Максим Каммерер, создатель дистрибутива для настоящих "анонимусов" Liberté Linux
Как обеспечить безопасность общения в интернете? Из-за утечки SMS, отправленных абонентам "Мегафона", достоянием общественности стали личные, порой интимные сообщения, телефонные номера адресатов и в некоторых случаях даже связки логинов и паролей от электронной почты и социальных сетей. Насколько стоит доверять операторам связи и актуально ли выражение "это не телефонный разговор"? Как обеспечить конфиденциальность общения и можно ли гарантировать абсолютную анонимность в интернете? На эти и другие вопросы читателей "Ленты.Ру" ответил Максим Каммерер, создатель дистрибутива для настоящих "анонимусов" Liberté Linux.Добрый день Максим,
Поясните пожалуйста , что понимается под
абсолютной анинмностью?
Это защита пользователей от хакеров с
возможностью доступа спецслужб или это полная
изолированность 2 пользователей от любых вмешательств?
На мой взгляд последний вариант не совсем подходит для России, так как даст любым теневым операциям огромный потенциал.
Спасибо за комментарии.
Безопасность общения в интернете от кого: от силовых структур или от хакеров?
Безопасность и анонимность общения в сети подразумевают, что только участники общения будут знать о его содержимом и о самом факте наличия общения. Так как государственные структуры не являются одной из сторон в процессе обмена информацией, то мне непонятно стремление обеспечить им к ней доступ, поскольку такое решение никоим образом не обяжет преступников давать аналогичный доступ. Более того, у преступников гораздо больше возможностей для анонимизации — например, практикуется такой подход, как закупка большого количества сотовых телефонов и SIM-карт для единоразового использования. Кроме того, что делать, если содержимое общения идет вразрез с интересами государственных структур? Причем речь необязательно идет о «репрессиях» — представьте, например, обсуждение стратегии свержения правящей партии между членами оппозиции. Правящая партия в такой ситуации просто сработает на упреждение, получив соответствующую информацию.
Максим, здравствуйте!
Очень интересно было бы узнать ваше мнение. Кто в настоящее время пользуется технологиями-анонимайзерами, в процентном соотношении (на глаз): интернет-хулиганы, преступники, рядовые пользователи, любители «халявы», бизнесмены. Для кого именно предназначаются такие технологии?
И второй вопрос - что именно является самой важной проблемой безопасности в сети Интернет в настоящий момент?
Заранее спасибо за ответы :)
Для чего законопослушному гражданину может в принципе понадобиться анонимность?
1. На мой взгляд, большинство пользователей таких технологий — рядовые граждане, которые не хотят волноваться, условно говоря, при каждом комментарии на форуме, что на них подадут в суд за клевету, или что к ним домой заявятся вооруженные представители Секретной службы, например (рядовой случай — пользователь в США в шутку написал комментарий: «я убью президента,» - в качестве примера фразы, которую нельзя писать в интернете). То есть такие пользователи — люди, которые не хотят общаться в интернете по правилам, сильно отличающимся от общения с друзьями в реальной жизни. Это подтверждается логами выходных узлов сети Tor, которые публиковали некоторые не особо этичные администраторы. Почти весь видимый трафик с таких узлов шел на обычные новостные, развлекательные и другие сайты. Кроме того, значительная часть пользователей анонимизирующих технологий обходит таким способом блокирующие фильтры на государственном и корпоративном уровне, и совсем небольшой процент — те, кому есть, чего опасаться, то есть журналисты и активисты в странах "третьего мира", хакеры, кардеры, педофилы, SEO-шники и так далее.
2. На сегодняшний день самая важная проблема безопасности в сети с точки зрения пользователя, на мой взгляд, — это централизация огромного количества информации о пользователях и их окружении в руках отдельно взятых корпораций, таких, как Google и Facebook. Такая ситуация опасна и возможностью некорректного пользования информацией самими корпорациями, и кражей информации хакерами, и (необычайной — через удобные интерфейсы) легкостью доступа к такой информации для силовых структур в любой стране, где у корпорации есть представительство. Кроме того, опасен сам факт хранения доступной информации о человеке на протяжении многих лет и то, как этой информацией могут воспользоваться потенциальные работодатели, например.
Максим, расскажите пожалуйста, как Вы видите компромис между любыми средствами обеспечения анонимности и фактическим вездесущим контролем "большого брата"? - ведь пока он на тебя смотрит, никто никаких гарантий В ПРИНЦИПЕ дать не может! Все в этом случае фикция.
Спасибо.
Контроль «Старшего брата» далеко не вездесущ, так как он упирается в сбор большого количества информации о человеке заранее (здесь ресурсы практически не ограничены) и в последующий выборочный доступ к этой информации для специалистов (здесь ресурсы ограничены количеством специалистов). Средства обеспечения анонимности как раз дают возможность с самого начала не предоставлять информацию о себе «Старшему брату». Единственная проблема здесь в том, что само по себе использование средств для анонимизации может навлечь подозрения на пользователя, но увеличение количества пользователей и улучшение технических характеристик таких средств нивелируют проблему.
Доброе время суток.
Вопрос насчёт I2P заданный пользователем мимокрокодил тоже интересует, в плане правовой сферы. Сам исследовал вопрос применительно к законодательству РФ, но интересно услышать мнение авторитетного специалиста.
Вообще же, проблема защиты частной жизни, переписки и её более широкого понимания - обмена данными - в последнее время встаёт более остро, чем раньше. Это, наверное, происходит в силу нарастания конфликта интересов между определёнными группами людей (например государствами и населением). Как вы полагаете, какое будущее с учётом этого фактора ожидает и интернет в целом, и системы защиты информации от вмешательства тех, кто любит совать нос в частную жизнь других людей?
К сожалению (или к счастью), я не специалист в российском законодательстве — но рискну предположить, что использование сети I2P (где каждый пользователь по умолчанию является передатчиком) можно подвести под предоставление услуг шифрования без соответствующей лицензии, что, разумеется, незаконно — какое же государство добровольно согласится оставаться в неведении относительно личной жизни своих граждан? Полностью согласен с Вами по поводу конфликта интересов между властью и гражданами. Я оптимистично смотрю в будущее с точки зрения возможностей защиты личной информации в сети, так как несмотря на стремление любой власти к консолидации возможностей контроля над сетью и другими средствами связи, прогресс в средствах защиты информации двигается прежде всего рядовыми гражданами (исследователями и разработчиками), а не представителями власти, которым остается лишь с запозданием реагировать на то или иное новшество.
