Интеррапт wrote:Кстати, у Алексея Анатольевича вчера взломали е-мейл, а через него твиттер. На твиттер теперь от его имени пишут всякие гадости. Почему-то этот взлом совпал с изьятем Следственным Комитетом у Алексея Анатольевича его компьютеров и прочих ай-падов.
Ну ждем теперь, что на е-мейле ес-но найдут опять чего-то про Белковского, а может и сразу про Березовского (ПавлуМ на радость).
Первое правило оппозиционера при конфискации компьютера должно быть смена всех паролей и в первую очередь emails.
Неверно.
Первое правило - это держать все по настоящему важные данные в теневом томе true crypt на дедике, у абузоустойчивого хостера где-нибудь в аргентине, германии, или еще где. Просто ходить в интернет и логиниться в почту / твиттер с него же, через VPN. А ноут / айпад использовать как тонкий клиент, по сути.
Неудобно, конечно, но до некоорой степени автоматизируемо. Зато безопаснее чем сейчас.
Интеррапт wrote:Кстати, у Алексея Анатольевича вчера взломали е-мейл, а через него твиттер. На твиттер теперь от его имени пишут всякие гадости. Почему-то этот взлом совпал с изьятем Следственным Комитетом у Алексея Анатольевича его компьютеров и прочих ай-падов.
Ну ждем теперь, что на е-мейле ес-но найдут опять чего-то про Белковского, а может и сразу про Березовского (ПавлуМ на радость).
Первое правило оппозиционера при конфискации компьютера должно быть смена всех паролей и в первую очередь emails.
Неверно.
Первое правило - это держать все по настоящему важные данные в теневом томе true crypt на дедике, у абузоустойчивого хостера где-нибудь в аргентине, германии, или еще где. Просто ходить в интернет и логиниться в почту / твиттер с него же, через VPN. А ноут / айпад использовать как тонкий клиент, по сути.
Неудобно, конечно, но до некоорой степени автоматизируемо. Зато безопаснее чем сейчас.
Мне вот интересно, если бы у Навального был pgp encrypted диск и он "случайно" бы спустил USB token в унитаз, это наверно бы считалось как действия препятствующие следствию. Или как?
Интеррапт wrote: Если у него сессия того же е-мейл была сохранена (например, если у него twitter на gmail был завязан), то ес-но можно скопировать целиком всю папку кеша. И вуаля - читай чужую почту.
Разве нельзя сделать настройки, чтобы пароль не сохранялся в кеше? И вообще, если я указываю в настройках - "sign out" (в gmail.com, например) пароль все равно в кэше остается?
Интеррапт wrote: Если у него сессия того же е-мейл была сохранена (например, если у него twitter на gmail был завязан), то ес-но можно скопировать целиком всю папку кеша. И вуаля - читай чужую почту.
Разве нельзя сделать настройки, чтобы пароль не сохранялся в кеше? И вообще, если я указываю в настройках - "sign out" (в gmail.com, например) пароль все равно в кэше остается?
Тут дело не в самом пароле, а что сессия сохраняется на многих приложениях (том же самом gmail) если не нажать sign out. И теоретически, можно спокойно скопировать кеш и базы данных браузера с чужого компьютера на свой, перезаписать все это для браузера на своем компьютере и получить доступ к сессии.
По уму Алексею Анатольевичу нужно сделать шорткат и всегда запускать какой-нибудь Хром как:
Интеррапт wrote:Кстати, у Алексея Анатольевича вчера взломали е-мейл, а через него твиттер. На твиттер теперь от его имени пишут всякие гадости. Почему-то этот взлом совпал с изьятем Следственным Комитетом у Алексея Анатольевича его компьютеров и прочих ай-падов.
Ну ждем теперь, что на е-мейле ес-но найдут опять чего-то про Белковского, а может и сразу про Березовского (ПавлуМ на радость).
Первое правило оппозиционера при конфискации компьютера должно быть смена всех паролей и в первую очередь emails.
