кто шарил в моих одноклассниках?

Вчера был несанкционарованный доступ в мои одноклассники, кто то подобрал пароль или знал его (меня там точно не было, на работе нет доступа).
Как узнать кто это был? может IP можно узнать?
Помогите плиз...

кто то подобрал пароль

Доступ был 100% с другого компа.

ZERK
Если вы заметили при заходе в одноклассники, сейчас автоматически ставится, Запомнить пароль,(галочка в квадратике) и если Вы не обратили на это внимания(привычка), то Ваш пароль автоматически запомнен. И любой кто открыл сайт Одн с Вашего компа, сразу попадает на Вашу страницу. Жена, дети и т.д.

даже интересно, кто они, таинственные хакеры, способные узнать ИП заходящего на чьюто страницу.

http://www.cnews.ru/news/top/index.shtml?2011/01/19/423921

Доступ был 100% с другого компа.

Милиция начала преследовать пользователей «Вконтакте»

да блин, взяли самого активного, у когго больше всего записей и все.
и еще очень очень интеренсо откуда они узнали кол-во скачиваний
значит с админами менты в тесном сотрудничестве.

андроныч
значит с админами менты в тесном сотрудничестве

Вчера был несанкционарованный доступ в мои одноклассники

Фекла-1
не писать в инет ничего особо личного.

несколько месяцев назад на некоем популярном в Рунете ресурсе некие посетители выкладывали несколько преогромных текстовых файлов с логинами/паролями к Одноклассникам. Сотни 2-3 там точно было.
Выкладывали явно прото так, хулиганства ради.
Администрация ресурса, разумеется, быстро их удалила, но схоронить успели очень многие.

и дело не в сотрудничестве, а в законах.

вот тут про тор, кстати он уже устарел
http://forum.ru-board.com/topic.cgi?forum=5&topic=20871&start=140
и кстати анонимность там не гарантируеца совсем.
http://lurkmore.ru/Тор

самый главный недостаток тора - ужжжжаааасное тормозилово. просто ужасное.
у меня на 486м и модеме инет летал по сравнению с "этим".
причем на самой низкой шифрации.

несколько месяцев назад на некоем популярном в Рунете ресурсе некие посетители выкладывали несколько преогромных текстовых файлов с логинами/паролями к Одноклассникам. Сотни 2-3 там точно было.

Я догадываюсь, что это любимая шарит, хочу поймать её с поличным(вчера выворачивалсь, мол она понятия не имеет, кто это мог быть).Мне запрещает смотреть её "одноклассники" и очень ругается, когда лезу в её "личное пространство".
Поэтому желаю знать правду.

Фекла-1
понимаю, сама ненавижу когда лезут в мои дела. Но инет это такая штука, что туда попало хоть раз уже не Ваше... рано или поздно всплывет... так что тоже советую поменять пароль и забыть, ну а буд не писать в инет ничего особо личного.

cometa401
это любимая шарит, хочу поймать её с поличным

ЗЫ Что-то не так в вашем государстве с взаимным доверием. И дело не в одноклассниках.

Я догадываюсь, что это любимая шарит, хочу поймать её с поличным

надо 😊)

Фекла-1
? ну поймаете допустим и что?
...

cometa401
Я догадываюсь, что это любимая шарит, хочу поймать её с поличным(вчера выворачивалсь, мол она понятия не имеет, кто это мог быть).

Поэтому желаю знать правду.

Осторожнее надо с паролями. Для примера, как-то в локалке своей включил поиск файла wand.dat (кто не знает, там Опера хранит в незашифрованном виде все пароли с указанием сайтов, где пользуетесь автозаполнением), так выдало 50 человек. Там и контакт и одноклассники и даже личный кабинет управления счетами в банках.

Там и контакт и одноклассник

Поэтому, первым делом, запрещаем запоминание паролей и автозаполнение.

И не забывать нажимать "выход" после ухода с сайта. А все пароли никуда не записывать и держать только в голове.

[QУОТЕ]Оригиналлы постед бы Рандгрид:
[Б]И не забывать нажимать ъвыходъ после ухода с сайта. А все пароли никуда не записывать и держать только в голове.[/Б][/QУОТЕ]

Ага. мне просто печатать лень было 😊

Уважаемые парни и девушки давайте по существу писать, как узнать IP? Какие есть мысли?
Запрос в службу техподдержки одноклассников уже написал.

У меня случай был 2 раза. Логин и пароль свой набираю, а выхожу на кого то левого.

Уважаемые парни и девушки давайте по существу писать, как узнать IP? Какие есть мысли?

интересно кто возьмецца логи серверов одноклассников доставать 😊
если они таковые ваще ведут.

Пароли хорошие выбирать надо. Длинные и сложные. Которые не содержат осмысленных слов, особенно таких, которые можно ассоциировать с пользователем. Лучше генератором.

Вот, например, хороший пароль: Cb!9oQ8v

У меня на аське подобный стоит - за 14 лет никто не взломал. Его даже менять не надо.

А вот _очень хороший пароль_: R?_YjfhWEJrEtC

Lmd
R?_YjfhWEJrEtC

такие сложно запомнить, у меня обычно некое слово и несколько знаков, цифр.

кстати не пойму насчет пароля к аське.
вроде сейчас там он максимум 8 символов, но я точно помню что он был длиннее.
я както захотел сменить пароль, сменил и забыл в общем.
через квип никак не зайти - неверный пароль.
тогда я вспомнил что когдато создавал учетку на meebo, зашел там - все получилось со старым паролем. после этого зашел со старым в квип - все работало.
потом я попробовал еще раз -
снес учетку аськи в квипе - попробовал вновь завести с старым паролем - никак - неверный пароль.
зашел в аську через meebo - все ОК. зашел со старым через квип - все ОК.
хз почему так, но как способ восстановления пасса мне это понравилось 😊

Antti
Цифр мало.

Пространство перебора цифр значительно меньше. Кстати, чисто цифровой пароль берется на раз программой John the Ripper.

андроныч
такие сложно запомнить, у меня обычно некое слово и несколько знаков, цифр.

