public inbox for cryptoparty@lists.cypherpunks.ru
Atom feed
* Как шифропанки будут бороться с преступностью
@ 2013-11-11  8:11 stargrave
  0 siblings, 0 replies; 3+ messages in thread
From: stargrave @ 2013-11-11  8:11 UTC (permalink / raw)
  To: cryptoparty.ru

[-- Attachment #1: Type: text/plain, Size: 14861 bytes --]

Приветствую всех!

Учётной записи в социальной сети Vkontakte не имею, так как те требуют
обязательно предоставить самостоятельно абонентский номер радио-маячка с
возможностью прослушки (сотового телефона), но в группе cryptoparty_next
я увидел вопрос (плюс предложения) от "Alexey Pakhomov", на который
попытаюсь дать ответ. Людей читающих это и имеющих доступ в группу в vk,
хотел бы попросить ответить ему сославшись на это письмо в архиве
рассылки, которое появится тут:
https://lists.cypherpunks.ru/pipermail/cryptoparty.ru/2013-November/thread.html
(точный URL пока не отправил письмо сказать не смогу).

----------------8<-----------------8<-----------------8<----------------

>1)Показать , как без особого труда можно влезть в личное пространство любого человека
Если взять обычных людей, большинство у которого есть компьютеры с
доступом в Интернет, то:
* влезть в личное пространство чужих людей не так просто и относительно трудозатрано
* обычным людям редко когда действительно захочется нарушать приватность
  окружающих его, так как практической пользы от этого не часто найдётся

А вот кому действительно выгодно отсутствие нашей приватности, так это
чуть-чуть более могущественным людям: сетевых провайдеров, корпораций,
магазинов, правительств. Это уже те, кто или имеют доступ к сетям
(маршрутизаторы (в том числе WiFi) которым обычные люди пользуются), кто
создают сайты на которые могут внедрить деанонимизирующие JavaScript
программы и тому подобное. Если это те кто выпускает сотовые телефоны со
своим программным обеспечением (Android, iOS), то те вольны полностью.

Все эти чуть более могущественные люди действительно могут без труда
нарушить нашу приватность без особых трудозатрат. Всегда когда они
употребляют слова "безопасность", то подразумевается что твой сосед по
лестничной клетке или по парте не сможет легко "вломаться" в твои
устройства и большинство этим и успокаивается. Только вот, повторюсь,
соседям это и не надо, а кому надо, то те это делают спокойно, так как
они фактически диктуют что мы должны использовать и как должны за своими
компьютерами. Делают это умело, путём предоставления развлечений через
эти неподконтрольные нам устройства и программы.

Поэтому легко продемонстрировать работу провайдера или корпорации на
пальцах не очень получится, да и нечего особо: вот тут все данные на
жёстком диске просто лежат в открытую (наша почта), а вот тут мы в
программе добавили код который сливает всё что нужно (пользователь не
сможет его вырезать всё-равно).

"Соседи" могут нарушить приватность уже средствами взлома. А это вопрос
не к шифропанкам, не к хакерам, а к crackers — взломщикам. Не исключено
что такие найдутся среди нас и смогут продемонстрировать на пальцах.

>2) Как легко можно получить доступ к дсп информации в интернете
А это уже исключительно вопрос опять же взлома, cracking. Шифропанки,
просто программисты зная теорию работы своих творений вполне должны
понимать возможные уязвимости. Если посмотреть в сторону криптографов,
то у тех на деле чуть ли не всё время одна теория как можно взломать то
или сё, например это потребует 2^64 памяти и 2^64 времени: на практике
сейчас не особо получится сделать, но алгоритм уже не безопасен и надо
улучшать или менять. Им не интересна конкретная реализация программы на
C и ассемблере которая это сделает.

Показать как простой человек с компьютером может прочитать всю почту
пользователя Gmail — проблематично, возможно никак (если не узнать
пароли). А вот если этот человек имеет соответствующее удостоверение
сотрудника ФСБ, то он и без компьютеров сможет заставить показать
корпорации переписки пользователей, а ещё лучше на законодательных
уровнях обязать провайдеров поставить устройства которые сами доставят
всю эту информацию к нему в кабинет. Сложно ли это? Очень легко! Но
продемонстрировать на cryptoparty сложно.