Неверно.
Первое правило - это держать все по настоящему важные данные в теневом томе true crypt на дедике, у абузоустойчивого хостера где-нибудь в аргентине, германии, или еще где. Просто ходить в интернет и логиниться в почту / твиттер с него же, через VPN. А ноут / айпад использовать как тонкий клиент, по сути.
Неудобно, конечно, но до некоорой степени автоматизируемо. Зато безопаснее чем сейчас.
Мне вот интересно, если бы у Навального был pgp encrypted диск и он "случайно" бы спустил USB token в унитаз, это наверно бы считалось как действия препятствующие следствию. Или как?
USB-token, например, yubikey, вещь хорошая, но необязательная. Мастерпароль (хороший, сложный) уже вполне достаточен. А на случай, если вынудят его тем или иным способом сказать - есть много способов. Есть возможность настроить теневой том внутри шифрованного контейнера, который виден только если введен "правильный" мастер пароль, а при "ложном" архив откроется, но будет пуст или там будет подготовленная безобидная фигня. Есть контейнеры, которые стирают содержимое при вводе указанного ложного мастерпароля и прочее.
Я не думаю, что притянули бы как действия, препятствующие следствию. Хотя, как знать.
varenuha wrote:Если и воспроизвести сессию путем копирования кэша, чтобы сменить пароль - нужно же все равно старый пароль знать ...
тем не менее, что бы сделать ресет пароля, на слабо зачищенных ресурсах этого может быть достаточно. Нормальный сервис должен спросить "как звали вашу бабушку"? И только потом послать временный пароль, но это делают не все.
varenuha wrote:Если и воспроизвести сессию путем копирования кэша, чтобы сменить пароль - нужно же все равно старый пароль знать ...
тем не менее, что бы сделать ресет пароля, на слабо зачищенных ресурсах этого может быть достаточно. Нормальный сервис должен спросить "как звали вашу бабушку"? И только потом послать временный пароль, но это делают не все.
Насколько я понял, никто и не делал смены или ресета пароля. Просто вошли по кэшу в сессию и там буянили. Навальный, вроде, сам потом пароль сменил.
varenuha wrote:Если и воспроизвести сессию путем копирования кэша, чтобы сменить пароль - нужно же все равно старый пароль знать ...
тем не менее, что бы сделать ресет пароля, на слабо зачищенных ресурсах этого может быть достаточно. Нормальный сервис должен спросить "как звали вашу бабушку"? И только потом послать временный пароль, но это делают не все.
Насколько я понял, никто и не делал смены или ресета пароля. Просто вошли по кэшу в сессию и там буянили. Навальный, вроде, сам потом пароль сменил.
Не-а. Там именно сначала украли его gmail сессию (скорее всего ребята в СК просто передали кому нужно весь кеш). Скорее всего потом зашли в твиттер и выбрали опцию "Forgot Password". Твиттер выслал на gmail ссылку для смены пароля (ну или что-то подобное). И все. Готово.
Навальному кто-то из Калифорнии помогал вернуть его Твиттер аккаунт (я так понимаю, что напрямую связываясь с Твиттером).
varenuha wrote:Просто вошли по кэшу в сессию и там буянили. Навальный, вроде, сам потом пароль сменил.
Не-а. Там именно сначала украли его gmail сессию (скорее всего ребята в СК просто передали кому нужно весь кеш). Скорее всего потом зашли в твиттер и выбрали опцию "Forgot Password". Твиттер выслал на gmail ссылку для смены пароля (ну или что-то подобное). И все. Готово.
Согласен, вполне реальный путь. Но в принципе, если выходить из сессии gmail'a, четко изпользуя "sign out" тебя вроде должны из ВСЕХ сессий выкинуть и кэш не должен помочь остаться (только что проверил...)
varenuha wrote:Если и воспроизвести сессию путем копирования кэша, чтобы сменить пароль - нужно же все равно старый пароль знать ...
