Автор Тема: Кто этот кот догадайтесь сами  (Прочитано 1576 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Семаргл

  • www.pravo-slavie.ru
  • Глобальный модератор
  • *****
  • Сообщений: 2650
  • Карма: +2/-1
    • ПравоСлавие
Кто этот кот догадайтесь сами
« : 17 Июнь 2020, 20:40:12 »
World Wide Web - реальность.



(кто этот кот догадайтесь сами)

Джордж Оруэлл ещё в 1949 году издал любопытную книжку, по прочтении которой вдруг понимаешь, что всё так вот оно и будет.

В РФ это называется СОРМ (система оперативно-розыскных мероприятий).
В Европе – LI (Lawful Interception).
В США – CALEA (Communications Assistance For Law Enforcement Act).
« Последнее редактирование: 10 Август 2021, 22:28:15 от Семаргл »
Солнце с нами!

Семаргл

  • www.pravo-slavie.ru
  • Глобальный модератор
  • *****
  • Сообщений: 2650
  • Карма: +2/-1
    • ПравоСлавие
Re: Кто этот кот догадайтесь сами
« Ответ #1 : 17 Июнь 2020, 20:59:29 »
«Закон Яровой».

Как всем нам прекрасно известно, согласно «закона» Яровой, с 20 июля 2016 года Центр оперативно-технических мероприятий ФСБ (а на самом деле и много кто ещё) может потребовать от абсолютно любого сайта из реестра организаторов распространения информации (ОРИ) любые данные о пользователях и их сообщениях. «Любые» следует понимать как «все, какие только есть».

По закону «Об оперативно-розыскной деятельности» ФСБ давно уже имеет доступ к телефонным переговорам граждан и их переписке любого рода и формата, но по постановлению суда.

Действительно, в 2018 году конституционные права граждан на тайну переписки и телефонных переговоров были нарушены таким образом 828500 раз, и в 6600 случаях этого не произошло (суд почему-то отказал). Сами граждане никак и ни о чём при этом не извещаются, и ни про что не ведают.

По опять-таки официальным данным, хоть раз в месяц пользовались Сетью 83.8 млн человек, а ежедневно - 74.7 млн. Данные за тот же, 2018 год. Итого под «колпак Штирлица» только за год попал каждый сотый. Эпизодически и фрагментарно, либо теперь уже на постоянной основе, этого никто не знает.

Что с нами хотят сделать?

Понятно, что уже сложившаяся практика совершенно неудобна, и не позволяет следить за каждым, за кем захочется. Потому контролирующие органы ищут окольные пути. И находят их.

Например, как стало известно издательству «РосБизнесКонсалтинг», люди в погонах затребовали от Яндекса ни много ни мало, а сразу сессионные ключи.

Если кто не в курсе, это вот что такое.

При обращении пользователя к сервису, например, Яндекс Почты, инициируется условно рандомный ключ шифрования, действующий только на протяжении сессии. То есть пока не разорвётся соединение, либо не истечёт срок действия ключа. И этим ключом шифруется всё: логин и пароль, переданные через форму авторизации, а так же вся информация, циркулирующая между сервисом и пользователем.

Более того, конкретно в Яндексе принято применять сессионный ключ для доступа ко всем другим сервисам в пределах аккаунта пользователя. То же самое в Гугле, кстати говоря. И в любом другом месте, где выстроена экосистема сервисов и приложений.

Ну и дальше уже понятно - ежели весь трафик записывается на сервере Яровой, а сессионный ключ открывает доступ хотя бы к логину и паролю, больше никакой тайны не остаётся от слова совсем. Как и проблемы доступа к ней.

Что в этой истории не срастается?

Постановлением Правительства РФ от 18.01.2018 № 21 «О внесении изменений в Правила взаимодействия организаторов распространения информации в информационно-телекоммуникационной сети Интернет с уполномоченными государственными органами, осуществляющими оперативно-разыскную (так это слово написано в оригинале) деятельность или обеспечение безопасности Российской Федерации» запрещено разглашать любые сведения о взаимодействии со спецслужбами.

За несоблюдение требования предусмотрен штраф 300–500 тысяч рублей.
Так что не очень понятно, почему эпопея вообще попала в СМИ.
Не должна была, и с этим что-то не так.

Впрочем, нам интересно другое. Это второе за всю историю требование предоставления ключей шифрования (первым был Телеграм). С Телеграмом эпично сели в лужу, но все мы понимаем, что повториться такое больше не должно.

Что выглядит логичным?

Вот смотрите, заполняется сервер Яровой некими записями о прохождении шифрованного трафика. Дальше что?
А дальше надо этот трафик таки как-то переводить в информацию, и потом конвертировать в деньги. Что осложнено шифрованием трафика. А стало быть, нужны ключи. Сессионные, или какие там ещё, служивые во всём этом мало что понимают.

Но поскольку требовать ключи не у всех получится, пока начали с тех, до кого можно легко дотянуться. До кого нельзя или не получается, просто заблокируют со временем.

