Анонимности нет, смиритесь.

Технические идеи по созданию сайта.
Ответить
скептик
Сообщения: 188
Зарегистрирован: 13.06

Анонимности нет, смиритесь.

Сообщение скептик »

Анонимности нет, смиритесь. Steven Rambam, The Next HOPE часть 1я

http://www.vimeo.com/13644580
подстрочный перевод лекции:

Меня зовут Стив Рамбам, и я буду заменять вашего учителя в ближайшие три часа.

Начав с любой отправной точки, можно составить полное досье на кого-либо. Не важно, с чего начинать – номера социального страхования, MAC-адреса, адреса электронной почты, автомобильного номера. Из этой информации можно получить все о ком-либо. Иногда вы можете связать один кусочек информации только с одним другим, иногда вы получаете все оптом.



Прежде чем мы продолжим, я хочу сделать акцент на следующем. Все, что мы будем обсуждать сегодня, это либо открытые, либо полуоткрытые источники. Под полуоткрытыми источниками я подразумеваю источники, доступные следователям, специалистам по безопасности, вероятно доступные более чем половине людей в этой комнате. Мы не будем обсуждать FINSEN, NCIC, и любые другие государственные базы данных, или что-либо другое по определению конфиденциальное или закрытое. Мы обсудим то, что легко и просто можно получить на каждого в этой комнате.



В основном, мы будем обсуждать информацию, которой вы делитесь сами. Преимущественное большинство информации, доступной сегодня, выдали вы сами, сознательно либо несознательно. Вы отдали эту информацию – ваше имя, ваш адрес, ваш номер телефона, ваша дата рождения, ваш номер социального страхования, ваша фотография, которая когда-то была краеугольным камнем расследований. Когда я начинал как следователь, мне платили от $500 до $1000 за получение фотографии субъекта. Сегодня все, что вам нужно, это погуглить. Информация вроде сексуальной ориентации, политических взглядов, финансовая информация, деятельность, деловые связи, друзья, семья, все это находится в открытом доступе.



Когда я начинал 25 лет назад, это была конфиденциальная информация, для которой нанимали детективов. Так это работало. И значительная часть нашего обсуждения сегодня будет посвящена тому, что изменилось. Не только с тех пор, когда я впервые выступил на этой конференции, но и за последние два года. Например, мне кто-то дает номер телефона, я как следователь, с помощью этого телефонного номера получаю имя и адрес, все знают, как это делается. С их помощью я получаю дату рождения и номер социального страхования. С их помощью адрес, родственные связи, места работы, направления бизнеса, недвижимость, историю семейного положения, все публичное, криминальное, и другие полуоткрытые либо открытые записи о человеке. Автомобильные номера, транспортные средства, и так далее и тому подобное.



Все это, начав с одного элемента информации. Не обязательно телефона, это мог бы быть электронный адрес, адрес проживания, имя и дата рождения. Так это было. Вы берете за один конец ниточки, начинаете раскручивать клубок, и в итоге у вас есть полное досье на человека. И, кстати, в нем гораздо больше, просто у меня закончилось место на слайде.



Сейчас совершенно необязательно действовать таким образом. Сейчас вы, имея телефонный номер, вводите его в поле своей базы данных, и немедленно получаете полный отчет, или как он там в вашей системе называется. Я ввожу ваш телефонный номер, и я немедленно получаю ваше имя, ваш адрес, номер социального страхования, дату рождения, автомобильный номер, транспортные средства, родственные связи, историю проживания, историю трудоустройства, и так далее и тому подобное. Уже не обязательно делать винегрет самому. Все уже взаимосвязано. Все выдается на блюдечке.



Давайте обсудим, что изменилось за последние несколько лет. На слайде вы видите, что изменилось за последние 10 лет. Обсудим, что изменилось с The Last HOPE. Во-первых, это скорость вычислений и сложность ПО.

Когда я начинал, у меня был Мак с одним 25К флоппи-диском. Мне нужно было вставить дискету с программой, загрузить ее, вытащить дискету, вставить дискету для данных, сохранить данные. Сейчас у вас есть четырехядерные, восьмиядерные компьютеры. Скорость просто невероятная, объемы хранения невероятные, я регулярно покупаю больше памяти, чем у меня еще недавно было места на жестком диске.



Мне приятно видеть, что люди в первых рядах примерно моего возраста. Иногда, когда я говорю об этом на семинарах для начинающих следователей и федеральных агентов, а обычно это молодые люди, которым недавно стукнуло 20, многим кажется, что я рассказываю о Каменном Веке. Емкость хранения и обработки информации растет экспоненциально. Управление Национальной Безопасности, которое вчера решило заглянуть на огонек, теперь хранит 75 лет истории пересечения границ США. Они никогда больше ничего не выбросят, никогда. Все информация в цифровой форме с момента ее возникновения, с момента добавления в систему. Ваши медицинские записи вводятся медсестрой в ее настольный компьютер. Когда вы куда-то едете, у вас уже нет бумажных билетов.



Ваша история банковских переводов доступна немедленно. Я могу выставить вам счет по телефону, зайти в управление банковским счетом, и через 30 секунд деньги уже будут у меня. Все стало моментальным и цифровым, и попадает в базу данных, как только создается. Никаких затрат времени на создание ключей, или сортировку, или затрат на это – потому что, как вы увидите, это все вопрос денег. Ваша информация цифровая с нулевой отметки, и сразу же попадает в базы данных.



Куча старых бумажных записей всасывается с сумасшедшей скорость системами распознавания текста. Книги Google, газеты, документы 20ти-30ти-40ти-50ти-60ти-70ти-100 летней давности скармливаются сверхбыстрым листовым сканерам. Целая книга весьма точно сканируется меньше чем за час.



Мобильные телефоны. Мы будем много говорить о мобильных телефонах. Мобильные телефоны, это одно из трех важнейших изменений правил игры. У всех сейчас есть мобильный телефон. У всех тут, кроме, может, пары человек, есть смартфон. Из-за того что вы пользуетесь этими устройствами, носите их с собой, и не выключаете или даже не можете их выключить, я знаю о вас все что вообще можно знать. Мы детально это обсудим.



Мобильные телефоны радикально изменили правила игры. Элементарное связывание информации, перевод имен, поиск схожестей, искусственный интеллект. Теперь это не просто «база данных истории адресов», «база данных истории телефонов», «база данных покупок», эти вещи немедленно связываются между собой, всеми доступными способами. Я ввожу ваш номер телефона, и получаю ваши счета за последний месяц. Я ввожу ваш номер телефона, и могу по нему получить все ваши электронные адреса. И было неслыханно еще год назад! Я ввожу ваш адрес электронной почты, и получаю ваше имя, ваш домашний адрес, ваш номер телефона, да вообще все.



На тему связывания и пересечения, позвольте вам привести один пример. Я называю это COMPSTAT для пьяниц. В Вашингтоне есть такой ресурс, «наклюкаться без приключений». Человек взял полную статистику преступлений за последние несколько лет, связал ее с картой местных баров в центре Вашингтона. Вы можете проверить бар, и увидеть, сколько разбойных нападений, сколько ограблений, сколько нападений с оружием, сколько перестрелок было в его окрестностях. И понять, безопасно ли в этом баре напиваться. Как по мне, это забавнейшая вещь. Можете посмотреть сами, Ссылки доступны только зарегистрированным пользователям. Такую вещь, 10 лет назад, 5 лет назад, да даже три года назад мог написать хороший программист, и потребовалась бы серьезнейшая подготовка данных. Сейчас, это может сделать тренированная мартышка. И я знаю, потому что некоторые из них работают на меня!



Что еще изменилось? GPS, и возможность отслеживать вас. Слушайте, ваш телефон словно приклеен к вашей заднице круглосуточно целыми неделями. Я знаю где вы, потому что я знаю где ваш телефон. И мы это очень подробно обсудим. GPS, Skyhook, люди где-то рядом, Google Skyhook где-то рядом, и они отмечают каждую конечную точку Wi-Fi. Каждую чертову конечную точку.



Разработка новых методов поиска и индексации, включая перевод, включая голос в текст, включая видео в текст, что лично меня пугает. И последнее, но далеко не малозначимое, один из факторов изменивших правила игры, интеллектуальные камеры с встроенным анализом, распознаванием лиц, подключением к огромным и очень быстрым базам данных. Я знаю, что на этой конференции был доклад о том, как скрыться от распознавания лиц. Так вот я вам хочу сказать, это невозможно!



Еще одно, это до абсурда точный маркетинг. Вот ради чего все делается, это не Большой Брат следит за вами ребята, это те, кто хочет вам впарить что-то. Все из-за денег. Это не стремление вас обесчестить, не попытка вас погубить. Это просто главный двигатель капитализма, и все. Они хотят вам что-то впарить. Они хотят знать о вас все, чтобы лучше вам парить. И в итоге каждый из вас подвергается цифровому исследованию у проктолога. И этого не избежать. Но это не дурное стремление. Они просто хотят вам что-то впарить. Они хотят власти над тем, на что вы смотрите.



Еще мы поговорим об дополненной реальности. Немного о настоящей дополненной реальности, и немного о таких вещах как очки Google. Я не знаю, сколько из вас в курсе этого, но мы об этом поговорим. Все хотят знать, что видит ваш телефон. Так что они поощряют использование его для сканирования штрих-кодов, визуального распознавания разных изображений, и дополненной реальности. Они хотят знать, что вы в Нью-Йорке, и вы в Empire State Building, не только из распознавания текста, и не только по данным ваших покупок, и не только когда вы покупаете билет через ваш телефон, но еще и потому что вы сняли фотографию здания, и использовали дополненную реальность, чтобы узнать что это за здание. И, еще раз, это все ради денег.



Стоимость хранения данных. Я иду к низшей форме жизни – продавцу техники в Staples. И я говорю – «Дайте мне ваш самый большой диск». И за $160 я выхожу оттуда с 2ТБ диском. Я вам хочу сказать, когда я начинал как следователь, во всей стране не было 2ТБ оперативных данных. На самом деле. Такова была реальность, не только когда я начинал, но и большую часть времени моей работы.



Главное что изменилось – больше ничего не удаляется, не стирается, и не забывается. Все что вы когда-либо сделали, каждый глупый фотоснимок, каждый злобный троллящий пост в блоге, каждое сообщение, написанное по пьяни, все хранится вечно. ВЕЧНО! Оно сохраняется, и не просто сохраняется. Оно индексируется, и связывается, и привязано к вашему имени навсегда. Не верите? Подойдите позже к моему столу, и я вам покажу.

И это делается не только правительством. Все знают про archive.org, и waybackmachine, и кэш Google, и стремление каждого сохранить все. Они делают это, прежде всего потому, что не знают, что им понадобится через год. И это не то чтобы вы загромождали свой офис. Вы просто оставляете это на жестком диске, и каждый месяц, или каждую неделю, или каждый час автоматический текстовый поисковик просматривает, индексирует каждую чертову запись. А это (archive.org) примитивный вариант той же системы, где вам нужно зайти и специально щелкнуть на чем-то.



Поверьте мне, в моем мире все хранится вечно. Вы даете мне номер социальной страховки, я верну 42 года вашей истории адресов. Вы дадите мне любой номер телефона, я проведу архивный поиск и верну вам список за 45 лет владельцев этого телефона. Потому что мне это нужно, если я расследую старое дело, я хочу знать, чей это номер был 20 лет назад. Я хочу знать, кто жил в этом здании 30 лет назад. Это полезно, и, опять же, это стоит денег. Я могу это продать другим детективам, могу продать исполнителям закона, это стоит денег. И я могу пойти в Staples и купить еще один диск на 2ТБ за $169. Зачем мне что-то выбрасывать?



И, кстати, правительство США слишком поздно просекло фишку с сохранением данных навсегда, и теперь забрасывает всех правительственными запросами. Вот, например, правительственный запрос к archive.org, «Нам нужно все, что у вас есть по этому человеку»



Даже Обама это понимает: «Все, что вы делаете, рано или поздно припомнят вам на вашем жизненном пути». Он прав, так и будет.



И еще одно разительное изменение. Это пункт первый этого выступления. Больше нет приватности, больше нет стыда, больше нет жажды анонимности, и люди в этой комнате, и все другие на Земле, публично пишут обо всем. Вы пишете свое имя, свой адрес, свой телефон, куда вы ходили в школу, где вы работаете, кто ваши друзья, какая у вас ориентация, что вы делали прошлой ночью, что вы делали на прошлой неделе, и так далее, больше информации о себе, чем кому-либо стоило бы знать, вы выкладываете в Сеть. Знаете, у меня шизофрения разыгрывается каждый раз, когда я представляю себе полную картину всего, о чем я говорю.



Многие из вас мои друзья, остальные преимущественно коллеги. Поэтому как друг, я вам должен сказать «Чем вы вообще думаете?» С другой стороны, как следователь, я должен сказать «Искреннее спасибо!» Нет, правда, я очень благодарен. Вы настолько упрощаете мою работу, что я могу сидеть в 2 часа ночи в семейных трусах, и изучать все ваши места жительства, все места работы, посмотреть двадцать ваших фотографий, кто ваша девушка, как зовут вашу жену, и так далее и тому подобное. Правда, спасибо. Но вы идиоты. Завязывайте.



Пример из жизни. Я привожу его в каждом разговоре на эту тему. Есть такой себе парень jsov.

Кстати, если вы посмотрите на старые видео с этой конференции, я часто говорю о вещах, которые еще до конца не осознали массы. Мы говорили о Twitter 4 года назад. Теперь Twitter в Библиотеке Конгресса. Каждый tweet передали в Библиотеку Конгресса. Думали, что ваши tweetы пропали? Нед! Я могу вам сказать, что когда я расследую уголовное преступление, я отправляю запрос на все ваши tweetы в Библиотеку Конгресса. Каждый tweet, который вы когда-либо сделали. Ребята, вслушайтесь, ничего из того что вы разместили в Сети, ни tweet, ни блог, ни SMS, ни веб-страничка, ни веб-страничка которую вы удалили через 15 секунд после публикации, ничего из этого вы уже не измените. Как только вы это разместили, все, система его засосала, индексировала, связала, и дальше вы понимаете. Выпустишь – не поймаешь! Если вы не хотите, чтобы кто-то прочитал вышеперечисленное через полгода, не публикуйте это вообще!



Посмотрите на этого чудака. Ем пиццу. Иду на работу. Смотрю телевизор. Убираю комнату. Все его телодвижения, час за часом. Моя мама не хочет столько знать обо мне! Я бы хотел, чтобы о моей жизни столько знали только сотрудники ФБР, и ребята из Нью-Йоркского офиса. Но, правда, это ведь сплошь и рядом сейчас. Все что вы делаете, поход за пиццей, просмотр фильма, закончили просмотр фильма, он был ничего, Боб одолжил гриль, встретил Фреда.