тем не менее, что бы сделать ресет пароля, на слабо зачищенных ресурсах этого может быть достаточно. Нормальный сервис должен спросить "как звали вашу бабушку"? И только потом послать временный пароль, но это делают не все.
Насколько я понял, никто и не делал смены или ресета пароля. Просто вошли по кэшу в сессию и там буянили. Навальный, вроде, сам потом пароль сменил.
Не-а. Там именно сначала украли его gmail сессию (скорее всего ребята в СК просто передали кому нужно весь кеш). Скорее всего потом зашли в твиттер и выбрали опцию "Forgot Password". Твиттер выслал на gmail ссылку для смены пароля (ну или что-то подобное). И все. Готово.
Навальному кто-то из Калифорнии помогал вернуть его Твиттер аккаунт (я так понимаю, что напрямую связываясь с Твиттером).
Мне вот не понятно, неужели twitter позволяет сбросить пароль без какой нибудь контрольной фразы?
varenuha wrote:Если и воспроизвести сессию путем копирования кэша, чтобы сменить пароль - нужно же все равно старый пароль знать ...
тем не менее, что бы сделать ресет пароля, на слабо зачищенных ресурсах этого может быть достаточно. Нормальный сервис должен спросить "как звали вашу бабушку"? И только потом послать временный пароль, но это делают не все.
Насколько я понял, никто и не делал смены или ресета пароля. Просто вошли по кэшу в сессию и там буянили. Навальный, вроде, сам потом пароль сменил.
Не-а. Там именно сначала украли его gmail сессию (скорее всего ребята в СК просто передали кому нужно весь кеш). Скорее всего потом зашли в твиттер и выбрали опцию "Forgot Password". Твиттер выслал на gmail ссылку для смены пароля (ну или что-то подобное). И все. Готово.
Навальному кто-то из Калифорнии помогал вернуть его Твиттер аккаунт (я так понимаю, что напрямую связываясь с Твиттером).
Мне вот не понятно, неужели twitter позволяет сбросить пароль без какой нибудь контрольной фразы?
Yep! Только что сменил пароль на твиттере. Даже можешь не знать своего собственного имени - привязаны только к емэйлу.
dotcom wrote:Как ни странно, но большинство популярных сервисов для сброса пароля не требуют ничего кроме e-mail'а.
Интересен и другой вопрос. Если пароль на твиттере поменяли с помощью захода на его gmail, то можно ли от Гугла получить информацию откуда и когда был сделан этот заход (чтобы доказать причастность следователей)?
Интеррапт wrote:Не-а. Там именно сначала украли его gmail сессию (скорее всего ребята в СК просто передали кому нужно весь кеш). Скорее всего потом зашли в твиттер и выбрали опцию "Forgot Password". Твиттер выслал на gmail ссылку для смены пароля (ну или что-то подобное). И все. Готово.
Немного поразмыслив, вижу нестыковку. Обыск состоялся больше недели назад. Если Навальный поменял пароль на е-мейле после обыска, а твиттер у него перехватили только сейчас, то такая схема не работает.
varenuha wrote:Просто вошли по кэшу в сессию и там буянили. Навальный, вроде, сам потом пароль сменил.
Не-а. Там именно сначала украли его gmail сессию (скорее всего ребята в СК просто передали кому нужно весь кеш). Скорее всего потом зашли в твиттер и выбрали опцию "Forgot Password". Твиттер выслал на gmail ссылку для смены пароля (ну или что-то подобное). И все. Готово.
Согласен, вполне реальный путь. Но в принципе, если выходить из сессии gmail'a, четко изпользуя "sign out" тебя вроде должны из ВСЕХ сессий выкинуть и кэш не должен помочь остаться (только что проверил...)
Интеррапт wrote:Не-а. Там именно сначала украли его gmail сессию (скорее всего ребята в СК просто передали кому нужно весь кеш). Скорее всего потом зашли в твиттер и выбрали опцию "Forgot Password". Твиттер выслал на gmail ссылку для смены пароля (ну или что-то подобное). И все. Готово.