кстати не пойму насчет пароля к аське.
вроде сейчас там он максимум 8 символов, но я точно помню что он был длиннее.
я както захотел сменить пароль, сменил и забыл в общем.
через квип никак не зайти - неверный пароль.
тогда я вспомнил что когдато создавал учетку на meebo, зашел там - все получилось со старым паролем. после этого зашел со старым в квип - все работало.
потом я попробовал еще раз -
снес учетку аськи в квипе - попробовал вновь завести с старым паролем - никак - неверный пароль.
зашел в аську через meebo - все ОК. зашел со старым через квип - все ОК.
хз почему так, но как способ восстановления пасса мне это понравилось 😊

Я повторяю как специалист по информбезопасности - если в пароле есть осмысленное слово, даже транслитерированное в другой раскладке - это программами взлома берется _за минуты_ максимум. Канонический пример говенного пароля - слово "Вася123" набранное в латинской раскладке клавиатуры. Раскладки сопоставляются взломщиками _в первую очередь_ и занимает это секунды. На моем сервере такой пароль Джон берет за 2 секунды.

А еще самая глупая ошибка, которую допускают планктоны - один пароль на все аккаунты. Видишь ли, сложно запомнить десяток паролей, да и в голове держится максимум три вещи - годовщина свадьбы, имя собаки, фамилия тещи 😛

Ломают такому говноклассники - и пошли по всем аккаунтам гулять, письма от имени жертвы писать... (фыркаю) Вычислить все места, где мы ходим - вопрос времени, причем весьма небольшого. Социальные сети в помощь. Нагуглить почти каждого можно. Но мы же люди простые и маленькие, нам скрывать-то нечего, ведь правда? Ведь верно? 😛

😀 😀 😀 😀 😀 😀 😀

Antti
Цифр мало.

Вот мечта параниоика - 24 знака:

sOthJdR3JngyEj2w?L8b?W2a

Пространство перебора такое, что суперкластер АНБ будет 5 тысяч лет пыхтеть.

Я повторяю как специалист по информбезопасности - если в пароле есть осмысленное слово

вообще можно и программы специальные юзать. да было бы зачем. в соц сетях ничего интересного. а если мне почту своруют, только обрадуюсь, что отчеты будет причина не составлять с недельку.

а насчет meebo.com ничего неясно, да.

Ладно, андроныч (усмехаясь), я же не со зла.

Если вам насрать на советы профессионала и скрывать особо нечего - то и ради бога, рад за вас. Просто таки счастлив. 😀 😀 😀

Lmd
Пространство перебора цифр значительно меньше.

cometa401
Я догадываюсь, что это любимая шарит, хочу поймать её с поличным(вчера выворачивалсь, мол она понятия не имеет, кто это мог быть).....
Поэтому желаю знать правду.

Пальцы в дверной проём, иголки под ногти, электрический ток помогают узнать правду.

Паяльник и утюг не рекомендую. Вам же ещё жить с этим человеком. Негуманно.

Если вам насрать на советы профессионала и скрывать особо нечего - то и ради бога, рад за вас.

обьяснил бы кто что за бодяга с meebo.
я только щас сменил пасс в квипе на 1-8
захожу в мибу по старому - все ок
запускаю квип - старый подходит

Квик

Пальцы в дверной проём, иголки под ногти, электрический ток помогают узнать правду.

Паяльник и утюг не рекомендую. Вам же ещё жить с этим человеком. Негуманно.

Просто сменить пароль и крындец, делов-то. И на домашней машине завести разные учетки себе и ей.

Lmd
если в пароле есть осмысленное слово

cometa401
кто шарил в моих одноклассниках?

Автолюбитель

2.72Ld1@6l0S@T@n - целых три осмысленных слова, ломайте на здоровье И запоминается легко.

Ага, щаз. Я руками не ломаю. На это есть Джон и словари:

http://www.openwall.com/john/

(издевательски) Если у самого специализация не позволяет допетрить до чего-то, не надо считать, что профессионалы идиоты. Leet проверяется в числе первых, кроме клавиатурных раскладок. Это так, для сведения дилетантов. 😊

Ну да, вперёд. За пару тысяч лет управитесь, с учётом того, что в числе первых и компьютер современный. Любая буква в конце и счёт пойдёт на миллионы.
Не надо слишком полагаться на программы для школоло-хакеров. Они не так хороши, как это обещают их авторы. Хотя, против блондинок помогает, не спорю.

на любой хитрый пасс... 😊

http://termorect.narod.ru/

Помню давно, лет 10 назад баловался я примитивным хакерством. Ещё по диалапу. У моего провайдера была страница статистики, доступ к ней был по тому же логину и паролю, что и доступ в сеть. Так вот программка (не помню какая уже) перебором по словарю нарыла мне кучку логинов-паролей. Особо запомнился логин: natasha , пароль: natasha . Занимался не корысти ради, а так, из спортивного интереса.

у нас во времена диалапа полгорода сидело на ворованых с предприятий пассах,
какое время было, эх 😊
обменивались ими даже, продавали...романтега

Да, ностальгия... (задумчиво так). А Windows98 , а *.pwl файлы тыренные с расшаренных дисков C: ? Ы? Песня!!!

Автолюбитель
Ну да, вперёд. За пару тысяч лет управитесь, с учётом того, что в числе первых и компьютер современный. Любая буква в конце и счёт пойдёт на миллионы.
Не надо слишком полагаться на программы для школоло-хакеров. Они не так хороши, как это обещают их авторы. Хотя, против блондинок помогает, не спорю.

(усмехаюсь) Это Джон-то для школоло? Его профессионалы для аудита используют свыше 12 лет, если что. И гоняют его совсем не на домашних десктопах (усмехнувшись). Если что. Как насчет машинки в 256 ядер всего лишь, м?

Пространство перебора считать умеем? Одна буква - это всего лишь один порядок. Для информации - миллион - это шесть порядков. Компрене ву?

Так что не надо петь военных песен насчет брутфорсинговых программ. Большинство дебилов-хомяков выбирает пароли, берущиеся на раз даже не джоном - а ручным перебором. Слышали про СИ? Это когда мы узнали нашего дебила-жертву на основе им же выложенной инфы на говноклассниках настолько много, что можем вычислить его пароль чисто умозрительно. Знаете, сколько асек таким образом увели пару лет назад? Ну так узнайте. Тогда не будете так самонадеяны.

А вообще советую почитать Брюса. Он, в отличие от вас и даже меня - признанный эксперт в безопасности. Тогда самонадеянности си-ильно поубавится. Даю наводку для англоговорящих и не умеющих гуглить:

http://www.schneier.com/

Lmd
Одна буква - это всего лишь один порядок. Для информации - миллион - это шесть порядков.

