Ограничение доступа к информации и способы обхода блокировок

Тарантино, ну, а че делать, идея же в том чтобы от США быть независимыми.

Может сильно зависеть от оборудования. Может быть что интеграция ограничена, и с железом идет и софт, и облако, и хрен знает что еще. Честно, не знаю что там за железо обычно, насколько оно стандартизировано, как все это удаленно управляется и масштабируется. Если по аналогии с теми вещами, что я работал, то бывают очень туго залоченные на вендора технологии, так что либо брать весь пакет, либо что-то другое искать, потому что интегрироваться сложно.

Гретхен, очень поверхностно знаком с той историей, но насколько я знаю, случилась она на Хэлоуин, календарный праздник, и ситуация была не только прогнозируемой, о ней знали заранее — поступали звонки за несколько часов до начала сильной давки, что людей собралось больше обычного. Проблема была не в том чтобы обнаружить, а в том чтобы что-то сделать. Что можно сделать когда сотни тысяч людей скопились в центре старого города? Я не знаю, но вряд ли решение лежит в области видеонаблюдения.

Но допустим это было полной неожиданностью, какой-то рандомный флэшмоб, о котором невозможно было узнать заранее. Сколько таких случаев бывает? Разумно ли тратить деньги на системы тотального наблюдения чтобы иметь дополнительный сигнал о редком случайном явлении? Не думаю, что бюджет выделяют на это, хотя как буллет поинт с ужасными картинками, конечно, добавляет убедительности питчу.

Камеры на дорогах — другое дело. Это заведомо места постоянно повышенной опасности. Какое-то наблюдение за ними вполне имеет смысл. Особенно если ими можно заменить коррумпированные ДПС.

Murchik пишет:

Это заведомо места постоянно повышенной опасности. Какое-то наблюдение за ними вполне имеет смысл. Особенно если ими можно заменить коррумпированные ДПС.

//разблокировано воспоминание об автомобильной поезке в Крым в 2007

Тарантино пишет:

А почему нет? Защищённые соединения есть не только у телеграма. Всё тоже самое и в WhatsApp, Signal. Причём Сигнал это независимая, некорпоративная разработка, вот там совсем не продавишь и вопросы безопасности там на первом месте. Сообщения в директе инсты тоже недоступны для российских служб. Телеграм уникален даже не тем, что это месседжер какой-то защищённый, а тем, что он позволяет создавать каналы, группы, в том числе анонимные, без какой-либо цензуры. Именно к нему как к СМИ были претензии. По этой части есть некоторые вопросы, насколько анонимны владельцы анонимных каналов, хотя там при желании можно анонимность соблюдать, если целенаправлено ей заниматься изначально.

А почему да? Я с ним даже не знакома, а продавить в России можно любого. Про Сигнал вообще даже не слышала, наверно, в России он не популярен.
Прямой вопрос, для понимания анонимности в инете: если кто-либо в Телеграмме начнет без устали постить рисунки на тему "Нет войне", на него смогут выйти спецслужбы?

Calgary пишет:

Прямой вопрос, для понимания анонимности в инете: если кто-либо в Телеграмме начнет без устали постить рисунки на тему "Нет войне", на него смогут выйти спецслужбы?

Куда постить?
В открытую группу, где полно народу?
И где каждый второй начнет писать доносы жалобы? Без проблем "выйдут" спецслужбы. Точнее даже не спецслужбы, а обычная полиция.
Даже никакого Дурова привлекать не нужно.

Calgary пишет:

а продавить в России можно любого.

Он не в России, естественно (написано, что ОАЭ), а ещё у него несколько паспортов разных стран.

Calgary пишет:

на него смогут выйти спецслужбы?

В зависимости от того, как он заводил аккаунт, какую активность с него вёл, сколько человек знает про этот аккаунт, у кого он в контактах и т.п. Узнать ip-адрес без помощи Телеграма нельзя. Но в каких-то случаях можно связать аккаунт с номером телефона, в каких именно не рискну точно судить.

Если у вас основной аккаунт, и вы из под него пишете, то, конечно, относительно легко на вас выйти.