Максим, вот уже несколько лет я практикую минимальное передачу личных данных, включая финансовую и иную информацию, через интернет. Я не подписываюсь ни на какие сайты типа Facebbok и др., а веду общение только через регулярную электронную почту типа yahoo и hotmail, не забывая при этом о хорошем старом друге телефоне. При необходимости покупки чего-либо или оплаты счёта через интернет я делаю это только на работе, где установлены дополнительные средства защиты. Скажите, насколько эффективен и уязвим такой вариант защиты?
Стоит ли и дальше продолжать эту «самооборону»?
Спасибо
Когда речь идет о защите, то необходимо выяснить, от кого и с какой целью эта защита должна помогать. Например, используя почту вместо социальных сетей, Вы избегаете накопления общедоступной информации о Вас, причем необязательно в собственно социальных сетях, так как существует достаточно агрегаторов, накапливающих такую информацию для своих целей. Но стоить помнить, что, например, полиция с легкостью получит доступ ко всей Вашей электронной почте, хранящейся на серверах Yahoo! или Hotmail. Телефонный разговор в этом плане более надежен, так как у полиции не будет доступа ко всей истории разговоров — только с момента получения ордера на прослушивание. Спецслужбы, с другой стороны, могут хранить запись всех совершенных Вами разговоров, но в суде такую запись использовать будет нельзя, и так далее. Оплачивая счета на работе, где квалифицированный системный администратор позаботится о защите компьютера от взлома, Вы избегаете воровства паролей от сайтов банка и кредитной карты, но все равно рискуете тем, что хакеры взломают сайт компании, счета которой Вы оплатили, и скопируют данные кредитной карты. Если же, к примеру, Ваш банк предоставляет средства для входа на свой сайт с использованием двухфакторной аутентификации (такие, как SecurID), а также одноразовые виртуальные кредитные карты (VCC), то Вы сможете избежать вышеозначенных рисков, даже оплачивая счета из дома. То есть само по себе общение со знакомыми и друзьями в социальных сетях никакой опасности не несет (и, на мой взгляд, у игнорирования новых средств общения больше минусов, чем плюсов), но важно осознавать, что происходит с информацией по мере ее выкладывания в сеть, и действовать соответственно.
Здравствуйте! Вопрос этот, пожалуй, интересует если не каждого, то многих. Скажите пожалуйста, есть ли смысл опасаться и чем может грозить публикование своих личных данных, таких как место работы, адрес, указание родственников, друзей в социальных сетях? Спасибо.
Может быть вообще не заморачиваться по поводу такого вопроса "Как обеспечить безопасность общения в интернете?" ?
т.е. общаясь через Сеть считать, что всё это может стать общедоступным. Да это быстро,удобно и пр., но дыряво не по тех.причинам, а по причине разгильдяйства и пофигизма и (часто) непрфессинализма многих участников процесса.
А действительно ли проблема так серьезна? Ну да, несколько смс "ушло", но ведь устранили проблему, достаточно быстро причем. Кстати я думаю никто из пострадавших и усом не дует из за такой мелочи. Или все таки есть еще шизики, думающие, что инопланетяне, фсб, фбр и тд следят за нами круглые сутки?
Здравствуйте Максим
Как вы считаете популярные ныне социальные сети представляют опасность для общества?
Нормально ли с вашей точки зрения публиковать в открытом доступе в социальной сети свои личные данные?
Кроме очевидной возможности так называемой «кражи личности», которая имеет значение в основном в США (с их высоким уровнем доверия к предоставляемым людьми личным данным), основная, на мой взгляд, проблема с публикацией таких данных в сети в том, что никто из нас не знает, в какой ситуации окажется лет через 20. Срок жизни информации, однажды оказавшейся в сети, ничем не ограничен, а человек человеку далеко не всегда друг, товарищ и брат, и кто-то может воспользоваться легкомысленно или случайно опубликованной много лет назад информацией в корыстных целях. Возможностей достаточно — подсидеть коллегу по карьерной лестнице, в красках расписать сопернице былые похождения ее мужа, шантажировать объект навязчивого преследования угрозой показать кому-либо малоприличные видеоролики давней юности, про ушедших в политику людей, я думаю, и так все ясно, и так далее. Кажущаяся безобидной информация может быть использована в будущем, чтобы отказать человеку в медицинском страховании или во въездной визе в другую страну, например. То есть общество, со временем, конечно же, становится более толерантным к увеличению потока личной информации, но возможность нанесения человеку вреда с использованием такой информации эта толерантность не уменьшает.
И ещё вопрос в догонку.
Факт, что практически в любой стране, на абсолютно легальных правах, к любому провайдеру, владельцу ресурса и вообще кому угодно, могут придти местные спецслужбы и затребовать те или иные доступы, логи, да что угодно. При условии реалий, эта информация может попасть в любые руки. Стоит ли в серьёз говорить о безопастности/анонимности в сети?
Вам не кажется, что многие методы обеспечения безопасности личных данных защищают больше от мифов, чем от реальных попыток этими данными завладеть? Ведь, с одной стороны, при реальном желании одной из государственных «контор» завладеть такой информацией, ресурсы «конторы» настолько серьёзны, что бороться с ней практически бесполезно: «ломать» не будут, просто посадят на прослушку на уровне провайдера услуг. С другой стороны — безопасность личной информации среднестатистического Пети Сидорова, не достаточно ли надёжно обеспечивается просто тем, что она никому не интересна?
Вы правы — если не пользоваться какими-либо методами для обеспечения безопасности и анонимности в сети, то информация легко становится доступной методом обычной прослушки на уровне физической связи (чем с радостью занимаются многие военные организации). Но, к примеру, при использовании обычного шифрования прослушку придется устанавливать уже непосредственно на сервере сайта, что не всегда возможно (сервер может находиться за пределами юрисдикции соответствующих органов). Если же ресурс содержится в виде скрытого сервиса в сети Tor (или как eepsite в сети I2P), то местоположение сайта и его посетителей никому не будет известно.