Что несколько более миллиона, легко видеть. Примерно в 57000 раз.

И если программа, принимающая пароль, после ввода неправильного пароля делает паузу в 30 сек, и лишь потом собщает об ошибке, то время угадывания может здорово подзатянуться.

Анти,

не учите меня основам моей профессии. 😊 Я в курсе и зачем делается пауза, и что такое аккаунт лок и как _в точности_ считается пространство перебора при _случайно сгенерированном пароле_ (подчеркиваю для дилетантов, любящих осмысленные слова писать даже литом в паролях).

Мы говорим о словарной атаке Джоном, который берет известный хэш и подбирает к нему пару, словарным брутфорсом с максимальной скоростью. Тут дилетанты про миллионы лет толкуют, забывая, что словарная атака (помимо хэш-коллизий) не ограничивается словарем в 100 тысяч слов русского или английского языка. У меня к Джону прикручено 50 Гб словарей на разных языках. Темп перебора - более 50 тысяч хэшей в секунду. Большинство паролей берется в первые сутки, остальные в течение недели-двух.

Так вот, миллионы лет будут в случае пароля, который я выше показывал - 14 знаков полностью случайной последовательности букв, цифр и спецзнаков.

Если в пароле в _любом виде_ есть осмысленное слово - хорошая программа-брутфорсер все известные вариации написания (включая лит) переберет и возьмет пароль.

Для общего развития советую прочитать еще вот это:

http://ru.wikipedia.org/wiki/%D0%90%D1%82%D0%B0%D0%BA%D0%B0_%C2%AB%D0%B4%D0%BD%D0%B5%D0%B9_%D1%80%D0%BE%D0%B6%D0%B4%D0%B5%D0%BD%D0%B8%D1%8F%C2%BB

http://ru.wikipedia.org/wiki/%D0%A1%D0%BB%D0%BE%D0%B2%D0%B0%D1%80%D0%BD%D0%B0%D1%8F_%D0%B0%D1%82%D0%B0%D0%BA%D0%B0

http://ru.wikipedia.org/wiki/%D0%9C%D0%B5%D1%82%D0%BE%D0%B4_%D0%B3%D1%80%D1%83%D0%B1%D0%BE%D0%B9_%D1%81%D0%B8%D0%BB%D1%8B

дабы понять, о чем мы вообще.

Обратите внимание на последнюю статью - там еще таблица. Миллионы вариантов - это всего лишь _часы_.

Кстати, для файрфокса есть хороший _криптостойкий_ генератор запоминаемых паролей, для набора правой, левой или обеими руками, в том числе быстронабираемых. Это к вопросу о хороших паролях и их запоминаемости.

У меня к Джону прикручено 50 Гб словарей на разных языках.

Что-нибудь вроде vfqybrgfljyfrDfcz? 😊

------------------
Руки на затворе, голова в тоске,а душа уже взлетела вроде.Для чего мы пишем кровью на песке? Наши письма не нужны природе.(с)

GSR
Ну хорошо. А если, к примеру, сочетание слов, да на разных языках, да еще жаргонных, да без пробелов, т.е. как одно слово? Сдюжит?

Что-нибудь вроде vfqybrgfljyfrDfcz? 😊

У меня, как я уже говорил, под Джоном 256 ядер. В параллель работает бы-ыстро. Словари проиндексированы и находятся в памяти. Алгоритм у него, как можно видеть из исходников, не примитивный. По моему опыту, берется в первую неделю 95% паролей.

GSR
vfqybrgfljyfrDfcz

Lmd
не учите меня основам моей профессии

Antti
Да упаси меня боже. Я всего лишь, как и все старые зануды, отметил, что миллион, шесть порядков и буквы - это не совсем клеится. Я был неправ - ну, извините.

Все нормально 😊 Я сознательно опустил полные расчеты и хотел лишь заметить, что хороший пароль с точки зрения пользователя и хороший пароль с точки зрения реальной безопасности - разные вещи.

Если сильно захотеть - то сломать можно практически все, включая совесть. 😊 Причем в современных условиях цена вопроса даже не будет чем-то значимым.

Кстати, я не упомянул еще rainbow-таблицы. Современные носители позволяют без особого труда насчитать их на каком-нибудь задохлике пару-тройку терабайт, после чего взять хэш пароля rainbow-кракером можно максимум за часы.

А существуют платные сервисы взлома хэшей и паролей, располагающие мощностями порядка сотен тысяч ядер в распределенной среде (помните ботнеты?), которые за какие-то 15 баксов сломают пароль за пару недель при любой разумной его сложности. Тупым перебором. Представьте себе 256 тысяч процессоров, на которых параллельно выполняется перебор.

-T-
падонак Вася 😀
у меня тоже есть такой наборный из разных языков пароль ))

Такая комбинация берется за минуты. Транслитерация в разных клавиатурных раскладках проверяется Джоном (и не только им) в первых рядах. Включая разные варианты написания, в т.ч. с орфографическими ошибками.

Lmd
Представьте себе 256 тысяч процессоров, на которых параллельно выполняется перебор.

Коллега,

Перечисляю слабые места вашей схемы:

1. Парольная защита документов Office - одна из слабейших и берется специализированным взломщиком за секунды. Это вообще не защита. От блондинки-секретарши.

2. Архиваторы используют в качестве алгоритма шифрования элементарное гаммирование, потому что серьезный алгоритм шифрования такого объема данных так нагрузит вашу машину (конечно же, без аппаратного криптоакселератора), что мало ей не покажется. Гаммирование снимается с архива машиной класса Пентиум-3 за пару часов. Влегкую. Оно, по сути, шифрованием не является.

http://ru.wikipedia.org/wiki/%D0%93%D0%B0%D0%BC%D0%BC%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5

3. Стойкость PGP определяется не алгоритмами и ключом, а самым слабым звеном - паролем. Исходники PGP и алгоритмы - известны. PGP точно так же берется словарной атакой, как и все остальные криптоалгоритмы. Взгляните:

http://www.google.kz/#hl=ru&source=hp&biw=1280&bih=639&q=PGP+crack&aq=f&aqi=g2&aql=&oq=&fp=23118dc2279f5006

Говоря простым языком - однажды я проводил тесты PGP. Паролем была фраза с пробелами, фразеологический оборот на английском с специально оставленными орфографическими ошибками. Фраза была длиной более 32 знаков. Словарная атака взяла ее за сутки.