Слушайте, если я расследую вас, и хочу знать что вы делали в День Благодарения, спасибо большое. И кстати, ребята, вы ведь не оракулы. Вы не можете знать, что эти записи не ужалят вас в задницу завтра, из-за того что случится через несколько часов. Вы отправляете это в Twitter, и это там навсегда. И кстати, есть люди, которые проводят постоянный мониторинг Twitter. Все эти ваши последователи, половину из которых вы не знаете. Хотите, расскажу кто они? Это маркетологи, это детективы, и это исполнители законов. Я один из них.



Мне принадлежит peoplefinder.net. Я всасываю каждую страницу MySpace.com, каждую страницу Facebook, каждую ленту Twitter. На всякий случай, а вдруг вы поумнеете и решите их удалить. А фиг, не получится!



Кстати, вот содержимое ленты Twitter. Думали там 140 символов? Нет-нет-нет. Там ваш IP-адрес, местоположение, насколько долго вы в Twitter, всего около 34-37 единиц данных в каждой ленте Twitter. Давайте поговорим о Twitter еще немного. Все tweets с момента основания хранятся в Библиотеке Конгресса. Они публично доступны. А Twitter взаимодействует с Facebook, это вроде большой посягатель на частную жизнь объединился со средним посягателем на частную жизнь, и вместе они теперь мега посягатель на частную жизнь. Каждый чертов tweet, если вы ступили и нажали не ту кнопку, попадает на страницу Facebook. Не то чтобы это была новость, но вы подумайте над этим.



Микрофокусинг Twitter. Есть ресурс с названием Ссылки доступны только зарегистрированным пользователям Вы с ними связываетесь, и говорите что-то вроде «Я хочу продавать товары коренным жителям с китайскими бабушками, имена которых заканчиваются на О». Они смотрят на свою базу данных по Twitter, и говорят – «у нас есть 500 человек, которые мы думаем вам подходят». Они могут делать микрофокусинг для Twitter. Потому что они делают то же самое, что делаю я, они поглощают вашу ленту Twitter.



Вот быстрый вариант того же. Он называется «последователи на продажу». Скорей всего это кто-то в этой комнате, меня бы это не удивило. За $24.97 вы покупаете кучку последователей, соответствующих вашему запросу. Платите им по PayPal, скорей всего деньги оседают где-то в Минске, я точно не скажу. Но имейте в виду, Twitter не приватен.



Еще один абсурдный пример того, как меняется концепция содержимого Сети. Есть такой себе Hasan Elahi. Я столкнулся с этим случаем в 2008, и ситуация развивается дальше. Hasan Elahi навязчиво преследовало ФБР. Они действительно считали его то ли террористом, то ли пособником террористов, то ли еще кем-то таким. А он очень боялся, что его заметут, и отправят куда-то в Guantanamo, потому что он не мог доказать что он не террорист. Он открыл веб-сайт, trackingtransience.net. Каждый час он достает телефон, делает свою фотографию, подписывает ее, и выкладывает на этот веб-сайт. Вся история его жизни теперь в Сети. Конечно, теперь все видят что ФБР облажалось, чего он собственно и добивался. Как по мне, это настолько чудно, что я бы до такого не догадался. Но в том, что вы каждый час пишете в Twitter, обновляете ленту Facebook, и постоянно пишете SMS, уже нет ничего необычного. Это наоборот считается нормальным. Ну вот, например, в пятницу, 27 июня, он показывает на карте, где он был, прикрепляет фотографии, и описывает все, что он делал.



А если Twitter вам показалось мало, то еще есть Utterz, и Qik, туда можно выгружать фотографии и отправлять видео прямого эфира в Сеть. Вы можете в буквальном смысле сделать всю вашу жизнь видимой из Сети, и это нормально в наши дни. Вот самое потрясающее изменение. Анонимность умерла, потому что вы, ребята, ее убили нахрен. И каждый раз, когда она пытается подать признаки жизни, вы вставляете ей осиновый кол в грудь.

Вот еще один абсурдный пример. И вот те буквы, WTF, я правда так думаю.

Ну какой удод будет пользоваться Blippy? Вы знаете, оказывается миллионы людей. Мало кто об этом слышал, это относительно новая штука. Да у вас крыша поехала! Зачем вы всему миру рассказываете, сколько денег и на что вы тратите?



Кстати, в первые полтора месяца работы Blippy не просек, что его сканирует Google. Так что все имена, все покупки, и все кредитные карты ушли в Сеть.

А, кстати если вы тот удод, и размещаете такую информацию в Сети, вы заслуживаете всего, что с вами случится из-за этого, будь то чья-то злая воля или случайность.

Миллионы людей уже делают это, и будьте уверены, скоро это станет нормальным. И это очень, очень важно понимать. Потому что дальше мы будем говорить о том, что раньше называлось большим мечом, связанным маркетингом, суть которого в том, что вам нравится то, что в основном нравится вашим друзьям, и как голосуете вы, так обычно голосуют и ваши друзья. На эту же тему, недавно было опубликовано исследование, которое доказывало, что работу лучше искать среди малознакомых людей. И правда, ведь обычно вы знаете почти всех, кого знают ваши друзья, а значит, в основном уже знаете, что вам могут предложить. Вы – это ваши друзья. Поэтому Facebook стоит кучу денег.



Еще один ресурс, Swipely. Кстати, поубивал бы тех, кто их так называет. Но Blippy и Swipely, это новая оскорбительная норма. Итог всего предыдущего, если что-либо происходит в вашей жизни, неважно насколько это важно, вы об этом пишете в Сети.



Кому-то из вас примерно, как и мне, и вы, наверное, помните философию, ужасный университетский курс, в котором говорилось «Если дерево упало в лесу, никто не слышит, как оно падает. Так упало ли на самом деле дерево?»

Так вот это тоже изменилось. Сейчас, если о чем-то не написали в Сети, этого не было. Все появляется в Сети. Вот, что для меня послужило живым примером этого. Посмотрим, кто узнает это видео. Ага, 45% аудитории. Это казнь Саддама Хусейна. И, кстати, не смотря на то что мне нравится это видео, и я готов его смотреть по 20 раз в день, но вы должны понять что это значит. Это как Гитлер в своем бункере, но кто-то снял его на телефон! Все что происходит, независимо от важности события, фотографируется, снимается на видео, размещается, обсуждается, черт возьми tweetится, и кстати, помимо того что вы сами можете добровольно спустит штаны, нужно иметь в виду, что ваши друзья вполне могут написать «Ой, вы знаете, Боб вчера набухался и выблевал прямо одной барышне на сапоги»



Поверьте, я знаю кто такой Боб, потому что я знаю всех его друзей, и родственные связи, и я знаю что он алканавт, и если через два месяца я буду расследовать его автомобильное происшествие, я знаю что у него есть история употребления алкоголя. Это, кстати, реальный случай.



Мы нашли сообщение о том, как один чудак набухался, через несколько месяцев он вел машину в Техасе, выехал на встречную, и сбил кого-то. В больнице не сделали анализ на алкоголь, а он клялся, что он был трезв как стеклышко, и что-то случилось с его здоровьем, спазм артерий, что-то такое уже не помню, было два года назад. И мы нашли фото его пьянок, и обсуждение его друзей, где его называли конченым алканавтом, и он сел на восемь лет за убийство. Кстати, я этим очень горжусь.



Теперь обсудим очевидные источники информации. MySpace поглощает огромное количество информации. Я знаю, что у всех вас есть странички MySpace, я знаю что всем вам стыдно что они у вас есть. Но поговорим о MySpace.

Имя, дата рождения, города, школы, места работы. Музыка, – которая, кстати, многое о вас говорит. Какие вы читаете книги – тоже многое о вас говорит. Ваши друзья – говорит мне о вас всех. Где вы живете, ваши хобби, ваши дети, ваши родители, ваши братья и сестры, родственные связи, и фото, фото, фото. Краеугольный камень для следователей. Еще один краеугольный камень – ваше постоянное местоположение, и об этом мы поговорим дальше.

Политические взгляды. Знаете, не знаю как вы, но в моей юности, вы не рассказывали людям о своих политических взглядах. «Как ты голосовал?» — «Эй, не даром это тайное голосование»

Вероисповедание – я еврей, я этим горжусь, но вообще говоря, не ваше собачье дело

Сексуальная ориентация – я натурал, но это не ваше дело

История правонарушений, электронный адрес.

Финансовая информация – «Я только что получил повышение, теперь я получаю $75.000 в год» «Эй, я получил премию в $25.000 в конце года» Если я собираюсь взыскать с вас штраф, по решению суда, — спасибо!

Конфликтные ситуации, и так далее.

Вот несколько примеров.

http://habreffect.ru/files/923/a3c2a308d/bigbadass.png

Это случай из жизни «I am a big bad ass slut, and I love sucking …» Это настоящая страничка MySpace. Я закрыл ее лицо, не потому что я был обязан, ей 17 лет, и она дура. Я не хочу испортить ей жизнь. А самое забавное тут не заголовок. Два человека хотят ее найти, потому что влюбились в нее. Еще бы.


Ссылки доступны только зарегистрированным пользователям

А вот Mr. 420, это его ник, и он выдувает облако «хм, что бы это могло такое быть, в правом нижнем углу». Нет, ну серьезно! Почему вы размещаете в Сети доказательства ваших уголовных преступлений? Это ведь уголовное преступление!


http://habreffect.ru/files/72c/5f28cd878/911.png

А, и, кстати, вот за эту анкету большое персональное спасибо. Мое любимое, симпатичная женщина ростом 180 см, с арийской внешностью, заголовок странички «евреи сделали 9/11». Поверьте, если бы мы сделали, мы бы выбрали цели получше. Но вот ее имя, ее адрес, место работы, чем она занимается, друзья. Я знаю, что она неонацистское отродье. А, и еще развратница, если вы изучите страницу, но насколько глупо размещать такое в Сети?

http://habreffect.ru/files/d66/0ee589894/cocain.png

Вот внизу страницы, кокаинщики. Если я рассматриваю этого парня на должность своего управляющего, эта страничка вряд ли ему поможет.

http://habreffect.ru/files/54e/b806674ac/ganjagirl.png

А вот моя любимая. Ganja girl. Симпатичная, кстати. Правда, слишком молода для меня. Этой страничке четыре года, тогда ей было 21, а сейчас 25. Там ее имя, доказательство употребления наркотиков, она бисексуальна, ее имя, город, она управляет пиццерией, все что вы хотели бы о ней знать. Если вам нужна бисексуальная наркоманка в этом регионе, это ваш выбор.

http://habreffect.ru/files/a71/1c74173e ... urself.png

А вот это меня просто порвало. Его ник «Да убей себя на*». Он пишет «мне 19 лет, от меня пахнет порохом, меня зовут так-то, и его надежды на будущее». «Да убей себя на*» мечтает стать полицейским.

http://habreffect.ru/files/ff7/dde40b8f3/correction.png

А вот этот, я его страничку помню на память. Его имя там, его полная дата рождения там, он целится в камеру из 12-зарядного винчестера, от него пахнет порохом, и он работает в тюрьме, что меня лично очень радует.

http://habreffect.ru/files/7be/d0367290 ... fficer.png

Вот женщина рассказывает о том, как она употребляла наркотики, рассказывает где она живет, все это рассказывает, и угадайте кем она работает? Она отвечает за безопасность на заводе производящем мороженное. Солнце, чем ты думаешь?

http://habreffect.ru/files/14f/3af70d3e ... ncouth.png

А вот Captain Couth из Edmonton.

Реальная история. У меня было выступление в Калифорнийском политехе. Примерно такое же выступление как сейчас, для учащихся по направлениям информационной безопасности. И организатор конференции мне сказал «Да, я слышал ваше выступление в Curtin, и оно слишком теоретическое, найдите что-нибудь про наш политех»

Я нашел группу MySpace, под названием Cal Poly Pomona Stonahs, они все курят травку, обсуждают это, перед учебой, после учебы, в каких комнатах, с кем и как. И в этой группе настоящие их имена. На следующий день в своем выступлении я привел это как пример. И их всех арестовали.

Честное слово, я не имею ничего против личного употребления. Мне очень не нравятся те, кто поддерживают мексиканские наркокартели, и другие неприемлемые вещи, стрельба по людям, пограничные наркотики. Но мне плевать на этих людей, и их проблема была не в том, что они употребляют наркотики, их проблема в том, что они идиоты.



Теперь немного серьезнее. Люди размещают в Сети болезненные вещи. Самые личные, самые жуткие. И я этого не понимаю, но сейчас так принято. Вот пример.

http://habreffect.ru/files/7da/5b0219d28/wasabused.png

Милая молодая барышня, которую избили ее родные, и у нее случился выкидыш. Она потеряла своего мальчика, прежде чем он родился. И она пишет об этом, пишет имя этого мальчика, свое имя, и все в таком роде. Это болезненно, но сейчас так принято.

http://habreffect.ru/files/178/aab8612cc/familyrape.png

Вот еще, женщина, рассказывает о том, что ее изнасиловали, как она стала проституткой, как она избила другую девушку до потери сознания камнем. Это настоящая MySpace страничка.

Вот группа поддержки для женщин, подвергшихся насилию в MySpace. Это не закрытая группа, в нее может вступить любой желающий. Вот например эта девушка по центру, я без проблем могу установить ее личность. Задумайтесь, действительно ли она хочет, чтобы мир знал все подробности ее изнасилования? Получается что хочет. Кстати, для тех из вас в аудитории, кто имеет отношение к расследованиям, если вы не будете использовать подобные материалы для своих дел, это может выйти боком.

http://habreffect.ru/files/a57/e1f6d2829/hurtobama.png

Вот персонаж, который на MySpace писал, как он собирается навредить Обаме, и у него были видео Ку-Клукс-Клана на его страничке, и позже его арестовали за настоящее планирование нападения на Обаму, с еще одним его товарищем-скинхедом.

http://habreffect.ru/files/2bc/60bb9caa3/shameonyou.png

А вот этот товарищ, он пишет «Если вы это прочитаете и решите меня уволить, вам должно быть стыдно» Этот человек сознательно и открыто создал свою страничку. Хорошо, мне будет стыдно, но я всего равно его уволю.


Большой вопрос тут, это «кто ваши друзья?». Потому что если я знаю, кто ваши друзья, я знаю о вас все что нужно. А в этом сама суть Facebook. И кстати, самый примитивный уровень, если по вам проводится расследование, и мне нужно понять, с кем поговорить о вас, я захожу на вашу страничку MySpace или Facebook, или Twitter, смотрю, с кем вы чаще всего общаетесь, и иду к ним в гости.


