Как шифропанки будут бороться с преступностью

From: <stargrave_at_domain.hidden>
Date: Mon, 11 Nov 2013 12:11:21 +0400
Message-ID: <20131111081120.GB6375_at_domain.hidden>
Приветствую всех!

Учётной записи в социальной сети Vkontakte не имею, так как те требуют
обязательно предоставить самостоятельно абонентский номер радио-маячка с
возможностью прослушки (сотового телефона), но в группе cryptoparty_next
я увидел вопрос (плюс предложения) от "Alexey Pakhomov", на который
попытаюсь дать ответ. Людей читающих это и имеющих доступ в группу в vk,
хотел бы попросить ответить ему сославшись на это письмо в архиве
рассылки, которое появится тут:
https://lists.cypherpunks.ru/pipermail/cryptoparty.ru/2013-November/thread.html
(точный URL пока не отправил письмо сказать не смогу).

----------------8<-----------------8<-----------------8<----------------

>1)Показать , как без особого труда можно влезть в личное пространство любого человека
Если взять обычных людей, большинство у которого есть компьютеры с
доступом в Интернет, то:
* влезть в личное пространство чужих людей не так просто и относительно трудозатрано
* обычным людям редко когда действительно захочется нарушать приватность
  окружающих его, так как практической пользы от этого не часто найдётся

А вот кому действительно выгодно отсутствие нашей приватности, так это
чуть-чуть более могущественным людям: сетевых провайдеров, корпораций,
магазинов, правительств. Это уже те, кто или имеют доступ к сетям
(маршрутизаторы (в том числе WiFi) которым обычные люди пользуются), кто
создают сайты на которые могут внедрить деанонимизирующие JavaScript
программы и тому подобное. Если это те кто выпускает сотовые телефоны со
своим программным обеспечением (Android, iOS), то те вольны полностью.

Все эти чуть более могущественные люди действительно могут без труда
нарушить нашу приватность без особых трудозатрат. Всегда когда они
употребляют слова "безопасность", то подразумевается что твой сосед по
лестничной клетке или по парте не сможет легко "вломаться" в твои
устройства и большинство этим и успокаивается. Только вот, повторюсь,
соседям это и не надо, а кому надо, то те это делают спокойно, так как
они фактически диктуют что мы должны использовать и как должны за своими
компьютерами. Делают это умело, путём предоставления развлечений через
эти неподконтрольные нам устройства и программы.

Поэтому легко продемонстрировать работу провайдера или корпорации на
пальцах не очень получится, да и нечего особо: вот тут все данные на
жёстком диске просто лежат в открытую (наша почта), а вот тут мы в
программе добавили код который сливает всё что нужно (пользователь не
сможет его вырезать всё-равно).

"Соседи" могут нарушить приватность уже средствами взлома. А это вопрос
не к шифропанкам, не к хакерам, а к crackers — взломщикам. Не исключено
что такие найдутся среди нас и смогут продемонстрировать на пальцах.

>2) Как легко можно получить доступ к дсп информации в интернете
А это уже исключительно вопрос опять же взлома, cracking. Шифропанки,
просто программисты зная теорию работы своих творений вполне должны
понимать возможные уязвимости. Если посмотреть в сторону криптографов,
то у тех на деле чуть ли не всё время одна теория как можно взломать то
или сё, например это потребует 2^64 памяти и 2^64 времени: на практике
сейчас не особо получится сделать, но алгоритм уже не безопасен и надо
улучшать или менять. Им не интересна конкретная реализация программы на
C и ассемблере которая это сделает.

Показать как простой человек с компьютером может прочитать всю почту
пользователя Gmail — проблематично, возможно никак (если не узнать
пароли). А вот если этот человек имеет соответствующее удостоверение
сотрудника ФСБ, то он и без компьютеров сможет заставить показать
корпорации переписки пользователей, а ещё лучше на законодательных
уровнях обязать провайдеров поставить устройства которые сами доставят
всю эту информацию к нему в кабинет. Сложно ли это? Очень легко! Но
продемонстрировать на cryptoparty сложно.