Грубо говоря, мне нужно только идентифицировать, что использовалась именно PGP. Остальное - дело техники и грубой силы железа.

На сегодняшний день PGP не считается стандартом де-факто в области стойкой криптографии. Даже эллиптические функции не дают полной гарантии того, что я буду тысячу лет перебирать и ломать.

Две вещи, на которые я хочу обратить ваше внимание:

1. Хакер никогда не бьется в самое защищенное место. При взломе задача номер один - найти самое _слабое_ место. А не биться головой в самое сильное.

2. На сегодняшний день наиболее стойкими алгоритмами считаются:

а) 3DES с разными ключами в двух раундах. (но только с реально разными!)
б) Blowfish/Twofish с ключами _от_ 448 бит. (они медленные, но реально тяжелые military grade - их разрабатывал сам Брюс)
в) RSA/DSA с ключами 4096 бит и выше, при условии хорошей защиты приватных ключей.

и, наконец, способ г - самый сильный:

г) Одноразовые шифроблокноты и их электронные аналоги. Говоря простым языком, когда длина ключа равна длине сообщения.

И вот что. Большинство криптоалгоритмов зависят от так называемого random seed, который - в идеале - должен быть истинно случайным. _ЕСЛИ_ random seed не является белым шумом (создаваемым специализированным генератором белого шума), то никакой самый мощный алгоритм, использующий его, не будет реально защищенным, так как простой частотный анализ выявит цикличность, коллизии и коррелляции, после чего вся криптозащита летит к черту.

Прикол в том, что качество random seed оценить не представляется возможным. То есть и плохой ключ, и хороший ключ на глаз выглядят совершенно одинаково.

Однако мы отвлеклись.

С вашего PGP, при условии что пароль осмысленный, защита снимается на три. Если цена вопроса будет достаточно высокой, собрать кластер _любого размера_ для снятия защиты с PGP - не проблема.

Lmd
Такая комбинация берется за минуты.

-T-
да и фиг с ним, у меня секретов нет 😊
я для себя сделала, чтоб проще запомнить было 😊

(фыркаю) Если нет секретов - уберите пароль вообще. А что, пусть заходит кто хочешь! Скрывать-то нечего!

От вашего имени никогда вашим контакт-листам порочащих вас сообщений не рассылали? Нет?

Так скрывать же нечего, давайте двери закрывать не будем, пароли не будем устанавливать!

Им тоже нечего было скрывать:
http://www.ufa.kp.ru/online/news/818966/

Почитайте других профессионалов:
http://anvolkov.blogspot.com/2010/06/blog-post_04.html

Может, тогда вы перестанете повторять эту идиотическую присказку "У меня секретов нет".

Одноклассники - зло 😊

------------------
Руки на затворе, голова в тоске,а душа уже взлетела вроде.Для чего мы пишем кровью на песке? Наши письма не нужны природе.(с)

Lmd
Если нет секретов - уберите пароль вообще.

Lmd

Может, тогда вы перестанете повторять эту идиотическую присказку "У меня секретов нет".

Сам дурак 😞

-T-

Сам дурак 😞

Достойный аргумент.

Если задело - извините. Но я от дилетантов наслушался этой фразы. Меня, как профессионала, она глубоко задевает.

По статистике, за последние два года наиболее желанной целью хакеров (я, кажется, повторяюсь) являются не промышленные или _гошударштвенные шекретики_, а именно _персональные данные_. Вот таких вот миллионов людей, у которых нет секретов. Ассандж - редкое и печальное исключение.

Структурированная база mail.ru или говноклассников - стоит _миллиарды_ и представляет собой охренительно заманчивую цель. Если подумать, то нетрудно сообразить и почему она заманчивая и для кого. Погуглите статью "Персональные данные - в чем их ценность?".

А вы своими собственными ручонками устанавливаете пароли по принципу "шоб було". Топите вы при этом не только себя, но и своих соконтактников.

-T-
Откуда, с почты? С аси? Там, вроде как, низя без паролей.

Отовсюду. Вам же нечего скрывать.

Доведу ситуацию до абсурда - в стеклянной квартире хотели бы жить?

Lmd
Коллега,

Перечисляю слабые места вашей схемы:

1. Парольная защита документов Office - одна из слабейших и берется специализированным взломщиком за секунды. Это вообще не защита. От блондинки-секретарши.

2. Архиваторы используют в качестве алгоритма шифрования элементарное гаммирование, потому что серьезный алгоритм шифрования такого объема данных так нагрузит вашу машину (конечно же, без аппаратного криптоакселератора), что мало ей не покажется. Гаммирование снимается с архива машиной класса Пентиум-3 за пару часов. Влегкую. Оно, по сути, шифрованием не является.

http://ru.wikipedia.org/wiki/%D0%93%D0%B0%D0%BC%D0%BC%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5

3. Стойкость PGP определяется не алгоритмами и ключом, а самым слабым звеном - паролем. Исходники PGP и алгоритмы - известны. PGP точно так же берется словарной атакой, как и все остальные криптоалгоритмы. Взгляните:

http://www.google.kz/#hl=ru&source=hp&biw=1280&bih=639&q=PGP+crack&aq=f&aqi=g2&aql=&oq=&fp=23118dc2279f5006

Говоря простым языком - однажды я проводил тесты PGP. Паролем была фраза с пробелами, фразеологический оборот на английском с специально оставленными орфографическими ошибками. Фраза была длиной более 32 знаков. Словарная атака взяла ее за сутки.

Грубо говоря, мне нужно только идентифицировать, что использовалась именно PGP. Остальное - дело техники и грубой силы железа....

Что ни Ворд, ни Зип не есть прочная защита - это понятно. Но разве не следует и в этом случае, как минимум, знать что использовались именно они и в конкретном порядке?

Более серьёзный вопрос.

А если использовать ту же PGP в два-три наката, причём количество подходов Вам неизвестно, может их не два, а семь или семьсот семьдесят семь. Мне ж плевать, сколько времени займёт шифрование. Я это делаю один раз, пусть хоть неделю молотит. Как Вы продерётесь через это с хеш-функциями, если Вы не знаете, с чем сравнивать результат попытки?