Но в большинстве случаев в наше время мне даже не нужно идти к ним в гости. На Facebook, в отличие от MySpace, по статистике преимущественное большинство используют свои настоящие имена, возраст (женщины могут скинуть пару лет), электронные адреса, домашние адреса, хобби, вкусы, и ссылки на самых настоящих друзей.


Кстати, в зависимости от того, верите вы в официальные заявления MySpace о 125 миллионах пользователей, или поверите мне, если я скажу, что эта цифра на 50 миллионов завышена, в Facebook от 3 до 10 раз больше людей. Так что теперь Facebook это первое место, куда стоит заглянуть, чтобы получить о вас всю интересующую информацию. И кстати, Facebook гораздо лучше умеет впитывать всевозможную информацию. Facebook Likes, Facebook Graph, и прочая подобная чепуха. Это показывает мне все, что вас интересует, и все чем интересуются ваши друзья.

Вот, например, что делает Facebook. У них, кстати, очень крепкие нервы, раз они подобное вытворяют. Если при регистрации вы нажали не ту кнопку, по всей вашей адресной книге происходит рассылка приглашений на Facebook. «Боб только что подписался на Facebook, если вы уже там добавьте его в друзья, если нет, подпишитесь тоже и будьте вместе с Бобом».

500,000,000 пользователей, это 20% всех пользователей Интернета в мире. Около 43% всех американцев. Это умопомрачающий уровень проникновения. Это Wall-Mart Интернета. Средний пользователь проводит на Facebook больше одного часа в день. Многие проводят 5 часов в день. У меня бы глаза лопнули от такого. Но такова реальность, и, кстати, помните большую кампанию о том, что Facebook нарушает приватность? 36.000 человек решило отказаться от Facebook в результате всей этой шумихи. Да на Facebook больше людей подписывается в час. Каждый час.

Как используется Facebook. Вот тут начинается мистика. Жуткие вещи.

Ссылки доступны только зарегистрированным пользователям

Вот из ассоциации адвокатов по разводам. Первое, что они проверяют, даже прежде чем нанять следователя, это что на вашей страничке в Facebook, и что оттуда нужно немедленно убрать. Потом они смотрят страничку противоположной стороны.

В журнале Wired, который преимущественно ориентирован на публику, но иногда они попадают в точку, написали «Колонизация Сети – вот чем сейчас занимается Facebook»

И вы должны понять принципиальную разницу между Facebook и Google. Google индексирует весь Интернет. Facebook индексирует пользователей Facebook. На каждом из вас они сфокусированы, как лазер. Они хотят знать, что вы читаете, что вы делаете, где вы это делаете, кто ваши друзья, ваш возраст, ваш пол, вашу религию, вашу ориентацию, все. Они вас индексируют И, кстати, это хорошая бизнес-модель, замечательная бизнес-модель. Facebook Connect, Open Stream, все это позволяет им узнавать о вас все больше и больше.

А, кстати, прочтите как-нибудь ваше лицензионное соглашение с Facebook. Вы ужаснетесь тому, что вы подписали. Facebook заглатывает все, что хоть как-то уточняет информацию о вас. Они купили Friend Feed, взаимодействуют с Twitter, сейчас покупают туристический сайт, потому что как только они узнают, куда вы путешествуете, и чем занимаетесь, они хотят начать вам предлагать свой туристический ресурс. Они соединяются с Yelp. Почему? Потому что они хотят знать – ага, этому человеку нравится китайская еда.

Microsoft. Кто из вас знает, что такое Cassandra? Я впечатлен, 10 человек подняли руки. Это на 10 больше, чем обычно. Cassandra – это программа, всасывающая всю вашу информацию, каждую каплю вашей информации на Facebook. Они хотят анализировать вас как можно лучше, так что они создали свою программу для вторжения в частную жизнь.

И она настолько хороша, что даже правительство США рассматривает возможность ее использования. Open graph, API, социальные плагины, Like, если вы щелкаете «Likes» на странице, посвященной образу жизни геев, немедленно Facebook знает о вас это навсегда. Вы не перестанете быть геем на следующей неделе, не смотря на заявления некоторых священников из Алабамы.

Open Graph, посмотрите на Open Graph, он связывает ваш аккаунт Facebook и ваши действия внутри Facebook с вещами вне Facebook. Они не тратят время на автоматическое сканирование всей Сети, как Google, они предлагают вам делать это за них. Я Боб, и мне понравился этот сайт. Клик. Зачем вы это сделали? Я не знаю. Facebook говорит вам, что это что-то говорит вашим друзьям о вас, что-то важное для ваших друзей. Чушь. Ваши друзья это ваши друзья, они и так все что нужно о вас знают. Это Facebook нужно знать, какие вам сайты нравятся. Никто из вас не перестанет это делать, но задумайтесь об этом.


Ссылки доступны только зарегистрированным пользователям

Теперь просто пример. Вот это глава разведки Великобритании.

Ой, простите. Это бывший глава разведки Великобритании. Он и его жена выложили столько всего на Facebook, абсолютно бездумно, что теперь он «Бонд, уволенный Бонд»

http://habreffect.ru/files/342/0e216e3b6/zukenberg.png

Я хочу, чтобы вы посмотрели на эту фотографию, и спросили себя. Вы хотите, чтобы этот человек знал о вас все? Вы хотите, чтобы у этого слабака было оконо в вашу душу? Посмотрите на это лицо, подумайте, идем дальше.

Кстати, в Пакистане проходят судебные заседания, на которых решается вопрос о вынесении Zuckerberg’у смертного приговора. У меня двоякие чувства по этому поводу.

Amazon, все пользуются Amazon. Что история ваших покупок, и история поиска может рассказать мелкому хитрому следователю вроде меня? Я узнаю, что вам нравится, что вас заботит, чем вы интересуетесь, о вашем здоровье, о ваших политических взглядах, о вашей ориентации. Если вы покупаете путеводитель по Бермудам для геев, сами понимаете. Если вы покупаете книгу про рак почек, либо у вас, либо у кого-то близкого вам, рак почек.

Куда вы путешествуете, что вам нравится, что не нравится, ваши политические взгляды, ваши увлечения, ваши религиозные взгляды, ваша ориентация, все о вас. Проблема Сети, никто не думает о соединении отдельных данных. Постоянно накапливающихся, — кап, кап, кап, — уносящих с собой вашу частную жизнь. Дело не в одном поисковом запросе, например по адресу, где живет ваша девушка, о чем я теперь знаю. Не в поиске рейсов на Бермуды, — теперь я знаю, что вы летали на Бермуды.

Штука в том, что соединив это все вместе, — я знаю вашу девушку, знаю, куда вы путешествуете, знаю вашу ориентацию. Вы должны знать, что каждое ваше действие попадает в базу данных, и никогда оттуда не исчезает. И через год я могу брать вас тепленьким. Но никто об этом не думает.

Электронные книги. Я скачиваю электронные книги. EFF, Боже благослови их маленькие параноидальные сердца, выложило список, в котором отмечено нарушение приватности при использовании каждого типа электронных книг. Там и Kindle, и Nook, и все другие электронные книги.

Кстати, я сам проверяю сайт EFF каждую неделю, и вам советую. Для меня это как каталог баз данных, которые нужно срочно получить, пока они не исчезла из продажи.

EBay, PayPal and Skype. Теперь это одна компания. Все, за что вы платите в Сети, все с кем вы общаетесь по телефону, все, что вы ищете на EBay. Эта компания знает о вас все. И, кстати, что более важно, знает вашу финансовую информацию. Два из этих трех сервисов вы используете с привязкой к своим деньгам. Вы покупаете вещи. У них есть ваши банковские счета, ваши кредитные карты, и ваш домашний адрес, куда вы заказываете доставку. Они до нелепости много знают о вас. Ваше местоположение, и кстати ваших друзей, ваших знакомых, вашу деловую активность, все у них. Когда я нанимаю следователя, я признаю, я плачу ему иногда по PayPal. Это гораздо проще, чем отправлять чеки по почте.

Ссылки доступны только зарегистрированным пользователям

http://habrahabr.ru/blogs/infosecurity/100043/
скептик
Сообщения: 188
Зарегистрирован: 13.06

Анонимности нет, смиритесь. часть 2

Сообщение скептик »

Анонимности нет, смиритесь. Steven Rambam, The Next HOPE (часть 1.2)
Вторая часть перевода первой части доклада Steven Rambam «Анонимности нет, смиритесь» на конференции The Next HOPE.

Теперь поговорим о Скайнете, или как я его называю, цель номер один для правительственного запроса.


Опять же, посмотрите на это фото. Это Сергей и Ларри. Это люди, которые знают ваши самые страшные, самые скрытые тайны. Посмотрите на них. Нравится?

http://habreffect.ru/files/997/3884a1dc ... sergey.png

Сеть, блоги, группы новостей, изображения, Gmail, Google Chat и GTalk, все чертовы книги, новости Google, если я знаю, на что вы кликаете, я знаю чем вы интересуетесь, на news.google.com. Карты – если вы вводите адрес на карте, вы не делаете просто из любопытства «Хм, а где это улица Third, 48». Этот адрес почему-то важен для вас. И если по этому адресу находится китайский ресторан, я знаю, что вы с кем-то встречаетесь в китайском ресторане. Если это клиника абортов, это выдает весьма пикантную информацию о вас. Музыка Google, Боже упаси финансы Google, Google Checkout (конкурент PayPal), Google Video на YouTube, мы поговорим об этом подробнее.

Телекоммуникации Google, для тех из вас кто в курсе телефонной системы, я думаю многие из вас, и некоторые не с самими благими намерениями, Google теперь телекоммуникационная компания, абсолютно законно. У них есть база номеров телефонов, есть база пользователей, они копируют и связывают ее со всем остальным, что у них есть. Froogle вроде как загнулся, но информация у них осталась. Chrome, теперь это уже не новинка, Android, аккаунты Google, запись IP адресов.

Мы поговорим об Android. Это ведь возмутительно. Если я хочу передать на Android свою адресную книгу или календарь, я должен передать их вначале в Google. Это никого не напрягает? Я не могу взять кабель USB, к своему Mac, и синхронизировать все. Я должен всех своих друзей, родственников, и деловых партнеров, отправить это все на базу. Поэтому я пользуюсь Palm. Подумайте об этом, я уверен, не многие из вас задумывались. Календарь, где я буду в ближайшие три месяца, я должен вначале отправить в Google, и только потом получить назад. И эта информация остается у Google. Календари. Вы удаляете календари, но они удаляются только на вашем телефоне. Вы должны их оставить им для изучения, иначе вы не сможете синхронизировать свой телефон.

Все гуглят информацию, мы поговорим о деанонимизации данных позже. Но нужно понять одну вещь, если вы думаете «ага, я ищу вебсайты про BDSM, но они не знают, кто я» ОНИ ЗНАЮТ! ЗНАЮТ! Может потому что когда-то вы гуглили свое имя, может быть вы гуглили свой адрес, или ваш номер телефона. Сколько из вас, и я знаю ответ, примерно одна треть, гуглили свой номер социального страхования? Ах вы врунишки, только 20 рук поднялось. Многие из вас гуглили.

А если вы задумаетесь обо всем том, что сейчас интегировано в Google, и что говорит о вас Google. DoubleClick и AdMob уже достаточно. Но есть еще Feedburner, ленты RSS говорит мне все о ваших интересах, о ваших политических взглядах, какая ваша любимая группа техно, вы сидите на Mac, или на Linux, или… не хочу думать ни о чем хуже. Документы, Таблицы, Календари. Сколько из вас пользуется облачными вычислениями? Половина комнаты. Эта информация уже ушла. Профиль Google – как будто они и так о вас уже всего не знают, они предлагают вам внести всю информацию о вас в одном удобном месте. Google Health – вас не пугает, что Сергей Брин знает, когда вы последний раз были у проктолога? Правда?

Google Voice. Хочу у вас спросить. Кто из вас пользуется Google Voice? 85% присутствующих. Это дает Google ваш домашний адрес, ваш мобильный номер телефона, ваше место работы, и всех с кем вы общаетесь. Подумайте об этом. Правда, тут не требуется разъяснений.

Поговорим об Android. Мы обсудим это подробнее, когда будем говорить про Mac, потому что Apple делает все умнее в этом направлении, но позвольте мне заметить, что все для чего вы используете свой телефон, это еще одна течь, через которую по капле уходит ваша приватность. Пользуетесь картами Google? Это выдает ваше местоположение, и подсказывает людям, чем вы заинтересовались по этому адресу. Если это оружейный магазин, они о вас что-то узнали. Если это клиника абортов, они о вас что-то узнали. Если это адвокат по разводам, они о вас что-то узнали. Если вы отсканировали штрих-код, они знают, какие товары вас интересуют. Вы нашли фильм, они знают, что за фильмы вам нравятся.

Мобильные телефоны, повторюсь, радикально изменили правила игры. Как вы увидите, Google и Apple, которые сейчас лидируют в этом направлении, кое-что понимают. Этот мобильный телефон в вашем кармане, он отслеживает все, что вы делаете, всюду, куда вы идете, всех, с кем вы говорите, все, чем вы интересуетесь. Чем больше функций у этого телефона, чем более он для вас полезен, если вы сканируете им текст, если вы им отмечаете штрих-коды, если вы загружаете на нем карту, если вы используете Google Phone 1.1, все это попадает в одну большую книгу того, что я знаю о Бобе, или Салли, и оно никогда никуда не исчезнет.

Очки Google, гениальная штука. Во-первых это жутко полезная программа. Я могу сфотографировать картину, и оно мне расскажет все, что я хочу знать об этой картине, распознает ее и скажет «Это Мона Лиза, вот такая у нее история, и т.д.» И Google будет знать, что следующую неделю я проведу в Италии.

Сканер штрих-кодов. Я отмечаю штрих-код в магазине, и они не только знают что меня заинтересовало, телефон еще и отправляет импульсы с моим местоположением, они знают где я нахожусь с точностью до полки. И потому что это такие классные программы, вы будете ими пользоваться.

Вы пользуетесь Gmail, потому что он простой, быстрый, и дешевый. Он не показывает ваш IP адрес миру, он дает миллион гигабайт для хранения, и говорит «Не выбрасывайте ваши письма, храните их» Почему, вы думаете, он так говорит, потому что они вас любят? Потому что они хотят подарить вам 5ГБ на своих серверах? Потому что Сергей вдруг обнаружил, что вы его дальний родственник? Он хочет, чтобы все ваши письма индексировались, просматривались, связывались с другими вашими данными, чтобы была полная информация о вас, и они могли влиять на ваш выбор товаров и услуг.

