Kasyan666
Рейтинг:
1 303.4
1 303.4
+2.8 за неделю
Прогресс до следующей звезды:
Оффлайн
Друзья
Заблокированные
В друзьях у
https://habr.com/ru/company/globalsign/blog/719330/
1. Стойкость шифрования: Хотя MEGA использует сквозное шифрование, прочность шифрования была поставлена под сомнение некоторыми экспертами по безопасности, которые утверждают, что реализация может быть улучшена. Однако MEGA продолжает обновлять свои меры безопасности для устранения потенциальных уязвимостей.
2. Восстановление учетной записи: MEGA полагается на ключ шифрования пользователя для защиты его файлов. Если пользователь потеряет ключ и не создаст его резервную копию, он может навсегда потерять доступ к своим файлам. Это может рассматриваться как риск для безопасности, но это также является компромиссом для повышения конфиденциальности.
3. Компоненты с закрытым исходным кодом: Хотя некоторые части кодовой базы MEGA являются открытыми, другие компоненты, например, код серверной части, остаются закрытыми. Это затрудняет проведение внешнего аудита всех систем MEGA.
Сотрудничество с правительствами и специальными службами.
1. Юридическая юрисдикция: MEGA Limited действует под юрисдикцией Новой Зеландии. Компания должна соблюдать законы и правила Новой Зеландии, что в определенных ситуациях может потребовать сотрудничества с государственными органами и специальными службами.
2. Запросы об удалении: MEGA имеет политику удаления материалов, защищенных авторским правом, и в прошлом сотрудничала с правообладателями, удаляя нарушающий авторские права контент. Это свидетельствует о том, что MEGA готова выполнять законные требования, когда это необходимо.
3. Совместное использование данных: MEGA придерживается строгой политики, запрещающей передавать данные пользователей третьим лицам. Однако компания может быть вынуждена предоставить информацию о пользователях в ответ на обоснованный юридический запрос или судебное постановление властей Новой Зеландии.
В этом сценарии опытный хакер обнаруживает, что высокопоставленная цель (например, журналист, активист или политик) использует "ProtonMail" для безопасной связи. Хакер решает использовать уязвимость регистрации IP-адресов, чтобы нарушить конфиденциальность объекта.
Хакер инициирует фишинговую атаку на сотрудника "ProtonMail", обманом заставляя его раскрыть конфиденциальную информацию о системах компании. Используя эту информацию, хакер получает несанкционированный доступ к внутренним системам "ProtonMail".
Попав внутрь, хакер определяет учетную запись цели и начинает отслеживать IP-журналы, собирая информацию о том, когда и где цель получает доступ к своей электронной почте. Затем хакер сопоставляет эту информацию с другими общедоступными данными, постепенно составляя профиль повседневной деятельности и местонахождения клиента.
Вооружившись этой информацией, хакер может шантажировать объект, продавать его данные другим злоумышленникам или даже использовать их для планирования физического нападения.
Сценарий 2: Спецслужбы используют уязвимость регистрации IP-адресов.
В этом сценарии правительственная спецслужба решает следить за интересующим ее лицом, которое использует "ProtonMail" для общения. Агентство считает, что этот человек вовлечен в деятельность, представляющую угрозу национальной безопасности.
Чтобы получить необходимую информацию, агентство обращается к судье и представляет доказательства в поддержку своей версии. Судья утверждает судебный приказ, который заставляет "ProtonMail" предоставить журналы IP-адресов интересующего его лица, как это разрешено швейцарским законодательством.
"ProtonMail", выполняя постановление суда, предоставляет журналы IP-адресов агентству спецслужб. Агентство использует эти журналы для определения мест, из которых интересующее его лицо получает доступ к своему счету "ProtonMail". Затем они ведут дальнейшее наблюдение и собирают больше информации о деятельности, сообщниках и планах этого человека.
Имея на руках эту информацию, спецслужбы приступают к задержанию человека и пресекают его деятельность, тем самым нейтрализуя предполагаемую угрозу национальной безопасности.