"Если цена вопроса будет достаточно высокой, собрать кластер _любого размера_ для снятия защиты с PGP - не проблема. "

Так цена заранее не известна. А ведь ложных закладок в банки или к нотариусам может быть много. Например, 1000. Что может перевести задачу в разряд нерешаемых практически.

Думается мне, что если точно известно, что цена очень высока, то самое уязвимое место - это темечко секретоносителя, а вовсе не пароли-хреноли.

Antti

Что ни Ворд, ни Зип не есть прочная защита - это понятно. Но разве не следует и в этом случае, как минимум, знать что использовались именно они и в конкретном порядке?

Более серьёзный вопрос.

А если использовать ту же PGP в два-три наката, причём количество подходов Вам неизвестно, может их не два, а семь или семьсот семьдесят семь. Мне ж плевать, сколько времени займёт шифрование. Я это делаю один раз, пусть хоть неделю молотит. Как Вы продерётесь через это с хеш-функциями, если Вы не знаете, с чем сравнивать результат попытки?

Я уже выше высказал свое мнение насчет сильных криптоалгоритмов. Слабый алгоритм в несколько проходов не увеличивает степень защиты в большинстве случаев, лишь незначительно - если использовались разные ключи - и то это зависит от алгоритма. Тройной DES с разными ключами в двух раундах реально сильный по сей день. Тройной PGP - едва ли. 15 лет назад PGP был писк. А сейчас даже AES-256 дает лишь минимальный уровень стойкости.

Самые критичные свои данные я лично защищаю Blowfish-448 в один проход - но с хорошим мастер-паролем. Программа называется BCrypt и она бесплатная.

PGP я как минимум попробую в числе прочих, так как по непонятной причине она пользуется большой популярностью среди русскоговорящих пользователей. Повторяю еще раз - если пароли осмысленные - мне не трудно прогнать архив несколько раз в цикле через PGP Crack на кластере. До тех пор, пока либо не расшифрую - либо пока не пойму бесплодности попыток и не попробую заход с другой стороны.

Antti
"Если цена вопроса будет достаточно высокой, собрать кластер _любого размера_ для снятия защиты с PGP - не проблема. "

Так цена заранее не известна. А ведь ложных закладок в банки или к нотариусам может быть много. Например, 1000. Что может перевести задачу в разряд нерешаемых практически.

Думается мне, что если точно известно, что цена очень высока, то самое уязвимое место - это темечко секретоносителя, а вовсе не пароли-хреноли.

Бинго. Терморектальный криптоанализ никто не отменял. Так же, как и способность купить зашифрованный секрет.

В ЕС, кстати, есть в большинстве стран закон - если доказательства невиновности зашифрованы и подозреваемый не дает ключ к ним, они автоматически засчитываются _не в пользу подозреваемого_.

В Германии подобным образом борются с сетью Тор. В случае инцидента тупо арестовывают владельца выходной ноды, с которой был зафиксирован трафик. А в случае обнаружения программы на компе сотрудника предприятия - его тупо увольняют.

Но допустим, что нетехнические методы мы не применяем.

Техническими же методами брать - повторюсь - слабое звено это не алгоритм шифрования или длина ключа - а стойкость пароля, которым это все финализируется. Так как никому не известных криптоалгоритмов практически нет, то идентифицировать алгоритм, которым шифровали - задача конечная. Причем решить ее можно различными способами.

Например, посмотреть, что на вашей машине на жестком диске есть из шифраторов. PGP. TrueCrypt. BCrypt. CCrypt. Не думаю, что там тысяча шифрующих программ, верно?

Lmd, искренне жаль, что нельзя с Вами поболтать в реале.

Да, я далеко. 😊 Но у меня есть аська и скайп 😊

Lmd
Да, я далеко. 😊 Но у меня есть аська и скайп 😊

Надо подумать о скайпе. Дело в том, что у меня есть вопросы чуть не к каждой Вашей фразе. И это не вопросы бездельника. Мне в своё время приходилось работать со всякими смешными данными. Я пользовался NetWare 4.11 и dBase 2.0 на своей очень внутренней и вполне изолированной сеточке, которую мастерил своими руками. Как, впрочем, и всё остальное.
И там, и там есть некая защита от несанкционированного доступа, хотя главной защитой я всегда считал правило: каждый, кто зашёл ко мне в кабинет хотя бы на 30 секунд, оставляет данные своей ксивы и служебный телефон, из какого бы ведомства он ни был. В общем, проблем не возникло ни разу.
Однако, есть очень интересные вопросы с защитой, связанные с целостностью данных в случае особых обстоятельств. Любое дублирование, таким образом, поднимает вопросы чего-то вроде криптографии.
Вот отсюда и интерес. Былой, естественно. Сейчас - чисто академический. Порой любопытно просматривать: чего недодумал, чего не доделал, а где - что-то изобрёл, хотя оно уже было почти готовое, да железная занавеска не пускала.
Хотя это, наверное, всё-таки вопросы бездельника 😊.

Спасибо за диалог.

Всегда пожалуйста, коллега. Так получилось, что я профессионально защищаю чужую информацию много лет, действующий игрок, как говорится. 😊

Принцип целостности данных в криптографии один из ключевых. ГОСТ называет это имитозащитой.

Кстати, у нас есть принцип касательно целостности - резервные копии тоже шифруются.

(серьезно)

Что касается асек, почты, аккаунтов в социалках - хочу дать всем совет профессионала:

1. Установите на все аккаунты _разные_ сложные пароли. НИкаких осмысленных слов, никаких транслитераций клавиатурных, никаких простых комбинаций типа VasjaDuro123. Орфографические ошибки - не усложняют атаки. Транслитерация - не усложняет. Пользуйтесь парольными генераторами. Пароли должны быть длиннее 6 символов, минимум 8, максимум - не ограничен. Особо привлекательные точки доступа - меняйте на них пароли регулярно.

2. Чтобы победить собственную память и не запоминать все эти пароли, используйте программу Password Safe Брюса Шнайера. Все пароли кладутся в зашифрованное _одним_ мастер-паролем хранилище. Мастер-пароль выбирается тоже сложным, но он один - и он запоминается. Нигде не записывайте пароли, кроме как в Password Safe. Создайте резервную копию хранилища паролей и положите ее в надежное место в зашифрованном состоянии.

http://passwordsafe.sourceforge.net/

3. Не выкладывайте лишнего о себе в социальных сетях. Не надо собственноручно создавать на себя досье. Кража идентичности - страшная вещь. Социальная инженерия - еще более страшная.