А для этого им нужно понимать, как вы выбираете. Если между вами и кем-то кого идентифицировали как вашу маму, есть 100 писем о раке печени, они знают, что у кого-то из вас рак печени. И, вероятно, алгоритм способен определить, у кого именно. Gmail замечателен, но кстати, то, что ваш IP не добавляется в заголовки письма, не значит что они его не сохраняют. Обязательно сохраняют.

Очки Google – невероятное изобретение, и хороший пример того к чему все идет.

Торговля Google.

Google создал бесплатный сервис 411. Он предоставляет возможность преобразования голоса в текст, почему они дают эту возможность? Потому что если вы пользуетесь этой возможностью, а кстати Google преобразовывает все ваши голосовые сообщения в текст, даже если вы не включили эту возможность. Почему? Потому что это еще одно окно в вашу душу. Кто-то оставляет сообщение «Эй Боб, мы встречаемся там и там, и кстати там будут стриптизерши.» И теперь Google знает. Каждое ваше голосовое сообщение, оставленное у Google, на ваш аккаунт Google Voice, индексируется, будто бы оно было напечатано.

http://habreffect.ru/files/16f/b69a4d99 ... iletos.png

Кстати, прочтите текст, на который указывает стрелка. Для тех из вас, кто не может. Условия предоставления услуг Google mobile. Вы даете им право постоянно записывать, хранить, архивировать, и перепродавать ваше местоположение. А поскольку GPS и SkyHook теперь на множестве телефонов, они постоянно знают ваше местоположение с точностью до 3 метров.

Google Maps, знающие где вы находитесь. О чем вы наверное не знаете, Карты Google теперь знают, где вы находитесь. Речь не только о Latitude, у вас теперь есть Карты, которые синхронизируются не только с вашим телефоном, о чем вы наверное знаете, но и с лаптопом. Теперь в этих устройствах есть датчики местоположения.

Обсудим Latitude. Сколько из вас пользуется Latitude? Значительное число. Сколько из вас знает, что Latitude постоянно сохраняет ваше местоположение, и архивирует его навсегда. Вы можете удалить эти данные у себя, они не будут показываться, но Google все равно хранит их.

Вот пример того, что сейчас в разработке. И я хочу сказать, это гениальная программа, очень функциональная программа, и невероятно нарушающая приватность программа. Она называется Geochron, Geochron позволяет задавать события в зависимости от местоположения. Вы можете настроить Geochron на отправку SMS жене, когда ваш поезд подъезжает к вашей станции. «Милая, приезжай и забери меня» Это гениальная программа. Невероятная функциональность.

У вас 14летняя дочь, и вы знаете, что она встречается с плохим 17летним парнем? Вы можете настроить ее телефон, и он будет отправлять вам сообщение «Она рядом с домом Винни», когда это произойдет, когда ее телефон окажется в радиусе полутора километров от дома Винни. Замечательная возможность? Да. Люди будут этим пользоваться? Да. Будет ли вся эта информация собираться и обрабатываться? Да.

Google гениален. Не только в том, что в отличие от Apple и Nimrods, делает программный код открытым для мира, но и в той функциональности, которую он предоставляет вам. Они дают плагины, дают API, они хотят чтобы вы писали программы, которые нарушают приватность, помогали задокументировать каждое действие пользователей Android.
Раньше они делали акцент на девизе Google Chrome «большая часть взаимодействия пользователя с миром происходит в Сети», больше они так не говорят. Они знают, что большая часть теперь происходит на телефоне, и преимущественно когда вы вне Сети.

Google TV, сколько из вас знает, что Google сейчас работает с Logitech, Sony, и Dish network, над созданием устройства. Google будет знать, когда вы спите, когда вы проснулись, когда вы смотрите порно, когда вы сидите перед телевизором, и что вы смотрите. Что вы смотрите, уже говорит многое о вас. Сколько вы времени проводите за телевизором, многое говорит о вас. Когда вы дома, многое говорит о вас.

Google Music. Google не нравится, что у Apple такое большое проникновение iTunes, и они запускают Google Music, и я гарантирую, что они найдут способ связать этот сервис с каждым чертовым другим сервисом, который у них есть, включая разумеется и телефоны Android. Нет ну правда, на телефоне Apple у вас iTunes, и на телефонах Android будет Google Music, и они потеснят Apple на их рынке. Не могу сказать, что я расстроюсь от пинка по Steve Jobs.

Google Электроэнергия и Измерение. Да, ребята, Google будет поставлять электроэнергию. Все большему и большему числу людей, они запустили публичный сервис, и будут продавать электроэнергию. Они будут знать, сколько вы используете энергии, и что вы делаете, и кстати это обязательное условие при покупке электроэнергии у Google, вы обязаны использовать так называемое «интеллектуальное замеривание» которое означает что многие ваши устройства будут подключены к Скайнету. Они смогут определять по скачкам потребления мощности холодильника, что вы его открыли, а теперь закрыли, а теперь вернулись к телевизору, включили канал, вы пошли в спальню – вы включили там свет. Меня это невероятно сильно пугает. И это не секрет, вы можете пойти в блог Google, и Google вам расскажет, что именно это они и делают.

Путешествия Google. Google хочет знать, куда вы путешествуете, они только что купили туристическую компанию.
О Новостях Google мы уже говорили.

Кстати, слушайте, вот есть сервис Bit.ly, все тут пользуются Bit.ly. Все вообще пользуются Bit.ly. Если я кликаю на ссылке Bit.ly, и оно мне отправляет «шлепнименя.ком», кстати я это постоянно использую как пример, не подумайте чего лишнего, так вот каждая сокращенная ссылка что-то говорит о вас. Google это не нравится. Google сходит с ума, когда кто-то знает о вас что-то чего они не знают. И они запустили goo.gl. Теперь у них тоже есть сокращалка ссылок. Кстати, если вы обратите внимание, Google постоянно делает вещи, чтобы подгадить Apple, а Apple делает вещи, чтобы подгадить Google.

Apple, как вы увидите когда мы дойдем до Apple, в новой версии Safari, вырезает рекламу. Стив Джобс это делает, потому что любит вас? Нет, Стив Джобс это делает, чтобы только Apple могла показывать вам рекламу. Они вырезают всю рекламу Google. Умно, согласитесь.

Google делает то же самое. Слушайте, мне нравится играть в Mafia wars, я признаю, но больше я в них играть не буду, потому что если я буду в них играть, Google узнает, сколько времени я играю в Mafia wars, и все те постыдные вещи, которыми я занимаюсь, пока играю в Mafia wars. Они сейчас купили, о чем никто не знает, контрольный ли это пакет или просто заметная многомиллионная доля, в компании, которая издает Mafia wars.
Google Wave. И еще раз, Google гениальная компания. Пугающе гениальная компания. Они видят нишу, они разрабатывают лучший продукт для нее, и всасывают в себя каждый бит информации, какой могут. Сколько из вас пользуется Google Wave? Больше половины в комнате. Это прекрасный ресурс. Феноменальный ресурс, невероятная платформа для сотрудничества. Но подумайте, какую информацию он предоставляет о вас? Когда вы используете доску, когда смотрите видео вместе, когда сотрудничаете по проекту, отправляете его туда и назад. Это как будто

Google был еще одним участником вашего проекта. Гениально, функционально, фантастично всасывает каждую каплю вашей личной информации.

Слушайте, ребята. У Google есть свой чертов спутник. Скайнет!!! Я не параноик, я пользуюсь всей этой информацией для своих целей, и признаю что это двигатель капитализма. Google прекрасно справляется с тем, за что берется. В результате я купил акции Google. Пользуюсь кучей их продуктов. Но я должен вам сказать, Google всасывает все, что вы делаете. У Google достаточно RAM, не серверов, у Google сейчас, в их серверных фермах, достаточно RAM, чтобы сохранить всю информацию Сети. Подумайте об этом.

Это не преувеличение, я это не выдумал, это на самом деле так. Просто чтобы вы могли себе представить, насколько гигантская это компания. Они добавляют хранилища не дисками, не стойками, а комнатами, и планируют серверные фермы не в квадратных метрах, а в гектарах. Которые соединены их частной оптической сетью, их выделенными сетями, и питаются энергией от частных электростанций. Это Скайнет.
В 2006м, хотя мой доклад прервали, я говорил, что будет убийство, которое будет раскрыто благодаря Google.

Так вот, жизнь преподнесла пример. Был человек, он пришел домой, и якобы сидел женой на кухне, несколько плохих людей в лыжных масках врываются в дом, он с ними борется, его ранят, убивают его жену, и убегают, он звонит 911. Ну, Боже благослови следователя из Флориды, который расследовал это дело, потому что он обнаружил, что несколько месяцев назад этот парень гуглил «травма вызываемая ранением в правую часть груди». Мистер Барбер был приговорен к смертной казни, и приговор принесен в исполнение. Вы – это то, что вы гуглили.

Теперь насчет «не причини зла». Google прекрасно ориентируется в социальных симпатиях, и социальных волнениях. Если вы используете Google, должны быть одни только позитивные впечатления, так ведь? Это чушь, «не причини зла» — полная чушь. Google, это свирепая, агрессивная, хищническая корпорация. Их цель не общественное благо, не польза обществу, их причина существования, их основная бизнес-модель, это знать все обо всех и всем, и особенно о вас, и продавать эту информацию. И они делают из ряда вон выходящие вещи. И когда люди говорят им «нельзя так поступать», они отвечают «да пошли вы»

Вот несколько примеров: Street View, сканирование книг и право собственности, YouTube, нарушение торговых знаков

Street View. Теперь на фотографиях из Нью-Йорка Street View закрывает лица. Почему? Человек, которого зовут Кевин Бэнкстон, как-то раз проверил на Street View свой адрес. И увидел себя, идущего мимо собственного дома. Он написал Google «эй, я не давал вам разрешения на фотосъемку». Они ответили «да пошли вы, никаких ожиданий приватности, вы были на улице». Круто. Они не знали вот чего – он мало того, что юрист, он еще главный консультант EFF. Очень-очень плохой ход, Сергей. После всяких разных противных юридических штук, в итоге Google сказал «Хорошо, мы уберем ваше фото, и будем закрашивать фотографии, но только там где вы можете быть». Если он поедет в Огайо, его все еще могут щелкнуть.

http://habreffect.ru/files/058/df5057bb ... eroads.png

Кстати, Google регулярно нарушает правила о частных дорогах. У меня есть пару отличных историй, но об этом позже.

Теперь Google продвигается в помещения организаций. Как будто бы было недостаточно ловить вас снаружи, теперь они ловят вас и внутри.


http://habreffect.ru/files/249/0c875fe8 ... nside1.jpg
http://habreffect.ru/files/8b9/15e43cf7 ... nside2.jpg

В своем блоге Jank Hank описывает, как, войдя в продовольственный магазин, он был поражен присутствием в нем фотографов от Google. Он, наверное, подошел к нему и спросил «что происходит?», и ему ответили «не волнуйтесь, это Google». Жители Нью-Йорка понимают эту шутку.

Как бы то ни было, но теперь Google делает фотографии и внутри тоже.

Google сканирует каждую книгу. Вот у меня скоро должна выйти книга, я страдал чтобы эта книга вышла, тысячи часов, нервы от необходимости иметь дело с каждым видом идиотов, который вы только можете себе представить, не говоря уже о моем агенте и издателе. Понимаете, это было… можно сказать, я родил. Я раньше слышал, как люди говорили, что они родили книгу, так вот это во многом, правда. Google говорит «спасибо за мучения, и тысячи часов вашей жизни, и душу, и творческий процесс, теперь мы ее возьмем, и отсканируем всю, от корки до корки». И они это делают, полностью пренебрегая авторским законодательством. По этому поводу, кстати, идет война в судах.

Новости. Вы были на news.google.com? Там Times, там Wall Street Journal, там P, и ваша местная газета тоже там. Они разрешали это Google? Нет. Google показывает рекламу за счет чужого контента, за который владельцы заплатили репортерам, и фотографам, и редакторам, и кому только они не заплатили, чтобы его создать? Да. Google говорит «New York Times, у вас бюджет в $200.000.000 в год, или $500.000.000 в год, спасибо за создание всего этого контента, теперь мы будем с его помощью продавать рекламу, а вы можете идти к черту». Абсолютный нигилизм.

Поймите следующее – Google это огромная сила сам по себе. В прошлом (2009) году выручка Google составила $23.61 миллиарда. Если им понадобятся юристы, они могут нанять любых, каких им захочется. Их чистая прибыль составила $6.5 миллиарда. Стоимость их активов — $43 миллиарда, из которых $26 миллиардов – это финансовые активы. Кстати, посчитайте, получается, что у них инфраструктура стоит $17 миллиардов. Меня эта цифра пугает больше, чем сумма их финансовых активов.

Еще один момент о Google, прежде чем мы перейдем к следующей теме, потому что мне правда ускориться и показать вам некоторые интересные вещи. CNET решила проинтервьюировать Google. Они позвонили Google, Google сказал «Конечно, приходите к нам в центральный офис, мы устроим встречу с ответственным за PR» А репортер, прежде чем пойти туда, решила погуглить информацию о человеке, с которым ей предстояло встретиться. И в разговоре она затронула тему частной жизни. И сказала «Кстати, я тут погулила о вас, и вот что я нашла – имя вашей жены, место жительства, имена детей, ваши увлечения, и так далее» Досье на 53 страницы. Парень выпал в осадок, прекратил интервью, выставил ее из кампуса Google, и на год запретил CNET брать интервью у Google. Не похоже, чтобы он сам был готов принять ту реальность, которую создал для других. В общем, не гуглите про Google.

И еще раз, зачем они это делают? Почему они знают все, что вы искали, всюду куда вы ходите, все важные для вас письма, весь ваш календарь, документы которые вы готовите, какие вы читаете книги, что вы делаете с мобильным, какие фотографии – они ведь купили Picasso, какие блоги вы читаете, в какие блоги вы пишете, почему это все для них важно? Потому что они хотят вам продавать товары. Не потому, что они хотят нарушать вашу приватность, хотя Сергей Брин и похож на маленького рыжего Бориса Беднова. Потому что они хотят вам продавать вещи. И чем больше они о вас знают, тем больше смогут вам впарить.

Нужно упомянуть. Телефоны Android делают скриншоты. Регулярные скриншоты всего, что вы делаете на телефоне, сохраняются в память. Простите за выражение, погуглите, чтобы проверить.