Добрый день!
Возможно я параноик и мне лечится нужно, но... Был я тут в ВДНХ на выставке вооружений. Значит, и был там наш аля полевой ноут. Мощность так себе и вообще конечно вещичка не очень... Спросил ребят, которые его представляли, мол, а чо это, зачем ваще, когда есть куча тайванских нормальных компов и тд. Они мне сказали вещь которая меня очень поразила и заставила задуматься - мол, говорят, что у нас по закону нельзя на вооружение брать импортные компы. А если даже и берут, то под заказ, потом их сканируют чем-то там, а иначе это подарок потенциальному противнику. Ибо они щёл где-то там на кнопицу и комп либо перестанет работать либо начнёт сливать инфу куда нада.
Не даром я сказал, что я параноик, ибо я по аналогии подумал и про производителей операционок, и различных браузеров и всех этих модных социальных сетей.
Чисто просто поржать, мой холодильник следит за мной? Мы под колпаком ? :)
Военные совсем не зря с подозрением относятся к компьютерному и не только обеспечению, производимому в странах потенциального противника, заклятых друзей и просто за рубежом. Например, согласно книге “At the Abyss: An Insider’s History of the Cold War” (Thomas C. Reed) во время "холодной войны" ЦРУ сумело поставить Советскому Союзу (в качестве троянского коня) ПО для управления газопроводом, которое в результате запланированной диверсии вызвало взрыв мощностью около 3 килотонн в Сибири в 1982-м году. Недавний пример с военизированным вирусом Stuxnet тоже широко известен. Вооруженные силы стран, заказывающих оборудование для безопасной связи у США, могут быть уверены, что друзья в США тоже, как говорится, всегда на связи. По поводу же операционных систем, в 1999-м году в Windows NT 4 был обнаружен второй ключ (в дополнение к основному) для подписи устанавливаемых модулей для шифрования. Название ключа было “_NSAKEY” (NSA — Агентство национальной безопасности США, занимается прослушкой и декодировкой разнообразных каналов связи). Выводы делайте сами, правда, насчет холодильника я бы не волновался. ☺
Некоторые соц.сети для подтверждения личности просят указать домашний адрес, и паспортные данные. Вы не думаете что это уже перегиб? И как им после этого доверять?
Разумеется, такая ситуация ненормальна, и доверять личную информацию (если, конечно, Вы не хотите, чтобы она стала общедоступной) таким сервисам нельзя. Нужно понимать, что клиентами абсолютно всех социальных сетей, новостных и развлекательных порталов, почтовиков и даже поисковых сервисов являются рекламодатели, а в качестве товара выступают посетители. Конечно, нет ничего плохого в том, чтобы воспользоваться предоставляемым бесплатно сервисом для удобного общения с друзьями, например, но необходимо помнить о фундаментальном конфликте интересов между провайдером сервиса и посетителем. Помните, что, как бы очередная социальная сеть ни тужилась показать свою элитарность, Вы (как товар для рекламодателей) нужны ей гораздо больше, чем она Вам (сетей много).
Добрый день.
Развейте миф или подтвердите, что vkontakte "пасется" ФСБ, пожалуйста=) И посоветуйте ресурс, где можно почитать об анонимности в сети. Спасибо.
Если Вы имеете в виду, что сеть «ВКонтакте» якобы была создана ФСБ для слежки за гражданами, то я не видел никаких подтверждений этому мифу. Обычно в качестве аргументов приводится огромное количество необходимых средств для содержания серверов и полное отсутствие рекламы в первые годы развития ресурса, но Павел Дуров всего лишь полностью скопировал социальную сеть Facebook — включая принцип позднего ввода целевой рекламы для обеспечения «модности» сети на раннем этапе привлечения пользователей. За развитие же ресурса в первые годы в любом случае платят инвесторы, без связи с наличием или отсутствием монетизации. К слову, такой же миф про связь между Facebook и ЦРУ популярен за рубежом — по-видимому, миф тоже был скопирован. Но, вне всякого сомнения, спецслужбы всех стран получают огромное количество «сырой» развединформации из социальных сетей — было бы безрассудно не воспользоваться таким замечательным ресурсом.
Максим, правда ли что браузер Google Chrome собирает разную, в том числе и личную информацию о пользователе и потом куда-то ее отправляет и лучше им не пользоваться?
По умолчанию браузер Google Chrome отсылает на сервера Google адреса всех сайтов, на которые Вы заходите, с заявленными целями предотвращения фишинга, подсказок в адресной строке и подсказок в случае ошибок. Я бы посоветовал Вам изменить такое поведение браузера в настройках, а также отменить отсылание в Google статистики при сбоях. Подробности настроек можно прочесть после поиска «Обзор настроек конфиденциальности» в сети. Кроме вышеперечисленных проблем с приватностью при настройках по умолчанию, я не вижу причин не пользоваться данным браузером, если Вы находите его удобным — все, что браузер куда-либо отсылает, можно просмотреть, установив сниффер.
Здравствуйте, Максим Кммерер.
Как вы думаете, является ли приватность больше дорогой роскошью, чем правом?
Я так не думаю. Права и привилегии человека определяются в соответствии с морально-этическими нормами и тем этапом развития, на котором в данный момент находится общество. На сегодняшний день интернет плотно вошел в нашу жизнь и в некоторых странах даже признан интегральной частью прав человека (например, в Эстонии, Франции и Финляндии). Но полноценно пользоваться интернетом в современных условиях без какого-либо ожидания на невмешательство в частную жизнь, на мой взгляд, невозможно. Если же отойти от сетевой тематики, то «Европейская конвенция о защите прав человека», например, в 8-й статье гарантирует право на уважение частной и семейной жизни.
Когда о мире будущего говорят как о мире, где больше нет приватности как класса и "..станет известна вся подноготная людей, каждому воздастся по заслугам, а потому люди совершат скачок в сознании на пути к Праведному Поведению", хочется подумать – а не станут ли люди всего-навсего гораздо проще относиться к оплошностям и грехам друг друга? Не снизится ли элементарно уровень восприятия?
