap и smtp ? И, по отношению к хомячкам, ключи не помогут. Какой процент из них обратит внимание на ругань клиента на левые ключи безопасности и не станет пользоваться почтой ? Я прав?

>В принципе имея всю полноту власти над шлюзом,наверное можно организовать подмену не только странички, но и pop/imap и smtp ?

RSA тоже подделывать будешь?

s/хакер/крекер/gi
rms.

>rms.

rms тут не причем.

все правильно сделали

>RSA тоже подделывать будешь?

Я-то не буду, мозгов не хватит. Но вообще, не вижу принципиальных проблем. Допустим шлюз подменил собой все почтовые протоколы mail-сервера, использующего шифрование и RSA-подпись (создал свои ключи). Пользователь, ломять, например по imap, на mail сервер попадает на шлюз, который прикидывается mail-сервом, пользователь получает левый сертификат, клиент ругается, но пользователь игнорирует ругань, принимает сертификат и подпись какера, в этот момент, какер на шлюзе получает пароль хомячка и от его имени ломится на настоящий сервер, получает его сертификаты и подпись и работает от имени пользователя. пользователю же возвращает траффик шифрованный и подписанный уже своими ключами, предварительно расшифровав и переподписав данные, получаемые от настоящего сервера. Помочь может сторонний центр сертификации, но какер, опять же, гад, сидит на единственном шлюзе и всё идёт через него + использование центров сертификации, по-моему, не так широко распространено.

В данном случае поможет только что-то типа i2p, VPN с симметричным ключём, etc.

Извиняюсь за возможное нубство, ничего не утверждаю, всё вышесказанное - моё, возможно неверное ИМХО. Поправьте, если в корне не прав где-то.

> но пользователь игнорирует ругань,
Против идиотизма пользователей любая технология бессильна

Он борется правильное использование этих двух терминов, даже письмо в New York Times (вроде туда) писал с просьбой не называть взломщиков хакерами.
К сожалению, не могу найти его статью на эту тему.

>RSA тоже подделывать будешь?

только я вот не знаю, передаются ли там пароли вообще или только их хеши, если только хеши, то сложнее. Короче, по-хорошему нужно долго и вдумчиво курить...

>аккаунты сотрудников Белого дома на Gmail
У них нет денег на свой сервер?

Короче таки сложнее чем подделать стартовую страничку гмыла. А если и вся почта хранится локально...

Вообще непонятно, причем тут Google: ломали-то (даже и не ломали, а именно воровали логин/пароль) идиотов.

> У них нет денег на свой сервер?

А чем Google отличается от правительства США? Как будто это не одно и то же.

> Стадо идиотов, раз повелось на «поддельные сайты».

А если это DNS-фишинг? Кто тут просматривает айпишники, полученные по DNS - отзовитесь!

>А если это DNS-фишинг?
А сертификаты для кого придумали?

> злоумышленники использовали так называемый фишинг

А я чуть не начал беспокоиться.

аккаунты сотрудников Белого дома на Gmail

САСШ вперде!

Подумал, и поймал себя на мысли, что крайне редко обращаю внимание на уведомление фокса в адресной строке, что используется защищенное соединение. Неужели я один такой невнимательный? Или, может, здешние знатоки ИБ тоже спокойно ввели бы логин/пароль в «гугл мэйл», открытый по обычному http?

>1 - по возможности шифровать

только письмо целиком

2 - по возможности использовать защищённые каналы

один хрен если перехват через провайдера - не спасет

>1) Не использовать в качестве рабочей почту на популярных почтовых серверах

поддерживаю

2) Разделять личную и деловую почту, деловой адрес по возможности не светить

обеими руками за

3) Пользоваться почтовыми клиентами а не веб-почтой

все равно не спасет

Можете меня судить как угодно, но вы думаете что взламывают только те ресурсы которые появляются в новостях? Лично я думаю что взламывают все крупные предприятии, только не у всех это выходит в общественность.

Идеальная защита не может быть придумана человеком, так как он сам полон кучей ошибок которые он сам же и развил.