>И о наболевшем, прозвучала инициатива по поиску и помощь в поиске
>террористов (бомберов) и тому подобной гадости. Мне интересно послушать
>мнение comunity как можно бороться с ними в условиях полной анонимизации
>и шифрования.
Во-первых не все участники сообщества вообще согласны с тем что мы будем
сами искать и обезвреживать подобных гадов. Я не отношусь к этим людям
☺, но наверное имелось в виду следующее:

* если речь про то как шифропанки сидят и пишут софт который ищет слова
  "путин", "бомба", "переворот" и блокирует CHK внутри Freenet сети,
  блокирует .onion или .i2p сервисы, то это откровеннейшая цензура
  которую делают сейчас в Китае, Иране и России. Кто они/мы такие чтобы
  решать что можно считать каким-нибудь экстремизмом, а что нельзя и на
  своём субъективном мнении отрезать людей от информации? Это
  противоречит всем манифестам и декларациям шифропанков и
  криптоанархистов. Очевидно что не это имелось в виду
* если речь про то что к шифропанкам за помощью обращаются корпорации
  или государства, с тем чтобы найти гадов, то тут уже вопрос другой,
  наверное личный. Как таковой цензуры напрямую нет, а может и есть.
  Кто-то откажется помогать поймать наркоторговца марихуанной, так как
  кто-то не считает это преступлением или чем-то ещё. Кто-то не считает
  преступлением иметь скрытый сайт сутенёра, так как сам пользуется его
  ресурсами. Лично я бы пошёл помогать и поймать наркоторговцев, не
  пошёл бы против сутенёров (не потому-что пользуюсь их услугами, а
  потому-что не считаю древнейшую профессию всегда существовавшую
  преступлением, так как это всего-лишь желание положить к себе в карман
  ещё денег с гипотетических налогов), пошёл бы помогать против
  киберпреступников атакующих сервера ФСБ и Минобороны, но не пошёл бы
  против атакующих АНБ или GCHQ, пошёл бы против педофилов или
  насильников, но не против как-бы студийной порнографии

Как можно бороться в условиях полной анонимности? В условиях полной —
никак. А вы видели на практике в настоящей жизни подобные системы? Если
не технические, то человеческие бреши всегда имеются. Если мы говорим
про Tor и дурачка думающего что сидя за ним у него анонимность, но при
этом классический обычный броузер с Flash, Java, JavaScript и
включенными cookies, то шифропанки могут порекомендовать вставить
чуть-чуть кода который сольёт все данные о том чтобы чётко сказать кто
это за человек, полностью деанонимизировать его. Безусловно этот код
будет работать как против убийц, против террористов нашей родины, но
также и против нас же самих, против нашей приватности.

Что делать? Если речь про нас, то мы может на криптопати узнать что надо
отключать cookies, JavaScript, вырезать заголовки HTTP, и тому подобное
и эти средства станут оружием только против технически безграмотных
террористов. Рано или поздно и те научатся правильно использовать Tor.
Шифропанки, если захотят помогать внутренним войскам, посоветуют
мониторить сетевой трафик и искать корреляции статистические. Это тоже
пойдёт против нас в том числе. Затем люди будут использовать I2P, затем
non-real-time store-and-forward системы, и так далее. Шифропанки это те
кто наверняка могут знать чуть больше о возможных уязвимостях и
недостатках чем террористы и убийцы и поэтому, будучи на шаг впереди,
могут их использовать для деанонимизации. А также средства
деанонимизации будут толчком вперёд технологий анонимизации. Это просто
гонка вооружений — прогресс.

На данный момент самую технически совершенную систему (не говорю
идеальную, а говорю что пока она самая приближенная к нему) анонимизации
GNUnet используют не много. Большинство использует технически самую
примитивную Tor и поэтому для шифропанков есть возможность помощи
деанонимизации (оружие можно использовать как для убийства, так и для
защиты; шифропанки это просто разработчики оружия, а не "пользователи"
его). В идеале, когда технически всё станет совершенным настолько что
никакой статистический анализ или вклинивание якобы дружелюбных нод
будет совсем не работать — тут будет работа для тех кто анализирует
языки, поведение людей, так как человеческий фактор всё-равно останется
(речь о письменном/набранном человеческом тексте).

Шифропанки — создатели инструментов, оружия. Оружие, как и молоток можно
использовать и для благих целей (защита дома и семьи), так и для злых.
Они не судьи пользователей этого инструментария, а эксперты его
особенностей, устройства и уязвимостей.