Вы, несомненно, правы, если речь идет об отдельно взятом рационально мыслящем человеке. Но человек — прежде всего социальное животное, а большинство людей действует скорее на инстинктивном уровне, чем на осмысленном. Поэтому предположу, что у одних людей просто появится больше поводов обсуждать поступки других людей. Интересно заметить, что развязка фантастической повести «Свет былого» Боба Шоу (Bob Shaw, “Light of Other Days”) близка к Вашей точке зрения: «В последующие десятилетия людям приходилось мириться с повсеместным присутствием ретардитового соглядатая, и они научились жить не таясь и не стыдясь, как жили в далеком прошлом, когда знали доподлинно, что от очей бога укрыться негде».
Здравствуйте, как можно рядовому пользователю интернет защитить себя от идентификации личности – как пользуясь win7, так и ubuntu ? (известен анекдот, когда задают вопрос президенту РФ через интернет, а он отвечает - .. гражданин такой-то, IP такой той-то, проживает по адресу такому-то...) И можно ли по IP вычислить конкретно человека с конкретным адресом, учитывая в большинстве IP адрес динамичен, то есть он меняется в зависимости от времени подключения к сети - в другое время он может быть иной? (или у провайдеров сохраняется информация какой именно пользователь заходил под определённым адресом в интернет). Спасибо
Насколько далеко, по Вашему мнению, зашли сетевые рекламные технологии в деле уничтожения приватности и анонимности?
Все эти *-бары, счётчики, flash- и JS-баннеры собирают для своих владельцев массу информации о посетителях, в том числе формируя индивидуальный профиль каждого по набору уникальных данных. Возможно ли этому противостоять, не отказываясь от "нормальной сетевой активности"?
Если Вы заходите на ресурс без использования прокси, то вычислить Вас при наличии соответствующего ордера или без него (в зависимости от страны) будет очень легко — провайдеры обязаны хранить логи как раз для этой цели. Чтобы защитить себя от такого способа идентификации, необходимо воспользоваться прокси в той или иной форме: сетью Tor (желательно в качестве готового решения, например TorButton), двойным VPN-подсоединением с серверами в странах с недружественной друг к другу юрисдикцией и так далее. Но IP — не единственный способ идентифицировать посетителя, которого можно ассоциировать с уникальным набором версий браузера и его расширений, обычными и flash cookies (LSO), и так далее. Для борьбы с такой недружественной к пользователю активностью я бы порекомендовал Вам как минимум установить блокировщики рекламы и flash-контента (который можно включать в индивидуальном порядке — как правило, это видеоролики), запретить third-party cookies и регулярно чистить обычные, а на подозрительные сайты заходить в режиме «инкогнито» (который есть у большинства современных браузеров) с выключенным Javascript’ом. Для более основательной защиты от идентификации Вы можете воспользоваться целевыми дистрибутивами — Liberté Linux или Tails. Важно заметить, что при выходе в сеть через Tor нешифрованный трафик виден выходным узлам, которые может администрировать кто угодно, поэтому, например, соединения браузера с сайтами должны идти по протоколу HTTPS с подтвержденными сертификатами.
Как надежнее всего защититься от внимания спецслужб в сети? Какой почтой пользоваться? Каким коммуникатором? Использовать ли коммерческие программы шифрования - и какие? Чем, на ваш взгляд, надежнее всего скрыть свой IP-адрес? Как обезопасить сообщество в соцсети на случай принудительного закрытия спецслужбами, например, в ходе координации массовых акций?
Если Вы хотите использовать именно коммерческие решения, то оптимальный вариант, на мой взгляд, — коммуникаторы BlackBerry вкупе с собственным BlackBerry Enterprise Server. Таким образом почта, посылаемая через коммуникатор, будет шифроваться независимо от серверов компании Research In Motion. Голосовую же связь лучше всего осуществлять через установленный на коммуникатор Skype. И BlackBerry, и Skype используют современные алгоритмы шифрования. На десктопах можно использовать решения компании PGP (купленной Symantec), включая шифрование с публичным ключом для почты. Для скрытия IP-адреса можно воспользоваться цепью из двух или более надежных VPN-сервисов в нейтральных странах. В области открытых решений я бы посоветовал Вам попробовать интерфейс почтовых сообщений в Liberté Linux, разработанный специально с целью скрыть местоположение собеседников и содержимое сообщений без необходимости напрямую работать с ключами шифрования и сертификатами. При использовании обычной почты необходимо пользоваться шифрованием с открытым ключом — например, GnuPG (открытый аналог PGP Email), но желательно иметь в виду, что спецслужбы будут иметь возможность анализировать трафик (кто кому и когда послал сообщение) и высылать на дом специалистов по терморектальному криптоанализу. Сообщество в соцсети обезопасить от закрытия невозможно, но можно попробовать перенести активность в соцсеть, неподотчетную спецслужбам Вашей страны.
Здр-те,
есть ли какие ниубдь признаки по которым можно понять, что находишься под колпаком в сети?
Анон-ости нет, это понятно, напишите пожалуйста тех-ие правила чтобы оставаться чуть-чуть анонимным? Как обычно палятся?
Почему гугл так легко отделался в ситуации когда нарушал приватность (передвижные башни собирали данные) и потом откровенно врал что не нарушал?
Что должно изм-ся, чтобы такие ситуации как с гуглом, сони, яндекс/мегафоном становились epic fail для компаний вплоть до делистинга корп-ий добра?
В отличие от реальной жизни, где человек либо «под колпаком», либо нет, в сети это понятие более размыто, так как информация собирается соответствующими организациями про всех и сразу, а последующий ее анализ может произойти через продолжительное время. Соответственно, и признаков, о которых Вы говорите, нет — если, конечно, через пять минут после поста в сети не звонят на личный номер вежливые люди с просьбой прокомментировать выраженное мнение. Сохранять же относительную анонимность не так трудно — пользуйтесь такими анонимизирующими сетями, как Tor, не публикуйте личную информацию о себе. Про Google, как я понимаю, вопрос риторический? Для того, чтобы такие ситуации не возникали, нужно «всего лишь» добиться того, чтобы власть представляла интересы граждан, а не финансовые и иные интересы. Если доверять предвыборной пропаганде, то это очень просто.