Появляется нечто, что я называю следующим образом. Я решил отчеканить эту фразу «Гуглозависимость».

Подумайте о том, как они вас поймали на крючок, Android как о ключевом наркотике, Gmail как ключевом наркотике. После использования этих высасывающих приватность сервисов, — Calendar, Gmail, адресная книга, документы Google, телефоны Androids, — хотя бы на протяжении года, вы попались на крючок. И нет никакой программы «брось Google за 12 шагов», нет «анонимных гуглоидов», вы на крючке и вы с него уже не сорветесь.

Подумайте, насколько сложно для вас будет отказаться от Gmail, отказаться от Google Voice, убрать все из документов Google, из таблиц, выбросить свой телефон от Google, и все дополнительные функции, которые вы в него запрограммировали.

Google делает нечто гениальное. Пока еще это не просекли многое, возможно не в этой комнате, не на хакерской конференции, но самая гениальная вещь, которую делает Google. iPhone – это гитлеровский телефон. Для всего, что вы хотели бы сделать, вы должны спросить разрешения у Apple. Можно мне пожалуйста-пожалуйста программу для этого? Можно мне пожалуйста-пожалуйста выгружать песни в iTunes? А программу? Можно мне пожалуйста-пожалуйста синхронизировать мой телефон? IPhone, безусловно, не смотря на то что вы его купили, он ваш, в нем ваши данные, ваша собственность, ваш товар, ваш электронный адрес, все равно принадлежит Apple, и вы соответственно тоже. Такие у них условия использования.

Google же делает все гениально. Google до сих пор следовал неписанным законам Сети. Он говорит «мы даем вам бесплатную программу». Я общался с некоторыми людьми, которые пользовались этим, и это похоже, если вы вспомните старые времена, на то как это было с Маками, когда вышел HyperCard. В течении следующих недель, максимум пары месяцев, появится возможность создавать собственные программы для телефонов Android. Т.е. если вам нужна какая-то программа, и для этого еще нет приложения, сделайте свое собственное. И когда вы начнете это делать, вы станете еще больше зависеть от Google. Когти Сергея Брина глубже вопьются в вашу шею, высасывая последние капли приватности.

Поймите, в чем суть сделки. Телефоны Android феноменальны. Они невероятны. Они полностью соответствуют ожиданиям от телефона. Но все, что вы с ними делаете, передается в Google. Но это не помешает вам остановить свой выбор на телефоне Android. Это может даже меня подвигнуть перейти на Android. Возможность запрограммировать телефон, чтобы он, например, спел песенку, зашел в комнату, и открыл дверь для меня. Это как Borgи. Правда, человечество будет ассимилировано. И через какое-то время вы сами придете и скажете «Берите меня».

Но они делают это блестяще, не так как нацистский Apple «Вы принадлежите нам, вы будете делать только то, что мы вам скажем». Нет, Android говорит «Делайте что хотите, но сообщайте нам об этом». Так ведь?
Для тех из вас, кто говорит «О Боже, я и не подозревал, что Google собирает и анализирует всю эту информацию».

Я должен вам сказать, что выход есть. Слушайте внимательно, тишина в комнате, потому что это очень-очень важно, это новостной сюжет, который я недавно нашел, и в нем рассказывается, как освободиться от Google.

http://www.youtube.com/v/lMChO0qNbkY&co ... edded&fs=1

Еще один важный момент – этим занимается не только Google. Ваше внимание стоит денег не только для Google, но и для всех остальных. И дальше я на крейсерской скорости пройдусь по всем другим людям, которые высасывают вашу приватность.

Yahoo. О Yahoo меньше говорят, чем о Google, но у них почти столько же почтовых аккаунтов, как и в Gmail, есть группы Yahoo, есть My Yahoo, их позиции очень сильны в Европе и Азии, веб-хостинг, электронная коммерция, и они сразу предупреждают вас. «Когда вы регистрируетесь в Yahoo, и входите в наши сервисы, вы не являетесь анонимом». Почему они это делают? Потому что они хотят продавать ваши данные. И они говорят об этом – «выдавливаем каждую ценную каплю из данных пользователя» Это не секрет, но всем похоже наплевать. Вот, если вы взглянете на Yahoo с точки зрения маркетинга, они гордятся тем, что у них 500 миллионов пользователей, знают их предпочтения, неприязнь, их привычки, увлечения, все что они делают, и с радостью продадут вам внимание этой аудитории. Yahoo делает это не потому, что хочет контролировать каждый ваш шаг, а потому, что хочет зарабатывать на вашем внимании.

Microsoft. Знаете, я вырос во времена, когда Microsoft считали главным злодеем. Сейчас мне не верится, что тогда мы считали большим нарушением приватности то, что они не хотели исключить Internet Explorer из своей операционной системы. Это было актуальной темой целый год, правда? Я тоскую по тем временам.

Поговорим о деанонимизации. Это очень важный момент. Вы думаете, что когда вы ищете что-то в Сети, смотрите видео, отправляете почту, вы анонимны? НЕТ! Позвольте вам сообщить, все что вы делаете, шаг за шагом, говорит о вас все больше и больше. Все это направляет Google, а по совместительству и меня, к пониманию того, кто вы на самом деле.

Через день я буду знать, мужчина вы или женщина, где вы живете, где вы работаете, а если у меня будет еще и телефонный номер, например, если вы пользуетесь Интернетом с телефона, я получу из базы данных ваше имя, буду знать ваши перемещения на протяжении дня, все остальное. Но допустим, что вы выбросили ваш телефон, и мы говорим только о ваших действиях в Сети.

Я хочу вам сказать, что ваш браузер, с учетом плагинов, ваших действий, cookie, регулярности посещений определенных ресурсов, абсолютно уникален. Открываете ваш браузер, посмотрите на свойства, и поймете, что он выступает в роли идентификатора, это отпечаток, цифровой отпечаток. И EFF, Боже благослови их стареющие сердца радикальных хиппи, у них есть инструмент для просмотра профиля браузера, и все что вам интересно он вам покажет.

Вот один пример. Конгресс США, в своих безудержных попытках нарушить вашу приватность, направил правительственный запрос каждому поисковому ресурсу с требований выдать всю историю поиска. AOL ответил – мы передадим вам эту историю, но уберем оттуда имена. У вас будет все, что они искали, но не будет имен, IP адресов, и других идентификаторов. Поскольку эта информация была передана Конгрессу, она стала публично доступной,

New York Times отправил запрос по программе FOYA, получил миллион поисковых запросов, и начал анализировать. Вот кто-то кто искал «60летний одинокий мужчина», «ландшафтные дизайнеры в Джорджии», «поселок Shadow Lake», «Арнольд», и «собака которая мочится на все». Когда NY Times поехали в поселок Shadow Lake, в Джорджии, они на самом деле нашли там человека Арнольд, которому было за 60, и у него была собака, которая действительно мочилась на все. Не так сложно деанонимизировать историю поиска.

http://habreffect.ru/files/30e/db598b85 ... owlake.png

Кстати, по ходу дела, не так сложно деанонимизировать и ваш номер социального страхования.

http://habreffect.ru/files/1bb/2c9d0506 ... iclick.png

Вот, опять же, от EFF, PanoptiClick, посмотрите и ужаснитесь.

Вообще, все тут специалисты в информационной безопасности, и знаете о том, что каждый браузер уникален, плагины уникальны, история поиска уникальна, версия браузера уникальна, это отпечаток. Есть научные труды, написанные об деанонимизации данных.

http://habreffect.ru/files/276/beea394a ... device.png

Вот как пример, работа по удаленной идентификации физических устройств (pdf).

Правительство США спонсирует эту разработку, которая позволяет удаленно попасть на ваш сетевой принтер, и идентифицировать его. Как попасть в терминал, и идентифицировать этот терминал. Удаленное получение отпечатков физических устройств. Нагуглите это, и начинайте бояться, сильно бояться. Еще раз, это все не новости, но люди не думают об этом. Cookies, история обзора страниц, история загрузок, встроенная графика.
Думаете вы ушли со страницы? Нет. Микро-страницы, URL с вашим именем, электронной почтой, или даже паролем, к сожалению я вижу болезненно часто.

Flash cookies. Вы не можете удалить flash cookies. Сколько людей знает, что такое Flash cookies? Когда я задаю этот вопрос в обычной аудитории, в лучшем случае один человек поднимает руку. Для тех из вас, кто не знает, что такое flash cookies, это постоянные cookies, которые нельзя удалить очисткой куки в браузере, и они позволяют восстановить всю вашу историю посещения страниц. Flash cookie хранит всю вашу историю, и потом выдает ее в обычные куки, после того как вы думаете что удалили ее. Сюрприз!

О, это мой любимый ресурс. AbandonmentTracker. Сколько из вас, не из этого города, бывали в чудесных магазинах электроники на Time Square? Вы заходите, смотрите на камеры, качаете головой и уходите. И кто-то сразу же походит к вам на улице со словами «Мистер, мистер, вам понравится эта камера, давайте я вам расскажу про эту камеру, это отличная камера, сколько вы заплатите за эту камеру?» А это интернет-версия подобного. Вы уходите с веб-сайта, AbandonmentTracker фактически следует за вами на следующий сайт, и говорит «Секундочку, почему вы ушли, расскажите нам пожалуйста?» И подобного в Сети становится все больше и больше, они идут за вами на следующий сайт, хотят видеть куда вы ушли. Скажем вы на amazon.com, а потом пошли на ebay, агаа, по каким-то причинам Амазон не смог продать вам этот товар.

AbandonmentTracker отслеживает вас, даже когда вы думаете что уже ушли. И в своей рекламе они рассказывают, что 50% человек отвечает на вопрос, почему они ушли, и получают почтовые адреса, IP адреса, и в общем они хвастаются как они приставали к людям, и какой процент из них вернулся.

В итоге, вы в лучшем случае наполовину анонимны в Сети, если вы предпринимаете какие-то действия для этого. Но многие вещи для идентификации находятся на сервере. Вот почему меня очень пугает, что Google становится интернет-провайдером. Для тех из вас, кто не знает про NebuAd и про Phorm, это сервисы каталогизации поведения, размещающиеся на сервере. Это не вопрос того, что вы делаете в Сети, они исследуют все, что проходит через маршрутизатор.

Отслеживание ваших кликов также позволяет вас однозначно идентифицировать.

Нужно ли поднимать вопросы конфиденциальности информации в облачных вычислениях?

Monster.com, вы размещаете там свое резюме, читаете чужие резюме, их там десятки миллионов. Люди описывают там всю свою жизнь, и работу. У этого ресурса также есть множество клонов. Вся история получения образования, зарплатная история. Когда я расследую дело, и мне нужна информация, я захожу и туда.
ZabaSearch, устарел, но там все еще есть ваша старая адресная история.
Zoominfo, как ни странно но тоже помогает.
Каждый торрент-сайт, каждый сервис блоггинга, каждый ресурс финансовых опросов, все что вы делаете, все больше и больше заглатывается.
Еще мне нравится onsamehost.com
Потом есть целая категория сайтов, посвященных тому, как люди поливают грязью друг друга. Следующие два меня просто порвали.

Don’tDateHimGirl (не встречайся с ним, девченка) – нет, ну серьезно?!
«Этот парень воспользуется тобой, как никто другой. Он курит траву целыми днями, каждый день. А если он не покурит, он взбесится. Он не умеет контролировать злость.»

http://habreffect.ru/files/51d/ffe27f2c ... nawter.png

«Это Jonathan John Rainwater. Этот мужчина, или так сказать парень, такой лжец. Вначале он говорил, что любит меня, мы встречались четыре года, а потом я застукала его в постели с другим парнем, Devin Pridemoore»
WhosARat.com – это веб-сайт посвящен информаторам, внедренным полицией в банды.


----------------------------------------------------


Если кому-то нужно, Ссылки доступны только зарегистрированным пользователям на архив с английским и русским скриптами этого доклада.
пароль habrahabr.ru


http://habrahabr.ru/blogs/infosecurity/100530/
скептик
Сообщения: 188
Зарегистрирован: 13.06

Re: Анонимности нет, смиритесь.

Сообщение скептик »

Изображение
социальные сети, одноклассники, вконтакте, досье, анкета, информация, кгб,
StreetRacers
Сообщения: 225
Зарегистрирован: 26.02

+

Сообщение StreetRacers »

Анонимность реальная и мнимая
http://www.youtube.com/watch?v=oCGqJsEYEi4
осторожно: в итоге передачи зрителей подводят к кошерному (!) мнению, что в социальных сетях лучше быть самими собой (!);
но здравомыслящим гоям лучше сто раз подумать, прежде чем создавать свои учётные записи в "социалках", а если у вас они уже есть, то необходимо быть осторожнее и внимательнее, особенно если ведёте прогойскую деятельность.


здесь русскоязычные "человеки" одной ближневосточной страны также болтают на тему социальных сетей
Iton-TV: Социальные сети придуманы спецслужбами
http://www.youtube.com/watch?v=VDzTMRDQCpA
StreetRacers
Сообщения: 225
Зарегистрирован: 26.02

фильм "Интернет. Ничего личного" (Франция, 2010)

Сообщение StreetRacers »

http://www.youtube.com/watch?v=23yOiJ3AW5o
В начале 21 века с формированием среды Web 2.0 в интернете произошла настоящая революция. С появлением блогов, социальных сетей, каких как Myspace, Facebook и Twitter, любой человек может запросто опубликовать свой текст, песню или фото, причем совершенно бесплатно. Сотни миллионов пользователей принялись рассказывать о своей жизни. Некоторые люди появляются в сети под своим настоящим именем с настоящей фотографией, рассказывают о реальной семье, друзьях и работе. Откуда такая тяга к откровенности? В крупных западных городах часть населения страдает от одиночества и замкнутости своей жизни. Интернет в такой ситуации выглядит спасением. Авторы фильма провели весьма разностороннее исследование и выяснили все "за" и "против" откровений в мировой паутине.

Гои, задумайтесь, зачем и как именно против вас может быть использован социальный интернет (социальные сети, чаты, блоги...) и кому они выгодны.

Изображение

Изображение

Изображение

Изображение

Изображение
Кроссель
Сообщения: 21
Зарегистрирован: 01.05

Технология развода при покупке через интернет

Сообщение Кроссель »

Столкнулся с таким вот интересным явлением. Как то хотел купить дешевый (пару раз запилить надо было) электролобзик через интернет, перерыл несколько сайтов на первой странице - цены были порядка 500-700грн. Вообщем не выбрал ничего, отложил покупку. Потом, как обычно несколько дней начали с боку вылазить баннеры"покупайте лобзик, лобзик быстрей покупайте", уже смотрю - можно взять за 270-300 грн. нормальный лобз. А до этого, даже через фильтр не было таких цен, да и отзывы нормальные о аппарате. Мой вывод: существует технология онлайн"прощупывания" платежеспособности потенциальных покупателей. Порой на один и тот же аппарат цена может колебаться в два раза.
Mahinator
Сообщения: 22
Зарегистрирован: 15.06

Re: Анонимности нет, смиритесь.

