Если Ваша переписка не для чужих глаз. Реалии жизни.

25 сентября 2017, 13:00

Если Ваша переписка не для чужих глаз. Реалии жизни.

Если Ваша переписка не для чужих глаз. Реалии жизни.

Всего пара слов,
Не в те уши попали -
Здравствуй, цугундер.

Мы любим Интернет за то, что информация в нём может храниться вечно. Если она кому-то приглянулась, и он её задублировал у себя, оплачивая хостинг. Есть более современные варианты с блокчейном. Возможно, придумают что-то ещё.

С другой стороны, любое благо может быть обращено во вред, и так оно обычно в жизни и происходит. Речь не про пресловутый закон Яровой, который даже для рядового законопослушного пользователя является однозначным злом, так как на корню херит все его конституционные права, а также робкую иллюзию того, что какие-то права у него вообще есть. Даже обычная инфраструктура Интернета таит в себе угрозы.

Мы как-то не особо задумываемся, с чего бы это коммерческим корпорациям вообще нести затраты на ту инфраструктуру. Да хоть провайдеров e-mail возьмите, в лице почты Яндекса или Майла. Представители обоих в разное время проговорились, что почта юзеров хранится у них вечно. Зачем, интересно?

Такого вопроса не будет, если Вы сразу уподобите те конторы госструктурам. Каковые получают полный доступ ко всем клиентским данным любого сервиса. Для чего сервисам законом вменено хранить клиентские данные на серверах в пределах Страны, даже если сам сервис вообще не местный.

Так что не удивляйтесь, когда Ваша фотка или e-mail переписка, отлежавшись с десяток лет в какой-нибудь базе данных, про которую Вы ни сном ни духом, будут извлечены на свет божий в самое неподходящее время. Для того всё и затеяно.

Уместная пугалка из жизни.

Как пример глубины проблемы можно привести опыт спецслужб Штатов, которые на данных, собранных аналогом нашего СОРМ-а, смогли деанонимизировать Сатоси Накамото с помощью заурядной стилометрии.

Это чисто рутинная статистическая работа по сравнению публичных текстов Сатоси (80 тыс. слов) и массива информации, снятой с каналов почтовых систем Google, Yahoo и других с помощью PRISM. Также применялся американский аналог закона Яровой, система MUSCULAR. Через закладки на оптоволоконных кабелях около дата-центров Google, Yahoo, Amazon и Facebook она архивировала весь их трафик.

Но это высокотехнологичная процедура, и ещё надо доказать, что три «вычисленных» человека и есть виртуальный Сатоси, которого никто никогда не видел. Однако, если потребуется отжать у этих людей 100 миллиардов долларов активов, тех ничто теперь не спасёт.

Легко видеть, что если бы эти люди с именами Neal King, Charles Bry и Vladimir Oksman не попали под бдительное Око Саурона (PRISM, MUSCULAR), то есть не пользовались инфраструктурой Интернета в виде бесплатных сервисов электронной почты и чатиков соцсетей, фактического материала по их изобличению просто бы не было.

Ну ладно, это Америка - АНБ просто решило удостовериться, что БитКоин не вражеский проект Путина или Китая. Все выявленные персоналии, конечно, попали под колпак, и никогда в жизни из под него теперь не выберутся, это без сомнений. Но ведь могли легко этого избежать, верно?

Что мы из этого можем вынести?

Видимо, надо смириться, что любой пользовательский контент (личные электронные письма, переписка в мессенджерах, разговоры голосом по телефону) давно уже не являются приватными. Они оседают в многочисленных базах данных, и хранятся годами. Что у нас, что за бугром.

Чем это аукнется впоследствии для самих пользователей, мы не знаем. Но то, что всё это не к добру, очевидно. Это как раз тот случай, когда «всё, что вы скажете, будет использовано против вас». Вот никто в этом ни секунды и не сомневается.