Доброго времени суток, Максим. У меня два вопроса:
1. Какое, как Вам кажется, место занимает Россия в списке стран по уровню квалификации (имеется ввиду как уровень подготовки специалистов, так и средний уровень защиты в рунете) в области защиты информации?
2. Какой на Ваш взгляд процент бюджета должны тратить большие компании, для обеспечения надлежащей степени защиты данных своих клиентов?
Спасибо.
К сожалению, я не обладаю достаточной квалификацией, чтобы ответить на Ваши вопросы. Могу только заметить, что образование в области компьютерных наук в России гораздо хуже, чем на Западе, но возможно, что для уровня специалистов в области компьютерной безопасности это не играет решающей роли.
Интернет-маркетинг не так давно, но прочно вошел в жизнь коммерческих фирм. Его условно можно разделить на: 1) сбор информации; 2) распространение нужной информации. Сбор информации - это ручная (чтецы) и автоматизированная обработка (например, специальная программа собирает цены с интернет-сайтов). Распространение - это в том числе впрыскивание малых доз нужной информации в полемику, развернувшуюся внутри какого-то интернет-сообщества. Т.е. т.н. румор-менеджмент.
Вопросы:
1. Практикуют ли такое силовики в мире и в России. Насколько широко?
2. Когда в каждом полицейском участке появится специалист по сбору и распространению информации в Интернете.
Сбор, классификация и перекрестный анализ открыто доступной информации — основное занятие разведок во всем мире. Дезинформация же, как правило, — «штучные» операции спецслужб, предназначенные для их коллег в других странах, а никак не для широкой публики. Поэтому наибольший интерес в Вашем вопросе, на мой взгляд, представляет степень вовлеченности силовых структур в целенаправленное влияние на общественное мнение в своей или в других странах методом выборочного вброса комментариев в развернувшуюся где-либо в интернете полемику. Вопреки распространенному мнению («проплаченные комментарии»), такой метод практически нигде не используется, так как для него необходимы огромные широко квалифицированные людские ресурсы (вклиниться в полемику и сразу вызвать доверие дано не каждому), а выхлоп невелик — гораздо продуктивнее, например, мотивировать и подкармливать симпатизирующих кому нужно блогеров (можно в буквальном смысле — на приеме в посольстве, например) или даже заранее вложиться в агента влияния, который с годами, как в бабочку, превратится в знаменитого журналиста. В монографии “Blogs and Military Information Strategy” (JSOU, 2006) видно, что пять лет назад подход с целенаправленным влиянием на общественное мнение через блогеров рассматривался американской военщиной лишь теоретически и оценивался как очень сложный и требующий вербовки или найма блогеров, которые уже имеют авторитет у целевой аудитории. Вместе с тем открытое и обоснованное выражение собственного мнения в сети (с указанием организации, к которой относится комментатор) в качестве реакции на неугодные посты (так называемый “counter-blogging”) часто поощряется в военных и коммерческих организациях.
Добрый день, Максим!
Раньше интернет работал через телефон, теперь телефон работает через интернет. Все данные, в т.ч. телефонные переговоры или sms проходят по однотипным сетям, по открытым протоколам в открытых форматах. В свете этого, не должно ли государство:
1) запретить провайдерам (операторам, телекомам) копировать или сохранять личную (не обязательно конфиденциальную) информацию пользователей
2) обязать использовать только безопасные (шифрованные) соединения.
Как же государство запретит провайдерам хранить крайне нужную ему информацию? Во всем мире государство, наоборот, обязывает операторов хранить такую информацию достаточное количество времени (обычно несколько лет), чтобы в случае возникновения интереса к одному из граждан оператор мог предоставить такую информацию по первому запросу. Более того, государства всех стран активно противятся возможности шифрования голосовой связи из конца в конец, например (чему давно нет никаких технических преград при современных мощностях сотовых телефонов), так как такое шифрование сведет возможность властей неограниченно прослушивать телефонные разговоры на нет. Поэтому я думаю, что не стоит ждать милостей от государства в плане сохранности личной информации, надо начинать пользоваться средствами для безопасного общения в сети уже сегодня.
Гарантами безопасности являются: операционая система, программное обеспечение, провайдер, и сервер, обеспечивающий услуги или предоставляющий сервис. Укажите пределы этой безопасности и причины, по которым пользователь лишается гарантии на защиту и конфедициальность в Сети. Это вопрос.
Это очень широкий вопрос. Как правило, с точки зрения безопасности, ОС отвечает за непревышение программами данных им привилегий и корректную обработку сетевых пакетов (например, взломанный сервис синхронизации часов не должен дать злоумышленнику доступ ко всей системе); ПО несет ответственность за отсылку только необходимой информации и проверку получаемой информации (например, браузер не должен запустить файл на сайте без подтверждения пользователя и не должен автоматически заполнить поле формы ранее дававшимся номером кредитной карты); сервер же должен обеспечить защищенность данных пользователя и хранить как можно меньше чувствительной информации (например, хранить хэши паролей вместо самих паролей). Если в одной из этих систем появляется «слабое звено», то безопасность и конфиденциальность пользователя в сети попадают под угрозу.
Здравствуйте, Максим. я все-таки не пользуюсь Linux, юзаю Windows, поэтому парочка вопросов о безопасности данной системы в плане общения в сети.
Вопрос 1. Опасно ли пребывание на сайтах с sopcast трансляциями и онлайн потоковыми трансляциями через flash player по протоколу rtmp? Могут ли через чат, в котором я там сижу, впарить троян?А через видеопоток?
Вопрос 2. Насколько безопасно пользоваться торрентами и файлообменниками, ведь скорость идет в много потоков и как там уследить?
Вопрос 3. Как вам как эксперту семерка(Windows 7)и IE-9 в плане безопасности серфинга?
Спасибо.