Сообщение Mahinator »

Ништяк конечно тема... я под впечатлением весь день ходил.

Но тут возникла идея, что все это может быть на нашу пользу.

Эсли это всё правда, то есть, после того как мы входим в почту и попутно "гуглим", то все следы наших действия обобщаются, систематизируются и хранятся на жестких дисках, а вслучае чего могут использованы против нас.

Можно сделать "ответку" вражеским действиям. Подставить некоторых под удар правоохранительных органов.

Но нужно будет действовать методично.
1. В одном интернет кафе набрать данные некоторых руководителей, если они зарегистрированы в сетях, таких как G-mail, Facebook, и других. Берем Ф.И.О., фотки, места жительства, о домашних питомцах, о том что они высказывают. Если они не зарегистрированы, то берем то, что найдем, но фотки и Ф.И.О. должны быть всегда.

2. Идем в другое интернет кафе, собираем информацию о нераскрытых преступлениях, берем Ф.И.О. жертв (полностью без ошибок), места совершения, и пока всё.

3. Идем в третье интернет кафе. Если умеете пользоваться прокси-сайтами, заходим с европейских прокси, но можно и обычным способом. Регистрируйтесь на какой нибудь почте (например на G-mail) с иницалами руководителей-врагов, жидов, вставляем фотки, их лозунги, увлечения.

4. Регистрация и вход в почту завершен и пусть стоит в таком положении пока. Теперь война.
А) Открываем другое окно и начинаем "гуглить" непристойные вещи, поиск наркоты, купить подешевле, купить оружие, что-нибудь негативное про чиновников.
Б) Или же данные о преступлениях, найденные в пункте "2" вводим в анкету зарегистрированной почты, например, бедная Агата Кристи в ту ночь 22 февраля (можно добавить и год) она была так мила со мной.
В) Попутно регистрируемся в форумах с другими логинами (любыми все равно все учитывается) где обсуждаются "преступления" и там делаем заявления, типо вы все тупые, а это сделано мною, все беру на себя, так ей и надо.

5. Выходим с почты, и сматываемся. По идее вся информация плюсуется в личное "электронное дело" человека с чьими Ф.И.О. это зарегистрировалось. Да хоть Обамы! Но нужно тогда будет печатать на иностранном языке.

Но смотрите, будьте внимательны к врагам. Не желательно делать зла тому, о ком вы не можете сказать что он ваш враг, ивер, жид или еще кто нибудь. Если перепутаете, то можете подставить своего гоя, кто в это время может ведет войну на вражеской территории.

Если такое выполнить не возможно, типа все безрезультатно. То пожалуйста напишите внизу. Я в таких делах не специалист и написал то, что пришло в голову.
StreetRacers
Сообщения: 225
Зарегистрирован: 26.02

Евреонал против анонимности гоев в интернете

Сообщение StreetRacers »

Способы, которыми иверы могут запретить доступ к средствам анонимности, чтобы после этого сразу же отслеживать и вычислять опасных инакомыслящих гоев


Рунет обречённый (ссылки на статью из 2 частей)

http://blogerator.ru/page/runet-obreche ... -dpi#print

http://blogerator.ru/page/runet-obreche ... ra-2#print

(сюда на форум эти тексты скопированы для архива; в текстах есть зачёркнутые слова, так что если здесь непонятно, то читайте там)


и сюда же один из отзывов к 2 части:
Евгений
22.09.2013 в 15:53

Есть ещё пара моментов, не упомянутых автором.

Во-первых, по идее государству нет особого смысла полностью болкировать упомянутые взможности. Достаточно сделать их использование возможным "только для гиков". Например, найти и заюзать Tor-браузер может любой не-гик. При блокировании публичных нод нужно сделать действия, труднодоступные "Тёте Вале", а включение какого-нибудь "хитрого режима" уже недоступно практически всем "хомячкам". Чуть-чуть надавить - и для работы с Tor потребуются знания, "запредельные" для хоум-юзера. Самый популярный вопрос на "Ответах Мейл Ру" - где скачать такой-то фильм без торрента. Хомячкам недоступен даже торрент [ГДЛБ! это про ваш уровень развития!] - они его использовать не умеют, не говоря уже о каких-то настройках.

Второй момент в том, что запретив использование каких-то программ, можно банально отследить наличие этой программы на компьютере. Антивирусами пользуетесь? В два счёта можно договориться с производителями о некоем модуле, "стучащем куда нужно" о присутствии такой программы. Да просто занести сигнатуры в базы антивиря - и больше половины пользователей проблему не решит.

Достаточно довести задачу до степени "доступно только для гиков", а гика поставить в ситуацию "можно легко схлопотать не по детски".


(дополнительно по этой же теме можете глянуть
http://habrahabr.ru/post/209312/
"Тройной удар для Рунета: идентификация пользователей, контроль сайтов и электронные платежи")



часть 1

Рунет обреченный: замуровали, демоны

В последнее время часто возникают разговоры о текущих и будущих повальных блокировках сетевых ресурсов, о грядущей потере связности единой сети Интернет. В противовес намереньям светских властей «держать и не пущать», все чаще приходится сталкиваться с абстрактными инициативами независимо настроенной технической братии, считающей анонимность в Сети своим «священным Граалем», принимая подобные наезды государства за святотатство и кощунство. Все чаще в дискурсе этой части сетян применяются колюще-режущие по отношению к цензуре инструменты типа VPN, Tor, i2p и т.д., которые якобы разнесут в пух и прах ограничительные инициативы государства.

Ниже я предлагаю свою, противоположную точку зрения, почему все эти усилия против цензуры тщетны, — нет, технарям не получится обойти эти препоны, если против них начинает играть их родное государство.

Изображение


С чего кончается Родина?

Многие молодые технари хотят победить заразу цензуры и блокировок, воспользовавшись сервисом частного виртуального тоннеля (VPN), который позволит лихо обойти все препятствия, чинимые государством на пути любознательного гика. Давайте рассмотрим первый вариант — блокируемый сайт находится в рамках самого Рунета, т.е. хостится на серверах, подключенных к одной их многочисленных региональных сетей России, совокупность которых и принято обозначать емким термином «Рунет».

Символическая схема фильтрации Рунета для этого случая будет выглядеть примерно так:

Изображение

Пояснение к схеме — каждая из огромного множества российских сетей на данный момент обязана фильтровать весь входящий и исходящий трафик в точке сопряжения с внешними сетями.

Список для фильтрации дважды в день выгружает согласно установленной процедуры уполномоченный на то Роскомнадзор.

Таким образом, в какой бы российской сети не находился хостер, на мощностях которого размещен «забаненный сайт», как правило, хотя бы в двух точках сопряжения сетей весь транзитный трафик между ним и абонентом из «внешнего мира» будет прочищен от запрещенной информации. Получается, что если даже у вас VPN физически расположен в самой демократически свободной стране мира — США (гипотетическое утверждение), то забаненный в РФ ресурс будет вам точно так же недоступен, как и непосредственно с территории самой России.

Таким образом, мы видим, что VPN «во внешний мир» бессмысленен для сайтов, заблокированных Роскомнадзором и физически находящихся в пределах (сетях) самого Рунета. Какой смысл от того же VPN, когда все транзитные провайдеры во внешний мир отгружают лишь предварительно отфильтрованный вариант российской сетевой действительности?

Прежде чем перейти к следующему варианту, внизу привожу совсем немного статистики, чтобы помочь более емко осмыслить это первое утверждение на примере из голых цифр. По состоянию на начало 2013 года большая часть сайтов из домена .ru физически хостилась на территории РФ — именно эта часть Рунета может исчезнуть в любой момент времени из поля вашего зрения, попав по одной из многочисленных причин в реестр Роскомнадзора, — и, как я показал выше, даже могущественная технарская магия в лице VPN/Tor/etc здесь будет бессильна.

Изображение


Проблемы власти: англосаксонский домен

Хорошо, давайте рассмотрим ситуацию в отношении другой половины сайтов, которые предусмотрительно разместились за пределами той самой «я другой такой страны не знаю, где так вольно дышит человек».

Общая схема работы VPN для пользователя из России в этом случае будет примерно такова:

http://i.pixs.ru/storage/6/7/8/blogerat ... 771678.png

Как видно из схемы, пресловутые siloviki здесь ничего поделать (пока) не могут. Но как меня учили на физмате, реальная суть физических процессов наблюдаемых в природе — это непрерывная динамика, а не абстрактная статика здесь-и-сейчас. А динамика процессов, бурлящих в siloviki_land сейчас, такова — далее по пунктам.


Делаем раз: средства анонимизации вне закона

Пару недель назад общественный совет при ФСБ России, конечно, по чисто случайному совпадению, продекларировал, что он:

считает необходимым совершенствование правового регулирования деятельности юридических и физических лиц, распространяющих информацию в интернете. В связи с этим советом были сформированы предложения к законодателям о необходимости запретить использование анонимайзеров — программ, маскирующих информационные данные и IP-адрес пользователей».

Инициатива силовиков подразумевает запрет программного обеспечения или браузеров со встроенным анонимайзером (таких как браузер Tor). Кроме того, к маскирующим инструментам относятся и прокси в виде веб-сервисов — «автономные сайты, при помощи которых пользователи могут без установления специальных программ переходить с измененным IP-адресом на блокируемый сайт».

Как говорят эти же источники, подобные поправки будут скоро внесены в федеральный закон РФ «Об информации, информационных технологиях и о защите информации».

Изображение


Одновременно директор ФСБ РФ Александр Бортников заявил прессе:

Необходимо переходить от тактики выявления, фиксирования и блокирования работы сайтов, используемых экстремистами в своей деятельности, к активной информационной работе в киберпространстве».

Подготовка чего-то подобного «активного» упоминалась и раньше.

Например, опять же, чисто случайно, пару месяцев назад на письмо лидера движения «Охотники за головами» Сергея Жука в ФСБ, в котором он просил блокировать сеть Tor на территории РФ «из-за большого количества детской порнографии», ему дали успокоительный ответ, дословно:

В России на законодательном уровне рассматривается вопрос о блокировке интернет-доступа к Tor и другим анонимным серверам».

Между тем в США, где VPN, хотя и не запрещен, давно является средством деанонимизации: АНБ сохраняет всю метаинформацию на все зафиксированные сессии граждан с использованием криптографических инструментов. Иначе говоря, хотя и содержимое ваших PGP-писем или VPN-туннелей просмотреть спецслужбам легко не получится (гипотетическое утверждение), но факт того, что именно вы пользуетесь подобными инструментами, будет навсегда зафиксирован в соответствующих базах данных.

Отныне ваша сетевая активность будет превентивно отслеживаться уже в профилактических целях.

http://i7.pixs.ru/storage/7/3/0/blogera ... 771730.png


Делаем два: углубляем область контроля трафика через DPI

Но за этой юридической инициативой возникают чисто технические проблемы — для проведения соответствующих мероприятий по обнаружению и блокировке VPN-подобной активности в большинстве случаев требуется Deep Packet Inspection (DPI).

Прежде чем следовать дальше, очень кратко поясню суть DPI для людей «не в теме» — это настоящая шайтан-машина, которая умеет делать с «большим транзитным трафиком» то, что всяким файрволам, маршрутизаторам и СОРМ’ам сейчас не под силу, вот как кратко комментирует эти возможности эксперт от Cisco:

В отличие от стандартных механизмов классификации трафика, встроенных в распространенные маршрутизаторы и основанных на данных, содержащихся в заголовках 3–4 уровней OSI модели (IP,TCP/UDP), системы DPI обладают возможностями распознавать в потоке отдельные сетевые приложения (например, YouTube, P2P, Instant Messaging, Browsing и т.д.), а также извлекать, блокировать и анализировать любые инкапсулируемые на таком «пользовательском уровне» данные в режиме on-the-fly. Кроме того, система позволяет ограничивать скорость доступа к интернету отдельным пользователям, блокировать отдельные протоколы, изменять их приоритетность и параметры работы в режиме реального времени«.

Таким образом, DPI — это чудовищно производительный «сетевой микроскоп», который позволяет каждый пакет, проходящий через пограничный шлюз, распаковывать и тщательно досматривать на предмет «таможня дает добро». С недавних пор DPI стал чрезвычайно актуален после введения в России понятия «информация, запрещенная к распространению» (партия руководящие товарищи долго ждали наступления XXI века и «информационной эпохи» и вот, наконец, решились на это).

Поэтому пограничный досмотр теперь требует особенно тщательного обшаривания естественных ниш и отверстий всех проходящих информационных пакетов на предмет сокрытия там диковинного заморского инакомыслия и запретных для духовных скреп государства знаний.

Изображение

Возвращаясь к нашей истории — вы будете смеяться, но, как это водится, чисто случайно Ростелеком в последние месяцы развил просто бешеную активность по созданию своего собственного DPI. На данный момент вроде бы они уже определились, что будет внедрена именно китайская система фильтрации интернет-трафика на базе оборудования Huawei, «которая уже хорошо зарекомендовала себя у наших китайских товарищей».


Делаем три: монополизируем интерконнект во внешний мир

Да, дорогая это вещь — DPI (стоимость от 10 миллионов долларов и выше), только очень крупные провайдеры могут позволить себе это. Да и опять же, как контролировать такое количество сетей... никаких людей-роботов-DPI не напасешься, все штрафуешь их, штрафуешь... сопротивляются почему-то операторы цензуре, несознательные они какие-то, гады.

На сегодняшний день нужно признать — множество мелких региональных операторов пока и вовсе в гробу видели игнорируют Роскомнадзор и его реестры. Как в классике: «суровость российских законов компенсируется необязательностью их исполнения».

http://i6.pixs.ru/storage/7/5/9/blogera ... 771759.png

Но решение есть — в российской прессе это уже обозвали как «белорусский вариант». Речь идет о централизации операторов, которые получат эксклюзивное право на работу с иностранным интернет-трафиком. И вот опять же, чисто случайно, так совпало, что правительством РФ уже в ближайшее время планируется разделить всех операторов связи на две группы: на федеральных операторов связи (ФОС) и на обычных операторов связи (ОС). При этом ФОСы получал эксклюзивное право на работу с иностранным интернет-трафиком, а вот обычным операторам — теперь нужно подключаться к федеральным ФОСам в качестве даунлинка.