Видимо, представляется разумным просто не попадать в такие базы данных со своей перепиской. То есть не пользоваться той инфраструктурой Интернета, которая с очевидностью протоколирует и хранит каждый Ваш пук.

Удивительно, что отцы БитКоина не прониклись этой мыслью. Как видим, их не спасло HTTPS шифрование и прочие политики приватности, которые прописаны в термсах почтовиков. Нашли на что полагаться. Да и даже официально от 4% до 10% всего HTTPS трафика сегодня перехватывается.

Ну раз уж так, давайте думку думать.

Возьмём самую простую задачу - некто по имени А имеет желание что-то сказать человеку по имени Б, но так, чтобы Всевидящее Око Саурона осталось не в курсе про сказанное. Но при этом между А и Б есть только публичные каналы связи, полностью подконтрольные Саурону. Ибо тот залез уже повсюду, и контролирует всё тотально. Остались разве что почтовые голуби, но и их скоро запретят.

Ну и пусть А и Б не являются айтишниками, не разумеют ни в каком шифровании, и хотят оставить свою жизнь простой, не делая её при этом сложной. То есть эти А и Б в точности такие, как мы с вами.

Очевидно, что задача в лоб не решается. Можно выдумать разве что запароленный архив, пересылаемый по почте. Или криптоконтейнер, что почти то же самое. Но беда в том, что всё это сохранится в базах Саурона, да к тому же ещё и привлечёт ненужное внимание. Если возникнет необходимость, нашим гипотетическим А и Б потом придётся за всё это ответ держать, да ещё и страдать, если они не смогут вспомнить пароли от архивов.

Стало быть, по каналам связи может передаваться лишь информация о факте передачи информации. Само сообщение должно размещаться в некотором изолированном хранилище.

Если «информация о факте передачи информации» представляет собой обычный URL (это самое простое, что в голову приходит), то всё скрытое за ним должно уничтожаться в момент открытия URL-а браузером. Тогда само сообщение нельзя ни проиндексировать поисковиком, ни подсмотреть тайком.

Пусть то сообщение будет одноразовое и самоуничтожающееся. Если Вы его прочли, то есть гарантия, что никто более его ещё не видел. И наоборот, если по URL-у должно содержаться сообщение, но его там нет, значит, ссылка на послание дискредитирована, и по ней уже сходил кто-то другой.

Кроме того, если послание защитить паролем, то отправитель узнает точно, читал ли его сообщение получатель, или ещё нет. Если URL послания откликается, и запрашивает пароль, значит, сообщение ещё не прочитано. А если возникает ошибка 404 (нет такой страницы), то сообщение дошло до адресата, и благополучно самоуничтожилось.

Кстати говоря, в заурядном e-mail протоколе такое извещение о прочтении хоть и предусмотрено, но работает исключительно по желанию - если пользователь отключил в своём e-mail клиенте все такие извещалки, их и не будет.

Само собой, «сервис одноразовых самоуничтожающихся сообщений» давно изобретён, многократно оттиражирован в различных вариантах, и является чуть ли не единственным средством общения в ДаркНете. Вся беда в том, что сам сервис кому-то да принадлежит, и ни А, ни Б не могут гарантировать, что их переписку не читает хозяин сервиса.

Менять одного Саурона на другого не имеет смысла.
Всем понятно.

Но если А или Б организуют такой сервис на своём сайте, то таким подозрениям не останется места. Остановить может разве что сложность написания скрипта - не все в таких вещах разбираются.

Агентурная Нана.

Чтобы жить стало проще, местный автор подписал Мастера Ласто на написание столь полезного скрипта, который родился сначала в традиционном варианте, а спустя короткое время, после некоторых размышлений - в несколько извращённом. На самом деле внутри это одно и то же, но с точки зрения пользователя работает иначе.

Посему предлагаются две альтернативные ссылки.

Сервис одноразовых посланий.
Стеганография в e-mail.

Каждый из методов снабжён вложенной инструкцией, достаточной, чтобы понять, как этим пользоваться. При тестировании это станет окончательно ясно.