1. В то время как RTMP — открытый протокол, для которого Вы используете хоть и проприетарный, но отлаженный временем просмотрщик для приема видеопотока с целевого сервера, SopCast — проприетарное решение для P2PTV, в котором Вы принимаете видеопоток не с целевого сервера, а от других пользователей, которые могут воспользоваться неизвестной уязвимостью протокола или просмотрщика и, так сказать, впарить Вам троян. Вероятность взлома через чат, на мой взгляд, значительно меньше, так как трафик чата, скорее всего, идет через сервер SopCast, и при минимальном уровне компетенции разработчиков шанс взлома нулевой (если Вы, конечно, не кликаете по линкам, которые постят собеседники).
2. Надежными (то есть с сайтами без вирусов) файлообменниками пользоваться безопасно, так как, хотя скачивание и может идти в несколько потоков, но все потоки скачивают сегменты файла с одного и того же сайта-файлообменника. Торрентами пользоваться гораздо опаснее, поскольку, опять же, сегменты файла скачиваются напрямую у других пользователей. Тем не менее, протокол BitTorrent проверен временем, поэтому я не советую Вам отказываться от торрентов, но пользоваться популярным клиентом, который сам находит и скачивает обновления.
3. Согласно тестам компании NSS Labs, профинансированным компанией Microsoft, браузер Internet Explorer 9 является наиболее безопасным браузером. К сожалению, история показывает, что полагаться на безопасность продуктов, производимых компанией Microsoft, как минимум ошибочно. Я бы посоветовал Вам (присоединившись к рекомендации Федерального управления по информационной безопасности Германии), если такое возможно, использовать браузеры с открытым кодом и с лучшей репутацией — Mozilla Firefox или Google Chrome (с соответствующими настройками приватности, о которых я написал в другом ответе).
Скажите, почему выходя на интернет-страницы многих российских СМИ подвергаешься атаке различных вирусов. У меня стоит на компьютере пркрасная защита, но все же. Создается впечатление, что таким образом собиратеся информация в маркетинговых целх и с задачей похищения личных данных для дальнейшего мошеннического использования ради наживы. Как вы считате? И почему проавоохранительные органы с этим не ведут никакой борьбы? Если это удобно, дайте свой и-мэйл адрес. Я работаю в США в СМИ и хотел бы взять у вас интервью как у эксперта по данной теме. С уважением, Роман
Я думаю, что, скорее всего, Вы настроили свой антивирус на слишком высокую чувствительность (проверьте настройки так называемого heuristics). Для СМИ нет никакого смысла заражать посетителей троянами — пресса действует тоньше и эффективнее, а информацию о себе посетители, как правило, предоставляют сами и добровольно — например, своими ответами на опросы, статьями, которые читают, и рекламой, на которую кликают. Если новостной портал и пытается заразить компьютер вирусом, то, скорее всего, хакерами был взломан один из элементов сайта. Мой email есть по ссылке в пресс-конференции: mk@dee.su, буду рад пообщаться с Вами.
Максим, не кажется ли Вам сложность кодов программного обеспечения препятствием для создания безопасной среды - и, наоборот, одной из возможностей для организации атаки? Не является ли выбранная ОС избыточно сложной для этой задачи? Может быть, варианты с, например, Minix были бы предпочтительнее?
Я думаю, что сложность кода ПО с точки зрения безопасности должна рассматриваться прежде всего относительно количества разработчиков, которые анализировали этот код. Подозреваю, что у ядра Linux в этом плане нет альтернатив — и решающее значение приобретают такие факторы, как поддержка периферийных устройств, например. Кроме того, простота не всегда является достоинством — поддерживает ли Minix установку брандмауэра, мягкую перезагрузку в мини-ядро для очистки памяти, замыкание участков памяти для хранения паролей и так далее?
Доброго дня, Максим.
Если не оглядываться на цели, то какие методы для достижения высокого уровня анонимности используете лично Вы?
Лично мне высокий уровень анонимности редко необходим, поэтому я иногда пользуюсь Tor’ом для того, чтобы зайти на тот или иной сайт; кроме того, IRC и мессенджером я пользуюсь в основном из Liberté Linux — что, разумеется, подразумевает Tor’ификацию общения. В основном я просто избегаю публикации излишней личной информации о себе в социальных сетях и держу семейный альбом под паролем, известным только близким. Сотовый телефон в поездках не выключаю и батарейку из него не вынимаю. «Параноиком» себя не считаю, но против их дискриминации. ☺
Максим, нас, линуксоидов, и так немного на этом свете из-за (кажущейся)сложности работы с GNU/Linix и настройки linux-систем.
Несмотря на то, что наша любимая операционка и так при должном умении безопаснее некуда.
Какую нишу вы стремитесь занять со своей Liberté Linux?
Liberté Linux является прежде всего целостным решением для анонимного и безопасного общения. Разумеется, что такая целенаправленность дистрибутива подразумевает в том числе и то, что обычно называют безопасностью самой ОС, но это разные понятия. Отдельно взятый дистрибутив ОС Linux может быть устойчив к удаленному или локальному взлому, но внешний перехватчик трафика все равно будет осведомлен об активности пользователя в сети — на какие сайты ходит, с кем общается, что и кому пишет (при отсутствии шифрования, но не только) и так далее. Более того, приложения, аналогичные TorButton, являются лишь надстройками (над конкретным браузером в случае TorButton) и не защищают пользователя от утечки информации через другие каналы. Liberté Linux включает в себя безопасный дистрибутив Hardened Gentoo в качестве основы, настройку его и всех приложений применительно к целям Liberté, анонимизацию всех сетевых соединений, а также целевые приложения, одно из которых предоставляет возможность скрытно обмениваться сообщениями через стандартный почтовый клиент — без привязки к какому-либо серверу, без возможности обнаружения и с прозрачным для пользователя шифрованием.
Здравствуйте, Максим! Планируете вы переводить свой дистрибутив на основу FreeBSD и KDE2 в качестве DE? Если да, то будет ли возможность его пропатчить?
Конечно, я готов рассмотреть такую возможность. Предлагаю обсудить на IRC-канале про аниме.
Why is your Liberte Linux better than OpenBSD?
Как я написал выше, такое сравнение некорректно. Кроме того, на мой взгляд, представление об OpenBSD как о сверхбезопасной ОС основывается большей частью на сверхвысоком самомнении ее разработчиков.