Суть новой реформы: чтобы получить статус «федеральный», провайдер должен иметь трансграничные переходы на западе и на востоке России, собственные каналы связи, доходящие до всех регионов РФ, а также точки присоединения во всех городах с населением свыше 100 тысяч человек. По мнению независимых экспертов, условия получения статуса ФОСа подогнано под... государственного монополиста Ростелекома — чисто случайно того самого, который сейчас развернул просто лихорадочное по своей спешке внедрение DPI.

Если не последует укрупнений и слияний, на данный момент в РФ нет ни одного другого телекома, который удовлетворял бы сразу всем заявленным условиям для получения статуса ФОС, кроме упомянутого РСТ.

В общем виде схема этой реформы будет выглядеть примерно так:

Изображение

Ради справедливости для российской аудитории стоит пояснить: это дело уже поздновато называть «белорусским вариантом», потому как с недавних пор здешний государственный монополист Белтелеком лишился статуса единственного шлюза во внешний мир — как ранее и обещали власти РБ, право интерконнекта получило новосозданное СООО «Белорусские облачные технологии» (их учредитель — «Национальный центр обмена трафиком»).

Возвращаясь к России: меня несколько позабавило заявление-реакция на эти планы со стороны весьма авторитетной Российской Ассоциации электронных коммуникаций (РАЭК), которая перепутала причину со следствием и на полном серьезе заявила:

Сокращение трансграничных переходов сетей передачи интернет-трафика с территории России облегчит иностранным спецслужбам контроль за ним (трафиком)«.

Прямо как в том анекдоте: облегчить контроль не иностранным спецслужбам, а в первую очередь — российским, и, конечно, это вовсе не досадный баг, а драгоценная фича. А с остальным все верно — централизация, национализация и плановая экономика в любой форме существенно облегчают жизнь всем служивым, и не только в области телекома.

http://i7.pixs.ru/storage/7/9/4/blogera ... 771794.png


Всем выйти из сумрака!

В качестве готового государственного рецепта по блокированию вольницы, льющейся из англосаксонского домена, еще раз суммируем последовательность из вышеописанных шагов:

* вводим законодательный запрет на VPN и аналоги;
* в качестве обеспечения технических мер по его исполнению монополизируем интерконнект с внешним миром, чтобы в его узкое горлышко стекался весь трафик, идущий за рубеж (и обратно) со всей страны;
* после чего ставим туда вместо пробки такую ядреную китайскую машинку с DPI, которая сможет фильтровать базары протоколы и сервисы на пользовательском уровне.

Конечно, текущее демонстративное осуществление буквально всех звеньев этой единой цепи правительством РФ — это не более как очередная случайность. И тем более это не касается технарей, они ведь очень сильно верят в сетевую анонимность: они знают Tor, VPN, торренты и другие очень страшные слова.

http://i7.pixs.ru/storage/8/1/3/blogera ... 771813.png

Что интересно, обратите внимание на разность подходов: если в упомянутой Беларуси просто законодательно запретили резидентам хостить сайты за пределами своей Родины (и что почти никто не выполняет), то в России-таки решили сделать «все по-взрослому» — развернуть полноценную систему «принуждения к миру» на базе DPI и целого ряда околоюридических подпорок.

И чем все это закончится, ребяты?

Года через 2–3 российские пользователи всяких там VPN’ов и Tor’ов начнут автоматически получать штрафы. Подобно тому как сейчас достаточно превысить скорость на определенных участках дороги — и всё: получите-распишитесь. А в некоторых, особо интересных случаях, быть может, приключится даже вариант «пройдемте, товарищ». Не буду долго расписывать этот вариант, ограничусь лишь словами о том, что «советский суд самый гуманный суд в мире».


Делаем четыре: фиксация клиента в неподвижном положении

Ну, а чтобы ерунды всякой аналогичной вместо VPN/Tor’а не писали — это ж новые сигнатуры в этот DPI вносить надо, анализировать, чего это они там понаписали такого, от дел государственных, опять же, почем зря отвлекаться, — есть уже у государства российского закончик один такой остро заточенный.

Буквально намедни довелось мне побеседовать с «известным в узких кругах» Павлом Домкиным — московским адвокатом, который специализируется именно на киберпреступлениях и правонарушениях в области ИТ. И речь наша шла в том числе про тот самый закон, о котором я упомянул выше: «Положение о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических средств)» (Постановление Правительства РФ от 16 апреля 2012 года № 313).

Это интервью бралось для крупного российского издания, поэтому не могу пока цитировать до его публикации, но главную суть любезно перескажу. Применяется ли этот закон к области интернета и телекоммуникаций? Да, безусловно. Запрещает ли он де-факто использование специальных криптографических средств типа протокола https или использование интернет-сервисов, применяющих в своей работе криптографические элементы и стойкое шифрование?

От прямого ответа адвокат тактично уклонился, но при этом весьма настоятельно рекомендовал российским интернет-компаниям отправить запрос в ФСБ РФ, разъясняющий легитимность использования ими любой криптографии в своих сервисах на территории РФ.

http://i6.pixs.ru/storage/8/3/2/blogera ... 771832.png

И хотя правоприменительной практики в рамках этого относительно свежего закона (пока) нет, но, опять же, финка у фраера уже блестит под пальтишком, ручка ножа приятно руку греет...


Общие выводы: наше ближайшее политкорректное будущее

Bitcoin, i2p, Tor — эй, о чем это ты, товарищ? Прямо сейчас заканчивается очередной исторический цикл, аналогичный хрущевской оттепели, — и лет эдак через 5 зарегулируют все эти полезные для инакомыслия вещи так, что при одной только установке VPN-клиента сразу завоют бешеные сирены в Комитете Сетевой Безопасности, а дверь твоей квартиры с этим компом вырежут болгаркой («хочешь, не хочешь, а по почкам схлопочешь»).

И всё, что нужно для подобного сценария, — это политическая воля, и если команда сверху будет дана (уже дана?), то совокупная мощь государственной машины просто раздавит разрозненное сообщество сетевых вольнодумцев, оставив его как минимум без коннекта, а как максимум — пригласят «искупить свой долг» (как это в песне поется: «Все мы в неоплатном долгу перед Родиной...»).

В чем-то такой поворот дел даже полезен — меня часто обвиняют в либертанстве и очернительстве памяти безвременно усопшего СССР, впереди всю эту ностальгирующую публику ждет очень полезный, чисто «эсэсэровский» опыт затыкания ртов оппонентам.

Это когда эту самую зявку будут затыкать не превосходящими аргументами и опытом, а гулагами кулаками по-деревенски прямолинейных, но зато очень сильных ребят, у которых квартира «на социальном кредите», да и вообще: «ничего личного, мы просто делаем свою работу».

http://i7.pixs.ru/storage/8/4/8/blogera ... 771848.jpg

Показатель сегодняшних настроений вверху — недавняя история со скандальным твитом председателя комитета Госдумы РФ по труду, социальной политике Андрея Исаева, где он назвал всех несогласных с ним рядовых интернетчиков «мелкими тварями».

http://i6.pixs.ru/storage/8/6/3/blogera ... 771863.png

Забавно, что этот хамоватый выпад довольно тучного депутата, чрезвычайно гибкий «креативный интернет» смог отрефлексировать асимметрично и по-своему, в очередной раз «бортанув» очередного чиновника и его высшее начальство...

http://i7.pixs.ru/storage/8/7/3/blogera ... 771873.jpg

... и пришлось даже поспешно внести ясность...

http://i6.pixs.ru/storage/8/8/7/blogera ... 771887.png

... Я как типичная, согласно классификации депутата, мелкая тварь, этот месседж приняла и впитала. И хотя я пока, по совету депутата, расслабилась и, как видите, продолжаю потихоньку корябать свои буковки «в эти ваши интернеты», насчет своих реальных перспектив никаких иллюзий не испытываю, потому как по уже старой советской привычке привык читать месседж промеж строк. Но вот эту самую молодежь, лелеющую романтический чегеварский образ СССР, бьюсь о заклад, уже в ближайшем времени ждут очень интересные ощущения от высказывания-своего-мнения в «сетях общего назначения типа Интернет».

И хотя я пишу много на эту тему и предупреждаю других мелких тварей быть поосторожней уже сейчас, спорадическое чтение форумов показывает, что сила веры в VPN/Tor еще весьма сильна и убедительна для большей части техногиков.

В качестве анонса: во второй части статьи мы сосредоточимся больше на технических аспектах и рассмотрим на примере Ирана, который достаточно эффективно блокирует Tor и VPN для своих граждан, как спецслужбы ловят злоумышленников-кардеров, скрывающихся за анонимными VPN и прокси, отдельно обсудим некоторые проблемы протокола https.

Изображение

Открыто обсуждая все эти детали, я бы хотел развеять максимализм молодых людей о безусловной надежности и неуязвимости подобных сервисов. Как говорил один популярный советский киногерой: «От себя-то убежать можно, а вот от милиции, брат, не убежишь».
StreetRacers
Сообщения: 225
Зарегистрирован: 26.02

часть 2

Сообщение StreetRacers »

Это продолжение первой части статьи, где мы обсуждали технические возможности государства, на которые некоторая часть ИТ-публики смотрит явно сквозь розовые очки. Речь шла о том, что методы обхода грядущей цензуры и фильтрации Рунета ограничены. В результате мы выяснили, что «приделывание колес» к своему серверу не спасет поросенка Петра от нависающего над ним дамоклова меча интернет-цензуры.

Сегодня мы продолжим эту актуальную тему и рассмотрим все три режима работы оверлейной сети Tor, которая нынче у многих на слуху и на которую многие возлагают неоправданно большие надежды. Также под катом речь пойдет о Great Firewall of China и его составляющих: Deep Packet Inspection, Connection probe и Support vector machines.

http://i6.pixs.ru/storage/9/5/1/blogera ... 771951.jpg

Давайте начнем с наиболее расхожего мифа — о якобы непобедимости TOR и I2P для любых форм ограничения и цензуры сетей.


О Tor’е централизованном замолвите слово

Итак, Tor не является полностью децентрализованным. И это создает вполне реальные проблемы, поскольку если запретить или ограничить доступ к корневым серверам, хранящим список доступных узлов (реестр входных точек, Tor enrty nodes), то система рушится (это т.н. «bootstrapping problem»). Например, заинтересованные могут глянуть текущий список IP всех входных нод в удобоваримом виде здесь или здесь — это входные ворота в мир Tor’a, которые можно забанить.

В общих чертах логика работы системы в штатном режиме такова:

Изображение

Хочу подчеркнуть, что подобные потенциальные проблемы блокировки — это вовсе не результат «кривой» реализации I2P или Тора — такие проблемы неизбежны by-design. Tor — это оверлейная сеть, это своего рода «надинтернет». Она не только в этот самый «регулируемый интернет» лезет за стартовыми адресами для своей инициализации, она через него дышит и живет, прокачивая свои данные и осуществляя адресацию. При таком раскладе довольно тяжело (невозможно?) абстрагироваться от нативных свойств IP-адресации, на базе которой и создали некую вывернутую наружу по своим свойствам абстрактную антисистему.

Правда, в отличие от тормозного задыхлика I2P (о котором мы поговорим ниже), в Tor предусмотрен второй эшелон обороны для случаев своего подавления, это так называемый «сетевой мост» («ретрансляторы типа мост», Tor bridge). И если с обычным режимом Tor все ясно — уже во многих странах мира Tor заблокирован, — то его «усиленные режимы работы» стоят отдельного рассмотрения, поскольку именно это решение часто называется некой вершиной среди инструментов пробивания государственного цензурирования и контроля.

Изображение


Тор в квадрате: сетевые мосты

Итак, в некоторых технических кругах считается, что полностью заблокировать Tor с помощью блэклиста нельзя, потому что он имеет специальный адаптивный механизм для обхода подобных блокировок через приватные bridge-узлы. Но отличие в работе лишь в том, что если обычные Tor relays доступны через публичные списки, то Tor bridge — это точно такой же входной Тор-узел, но выдаваемый приватно, который следует самостоятельно не привлекая к себе внимание узнать и забить в свой Тор-браузер.

Таких узлов достаточно много, но выдают их в лучших конспирологических традициях — по личному запросу с почтовых ящиков в домене @gmail и @yahoo, при этом в теле письма необходимо указать обязательную сигнальную строку-пароль: ’get bridges’ (с недавних пор также есть веб-форма, защищённая от любой тоталитарщины капчей).

http://i7.pixs.ru/storage/0/0/2/blogera ... 772002.png

Этот вариант хоть и делает жизнь пользователя неудобной, потому как требует время от времени искать и менять адреса бриджей (они также выявляются и банятся), но, тем не менее, вся эта мелкая возня усложняет жизнь властям — теперь нет единой центральной точки-списка (Tor directory), через которую можно было бы забанить всю Tor-сеть одним махом.

Это нововведение привело к новому витку противостояния. Забегая вперед, констатирую, что эта проблема со стороны властей была успешно решена посредством следующих трех ингредиентов:

* deep packet inspection для SSL;
* избирательная блокировка определённых сочетаний IP-адресов/TCP-портов;
* фильтрация по определенным ключевым словам и сигнатурам, характерным для Тора.

Этого достаточно, чтобы надежно и полностью заблокировать работу Tor’a в том числе и в режиме «сетевых мостов», что успешно продемонстрировал на своем примере Иран. Всего лишь два ИТ-специалиста Ирана полностью нейтрализовали все старания мирового сообщества, при этом сделали они это по-честному — обычный SSL/HTTPS продолжал работать более-менее исправно.

Изображение

Потом этот же трюк повторили Китай и Эфиопия, полностью зарубив весь свой Тор-трафик, включая приватные мосты.

Вот так примерно это выглядело для случая Эфиопии:

Изображение

Периодически это случается и в Беларуси, разве что в более топорном исполнении — здесь блокируется весь https-трафик во внешний мир (а на покупке DPI драгоценную валюту можно и сэкономить).

http://i6.pixs.ru/storage/0/4/3/blogera ... 772043.png


Tor obfsproxy: высшая магия скрытности

В случаях с Эфиопией и Китаем Tor Project не сдался, он ответил довольно навороченным решением — обфусицированной версией моста (obfuscated bridges, obfsproxy), которая подмешивает левые данные/пакеты, и создает что-то вроде «полиморфических» заголовков/пакетов, чтобы напрочь стереть идентичность или любую ассоциацию каждого отдельного пакета с Тор. Еще раз — это не какое-то принципиально новое решение, это просто возможность самостоятельно находить и прописывать у себя non-public Tor’s relays с поддержкой этой новой фичи-враппера, реализованной в виде подключаемого модуля.