>И о наболевшем, прозвучала инициатива по поиску и помощь в поиске
>террористов (бомберов) и тому подобной гадости. Мне интересно послушать
>мнение comunity как можно бороться с ними в условиях полной анонимизации
>и шифрования.
Во-первых не все участники сообщества вообще согласны с тем что мы будем
сами искать и обезвреживать подобных гадов. Я не отношусь к этим людям
☺, но наверное имелось в виду следующее:

* если речь про то как шифропанки сидят и пишут софт который ищет слова
  "путин", "бомба", "переворот" и блокирует CHK внутри Freenet сети,
  блокирует .onion или .i2p сервисы, то это откровеннейшая цензура
  которую делают сейчас в Китае, Иране и России. Кто они/мы такие чтобы
  решать что можно считать каким-нибудь экстремизмом, а что нельзя и на
  своём субъективном мнении отрезать людей от информации? Это
  противоречит всем манифестам и декларациям шифропанков и
  криптоанархистов. Очевидно что не это имелось в виду
* если речь про то что к шифропанкам за помощью обращаются корпорации
  или государства, с тем чтобы найти гадов, то тут уже вопрос другой,
  наверное личный. Как таковой цензуры напрямую нет, а может и есть.
  Кто-то откажется помогать поймать наркоторговца марихуанной, так как
  кто-то не считает это преступлением или чем-то ещё. Кто-то не считает
  преступлением иметь скрытый сайт сутенёра, так как сам пользуется его
  ресурсами. Лично я бы пошёл помогать и поймать наркоторговцев, не
  пошёл бы против сутенёров (не потому-что пользуюсь их услугами, а
  потому-что не считаю древнейшую профессию всегда существовавшую
  преступлением, так как это всего-лишь желание положить к себе в карман
  ещё денег с гипотетических налогов), пошёл бы помогать против
  киберпреступников атакующих сервера ФСБ и Минобороны, но не пошёл бы
  против атакующих АНБ или GCHQ, пошёл бы против педофилов или
  насильников, но не против как-бы студийной порнографии

Как можно бороться в условиях полной анонимности? В условиях полной —
никак. А вы видели на практике в настоящей жизни подобные системы? Если
не технические, то человеческие бреши всегда имеются. Если мы говорим
про Tor и дурачка думающего что сидя за ним у него анонимность, но при
этом классический обычный броузер с Flash, Java, JavaScript и
включенными cookies, то шифропанки могут порекомендовать вставить
чуть-чуть кода который сольёт все данные о том чтобы чётко сказать кто
это за человек, полностью деанонимизировать его. Безусловно этот код
будет работать как против убийц, против террористов нашей родины, но
также и против нас же самих, против нашей приватности.

Что делать? Если речь про нас, то мы может на криптопати узнать что надо
отключать cookies, JavaScript, вырезать заголовки HTTP, и тому подобное
и эти средства станут оружием только против технически безграмотных
террористов. Рано или поздно и те научатся правильно использовать Tor.
Шифропанки, если захотят помогать внутренним войскам, посоветуют
мониторить сетевой трафик и искать корреляции статистические. Это тоже
пойдёт против нас в том числе. Затем люди будут использовать I2P, затем
non-real-time store-and-forward системы, и так далее. Шифропанки это те
кто наверняка могут знать чуть больше о возможных уязвимостях и
недостатках чем террористы и убийцы и поэтому, будучи на шаг впереди,
могут их использовать для деанонимизации. А также средства
деанонимизации будут толчком вперёд технологий анонимизации. Это просто
гонка вооружений — прогресс.

На данный момент самую технически совершенную систему (не говорю
идеальную, а говорю что пока она самая приближенная к нему) анонимизации
GNUnet используют не много. Большинство использует технически самую
примитивную Tor и поэтому для шифропанков есть возможность помощи
деанонимизации (оружие можно использовать как для убийства, так и для
защиты; шифропанки это просто разработчики оружия, а не "пользователи"
его). В идеале, когда технически всё станет совершенным настолько что
никакой статистический анализ или вклинивание якобы дружелюбных нод
будет совсем не работать — тут будет работа для тех кто анализирует
языки, поведение людей, так как человеческий фактор всё-равно останется
(речь о письменном/набранном человеческом тексте).

Шифропанки — создатели инструментов, оружия. Оружие, как и молоток можно
использовать и для благих целей (защита дома и семьи), так и для злых.
Они не судьи пользователей этого инструментария, а эксперты его
особенностей, устройства и уязвимостей.

-- 
Happy hacking, Sergey Matveev

Received on 2013-11-11 08:11:21 UTC

This archive was generated by hypermail 2.4.0 : 2021-02-19 09:12:48 UTC