Немного поразмыслив, вижу нестыковку. Обыск состоялся больше недели назад. Если Навальный поменял пароль на е-мейле после обыска, а твиттер у него перехватили только сейчас, то такая схема не работает.
Это если он поменял пароль. Вполне возможно, что твиттер к одному аккаунту привязан, его обычная почта - это какой-то другой мейл провайдер и т.п. Может не везде поменял. А вообще гадать не вижу смысла, просто как-то подозрительно, что у него "приборы" изьяли, а потом (с относительно небольшим интвервалом) взломали почту и твиттер.
varenuha wrote:Просто вошли по кэшу в сессию и там буянили. Навальный, вроде, сам потом пароль сменил.
Не-а. Там именно сначала украли его gmail сессию (скорее всего ребята в СК просто передали кому нужно весь кеш). Скорее всего потом зашли в твиттер и выбрали опцию "Forgot Password". Твиттер выслал на gmail ссылку для смены пароля (ну или что-то подобное). И все. Готово.
Согласен, вполне реальный путь. Но в принципе, если выходить из сессии gmail'a, четко изпользуя "sign out" тебя вроде должны из ВСЕХ сессий выкинуть и кэш не должен помочь остаться (только что проверил...)
Да, конечно. Но многие забывают делать sign out.
Надо использовать отделений email account, специально для восстановления. Так как он используется редко то и висеть без дела не будет, не удобно конечно.
irigor wrote:Вообще-то там чел с приличным послужным списком отметился. Причем он в своей жизни не только чужие эккаунты ломал, но и взломанные возвращал.
Разве Хэлл на себя взял уже ответственность за этот нынешний взлом? В первый раз - да, он был. А откуда вы взяли, что он и в этот раз отметился?
varenuha wrote:Если и воспроизвести сессию путем копирования кэша, чтобы сменить пароль - нужно же все равно старый пароль знать ...
тем не менее, что бы сделать ресет пароля, на слабо зачищенных ресурсах этого может быть достаточно. Нормальный сервис должен спросить "как звали вашу бабушку"? И только потом послать временный пароль, но это делают не все.
Насколько я понял, никто и не делал смены или ресета пароля. Просто вошли по кэшу в сессию и там буянили. Навальный, вроде, сам потом пароль сменил.
Не-а. Там именно сначала украли его gmail сессию (скорее всего ребята в СК просто передали кому нужно весь кеш). Скорее всего потом зашли в твиттер и выбрали опцию "Forgot Password". Твиттер выслал на gmail ссылку для смены пароля (ну или что-то подобное). И все. Готово.
Навальному кто-то из Калифорнии помогал вернуть его Твиттер аккаунт (я так понимаю, что напрямую связываясь с Твиттером).
Я думаю не кто-то из калифорнии, а собственно саппорт твиттера. Сказал - так и так, я - оппозиционер и адвокат Навальный, известнен как попавший в топ-100 мыслителей современности и прочее, вот мой скан пасспорта и прочее. Я думаю, любой более-менее известный человек так может сделать.
varenuha wrote:Если и воспроизвести сессию путем копирования кэша, чтобы сменить пароль - нужно же все равно старый пароль знать ...
тем не менее, что бы сделать ресет пароля, на слабо зачищенных ресурсах этого может быть достаточно. Нормальный сервис должен спросить "как звали вашу бабушку"? И только потом послать временный пароль, но это делают не все.
Насколько я понял, никто и не делал смены или ресета пароля. Просто вошли по кэшу в сессию и там буянили. Навальный, вроде, сам потом пароль сменил.
Не-а. Там именно сначала украли его gmail сессию (скорее всего ребята в СК просто передали кому нужно весь кеш).
Зачем писать глупости, да еще и с пустыми обвинениями?
Я понимаю, что кругом виноват Путин и власти, но, все-таки, может лучше стоить потратить 5 минут и ознакомиться с тем, как работают сессии гмаил?
Вы похоже совсем не в теме.