Lmd
у нас есть принцип касательно целостности - резервные копии тоже шифруются.

Кстати, финны резервную сетевую базу Центральной криминальной полиции (вернее, целый резервный ИЦ) хранят на расстоянии в сотни километров от Штаб-квартиры. Вот это, я понимаю, резервное дублирование!

Antti
Это само собой. Но тут и возникает вопрос стойкости, как он немедленно возникает всегда, когда информация находится на удалении от хозяина.
Помните, где-то в центральной России был пожар в милиции, когда сгорело здание УВД с людьми и бумагами, причём дотла.
Вот, чтобы уберечь данные от потери, скажем, в такой же ситуации, я обдумывал вариант обмена копиями с дружественным подразделением. Мы свои секреты храним у них, а они - у нас. Дистанция несколько километров, т.е. есть определённая подстраховка не только от пожара, но даже и от тактической ядерной атаки. Так и не довёл идею до ума, поскольку организационная часть содержит пункт: "А почему мы должны быть уверены, что это хорошо зашифровано" Теперь на эту тему целая наука, а 20 и тем более 30 лет назад - кто нас учил? Все были самоучки..

Кстати, финны резервную сетевую базу Центральной криминальной полиции (вернее, целый резервный ИЦ) хранят на расстоянии в сотни километров от Штаб-квартиры. Вот это, я понимаю, резервное дублирование!

Шифрование бэкапов поддерживают многие вендоры. Обычно - в системах enterprise-класса используется military-grade шифрование:

1.3DES
2.AES-256
3.Blowfish/Twofish
4.RSA/DSA с ключами от 2048 бит

Например, в Oracle Secure Backup используется три из четырех перечисленных алгоритмов шифрования.

По поводу резервных центров - вы наверное будете смеяться, но наш региональный Телеком имеет резервный центр своей основной базы в другом городе, на расстоянии 1300 км от основной. Это обычная практика в случае mission critical систем. Я в свое время (около 7 лет назад) писал статью на тему катастрофоустойчивых решений, которая была опубликована в местной ИТ-прессе, где как раз и говорил, что решения типа standby и hot-standby систем, по сути, есть единственное disaster recovery solution. Оно поддерживается многими вендорами в виде либо собственно standby-solution, либо в виде так называемого географического кластера.

Кстати, в этой связи опять-таки возникает вопрос защищенности удаленного центра. Для этого многие решения содержат, например, либо Trusted solutions (полное шифрование данных на дисках и в памяти, и частичная расшифровка на лету при доступе) либо т.наз. прозрачное шифрование (transparent encryption).

Разумеется, во всех случаях, когда мы говорим "шифрование", мы говорим только о military grade encryption. К коим относятся и функции хэширования паролей по алгоритмам, исключающим или минимизирующим коллизии (SHA-1 итп.).

Вот, кстати, хэш пароля с боевой системы уровня защиты B2:

6pTpol8n$NuZF7WnD0MK/h8txaQRpbI9vgTRupvDsY2Xq2LSnaPQoqwW7aHwIp91m8he.nB2x5xn4/y3fsNPrrx0Gt2a7b0

(это SHA-512, один из сильнейших алгоритмов хэширования, используемый на сегодняшний день. По стандарту FIPS-140-2 минобороны США).

Он дополнительно защищен посредством рандомного salt (т.е. два одинаковых пароля никогда не дадут два одинаковых хэша) и невероятно устойчив к атакам, включая rainbow-crack.

В принципе, гарантию устойчивости шифрования дают именно сертифицированные на соответствие стандартам алгоритмы и программы. Причем, желательно, не стандартам ФАПСИ - давно известно, что силовики желают быть читерами и пусть лучше клиент будет хуже защищен, чем они в случае чего не смогут расшифровать данные.

PGP именно этим в свое время и славилась - отсутствием даже теоретической возможности создания третьего ключа для расшифровки.

Возвращаясь к криптованным бэкапам.

Есть одно НО. Если бэкап криптован и у вас нет третьего ключа на бумаге (как и положено, он должен быть в голове), а носитель ключа вдруг недоступен - то данные все равно, что уничтожены.

В моей практике был случай, когда я потерял зашифрованную директорию потому, что потерял ключ шифрования по собственному недосмотру.

Бэкапы технически делаются по принципу "дед-отец-сын" (минимум пара), одна копия лежит рядом с системами (для оперативного восстановления при отказе техники), другая - в удаленном надежном хранилище. И, разумеется, шифруются на случай кражи.

Ну а чтобы гарантировать стойкость шифрования - можно шифровать при помощи средств с открытыми исходниками, которые предварительно подвергать глубокому аудиту на качество и закладки, а потом из этих исходников самостоятельно собирать нужный продукт. Например, OpenSSL. В случае его использования и собственноручной сборки из исходников вы гарантированно не получаете кота в мешке, в то же время там содержатся исключительно military grade алгоритмы.

Lmd
носитель ключа вдруг недоступен - то данные все равно, что уничтожены.

Обратная сторона сильного шифрования, ничего не попишешь...

Помню года эдак 3-4 на одношкольники можно было зайти без необходимости регистраици через любую анкету страницы.

(пожимаю плечами) И среди професссионально разработанных систем secure by design - редкость. Что говорить про веб-решения, для которых порог вхождения - средний школьный возраст и минимум навыков?

Lmd
если доказательства невиновности зашифрованы и подозреваемый не дает ключ к ним, они автоматически засчитываются _не в пользу подозреваемого_.В Германии подобным образом борются с сетью Тор.

http://lurkmore.ru/I2P

вот, к примеру скрин. справа - правда, слева I2P

Lmd
Архиваторы используют в качестве алгоритма шифрования элементарное гаммирование, потому что серьезный алгоритм шифрования такого объема данных так нагрузит вашу машину (конечно же, без аппаратного криптоакселератора), что мало ей не покажется. Гаммирование снимается с архива машиной класса Пентиум-3 за пару часов. Влегкую. Оно, по сути, шифрованием не является.

e-van
кроме Тора есть i2p
Свой открытый криптографический ключ можно даже отослать заказным письмом всем копирастам, не забыв при этом распечатать в цвете немытый хер формата А1 и вложить в конверт, так как зная эти ключи невозможно не только определить местоположение пользователей, но и местоположение серверов. ВООБЩЕ.

http://lurkmore.ru/I2P

А есть еще пиринговый же Freenet.