2. "Экстренную репатриацию" – сворачивают. На обычную, но массовую, давит США (об этом – в конце).
Проблемы безопасности и открытости.
1. Регистрация IP-адресов: "ProtonMail" подвергся критике за передачу IP-адреса пользователя швейцарским правоохранительным органам в ответ на запрос в соответствии со швейцарско-американским договором о взаимной правовой помощи (MLAT). С тех пор "ProtonMail" разъяснил свою политику и заявил, что будет передавать данные только в ответ на действительное постановление швейцарского суда.
2. Компоненты с закрытым исходным кодом: Хотя компания "ProtonMail" открыла веб-клиент, некоторые компоненты сервиса, например, код на стороне сервера, остаются закрытыми, что затрудняет проведение внешнего аудита безопасности.
Сотрудничество с правительствами и специальными службами.
"ProtonMail" работает под юрисдикцией Швейцарии, которая известна своими строгими законами о конфиденциальности. Тем не менее, компания должна соблюдать швейцарское законодательство и судебные постановления, что может потребовать от нее обмена информацией о пользователях при определенных обстоятельствах.
"Brave".
Проблемы безопасности и открытости.
1. Встроенный криптовалютный кошелек: Браузер "Brave" включает встроенный криптовалютный кошелек ("Brave Wallet"), который некоторые пользователи могут рассматривать как потенциальный риск безопасности. Однако кошелек является необязательным, и пользователи могут не включать его.
"Brave Ads" и токен "Basic Attention Token" (BAT): "Brave" предлагает пользователям возможность просматривать рекламу с соблюдением конфиденциальности и зарабатывать криптовалюту BAT в качестве вознаграждения. Критики утверждают, что эта функция может побудить пользователей к просмотру рекламы, что потенциально может подвергнуть их риску безопасности. Однако рекламная программа является необязательной, и пользователи могут отключить ее.
Сотрудничество с правительствами и специальными службами.
Как браузер, "Brave" обычно не собирает и не хранит данные пользователя, поэтому вероятность получения запросов от правительств или специальных служб о предоставлении информации о пользователе ниже. Однако компания "Brave Software", стоящая за браузером, находится в США и может быть вынуждена соблюдать законы и правила США, что в определенных ситуациях может потребовать сотрудничества с государственными органами.
В Великобритании законом, который делает незаконным непредоставление расшифровки данных полиции, является Закон о полномочиях в области расследований 2016 года (Investigatory Powers Act 2016), также известный как "Хартия шпиона" ("Snooper's Charter"). Закон обновил и объединил существующее в Великобритании законодательство о слежке, перехвате данных и хранении данных, предоставив правоохранительным органам более широкие полномочия по доступу к коммуникационным данным.
В части 3 Закона, а именно в разделах 253-258, содержится положение об уведомлениях о технических возможностях (Technical Capability Notices, TCNs) и уведомлениях о технической помощи (Technical Assistance Notices, TANs). Эти уведомления могут быть направлены поставщикам услуг связи (CSP) и другим соответствующим сторонам, чтобы потребовать от них удалить любое примененное шифрование, предоставить расшифрованный контент или помочь правоохранительным органам в расшифровке данных, если это необходимо и соразмерно целям расследования.
Невыполнение действительного уведомления может повлечь за собой гражданско-правовые санкции, включая штрафы или тюремное заключение. Однако в Законе о полномочиях на проведение расследований предусмотрены меры предосторожности и механизмы надзора для обеспечения надлежащего использования этих полномочий, например, требование одобрения судьи перед вручением уведомления.
Важно отметить, что эти положения применяются в первую очередь к организациям и поставщикам услуг связи, а не к частным лицам. Однако физические лица все еще могут быть юридически принуждены к предоставлению ключей дешифровки или паролей при определенных обстоятельствах в соответствии с Законом о регулировании следственных полномочий 2000 года (RIPA), а именно частью III, разделом 49. Невыполнение уведомления по статье 49 может привести к уголовному преступлению и тюремному заключению сроком до двух лет (или до пяти лет в случаях, связанных с национальной безопасностью).