Так же в менюшке сыщется ссылка на мануал, из которого обязательно есть вход в зону загрузки. Владельцам сайта на Nano-CMS нужно будет бросить файлик на хост, чтобы через минуту обрести у себя такой же сервис. Собственно, многие это уже сделали, и почему-то большинство из них проживает в вотчине Батьки - наверное, для них такие вещи актуальны.

Понятно, что сервис обязан быть закрыт сверху шифрованием под HTTPS протоколом, но это уже цветочки. Ягодки в том, что сама информация не попадает в архивы Яровой - не оседает на серверах почтовых служб.

Вот кто бы мог подумать ещё пару лет назад, что о таких вещах вообще придётся задумываться. Жёваный крот...

Другие статьи категории «Софт от Мастера Ласто»

Параноидальная система тикетов от Lasto.

Параноидальная система тикетов от Lasto. Местный автор с некоторым интересом наблюдает за тем, как все онлайновые телодвижения любого юзера хотят запихнуть в архив имени Яровой, а инструменты и технологии Сети, которые хоть как-то способны этому помешать, решительно запрещаются. Потому как не должно остаться ни одного не идентифицированного юзера, избежавшего попадания в архив имени Яровой.

Произвольные PHP-скрипты в документах Блоговой Наны.

Произвольные PHP-скрипты в документах Блоговой Наны. Местный автор является ярым приверженцем минимализма, и стремится к тому, чтобы все вещи были максимально простыми. Конечно, в таком стремлении можно скатиться до сентенции «если этой штукой сможет пользоваться даже дурак, то только дурак ею и будет пользоваться». Есть такой момент. Но мы не будем столь упорны и последовательны в своих благих устремлениях :) Совсем недавно…

Весеннее обострение у Nano CMS.

Весеннее обострение у Nano CMS. Многие, вероятно, заметили, что местный автор в последнее время хоть и неторопливо и постепенно, но определённо планомерно переводил все свои скрипты на движок Наны. Что вряд ли так уж сильно необходимо тому или иному «standalone» скрипту, который пользователю обычно нужен сам по себе, а не в виде сайта.
25 сентября 2017, 20:25

№ 1Терзали меня мутные сомнения...

... что местный автор и Вадим Николаевич не один и тот же индивидуум, оказалось правда.
И это ещё не вся правда :)
Шизофрения там гораздо масштабнее :)
По теме - хороший инструмент, годный, как выражается местный автор. Пригодится самой госпоже Яровой, дабы ёё переписка не попала к «приятным» людям. :)

Кстати, уважаемый Самурай, хотелось бы поболее узнать про будущее блокчейна и его роль в жизни чуть более, чем простого человека. Так сказать, из источника близкого к Мастеру...

Про БитКоинов добычу и ботов, способствующих увеличению количества существующего запаса тоже интересно.

Ну, добывать их особого смысла сейчас уже нет.
А вот спекулировать ими - самое то.

В БитКоине просто поразительная волатильность, да ещё есть дериватив в лице титульного знака Вебманей WMX со всей полагающейся инфраструктурой, и даже биржей.

Берётся уже готовый бот для биржи вебманей, и после небольшой переделки под специфику секции этот козёл запускается в огород с капустой. Схема заработка - тупо на движениях. Когда спред стремится к нулю, а само движение понятно в какую сторону.

airsound
29 сентября 2017, 17:06

№ 2Про биткойн и прочие премудрости

Кстати, Мастер, раз уж пошла такая пьянка, намекните, в сторону какого бота смотреть для проказ с криптовалютами?
А то больно много лихих людей своими поделками заманивают.

Человек, который под все свои задачи сам же софт и пишет, обычно мало что знает об иных решениях - они ему просто не интересны, и он их не изучал. К сожалению, тут помочь ничем не могу.

И предвосхищая.