Спасибо, я в курсе.

Вы невнимательно меня читаете.

1. i2p - если вы об этом - пиринговая сеть, которая блокируется на раз, что в масштабах предприятия, что в масштабах провайдеров. Если это нужно. Как профессиональный ITшник могу вас заверить в этом. Детали неважны, важно то, что это реально. Не всегда целесообразно по соотношению "затраты - результат", однако реально.

2. Достаточно принять закон, что пиринговые сети объявляются вне закона - и привет. Вас по факту наличия клиента Тор, i2p, Freenet на машине тупо сажают.

Это зашифрованны архивы? (rar, 7zip). Например такой архив с 8 символьным паролем (алгоритмом AES-256) можно легко взломать на 3 пентиуме?

У меня сейчас нет под рукой третьего пентиума. Есть гораздо большее количество несравненно более серьезных процессоров.

BTW, rar стал использовать AES не слишком давно. Большинство архиваторов использует или использовало гаммрование. AES только на современных процессорах более-менее сносно можно обмолачивать.

Повторяю в третий раз. Стойкость системы безопасности определяется стойкостью его самого слабого звена. Вы хоть Blowfish-448 используйте. Если известен алгоритм шифрования, если шифрование симметричное, если пароль - осмысленный и имеет относительно небольшую длину (а 8-значный пароль это абсолютный минимум по нынешним временам) -- взять его - лишь вопрос времени, причем небольшого. Посчитайте сами пространство перебора для 8-значного пароля из одних букв или цифр и испугайтесь.

Еще подсказка - ботнеты. Собрать ботнет на 10 миллионов машин и использовать его для перебора - как вам? 10 миллионов процессоров - это не вычислительный кластер РАН, однако.

Практически нереально реверсировать только некоторые хэши. MD5, например, коллизионный алгоритм и берется при помощи rainbow-атаки за реальные разумные промежутки времени. Повторяю, сейчас не составляет труда насчитать несколько терабайт rainbow-таблиц, алгоритмы криптования все по пальцам двух рук пересчитать можно, они известны. После чего тупо скормить эти таблицы вместе с хэшом максимальному числу камней и немного подождать.

Повторяю.

Атака выполняется на самое слабое звено. Однофакторную аутентификацию. Человеческий фактор. Нарушение процедур безопасности. И так далее.

В лоб защищенные системы ни один дурак не атакует.

К вопросу об архиваторах - вы давно чистили директорию TEMP? Архиваторы сбрасывают туда временные данные. В том числе незашифрованные. Очень немногие системы, известные мне, при перезапуске опрокидывают временные каталоги в мусорку.

Я не буду ломиться в архив под AES, если у меня есть возможность найти обходной путь. Например, выпотрошить временные директории. Поднять удаленные файлы на вашем жестком диске.

Запомните аксиому - безопасность не начинается и не заканчивается крипографией. "Безопасность - не продукт, а процесс" (С) Брюс.

Lmd
Архиваторы сбрасывают туда временные данные.

Lmd
Спасибо, я в курсе.Вы невнимательно меня читаете.

Vasi@
Буквально вчера чистил 😊
Я собственно про то, что стоит ли применять метод с архиваторами при условии реально сложного пароля (не менее 8 символов "случайно" сгенерированного). А то я видел кучу статей, что дескать взлом этого архива большая проблема для взломщика. Конечно речь идет о рядовых взломщиках 😊

Если архив просто гаммирован - вообще не проблема. Если используется AES - чуть сложнее, но при условии простого пароля - реально.

e-van
да все правильно читаю.. если кусает паранойя - I2P как вариант ))
а говноклассниками и т.д. не пользуюсь

Даркнеты блокируются очень легко и просто. Фраза "Шлюз уровня приложения" вам что-нибудь говорит?

Тор вообще закрывается в одно действие. Полностью. Безо всякого Golden Shield. 😊

Ладно, не буду подавать ФСБ ценных идей. 😛

Что-то я не встречал никаких ботнетов, которые брались-бы расшифровать рар-архив с паролем более 8 знаков.
Всякие оффисные файлы да, но рар?

MAXHO
Что-то я не встречал никаких ботнетов, которые брались-бы расшифровать рар-архив с паролем более 8 знаков.
Всякие оффисные файлы да, но рар?

То, что вы чего-то не знаете, не означает, что этого не существует. RAR долгое время использовал простое гаммирование. А что до ресурсов, способных расшифровывать данные - вы полагаете, реклама о них лежит на всех углах и это технология для каждого?

(улыбаясь) Может, вам пароль рута от вычислительного кластера дать? 😛

С трудом представляю себе подбор пароля пользователя к какому-либо онлайн-сервису.

l2zskj7R587vvr9482WL5ори87орп3 - набиваете вот такую хрень, отминусовываете то количество знаков, которые не лезут в поле пароля на данном аккаунте и всё. По клаве тыкать неглядя, всеми пальцами)

С трудом представляю себе подбор пароля пользователя к какому-либо онлайн-сервису.

Вон оно оказывается как с паролями получается 😞(...
Я то думал что для всяких шифрованных контейнеров / архивов и т.п. будет вполне достаточно пароля в виде какой либо фразы + определеный набор цифр (ни как со мной не связанный)...
Придумать то длинный бессмысленный пароль - не проблема, а вот как его запомнить? Насколько это реально вобще.
Кстати, некоторые проги для шифрования инфы (Тру Крипт например) допускают кроме пароля еще и использование ключевого файла (либо даже нескольких). Т.е. им может быть абсолютно любой файл, выбранный пользователем при создании контейнера. Интересно, использование такого файла-ключа сильно затруднит взлом??

С почтой тоже все понятно, но на многих почтовых сервисах подбор пароля затруднителен - после нескольких неудачных попыток предлогает востановление.
А насчет паролей к разным форумам - нужны ли они там разные? Понятно, что узнав пароль к одному форму можно зайти и на остальные, но если за человеком не охотятся специально какие нить кул хацкеры, то стоит ли с этим заморачиваться?

то стоит ли с этим заморачиваться?

а вот как его запомнить? Насколько это реально вобще.