-- 
Happy hacking, Sergey Matveev

[-- Attachment #2: Type: application/pgp-signature, Size: 801 bytes --]

^ permalink raw reply	[flat|nested] 3+ messages in thread

* Re: Как шифропанки будут бороться с преступностью
  2013-11-15 22:01 Алексей Пахомов
@ 2013-11-16  5:44 ` stargrave
  0 siblings, 0 replies; 3+ messages in thread
From: stargrave @ 2013-11-16  5:44 UTC (permalink / raw)
  To: cryptoparty.ru

[-- Attachment #1: Type: text/plain, Size: 17356 bytes --]

*** Алексей Пахомов [2013-11-16 08:28]:
>1)[skip]
Всё верно. Более того, если брать конкретно Google, то все ссылки
отправляемые через его почту или IM или просто использование Chrome,
насколько слышал, активно проверяются им же (достаточно посмотрел в
access.log HTTP-серверов) без какого-либо спросу.

>2)[skip]
>(ИМХО тор раскручивают как проблема так как они его уже взломали
>и заманивают нелегалов чтобы их же и посадить)
Тут я тоже скорее соглашусь. Во-первых всё же история Tor-а начинается
так или иначе связанной с государственными институтами США, а не как
хакерский проект группы шифропанков. Во-вторых в конце 90-х могли
факторизровать 768-бит RSA ключи, тогда как в Tor-е они всего лишь
килобитные, а на дворе уже второй десяток лет XXI века. И никакого
движения в сторону усиления ключей (гос-ам это не выгодно) и никакого в
сторону например эллиптической криптографии, если производительность их
так беспокоит. Я уверен что это сделанно специально. Да и в целом, Tor
это детская сеть, просто вместо одного прокси используется несколько. В
своей лекции на криптопати по технологии анонимизации я и подчёркиваю
что Tor несерьёзен и его безумно сложно использовать для обеспечения
анонимности.

>Террористы люди образованные и их уровень развития не меньше спецслужб они
>и шифруются и анонимизируются давно.
Как говорит Брюс Шнайер, то уровень образованности, уровень силы
владения технологиями в течении всей истории всегда было неким
гармоническим процессом. То у них сильнее — то у правительств.
Но верно что практически всегда любая технология в первую очередь
оказывается в руках злоумышленников, так как это не тяжеловесная
трудноразворачиваемая инертная машина. Как и любой стартап может гораздо
быстрее воплотить в жизнь любую идею, чем это попытаться сделать в
здоровой компании, особенно типа банков. Но у правительств заведомо
больше ресурсов, поэтому рано или поздно сила будет на их стороне.

Но, лично я считаю что так как вся речь всегда идёт о чём-то
материальном, то из-за ресурсов правительства могут выходить вперёд,
однако сейчас речь о неподкупных дешёвых (зашифровать файл на компьютере
это доли ватта электроэнергии) математических алгоритмах. Математика это
уже в корне другая штука, которая не зависит от количества ресурсов или
чего-то материального. И это может серьёзно изменить ход истории.

>Для того чтобы найти такого, как
>минимум, нужно знать их язык , их методы,  по сути это задачи настоящей
>военной разведки в пору когда использовали словесные шифры вместо аппаратно
>электронных.
Полностью согласен! Это действительно уже не что-то детское примитивное
гражданское, а использование настоящих военных технологий.

>как нам в такой ситуации бороться, ведь интернет не подконтрольный никому
>дает полный доступ террористов ко всем возможностям и никто уже ничего не
>изменит, так как в анархии проблемы решаются не потому, что кто-то убирает,
>а потому что никто не гадит.
Согласен с высказываниями об анархии, о том что терроризма как такового
не будет (уверен в этом на тех фактах что проблема наркотиков гораздо
меньше там где они разрешены, преступность меньше там где разрешено
оружие). Но тут не соглашусь с неподконтрольностью Интернета. Единого
рубильника для полностью всей Сети соглашусь что нет, но автономные
системы практически все находятся в странах со своими законами. И их
провайдеры обязаны подчинятся им, иначе бы их просто не было. Каким бы
хорошим и правильным провайдер не старался бы быть например в России, но
могут придти сотрудники ФСБ с вопросами госбезопасности и провайдер или
вынужден будет подчиниться их требованиям или его банально закроют
(сменят власть) как минимум. Я знаю, как технарь, что выключить весь
Интернет, оставив только связь в нём между банками, биржами и всем тем
что связано с основной мира — деньгами и их оборотом, оставив связь
государственных учреждений: легко. Firewall, BGP пусть косвенно, но
подконтрольны все правительствам.