Calgary, Signal это то чем Сноуден пользовался когда общался с журналистами. В его времена это была новая платформа с end-to-end шифрованием (некоторые современные открытые алгоритмы основаны на похожих принципах), что было редкостью. С тех пор на эту компанию оказывали давление, ее закрывали, переоткрывали… чем все закончилось не помню. Общий принцип такой, что если продукт проприетарный и централизованный, то можно предполагать, что те, в чьей сфере влияния, грубо говоря, находится компания или индивидуумы ее представляющие, тот и будет иметь доступ к данным. Лучше всего если компания прозрачна в этом отношении (например, ProtonMail и mailbox.org публикуют отчеты о запросах компетентных органов). Тогда понятно кому она обязана предоставлять доступ и что именно она может предоставить. Например, если речь идет о сильном end-to-end шифровании, то текст сообщений она предоставить просто не может, но может предоставить логи доступа, IP-адреса с которых осуществлялся доступ и т.п. В некоторых странах существуют законы по типу gag order, которые запрещают компаниям прямым текстом сообщать о том, что они делятся информацией с органами. Тогда нужно чтобы по крайней мере была т.н. warrant canary, чтобы было понятно когда надо паковать чемоданы.

Я согласен, что Телеграмм лучше какого-нибудь MailRu Агента, ВК или Яндекс почты. Некоторые компании пользуются Matrix.org, у него свои преимущества. Но еще лучше пользоваться открытыми децентрализованными технологиями с поддержкой e2e криптографии. Я пользуюсь XMPP и Tox. На Тулупе, кстати, есть свой открытый XMPP сервер, который хостится в Германии. Если интересно, могу рассказать как пользоваться. Еще есть сервисы вроде mov.im c хорошим веб-интерфейсом и новостными pub-sub каналами.

Adx пишет:

Куда постить? В открытую группу, где полно народу? И где каждый второй начнет писать доносы жалобы? Без проблем "выйдут" спецслужбы. Точнее даже не спецслужбы, а обычная полиция.

То есть это простое нежелание работать полиции, когда в Телеграмме продают направо и налево разнообразные пароли от ЛК?

Тарантино пишет:

В зависимости от того, как он заводил аккаунт, какую активность с него вёл, сколько человек знает про этот аккаунт, у кого он в контактах и т.п. Узнать ip-адрес без помощи Телеграма нельзя. Но в каких-то случаях можно связать аккаунт с номером телефона, в каких именно не рискну точно судить.

Murchik пишет:

Общий принцип такой, что если продукт проприетарный и централизованный, то можно предполагать, что те, в чьей сфере влияния, грубо говоря, находится компания или индивидуумы ее представляющие, тот и будет иметь доступ к данным. Лучше всего если компания прозрачна в этом отношении (например, ProtonMail и mailbox.org публикуют отчеты о запросах компетентных органов)

Зачем Телеграм и прочие эти данные хранит?
Вообщем, все заверения при его создании о супер-анонимности - это лажа

Murchik пишет:

На Тулупе, кстати, есть свой открытый XMPP сервер, который хостится в Германии. Если интересно, могу рассказать как пользоваться. Еще есть сервисы вроде mov.im c хорошим веб-интерфейсом и новостными pub-sub каналами.

Спасибо! Не, мне не нужно, я просто спросила, интресно же как все устроено. А даже ответы понять не могу

Murchik
Раньше Сигнал был коммерческим продуктом, но позже ушёл под разработку некоммерческой организации и в открытый код. На Вики обзор есть.

Принципиальный минус в привязке к телефонному номеру, что общая история для месседжеров, но тут надо смотреть шире, почему так происходит. Если сервис не использует никакой привязки, то тогда аккаунты слишком просто создавать, а месседжер использует инфраструктуру для своей работы. Слишком просто устроить своеобразный DDoS, сознательный или просто сопутствующий, активно создавая аккаунты и используя их с какими-то левыми целями, перегружая инфраструктуру проекта.

Calgary пишет:

Про Сигнал вообще даже не слышала

Я тоже раньше не слышал, но со своим австрийским коллегой я в последние пару лет общаюсь исключительно через Signal, видимо, в Австрии это мессенджер номер 1. Он очень удобен как заменитель телефона, почему-то качество на порядок лучше, чем при простом телефонном разговоре. И приятно, что бесплатно (тратишь только объем трафика, на порядок дешевле).