Вот как выглядит логика работы Тора в таком «сверхсекретном» режиме:

Изображение

Да, это устранило проблему автоматического обнаружения и блокировки точек входа на транзитном шлюзе во внешний мир. Но это не решило вторую проблему: как только адреса таких обфусицированных серверов становятся известны в паблике — их IP-адреса тупо банятся в точке интерконнекта. И снова придется искать девственно новый obfsproxy, чтобы получить выход в мир иной...

Мою претензию к все возрастающей сложности мер противодействия, типа obfsproxy, можно пояснить на примере: если государственную границу ежегодно нелегально пересекают тысячи человек (и некоторые из которых, судя по всему, делают это вполне успешно), то для рядового человека «это удовольствие» практически недоступно — уж слишком много специфических умений и знаний оно требует. Obfsproxy — это реализация принципа security thru obscurity, его сила не в «пуленепробиваемой для цензуры технологии», но исключительно в секретности (или приватности) IP-адреса входящей Tor-ноды.

http://i7.pixs.ru/storage/0/7/4/blogera ... 772074.png

Постепенно такие узлы подпадают под бан, в таких случаях приходится снова искать новую рабочую ноду... эта технология не блещет совершенством технического решения, скорее это напоминает попытку взять измором одну из сторон-участников процесса противостояния...


Obfsproxy — современный неуловимый Джо

Ради справедливости стоит все-таки признать, что подобные блокировки на уровне государств заточены исключительно на стандартные и массовые решения. Как минимум, пока. Что отчасти объясняет (по принципу «неуловимого Джо») теперешнюю «рабочесть» технологии Obfsproxy — крайняя малочисленность ее пользователей.

К примеру, я знаю российского журналиста, которому коллеги делали туннель для перегонки его видео из Ирана, для чего хватило GRE based vpn’s SSH и socks/tun over ssh, что работало на ура. Джуниперовский VPN (443 порт) тоже работал в тех краях абсолютно без проблем.

Короче, если за дело брался высококвалифицированный техногик с соответствующей поддержкой из-за рубежа — этот сим-сим тут же отворялся, выпуская дух свободы наружу. Да, хорошо иметь друзей-технарей снаружи сетевой клетки, которые готовы тебе помочь в обходной коммуникации, но что делать остальному подавляющему большинству простых смертных?

Иногда возникает впечатление, что подобные блокировки — это пережиток азиатчины, — но это далеко не так. В декабре 2011 года подвиги Ирана решил повторить Казахстан — наш сосед по Таможенному Союзу. Его крупнейший транзитный оператор KazTransCom начал фильтровать свой трафик, используя расширенный DPI (по китайскому варианту). При этом он довольно хорошо чистил трафик от всех потенциальных разносчиков запрещенной информации: Tor, Tor в режиме бридж, IPsec, технологии на основе PPTP, а также от некоторых вариантов VPN работающих на базе SSL...

Изображение

Для таких случаев ответ проекта Tor остался неизменен — Obfsproxy.

http://i6.pixs.ru/storage/1/1/9/blogera ... 772119.png

Но прогресс не стоит на месте — в последнее время появляются сложные методики обнаружения Tor и в режиме Obfsproxy. Для этого применяются timing-атаки или вычисляется процент энтропии (естественности) пакета, но... пока это достаточно сложно и дорого для того, чтобы массово реализовать в режиме реального времени сразу для всей страны. Впрочем, имя ключевой технологии, которая убьет Obfsproxy и ему подобных уже известно — это SVM (о ней более подробно ниже).


I2P — последнее прибежище негодяя техногика

Очень кратко остановимся и на I2P — несмотря на множество бла-бла-бла в околотехнической среде — это не полностью децентрализованное решение. Так, при первом запуске I2P список всех активных узлов сети также тупо выкачивается в виде тарбола с «этих ваших интернетов». Таким образом, внимание: в любой момент времени доступен актуальный список адресов всех «стартовых серверов» этой пиринговой сети. Ну, и что стоит их банально забанить? Здесь даже дорогие DPI не нужны...

Именно таким образом в Иране и Китае динамически блочатся все адреса с которых бутстрапится I2P, посему эта «децентрализованная» сеть уже давно недоступна с их территории.

Изображение

Более ясно написали в ченжлоге прошлогоднего релиза I2P:

«Routers in certain countries will now automatically enable hidden mode for increased protection... For the list of countries see the thread on zzz.i2p. The only country on the list that has more than one or two I2P users is China.»

Поэтому давайте оставим в покое «неуязвимую» I2P вместе с теми самыми непобедимыми как Чак Норис «more than one or two I2P users in China».

http://i6.pixs.ru/storage/1/7/5/blogera ... 772175.png


Фильтрация по-взрослому: китайский опыт

Самое время перейти к рассмотрению передового китайского решения, элементы которого использует как Казахстан, так и Эфиопия. И как мы читали ранее — вероятно, именно это оборудование для «восстановления попранной законности» и собирается применить Ростелеком.

Описание текущего положения дел на китайском сетевом фронте начну сразу с фактов: на данный момент Great Firewall of China (GFoC) достаточно надежно блокирует весь национальный трафик из/в систем TOR, I2P и частично VPN. Технически это достигается сочетанием трех технологий-столпов:

* Deep Packet Inspection (DPI);
* Connection probe;
* SVM (support vector machines).

Симбиоз данных методов фильтрации позволяет автоматически распознавать тип шифрованного трафика с высокой степенью точности. Так как о DPI я уже упоминал выше (более подробно смотрите о нем в первой части статьи), то здесь дам лишь краткое пояснение относительно малоизвестных у нас технологий — это connection probe (иногда ее же называют reverse probe) и специфического приложения теории SVM.

Изображение

Тактика connection probe заключается в том, что любое подозрительное (по самым общим критериям) исходящее соединение во внешний мир замораживается в точке интерконнекта, после чего по указанному целевому адресу уже от имени правительственного сервиса инициируется опережающее соединение к destination IP:Port (к которому изначально и пыталось обратиться удерживаемое соединение).

Далее проводится попытка самостоятельного тестового подключения-сканирования. Если ответ сервера-назначения подпадает под паттерн запрещенных сервисов — удерживаемое соединение клиента принудительно рвется. [и в тайное электронное досье на гоя навечно добавляется пометка о мыслепреступлении, тяжесть которого зависит от некошерности запрошенного сайта, и в дальнейшем эти данные обязательно будут использованы против гоя]
Таким образом, чтобы преодолевать connection probe, теоретически нужно обфусицировать поведение не только клиента, но и сервера/протокола, его обслуживающего. Учитывая, что весь трафик в поисках крамольных сигнатур параллельно молотит все тот же DPI, то все, что преодолеет подобную комплексную защиту, — уже будет очень слабо напоминать оригинальный протокол или первоначальный сервис.

Подобные защитные схемы вынуждают создавать для их преодоления узкоспециализированные кастомные сервисы «под заказ», которые, будучи обнародованы и выложены в паблик, — сразу же попадают в стоп-лист GFoC. Здесь работа специалистов китайского НИИ Сетевой Цензуры и Пропаганды аналогична подходу антивирусных компаний, и в данном конкретном случае DPI — это поиск по сигнатурной базе, а connection probe — своего рода «запуск соединения под отладчиком», который выявляет и блокирует «нестандартные клиенты», позволяя нагло вклиниваться третьему лицу непосредственно в интимный процесс их хэндшейка (tcp session handshake).

Изображение

Третий столп — уже упомянутый Метод опорных векторов (SVM, support vector machine) — это известный алгоритм машинного обучения, который очень эффективен, когда возникает необходимость автоматически классифицировать разнородные данные. Иначе говоря, машина опорных векторов — это самообучающаяся на базе статистических методов программа, которую можно представить как двухслойную нейросеть (RBF-сеть). Желающие более полно познакомиться с математической стороной теории могут вот здесь (рус.) глянуть тематическую брошюрку от сотрудника Яндекса, а также прочитать дополнительное введение в теорию SVM (англ.) и пример ее простейшей реализации на С.

Продолжая нашу антивирусную аналогию, SVM — это своего рода эвристический движок, позволяющий с высокой степенью вероятности идентифицировать в обилии разнообразных полиморфических штаммов оригинальный вирус, чтобы принять в отношении него адекватные меры. Таким образом, с помощью SVM признаки различных протоколов и их характерные паттерны вычленяются даже в специально обфусицированном потоке данных, и чаще всего это реализуется в виде продвинутой AI-надстройки над «сверхглубокой молотилкой пакетов» — DPI (два в одном). Именно на ее развитие возлагаются надежды по обнаружению технологий типа Obfsproxy (первые успехи уже имеются).

http://i6.pixs.ru/storage/3/2/6/blogera ... 772326.png

Переходя к частностям, именно с помощью connection probe Китай регистрирует, например, SSH (вот пример такой технологии). Типы SSL-трафика данный комплекс технологий также более-менее успешно разделяет (вот дополнительное описание, видео mp4, 600Mb) этого процесса по отношению к Tor).

Об особенностях борьбы с VPN мы поговорим более подробно в следующих статьях этого цикла, но раз уж мы коснулись Китая здесь, то сообщаю: на данный момент власти Китая согласовывают законодательный проект, который предполагает разрешение VPN для лицензируемого использования.

Изображение

Иначе говоря, у юридических лиц для служебных нужд будут свои лицензированные тоннели (это будет свой собственный китайский софт), которые не будут блокироваться на трансграничном шлюзе, а физическим лицам все принудительно «порежут».

А детектирование VPN сведется к обнаружению и проверки валидности вшитой лицензии «лицензированного» тоннеля, а также к тупому «дропанью» всего остального зоопарка VPN.


Следствие всего сказанного -> немного статистики

Логично будет завершить данный теоретический экскурс статистикой количества активных пользователей Tor из ряда отобранных мною стран (ниже выборка: daily active Tor users both direct and bridge, per month by country):

http://i7.pixs.ru/storage/3/4/7/blogera ... 772347.png

Как видно, количество пользователей Tor Onion из многомиллиардного Китая даже меньше количества пользователей оной сети из Беларуси, хотя масштаб двух этих стран просто несопоставим. С одной стороны, можно подивиться изворотливости этой «отборной китайской тысячи», но с другой — кто будет спорить, глядя на эти результаты, что блокировка в масштабах всей китайской страны работает очень даже неплохо?

Если учитывать население Китая и количество прорвавшихся через его сетевую границу, то, соблюдая пропорции, при подобной блокировке в России наружу выползет около 100–150 человек максимум...

Короче, говоря о нашем будущем, важно запомнить главное:

Изображение


Принципиально-очевидные выводы, которые можно не читать

Закрывая тему, давайте кратко подытожим и осмыслим всё сказанное ранее в двух частях.

* Техногики ошибаются, сильно недооценивая государство им противостоящее. Как правило, они видят в качестве оппонентов неких низкоквалифицированных «студентов ПТУ-шников», которые пытаются на коленке «изобретать велосипеды» (вероятно, рядовые чиновники и производят такое отчасти лоховатое впечатление). И хотя в отношении некоторых небольших государств это верно, ведущие мировые державы могут позволить себе нанимать чрезвычайно квалифицированных сотрудников, предлагая им пиковые зарплаты на рынке. Даже глобальным именитым фирмам потенциально сложно конкурировать в этих вопросах с «федералами» по степени своей привлекательности, если они действительно захотят сделать кому-то оффер. Поэтому мой совет: не стоит недооценивать этих людей, если перед ними будет поставлена задача «быстро сделать вам проблему».

* Техногики допускают довольно обидный промах, полагая, что если они с помощью сильной криптографии обеспечат анонимность содержимого своего трафика, то, якобы, это само по себе гарантирует их безопасность. Как я уже объяснял в первой части — нужно быть проще. Например, если тот же VPN будет юридически запрещён, то вовсе не нужно как-то расшифровывать этот защищённый трафик чтобы уличить кого-то в распространении «запрещённой информации» (sic!) — сам факт использования VPN/Tor будет незаконным со всеми вытекающими отсюда уголовными последствиями. А детектирование использования этих сервисов конкретным абонентом ISP — по нынешним временам дело и вовсе плёвое.

* Да, любые «общественно-мотивированные» и благовидные причины блокировки будут использоваться в том числе для ограничения свободы слова. Проще пояснить это на примере: сначала Великобритания запретила онлайн-порнографию, а буквально через месяц начала массовую блокировку зарубежных VPN-сервисов под предлогом «их использования подростками для незаконного доступа к порнографии». Власти Австралии также собираются последовать примеру Туманного Альбиона в самое ближайшее время.

* Повторю главный тезис, озвученный ещё в первой части: нет, техногикам не поможет их техно-крипто-пиринг магия, если государство проявит политическую волю и действительно захочет положить конец интернет-вольнице. К сожалению, инициатива и право «последнего слова» в этом вопросе принадлежит вовсе не интернет-населению Рунета (ба, сколько напускного удивления: петиция об отмене 187—ФЗ недавно набравшая 100 тыс. голосов — полностью проигнорирована властями, — кто бы мог подумать, да?), а регуляторам территорий (клан «siloviki», см. Теорию Операторов), на которой они физически восседают.

* Решение этой и других проблем лежит не в ещё большей инкапсуляции и децентрализации в рамках сети (создание нового Super-Mega-Obfsproxy), не в ещё более глубоком погружении в виртуальность, но за пределами самого интернета. Логичная попытка государств устранить нынешний диссонанс, — когда в риале рот раскрыть без последствий невозможно («больше трёх не собираться»), а в сети местной «мерзкий госдеповский аноним» своей мыслью крамольной и античиновничьей тысячные аудитории поливает, — уже начата и, безусловно, вполне осуществима. Не нужно бороться с тупиковыми сетевыми следствиями, когда есть «риалные» причины происходящего, господа техногики.

Попытки же культивирования бессмысленной по своей сути, на каждом очередном витке, «гонки вооружений», для лобового столкновения с интересами государства — не только контрпродуктивны, но и обречены на поражение. Они также противоположны тому единственному пути во вне, который я лично назвал бы как «Вектор Навального» — то есть девиртуализация и выход из сети в риал, для активного участия в политике и общественной жизни нашей многострадальной и отчасти уже фантомной Родины.

К сожалению, есть вероятность, что поезд этот уже давно ушёл...

http://i7.pixs.ru/storage/4/1/2/blogera ... 772412.png

... и, в результате «этого развития», совершенно согласен с опасениями главы Google Russia ...

http://i7.pixs.ru/storage/4/2/2/blogera ... 772422.png
Ответить