Местный автор не продаёт никаких ботов, не пишет под заказ, и ни в чём таком не виноват. Спрашивать его про такие вещи не нужно.

Иван Сергеев
10 октября 2017, 21:55

№ 3О мотивах и методов всяческих Сауронов и иже с ними

Я так себе думаю, что единственная цель всех этих перехватов информации - просто сэкономить деньги на разведывательных мероприятиях. Ясен пень, что проще и дешевле перехватывать письма, анализировать, деанонимизировать и прочее в этом роде, чем работать в офлайне с живыми людьми, физическими объектами и той же информацией во всех видах. Но, в общем, кроме "проще и дешевле" здесь ничего нет.

То есть, как мне видится, единственный вариант сильно уменьшить вероятность познакомиться когда-нибудь с товарищем Цугундером лично - это не совершать действий и вообще не говорить слов, которые могли бы этому знакомству поспособствовать. Иных вариантов просто нет, так как любая деятельность оставляет следы, и есть люди, способные эти следы находить. Просто в Сети эта работа проще и дешевле, на земле - сложнее и дороже, но она, таки, делается, если надо. Был бы реальный интерес. Ну а попытка скрыть переписку лишь подогреет этот интерес.

Собственно, это всё к тому, что, на мой взгляд, скрывать переписку особого смысла не имеет. Если интерес ваша деятельность вызовет, то рано или поздно до вас доберутся. Вне зависимости от того, насколько совершенны ваши методы защиты переписки. А коль доберутся, так и дознаются до всего, что необходимо.

То есть, основа безопасности - не вызывать интереса. А тайна переписки... Да хрен бы с ней. Пусть все всё читают, коль им заняться больше нечм.

Хотя, конечно, надо попробовать. Хорошая штука!

Как будто у кого-то есть какой-то выбор :)

В одной из точек получения интернета оный местному автору предоставляется конторой с ласковым, но брутальным названием «Ростелеком».

Издревне было так, что почтовый клиент при отправке писем на всем известный майл ру (к примеру) между соединением с SMTP сервером и аутентификацией подвисал на 11 секунд (по логу самого почтового клиента). Местный автор полагал, что это причуда майла ру - защитный тайминг против спамеров, или что-то вроде того.

Правда, выполнение той же процедуры через другого провайдера почему-то не сопровождалось такой задумчивостью. Но кого интересуют такие мелочи, верно?

Тем паче, что когда местный автор перестал использовать публичные почтовые сервера, и ушёл на почту в собственном домене, никакой задумчивости у почтового клиента как ни бывало. Ну точно причуды майла ру, да?

И тут вдруг.

В один прекрасный день коннект с почтовым ящиком в (уже) собственном домене «на передачу» вновь стал проистекать с задержкой в те же самые магические 11 секунд по логу почтового клиента. Через того же самого Ростелекома (у другого провайдера задержки нет).

Что это нам говорит?

Только то, что грёбаный Ростелеком нашёл способ влезать в TLS соединение не только майла ру, но и любого произвольного почтового сервера. То, что это порождает 11-секундную задержку, никого не волнует. Ну, что-то криво настроено - юзеры же бараны, им невдомёк, отчего так.

Может, местный автор и ошибается в своих наблюдениях, делая из них неверные выводы. Но очень уж это всё похоже на технологию «человек посередине», встроенную как раз в нужное место протокола e-mail обмена, как бы прямо созданное для этого. Без участия человека, ясное дело - «посередине» там стоит какой-нибудь СОРМ.

Противно всё это. Специально не приученные к этому люди как-то не очень любят превентивного личного досмотра трижды в день и без всякого повода. А вот именно это с нами и делают.

Дмитрий
11 октября 2017, 00:13

№ 4Дык, много всякого в природе

Но себе я точно желаю, чтобы вот это самое "противно" было самой большой неприятностью, которая меня ожидает. И каждому, ежели кто вдруг разделяет эту идею, желаю того же.
Дмитрий
Все заметки категории «Софт от Мастера Ласто»