Тарантино пишет:

В целом из соображений безопасности, если нужно работать с сайтом, обязательно требующим левый сертификат (тот же сертификат от Минцифры), то я бы рекомендовал тогда поставить дополнительный браузер, тот же Яндекс-браузер, и пользоваться им исключительно для того же Сбера и других таких госсервисов. И больше ни для чего этот браузер не использовать

Спасибо, так и буду делать.
Я в свое время установил российские сертификаты в Firefox, возможно, теперь их стоит удалить и завести отдельный браузер только для российских сайтов (Госуслуги, Сбербанк и т.п.).
Заставить себя пользоваться Яндекс-браузером у меня не получается (со смартфона я его удалил). Использую Мозиллу просто потому, что начинал пользоваться браузером Netscape еще с середины 90-х (а начинал с Мозаики, которая в то время была самым первым (и единственным) браузером — собственно, Netscape был создан группой людей, которые до этого были авторами Мозаики).

bregalad пишет:

Он очень удобен как заменитель телефона, почему-то качество на порядок лучше, чем при простом телефонном разговоре.

Мне кажется, телефоном уже давно никто не пользуется, кроме как для каких-то официальных контактов вроде госорганов, банков, техподдержек и интернет-магазинов со всякими доставками (и то многие уже через месседжеры общаются). А вот когда между собой, тогда по-моему всегда месседжеры, в том числе для голосовой связи, что в целом очень разумно.

Глянул статистику по месседжерам актуальную. В США и Канаде сейчас, оказывается, самый популярный это Facebook Messenger, обходит WhatsApp там. В целом же в основном везде WhatsApp. Плюс фейсбука наверное в том, что он привязан к аккаунту фейсбука, а не к номеру телефона. Что, конечно, правильнее. Но я им не пользуюсь, да и самим фейсом не очень. Потом из глобальных месседжеров идут Viber, потом Telegram, потом Snapchat. Есть региональные WeChat (Китай), LINE (Япония, Тайвань, Таиланд), KakaoTalk (Южная Корея). Сигнал очень заметно отстаёт, по той статистике, что смотрю, только 40 миллионов активных пользователей, против 500 у телеграма и 2+ миллиардов у фейсбука и вотсаппа.

Но пользовательская база сигнала по-немногу растёт, открыл сейчас контакт-лист, нашёл там пару контактов новых, кто раньше не пользовался им.

Calgary пишет:

То есть это простое нежелание работать полиции, когда в Телеграмме продают направо и налево разнообразные пароли от ЛК?

Тут есть два аспекта.
Не нужно путать ситуацию, когда два-три человека пытаются сохранить своё личное общение в тайне от других, и когда человек хочет постить в открытые группы информацию так, чтобы никто не мог его установить.
Ну и второе, возможно человек живёт за пределами страны, то тут даже зная фамилию и адрес полиции ничего сделать нельзя.
Не будем забывать, что люди, продающие пароли, очень хорошо осведомлены о способах сохранения анонимности, и не опираются только на возможности самого Телеграмма.

в свободной демократической стране предлагается сажать на срок до 20 лет и штрафовать на суммы до миллиона долларов за использование VPN и схожих технологий (SSTP VPN намекает, что и HTTPS запросто подойдёт) для "использования веб-сайта или приложения, которым управляет иностранный противник".
https://www.congress.gov/bill/118th-congress/senate-bill/686/text?s=1&am

Во-первых, это пока только проект закона, фактически он о том как забанить Тикток, который используется китайцами для деморализации западной молодежи. Во-вторых, он плохо написан, поэтому вызывает опасения и критику, что под него могут попасть и сервисы типа VPN и т.п. В-третьих, свободная демократическая страна находится в состоянии дебатов по этому поводу, что отчасти и делает ее свободной и демократической, в отличие от тех, где есть только одно правильное мнение.