Каковы принципиальные отличия Liberté Linux от Larch, кроме базирования на различных дистрибутивах??
Так как речь идет об автоматизации построения живых образов, то разные дистрибутивы и являются принципиальным отличием. Другие отличия перечислены на сайте проекта — на мой взгляд, наиболее важным из них является поддержка зашифрованного раздела, на котором хранятся, в числе прочего, изменения конфигурации пользователя.
почему OTFE, а не более быстрый TrueCrypt?
TrueCrypt проблематичен с лицензионной точки зрения, из-за чего от него отказалось большинство дистрибутивов Linux. Так как в Liberté Linux на разделе OTFE хранятся лишь отдельные файлы (то есть раздел не функционирует, как read-write слой над read-only файловой системой), то скорость доступа непринципиальна, и решающее значение приобретают другие факторы: стандартизированность, интеграция в ОС, открытость разработки и так далее.
Можно ли сохранить свою анонимность, если из под ОС Вашей сборки выходить под собой в Фейсбук, В контакте, переписываться через мэйл агент и твиттер?
Если делать все вышеозначенное под своим настоящим именем, то, разумеется, анонимность сохранить не выйдет. Если же создавать учетные записи из Liberté и не пользоваться ими из других ОС без соответствующих методов анонимизации, то не должно быть возможности связать Вас с этими учетными записями — если только Вы сами никому не раскроете свои личные данные.
Кликнул на ссылку Liberté Linux. Обнаружил там - Copyright © 2010 “Skolkovo” Innovation Center and King Abdullah Ⅱ Design and Development Bureau
Как известно, этот инновационный центр находится под государственной протекцией. Где гарантии, что ваш проект не контролируется спецлужбами и не является банальной разводкой лохов?
Каков характер ваших отношений с Фондом Сколково?
Копирайт на сайте размещен как дань уважения этим организациям. KADDB, например, недавно прославился прототипом бронетранспортера с выходом для десанта в лобовой части корпуса. «Сколково» — тоже замечательный правительственный проект. Но Liberté Linux пока не спонсируется правительством или спецслужбами. Проблема, конечно, в том, что гарантию отсутствия такого контроля не сможет предоставить ни один проект. К счастью, Liberté — проект с открытым кодом, около 10000 строк на данный момент. Если Вы полагаетесь на отсутствие «закладок» в ядре Linux и в используемых пакетах дистрибутива Gentoo, то достаточно попросить специалиста провести аудит кода Liberté Linux (к слову, я буду только рад отзывам).
Как вы относитесь к tor? не является ли эта сеть honeypot'ом для людей, которым есть что скрывать?
Я не вижу причин считать, что сеть Tor является «приманкой» для кого-либо. Tor довольно популярен в качестве объекта исследований специалистов в области сетевой безопасности, насколько мне известно, в нем нет принципиальных уязвимостей в рамках реализуемой модели анонимизации (несколько устаревшие методы шифрования не в счет). Проблема с Tor’ом, на мой взгляд, в другом. Размер активной части сети Tor, то есть передатчиков (включая выходные узлы) очень невелик — около 2500 узлов. Между тем, количество пользователей этой сети — около 350000, но по умолчанию они не включаются в сеть даже в качестве внутренних передатчиков. Более того, сеть централизована, и список передатчиков всем доступен. Налицо архитектурная проблема: доступ из Tor к ресурсу в открытом интернете легко заблокировать; возможность использования Tor можно как минимум сильно затруднить на государственном уровне; и (что наиболее важно) организация уровня возможностей NSA может легко накрыть всю сеть анализом трафика, сведя анонимизацию на нет (здесь стоит упомянуть, что длина цепи в Tor при выходе в открытый интернет равна всего трем узлам). Для того же, чтобы добавить в сеть в ее текущем состоянии значительный процент контролируемых злоумышленником узлов, нужно лишь желание и относительно небольшое количество денежных ресурсов. С доступом к скрытым сервисам в сети Tor ситуация несколько лучше, так как даже глобальный анализ трафика не дает информации о характере скрытого узла, к которому идет доступ, и цепь узлов немного длиннее, но остальные проблемы остаются в силе. На мой взгляд, Tor в его текущем виде несомненно усложняет задачу деанонимизации пользователя, но рассматривать его в качестве гарантии анонимности нельзя.
Не кажется ли вам что использовать Tor небезопасно? Ведь таким образом вы добровольно направляете свой траф через третьих лиц. А стать Exit Node, где трафик не шифруется и легко перехватывается, может любой.
Вне всякого сомнения, обмениваться чувствительной информацией через Tor без использования шифрования безрассудно (но не в большей степени, чем, например, делать то же самое с использованием беспроводной связи). Но при использовании протокола HTTPS, например, у выходных узлов не будет доступа к содержимому трафика, а при доступе к скрытым сервисам (адреса .onion) выходные узлы отсутствуют как класс.
В чём смысл использования Tor, если спецслужбы контролируют чуть менее чем все exit nodes?
Мне неизвестны достоверные источники информации о таком контроле. Возможные же последствия такого контроля я прокомментировал выше.
Полноценный серфинг в Сети возможен будет под вашей ОСью? Ведь через Тор как минимум не увидишь сайта на флэше, коих сейчас чуть ли не больше половины. Ну и яваскрипт будет порублен...
Или Либерте нужно поднимать исключительно в особый момент - когда надо бы поглубже затаиться?
Можно ли сделать вывод, что вашим дистром, как полноценным повседневным, пользоваться будет затруднительно/невозможно?
Flash не включен в образ Liberté из-за своего закрытого кода и постоянных проблем с безопасностью данного плагина. Браузер Midori, поставляемый в образе, поддерживает Javascript и HTML5 и включает поддержку вложенного видео и аудио в следующем релизе Liberté Linux — без необходимости установки Flash. В любом случае Вы можете самостоятельно собрать образ со всеми необходимыми приложениями — кроме настройки на свой вкус, такой подход дает возможность не полагаться на поставляемый бинарный образ.