Вот алгоритм (примерный) записи:
1.Адрес сайта.
2.Логин.
3.Пароль.
4.Иногда требуется доп-код для аккаунта.
И не забывать удалять из почты все письма авторизации - после оной.

borsek
читайте выше про стеклянную комнату

Так при чем тут это? Я же не говорю про использование совсем уже примитивных паролей, типа qwerty, 123456 и им подобных...
Я про то, что почему бы в не использовать одинаковые пароли, для сервисов одного типа (при условие конечно, что там не храниться какой либо важной инфы). Ну например - на форумах один (легко запоминаемый, простой, но не совсем примитивный типа приведенных выше, а так же не как не связанный с годом рождения пользователя и с другими общеизвестными цифрами) пароль. В блогах другой. В соц. сетях третий. И т.п. Ну на почте конечно нет - каждый ящик имеет свой пароль, на порядок или два сложнее.
В итоге злоумышленник, подобравший пароль к форуму, может только понаписать чего нить от лица пользователя, а так же нагуглить его в других форумах (при условие что ник там тот же!) и понаписать там. Так же узнает адрес почты (если в профиле на форуме он был скрыт, но НЕ сможет попасть на почту. Так же не сможет попасть и в остальные сервисы, кроме форумов. Тож самое получается с блогами и соц. сетями.
И хозяин акаунта всегда сможет получить новый пароль себе на почту (там то пароль другой используется). Как то так в общем...
Конечно места где лежит какая либо важная для юзера инфа нужно защищать со всей возможной надежностью, но стоит ли юзать 25-ти значный пароль там, где защищать вобщем то и не чего? Ведь никто не будет ставить на дверь подъезда жилого дома сложный код в несколько десятков цифр (обычно всего 4) или ставить на дверь деревянного сарая с дровами дорогие разнотипные замки (ну максимум один навесной).

почему бы в не использовать одинаковые пароли,

Так при чем тут это?

Кстати, вот об этом:

может только понаписать чего нить от лица пользователя

borsek
Кстати, вот об этом: если это будет действительно так, то, считайте, что Вам повезло, а если например так: Взломал один аккаунт, не нагадил,выискивая инфу дальше - распотрошил все, не спеша, с чувством-толком-расстановкой. Ну и закрыл их для вас ВСЕ и в ОДИНОЧАСЬЕ - Ваши действия?

Так а что он сможет выискать например на тех же форумах? Только порыться в личках (в которых вобщем ничего важного быть не может) и узнать почту. А на почте уже совсем другой пароль.
Да и проблематично будет просто перебирать пароли - уже где-то через ~5 не удачных попыток предложат его востановить.
И даже если чел уже взломал половину всего что есть и копает еще, все равно ведь засветиться в тех местах, где фиксируется время последнего посещения.
Если примерять ситуацию на себя, то с почтой вобще вряд ли такое получится - там не плохие пароли стоят. Писем там тоже не хранится.
Да и в моем случае я даже и не представляю кому бы это вобще было бы нужно :upset:

volkov_aleksandr
любой интернет-провайдер по запросу из милиции предоставит все данные которые им нужны (какие страницы посещали, что писали, когда и т.п.), и дело не в сотрудничестве, а в законах.

Х.З. Думается по требованию предоставят любую инфу - которую технически могут предоставить.

ну прецтавим ситуацию, ментовке нада инфу по такомуто. звонит некий чувак провайдеру и говорит мол так и так. ему провайдер отвечает - щя посмотрим что можно сделать. а дальше дает ЦУ подчиненным, и тут уже варианты - или скажет - одминко, посмотри там какие логи этому полицаю закинуть мона по томуто. или все как надо, или затянет переписку. по разному же может быть.

вы плохо представляете себе как работает система СОРМ-2. откопают все что нужно...

ну это общие фразы, все что им нужно откопают конечно, и без зазрения совести подставят кого угодно, это понятно.
а как оно на местах происходит? там же обычные конкретные люди работают, разные ситуации могут быть. по разному и может быть. не везде же эта система обязательно отлажена, как фпрочем и все остальное.

еще раз - вы просто не представляете как ЭТО работает. от провайдеров ничего не зависит.

а как оно работает?
у них некое независимое оборудование стоит?

типа того. и это оборудование не контролируется провайдерами. погуглите по слову СОРМ-2 - навреное найдете и подробнее 😊

на да, читал когдато конечно же.
я просто о реальной ситуации на местах.
ведь вроде провайдеры оязаны были сами покупать эту дорогущую технику для честных и неподкупных с погонами.
неужто в каждом мухосранске провайдер такое делал.
и неужто в каждом мухосранске честным и неподкупным вообще есть какоето дело до некоего энторнета.

делали все. иначе лицензию не дают. и дело есть - потому что есть инструкция или что там еще. т.е. железки то стоят, то что честные и неподкупные делают - никто кроме них не знает 😊

Добрые люди,подскажите, а как закрыть "одноклассники"?

Свою страницу,я имею в виду... а то еще подумают не то)))

эмм, в верхнем правом углу, крестичек такой. 😊

эмм, в верхнем правом углу, крестичек такой.

Деловой вопрос. Где заводить почту и стирается ли инфа с сервера при удалении писем нами?
Разве отдел К не имеет право получать пароли от провайдеров, без брутфорса?

подальше.
хз. точно может сказать только владелец сервера. но нафига им хранить ваш спам?
зачем отделу К ваши пароли? нафик не нужны.

конкретики бы...А на тему поговорить я и сам непрочь...

gmail.com чем не устраивает?

Papic
от провайдеров ничего не зависит.

Вот кстати тоже, хотел написать про "выносной пультик"...
Только вот у кого конкретно он есть и кто его может использовать - К, Ф** или кто-то еще (?)

Русич
стирается ли инфа с сервера при удалении писем нами?

ИМХО нет. Хотя бы какое-то время.

кто его может использовать - К, Ф** или кто-то еще (?)

Papic
gmail.com чем не устраивает?

Автолюбитель
2.72Ld1@6l0S@T@n - целых три осмысленных слова, ломайте на здоровье И запоминается легко.

Три осмысленных слова, но фразу осмысленную не составляют, так? )

Русич
Деловой вопрос. Где заводить почту и стирается ли инфа с сервера при удалении писем нами?
Разве отдел К не имеет право получать пароли от провайдеров, без брутфорса?

гени(т)ально)))

не так и сложно. софт настроить. белый ип взять, а то и без него.
готовые решения должны быть. без ползаний в консоли.

а уважаемый октагон прав. только вам это не поможет 😊 письмо можно прочитать на транзитных каналах 😊