Уровень проникновения китайских технологий в западный мир, действительно, настолько высок, что представляет серьезную угрозу по такому количеству направлений, что Тикток — это не более чем вишня на торте. Но это видимая вишня, и с ней пытаются разобраться. Дилемма в том, что бан, конечно, поможет, но на таком уровне это будет выглядеть как сдача моральной позиции, которую несмотря на весь идиотизм сегодняшней администрации, Штаты все еще по праву занимают.

Мне кажется, что нужно сделать, так это обязать все соцмедиа работать в режиме открытого исходного кода алгоритмов рекомендаций. Возможно даже законодательно обязать принимать пулл-реквесты (изменения в алгоритмах) от сторонних разработчиков через голосование. Разработчик создает PR, описывает понятным языком что он делает, пользователи голосуют, при условии прохождения технического аудита и наборе определенного процента голосов PR автоматически мерджится и деплоится в продакшн.

Недавно Твиттер опубликовал их алгоритмы. Это второй после Twitter files шаг по раскрытию внутренней кухни. Уже сделано огромное число открытий по этому поводу (и огромное число PR-ов), и мне кажется по мере исследования это окажет огромный эффект на то как дальше будут развиваться аналогичные сервисы. Тикток — это фактически контент и алгоритм его раздачи. Вполне можно выдавить яд из этой змеи, при этом не теряя морального превосходства, а наоборот поднимая планку.

Murchik пишет:

Во-первых, это пока только проект закона, фактически он о том как забанить Тикток

Глянул вскользь и по ключевым словам, не вижу Тиктока, банов, блокировок, VPN, не говоря уже про страшные слова вроде SSTP (это вообще очень специфичная технологическая вещь, тогда как проект относительно абстрактный).

Вчитываться сложно, надо иметь хороший юридический английский для этого и понимание практики употребления. Выглядит о том, что ограничение-запрет владения и влияния на критические технологии для США для стран-противников (Китай, Куба, Иран, КНДР, РФ, Венесуэла, пока там режим Мадуро). Сайты и сервисы считаются критическими, если у них активных пользователей свыше 1 миллиона человек в США).

Закон запрещает сделки без согласования для этого списка стран. Ограничивает использование технологий из этих стран. Там интереснее другое, что под ограничения попадают технологии в том числе ИИ, автопилоты – это довольно массовые вещи. Технологии вроде квантовых вычислений, биотехнологий, продвинутых автономных роботов – это понятно, но там же и "(7) information and communications technology products and services integral to — (K) e-commerce technology and services, including any electronic techniques for accomplishing business transactions, online retail, internet-enabled logistics, internet-enabled payment technology, and online marketplaces." что уже очень-очень широкую трактовку включает довольно бытовых вещей. Причём если в других пунктах идёт речь об именно критической инфраструктуре и массовых сервисах (аудитория свыше миллиона человек), то здесь это не оговаривается.

Слов о том, что делать с теми сервисами, которые уже есть (вроде Тиктока, если про массовые сервисы), в тексте я не вижу.

Murchik пишет:

Мне кажется, что нужно сделать, так это обязать все соцмедиа работать в режиме открытого исходного кода алгоритмов рекомендаций.

Это плохо работает.

Во-первых, сложно проверить код, который работает на серверах. У тебя может быть опубликован один код, а реально работать другой. Или же в нужные моменты ты можешь переключать код.

Во-вторых, когда алгоритмы открыты, под них несложно делать оптимизации, заниматься специальной коммерческой раскруткой, когда сервис поднимается не потому, что он интересный, а потому, что его целенаправленно раскручивают. Многие компании тратят очень много сил на борьбу с этим, секретность отчасти помогает как-то смягчать проблемы.

В-третьих, надо страховаться от рисков отключения сервисов.

Для чего вот это актуально, так это для встроенного ПО, которое используется на оборудовании. Вот софт для промышленного оборудования, для сетевого оборудования и прочей критической инфраструктуры. Вот там действительно надо, чтобы был просто открытый код. Не для всего это правда может работать, вот особенно для направлений вроде ИИ. Обученные модели проверить невозможно, а чему и как их обучали, большой вопрос.

По поводу выкладки кода в прод, для этого и должны быть механизмы контроля, чтобы игра честно велась. Лучше всего если все пайплайны прозрачны и можно всегда видеть что куда выложено и как.