30-40 лет назад выключив Интернет бы мы ничего не смогли сделать
(сотовая или обычная телефонная связь понятное дело что совсем
централизованные системы), но сейчас из-за беспроводных радио технологий
у нас есть инструменты для создания действительно независимых сетей.
Весь вопрос: успеем ли мы сделать глобальную сеть, типа FidoNet-а,
только поверх mesh-сетей, до того как у нас выключат Интернет. Да, я
соглашусь что возможно не всё так страшно и правительства согласятся
оставить 80-ый HTTP порт в котором никаких шифрований быть не должно, но
тут может помочь стеганография. Но успеем ли мы её развить и
распространить до того как это можно сделать без цензуры, до отключения
куда-хочу-IP-пакет-посылаю.

Это полностью зависит от людей, и, лично я, пока вижу что в России точно
не придётся надеятся на создание mesh-сети хотя бы в масштабах Москвы.
Наши люди не умеют, точнее не хотят кооперировать, так как совершенно не
осознают всё серьёзность и рискованность ситуации, что завтра Великий
Российский Firewall будет включён и поздно рыпаться пытаясь скачать
что-то известное уже чуть ли не десятилетие типа Tor (который уже не
поможет в силу своей централизации и килобитных RSA ключей) или хотя бы
банальных VPN о которых надо было раньше думать. Почти у всех москвичей
компьютеры с безлимитными каналами простаивают, иначе не был бы так
дешёв безлимитный канал. Колоссальные вычислительные и сетевые ресурсы
не используются в лучшем случае никак, в худшем тратят время на
BitTorrent-ы связанные с развлекаловкой. Никого и ничего не касается
связанное с приватностью, никто не верит что это будет кому-то надо и
безусловно Интернет не отключат. Только никто не обращает внимание что с
изобретением радио и шифрования как-то сразу же запретили радиолюбителям
посылать нечитаемые не открытые данные и что львиная доля человечества
сидит за Великими Firewall-ами.

>Небольшое видио на тему террора  и технологий.
>"http://www.ted.com/talks/marc_goodman_a_vision_of_crimes_in_the_future.html
Спасибо за видео! Было интересно послушать. Но о чём оно в целом? Просто
о фактах развития технологий. О том что нету посыльных, а есть
электронная радио связь. О том что АК-47 надо было покупать, а теперь
можно напечатать. О том что процессы идут быстрее. Всё верно. Оно
пытается намекнуть на то что надо жёстче и жёстче контролировать…
развитие технологий? Да, в идеале я думаю любое правительство мечтает о
необразованных стадах с промытыми мозгами работяг. Ну с небольшим
количеством учёных которые бы делали военные технологии. Однако история
показывает что всё же этого не происходит. Почему — не знаю, но видимо
не получиться применять столь кардинальные меры. Я увидел что
террористам теперь не надо покупать автоматы подпольно, а достаточно
пойти в магазин и потом их себе напечатать, скачав через WiFi по
BitTorrent-у 3D-модели для печати. У злоумышленников гораздо более
сильная власть, а правительства всё запрещают (у нас например) иметь
оружие для самозащиты. То есть наши враги всё крепчают, а нас держат
ногой прижатыми к земле отсутствия оружия защиты. По хорошему полиция
должна перенять это бремя защиты, ей мы должны делегировать свою защиту,
но говорят (хотя, если честно у меня сомнения на этот счёт (особенно
касательно ФСБ)) что полиция работает плохо, то есть далеко позади
злоумышленников. Возможно всё неплохо и надо просто подождать когда
ресурсы правительств синхронизируются с правильным руслом технологий
защиты, возможно из-за вовлечения неподкупной математики это не поможет.

>Я ни в коем случае не критикую, а лишь пытаюсь выступить антагонистом для
>поддержания диспута. Могу подумать о презентации на тему прецедентов когда
>народ выступает на свою защиту в борьбе с терроризмом. Если интересно
>сообществу.
И это очень здорово и правильно когда есть такая точка зрения. Для всего
должно быть что-то антогонистичное чтобы с этим сравнивать. Для любви
есть страдания, для правительств всегда есть оппозиция (если её нет, то
это ужасное положение), у любого у кого есть за что постоять, всегда
есть враги (ужасно когда их нет — значит и постоять не за что).

Презентация это было бы здорово! Мне кажется никто из организаторов, ни
я, не думали о такой точке зрения, что её необходимо показать людям также.
Насколько знаю, то планируется провести cryptoparty в Москве до Нового
Года, с учётом предыдущих ошибок первого комного блина.