Вам не кажется, что 100% анонимность в Интернет не может быть решена одним только дистрибутивом Линукс? Мне думается, что 100% анонимность возможна только для комбинации "секурный дистрибутив плюс свободный ВПН-сервис", а на такое никто и никогда не пойдет - сразу же закроют... Будучи борцом за анонимность в Интернет, не думаете ли вы открыть такой сервис со свободной регистрацией?
Сеть Tor (и ее аналоги) как раз и является общим случаем такого свободного VPN-сервиса, так как трафик пользователя передается через цепь случайно выбранных узлов. Кроме того, в сети есть достаточно возможностей получить бесплатный доступ к VPN (поищите “free vpn”), но степень анонимности при их использовании, разумеется, будет под вопросом.
Вы не думаете, что даете советы террористам?
Как и все экстремисты, террористы поддерживают свою идеологию за счет тщательной фильтрации поступающей информации, осуществляемой самими террористами или направляющими их идеологами. Я не думаю, к примеру, что террорист средней руки решится доверить свои секреты принципам анонимизации, реализованным в Liberté Linux — не утвержденной муллой очевидной подсадной утке спецслужб Большого Дьявола. Он предпочтет скачать с уютного джихадского форума пакет шифрования «Секреты моджахедов–2», введя цитату из Корана в качестве капчи. В любом случае ограничить доступ к общедоступной информации невозможно.
Доброго времени, Максим.
Вопросы:
1. Как вы относитесь к децентрализованным анонимным сетям (например, ANts P2P, Freenet или Netsukuku)? Есть ли у них будущее? И если да, что необходимо для того, чтобы оно было "максимально светлым"?
2. Какие из анонимных сетей вы считаете надёжными/ненадёжными и почему?
3. Пользуетесь ли чем-то подобным? Если нет, то какие технологии предпочитаете для файлового обмена и почему?
Спасибо за то, что вы есть. Удачи и успехов!
Здравствуйте!
Два вопроса:
На ваш взгляд какая из современных анонимных сетей является наиболее перспективной? С точки зрения обеспечения приватности какой подход более приемлем - оверлейная сеть типа I2P или нечто совсем не связанное с существующей сетевой инфраструктурой типа Netsukuku?
Как вы оцениваете ОС OpenBSD с точки зрения безопасности?
Здравствуйте, Максим, у меня такой вопрос: насколько безопасны различные анонимные сети (i2p, Freenet, Psiphon..)?
Мне очень импонирует Netsukuku как независимая и автономная mesh-сеть с возможностью интеграции с обычным интернетом. Как показали события этого года в арабском мире, доступ в интернет легко блокируется на государственном уровне. Между тем, современные технологии позволяют легко создавать независимые сети на основе устройств, имеющихся у огромного количества людей — вопрос только в наличии хорошей программной реализации, для чего необходима популяризация таких сетей и привлечение специалистов для разработки. Я надеюсь, что Netsukuku продолжит развиваться, но уверен, что в любом случае та или иная mesh-сеть получит распространение в ближайшем будущем. С точки зрения надежности самый важный момент — открытые спецификации протокола и код, что позволяет анализировать стойкость сети до того, как уязвимость обнаружил кто-то другой. В этом плане Tor и в меньшей мере Freenet (как менее часто анализируемую сеть) и I2P (как более новую сеть) можно считать относительно надежными, с учетом возможных проблем (глобальный анализ трафика, например), которые я прокомментировал выше. Для прямого файлового обмена я бы порекомендовал Вам попробовать почтовый функционал в Liberté Linux, работающий через скрытые сервисы Tor и реализующий прозрачное для пользователя шифрование и верификацию доставки.
Есть ли существенные уязвимости у сети айтупи (i2p), и сможет ли хоть какое-нибудь государство "прикрыть эту лавочку", если потребуется?
Добра тебе :3
На мой взгляд, существенных уязвимостей у сети I2P нет — более того, она обладает рядом серьезных преимуществ по сравнению с сетью Tor. Например, сеть I2P полностью децентрализована, посылаемые пакеты группируются вместе, а туннели для связи между узлами асимметричны. «Прикрыть» I2P будет сложнее, чем Tor, так как необходимо разрушить всю сеть, а не несколько центральных серверов. Кроме того, проект I2P развивается, на мой взгляд, гораздо более динамично, чем Tor (хотя именно Tor финансируется из различных источников), и качество анонимизации улучшается со временем. Я надеюсь, что количество пользователей I2P будет продолжать расти — даже несмотря на то, что эта сеть не ориентирована на связь с открытым интернетом.
Последнее время, малограмотные журналисты, анонимусов называют хакерской группой, (visa, НАТО и другие проявления активности АИБ в связи с чем возникает вопрос не начнутся ли репрессии в отношении нас?
Любая власть стремится монополизировать контроль над гражданами страны в целях продвижения своих интересов. Так как интересы власти чаще совпадают с интересами тех, кто обеспечивает ее незыблемость (корпорации, олигархи, теневой бизнес, военные структуры), чем с интересами собственно граждан, то любая неконтролируемая группа обычно рассматривается как угроза. Я думаю, что, в зависимости от оценки властью степени такой угрозы, вполне возможна ситуация, при которой отдельные проявления активности анонимусов будут истрактованы отдельно взятым президентом или премьер-министром как международный терроризм, например.
скажите, пожалуйста, вы правда Максим Каммерер или это псевдоним?
Доброго времени суток. Максим Каммерер это ваш псевдоним взятый из творчества братьев Стругатских?
Максим Каммерер, это ваша настоящая фамилия?
Да, «Максим Каммерер» — псевдоним. Многие разработчики ПО для анонимизации и схожих целей предпочитают не раскрывать своего имени. Представьте, например, ситуацию, в которой член наркокартеля сливает информацию конкурентам, используя такое ПО — о чем узнает глава наркокартеля. Преступники редко отличаются выдающимися мыслительными способностями, поэтому руководитель может решить, что создатель ПО сможет помочь в поимке информатора.
Максим, человек, у которого Вы взяли псевдоним, работал в КОМКОНе - аналоге нынешнего ФСБ. Вам не кажется, что это намекает: пользование Вашим дистрибутивом не так анонимно, как хотелось бы. Не?
«Иногда сигара — это всего лишь сигара». ☺