А насчет security through obscurity, это конечно вариант, эффективный по трудозатратам, но он тоже поддается обратной инжинерии (сейчас в Китае все только этим и занимаются, причем Тикток даже дает доступ агентствам подкручивать некоторые параметры аккаунтам клиентов за деньги). Открытая система по крайней мере всем одинаково доступна для манипуляций, а по-хорошему находится в цикле обратной связи с ее использованием, эволюционирует и улучшается. Ну, как это происходит с популярным open-source. В итоге последние не только более демократичны, но и более безопасны. Классический пример — доминирование Linux и BSD в серверных технологиях, где безопасность один из самых важных факторов.

Тарантино пишет:

В-третьих, надо страховаться от рисков отключения сервисов.

Вот этот пункт не понял.

Murchik пишет:

Открытая система по крайней мере всем одинаково доступна для манипуляций

Но только эти сервисы нужны не для того, чтобы ими манипулировали. Они нужны для добропорядочных пользователей, при этом идёт извечная борьба с недобропорядочными, кто строит бизнес на спаме, накрутках и т.п. Открытие алгоритмов защиты от манипуляций резко смещает баланс в сторону манипуляторов против нормальных пользователей. Сервисы нужны для людей, а не для ботов.

Это вообще самая большая проблема для массовых сервисов. Спам, накрутки, ботофермы, манипуляции. И с этим не понятно как бороться.

Надо расписывать угрозы и думать, что делать, чтобы от них защититься. Открытый код интернет-сервисов не решает проблем. Ты просто не можешь быть уверен, что на самом деле работает именно этот код. Ничто ведь не мешает переключить исполнение на другой код, или часть пользователей обрабатывать одним кодом, а таргет-группу другим. Или переключать в нужные моменты времени. То есть нет смысла в этом. Простому человеку изучение кода ничего не даст, даже если он вдруг технически в состоянии это делать.

Наконец, главная проблема в других манипуляциях, а именно в создании ботоферм, фабрик троллей, которые выдают себя за толпы обычных людей и занимаются или продвижением чего-то коммерческого (исходно), или политического — последним в РФ уже давно очень-очень активно занимаются. Именно за это РФ попала в этот почётный список, ещё до 2022 года, когда были выявлены массовые сети, орудующие из РФ в фейсбуке, занимающиеся разными грязными провокациями. Там хоть языковой барьер разделяет, во что превратили многие крупные интернет-площадки эти боты, там треш откровенный. Вот, открытие кода и с этой проблемой не помогает справиться, опять же, скорее помогает продвижению.

Сейчас ещё ИИ развивается стремительно, они могут выводить эти ботофермы на новый уровень. Здесь может только законодательная борьба помочь, чтобы привлекать к ответственности за ботофермы (это ведь банальное мошенничество), но это надо, чтобы в стране было законодательство против этого. В Европе-США сильно с этим не забалуешь, а вот в РФ, Китае, ряде других стран (к слову Украина среди них) это активно процветает.

Murchik пишет:

Вот этот пункт не понял.

Законодательство не про тиктоки, хотя и про них тоже. Оно больше про критическую инфраструктуру. Когда вот от сервиса многие зависят, а его берут, и отключают.

Тарантино, по поводу этого закона, насколько я знаю, проблема Тиктока — основная мотивация.

Манипулирование со стороны пользователей — это другая проблема. Мне кажется, ее можно решить и в рамках открытого кода — с бóльшими трудозатратами, но и более высоким качеством.

Открытие исходного кода и обеспечение прозрачности его выгрузки — это решение другой проблемы — манипуляции со стороны провайдера услуг. История с механизмами цензуры Твиттера показательна. И это был сервис, по крайней мере в принципе, дружественный и правительству Штатов, и западной цивилизации в целом. Тикток — это новый уровень, с той разницей что нет такого миллиардера, который может его купить и выпотрошить. Забанить его — это опуститься до уровня стран вроде Китая с его тотальной цензурой. Тогда как принуждение к прозрачности решит не только проблему Тиктока, но и всех соцсетей с их Censorship Industrial Complex, теневыми банами, зажиманием альтернативных мнений и т. п.