Кстати очень хорошее направление взял Брюс Шнайер последние годы.
Активно начал говорить о феодальной модели безопасности. О том что
сейчас нет правительства-как-злоумышленника и нас, людей заботящихся о
приватности. Как и в старые добрые времена есть феодалы которые защищают
свои владения, своих крестьян и крестьяне полностью делегируют эту
защиту им. Будем считать что добровольно. И, глядя на толпы
пользователей полностью отдавших буквально всё что касается информации в
руки Faceboogle, Apple и Microsoft — я всё больше и больше согласен с
его точкой зрения.

https://www.schneier.com/blog/archives/2012/12/feudal_sec.html
https://www.schneier.com/blog/archives/2013/06/more_on_feudal.html

С моей точки зрения это паршиво, это плохо, ужасно что люди такие
безвольные и по сути своей добровольные рабы. Но история показывает что
именно подобные строи всегда-всегда были самыми стабильными, самыми
сильными и долгоживущими империями. Сейчас постиндустриальный век,
царство информации и возникновение тьмы новых вопросов и проблем,
поднимаемых шифропанками. Но, повторюсь, я уже больше склоняюсь к тому
что надо просто смириться что и здесь, в этом прекрасной свободной
ноосфере глобальных информационных сетей, люди сделают и поддержат
феодальную рабовладельческую систему. Ездя в транспорте я это воочию
наблюдаю.

-- 
Happy hacking, Sergey Matveev

[-- Attachment #2: Type: application/pgp-signature, Size: 801 bytes --]

^ permalink raw reply	[flat|nested] 3+ messages in thread

* Как шифропанки будут бороться с преступностью
@ 2013-11-15 22:01 Алексей Пахомов
  2013-11-16  5:44 ` stargrave
  0 siblings, 1 reply; 3+ messages in thread
From: Алексей Пахомов @ 2013-11-15 22:01 UTC (permalink / raw)
  To: cryptoparty.ru

[-- Attachment #1: Type: text/plain, Size: 2369 bytes --]

Добрый день всем присутствующим,
1)
Не поверите, сколько информации общедоступно и никак не защищено в силу
недостатка образованности её носителей в искомой области.  Для того чтобы
получить доступ к закрытой информации, нужен просто гугл и больше ни
строчки кода(самый страшный поисковик интернета например). И это достаточно
интересная тема для обсуждения, как в целях безопасности личной так и
наоборот, но тема эта касается скорее не шифропанков, людей им
противоположных.
2)
Я понимаю что любой инструмент может быть применен как в добро так и
darkside. Но давайте немного подумаем о будущем, очевидно с появлением и
развитием движения по защите информации данная тема будет раскручиваться
всё сильнее(ИМХО тор раскручивают как проблема так как они его уже взломали
и заманивают нелегалов чтобы их же и посадить) и в какой то момент добрый
человек(группа) создаст удобный и быстрый алгоритм для анонимизации и
шифрования. В этот момент должна наступить долгожданная анархия .
Террористы люди образованные и их уровень развития не меньше спецслужб они
и шифруются и анонимизируются давно. Для того чтобы найти такого, как
минимум, нужно знать их язык , их методы,  по сути это задачи настоящей
военной разведки в пору когда использовали словесные шифры вместо аппаратно
электронных.
 К чему собственно речь, когда мы дойдем до нашей анархии, обществе
основанном не на законе, а на самоконтроле индивидуума. Когда закон
попросту не нужен для порядка, в этот момент должен исчезнуть терроризм так
как не будет политики. Но средства для криптоанархии уже есть, а политика
никуда не исчезает и  не исчезнет пока будут люди требующие управления и
желающие управлять, что не искоренимо в обозримом будущем. Теперь вопрос,
как нам в такой ситуации бороться, ведь интернет не подконтрольный никому
дает полный доступ террористов ко всем возможностям и никто уже ничего не
изменит, так как в анархии проблемы решаются не потому, что кто-то убирает,
а потому что никто не гадит.
Небольшое видио на тему террора  и технологий.
"http://www.ted.com/talks/marc_goodman_a_vision_of_crimes_in_the_future.html
"
Я ни в коем случае не критикую, а лишь пытаюсь выступить антагонистом для
поддержания диспута. Могу подумать о презентации на тему прецедентов когда
народ выступает на свою защиту в борьбе с терроризмом. Если интересно
сообществу.

[-- Attachment #2: Type: text/html, Size: 2569 bytes --]

^ permalink raw reply	[flat|nested] 3+ messages in thread

end of thread, other threads:[~2013-11-16  5:46 UTC | newest]

Thread overview: 3+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2013-11-11  8:11 Как шифропанки будут бороться с преступностью stargrave
2013-11-15 22:01 Алексей Пахомов
2013-11-16  5:44 ` stargrave