Murchik пишет:

по поводу этого закона, насколько я знаю, проблема Тиктока — основная мотивация

А ты очень следишь за американской внутренней повесткой, что там происходит? По их источникам, или по тому, что обсуждают в Китае? Просто в Китае, очевидно, обсуждают Тикток, потому что оно связано с Китаем.

Я сам не слежу, вот честно, тоже, когда что-то случайно долетает... Но вот просто если текст закона открыть, то там сразу видна мотивация и декларация, просто по определениям, по отсылкам на другие законы, по общим словам, по тому, на что упор... Вот там сразу видно, что упора на сервисы вроде Тиктока нет, они идут где-то в фоне, второстепенный пункт, без какого-либо углубления в детали.

Основной же упор на то, чтобы защитить критическую инфраструктуру от режимов, которые используют возможности для откровенно подрывной активности. Мотив в том, чтобы не было контроля над тем, что легко использовать во вред. Причём упор не на массовые технологии, там больше на сети компьютерные и мобильные (привет Хуавею и подобным), на высокоавтономных роботов, ИИ, биотехнологии и т.п.

Тикток идёт только как один из пунктов, как сервис, которым пользуются свыше миллиона американцев. При этом при беглом взгляде не бросается в глаза то, что делать с этими сервисами, которые уже существуют и т.п. При беглом взгляде там больше упор на то, что нельзя продавать и отдавать под контроль уже существующие защищаемые сервисы и технологии.

Я пока не читал, не знаю, буду ли читать, сам посмотри текст, может найдёшь там что-то конкретное.

Сам текст по тому, что я там увидел, очевидно нуждается в доработке, некоторые пункты слишком вольные. Причём как раз не про массовые сервисы, а про малые, многие довольно банальные вещи по каким-то пунктам могут проходить.

Тарантино, умеренно слежу, по обеим сторонам. Американцы медленно просыпаются и понимают, насколько их инфраструктура, особенно коммуникаций, пронизана китайским железом со всевозможными бэкдорами и малварями нулевого дня, и насколько дорого и сложно будет теперь все это заменить. И насколько Тикток, как фактически единственная массовая платформа, контролируемая компартией, деструктивно влияет на умы молодых людей, не говоря уже об аналогичных малварях в миллионах телефонов. Если верить тому, что рассказывали их свисткодувы (я верю), можно увидеть иронию — поели своей же собачьей еды, как говорится. Но лично меня это не радует. Американский мировой порядок со всеми его недостатками — понятная и умеренная система. Каким будет китайский мировой порядок мне страшно даже представлять.

С китайской стороны я слежу за этим чтобы понимать риторику, но и потому что здесь миллионы людей фактически работают с/через/на Тикток и прочие сервисы Байтдэнса. Фермы стримеров продают в прямом эфире всё от овощей до квартир. Агентства продают услуги типа SEO, но с доступом к статистике и части параметров алгоритмов. Государство душит тех кто имеет слишком большое влияние (слишком много денег, подписчиков, слишком вдумчивый или неправильный контент, слишком большое влияние и т.п.). Ну и разница с тем какой контентом для китайским пользователям, и экспортным.

Люди недооценивают влияние таких вещей, мол, подумаешь, какие-то видосики. Но есть разница между кавайными котиками и мотивационными видео, и воук-климат-транс деморализацией. Элегантность в том, что последнее китайцам даже не нужно производить, все это делают сама западная молодежь, алгоритмы просто амплифицируют одни сигналы и приглушают другие.

Murchik пишет:

Американский мировой порядок со всеми его недостатками — понятная и умеренная система.

Нынче это типичный подход.
Есть правильная цензура от Запада, и неправильная от Китая/России.
Есть правильная пропаганда от Запада, и есть неправильная от Китая/России.
Поэтому нужно запретить любые альтернативные точки зрения (чтобы не смущать молодёжь)

Murchik пишет:

деструктивно влияет на умы молодых людей

Вот пропаганда 96 (точную цифру не назову) видов гендеров действует положительно, а Тикток, в котором политики в 100 раз меньше, чем в ютубе, фейсбуке, твиттере и инстаграмме - отрицательно.