И это то самое место в длинном списке, про которое говорят «Вы находитесь здесь». Причём от начала списка мы недалеко ушли, всё самое весёлое ещё впереди.

И пока всё совершенно логично.
Но уже видятся просчёты в планах.

Про «ключи от стены» и прочий юмор.

Люди недалёкие пока ещё могут потешаться над требованием выдачи ключей от виртуальных дверей и каменных стен, каковых (ключей) в дискретном и осязаемом виде в природе не существует. Мол, стандарт не предполагает сохранение сессионного ключа и записывание его где-либо, и в этом-то вся фишка.

Опять-таки, для человека в погонах это просто неправильный стандарт, который нужно доработать так, чтобы ключ сохранялся и протоколировался. Внедряйте правильный стандарт, а неправильный надо запретить.

Разбазарит ли Яндекс сессионные ключи?

Поскольку Яндекс (Майл ру, Вконтактик, далее по списку) совершенно точно не станет повторять квест Телеграма, нарываясь на миллионный штраф, а затем и блокировку из-за каких-то там юзеров, передача сессионных ключей рано или поздно состоится.

Возможно, в каком-то варианте бэкдора.
Отечественная криптография, национальный сертификат, вот это вот всё...

Придумают и отговорку, и соответствующий механизм. Но для удобства сдадут сессионные ключи сразу всех пользователей оптом, а не каких-то отдельных юзеров, да ещё и по запросу.

А если думать масштабно?

С большой долей вероятности, подход будет системный, а не выборочный. Когда только Яндекс передаёт ФСБ сессионные ключи шифрования своих пользователей, это репутационные потери, с последующим перетеканием здравомыслящих пользователей туда, где ФСБ не имеет никакой силы. Пока не грянул Чебурнет, такое ещё возможно.

Другое дело, если то же самое провернуть через «отечественную криптографию» и «национальный сертификат». Когда все «организаторы распространения информации» имеют прозрачный для людей в погонах трафик.

Видимо, вот именно к этому всё и идёт.

Ну а простым людям что делать-то?

По идее, чувство брезгливости от профилактического досмотра карманов должно сподвигнуть юзера к миграции на забугорные сервисы, имеющие иммунитет к требованиям слить данные.

Каждому владельцу сайта очень рекомендуется таки сделать над собой усилие, нажать три кнопки в админке своего хостера, и сотворить собственный почтовый сервер. Естественно, уповать на него не стоит, но хоть какая-то часть переписки выпадет из-под «колпака Штирлица».

Но самое правильное, конечно, замкнуть всю переписку в системе тикетов, из которой наружу не выходит ничего.

Есть готовый вариант, но при минимальном умении командовать операторам PHP «стройся» и «равняйся», что-то подобное конструируется за пару вечеров, ежели есть хорошо продуманная идея того, что в итоге должно получиться.

Не пускайте процесс на самотёк, предусмотрите вариант коммуникации без использования публичных сервисов типа Майла с Яндексом. Вскорости они обязательно скомпрометируют себя тем или иным образом.

Ибо никакого другого выхода у них нет.
Капитулируют в итоге, даже не сомневайтесь.

Или начнут всеми силами заботиться о нашей безопасности, но таким странным образом, что приватность на том и кончится.

К примеру, прямо сейчас Майл уже начал что-то втирать про постепенную отмену паролей, с заменой их на SMS авторизацию. Ну а номер мобилы - это автоматически раскрытая личность.

Но дальше - смешнее.

Заявлено о дальнейшем переходе на авторизацию по биометрическим данным, например, путём «сканирования отпечатков пальцев или определения лица». Видимо, никаких слов после такого заявления говорить даже и не нужно.

Не забываем и о профилактике.

Выше акцент делался на сессионных ключах шифрования, посредством которых автоматически устанавливаются авторизационные логин с паролем. Они-то и являются искомым.

Но обратите внимание, SSL сегодня не является надёжным средством сокрытия логина и пароля, ибо, как стало известно, от 4 до 10% якобы шифрованного трафика перехватывается и вскрывается просто «на лету».

Всякие двухфакторные аутентификации, они ведь неспроста появились.
А именно как защитный механизм от случившегося взлома SSL.

Поэтому на своих сайтах ещё и эмулируйте функционал SSL (в дополнение к имеющемуся) всеми доступными Вам подручными средствами. Простор для полёта фантазии тут широкий.

08.06.2019. Всё, расходимся.

По заявлению управляющего директора «Яндекса» Тиграна Худавердяна, все хотелки людей в погонах удовлетворены, но «иным образом».

Видимо, тем открыли полный доступ ко всем серверам.
Никакие ключи шифрования больше никому не нужны.
Солнце с нами!

Семаргл

  • www.pravo-slavie.ru
  • Глобальный модератор
  • *****
  • Сообщений: 2650
  • Карма: +2/-1
    • ПравоСлавие
Re: Кто этот кот догадайтесь сами
« Ответ #2 : 11 Август 2021, 15:54:35 »
Устройства, в которые с завода вшито де-факто шпионское ПО с подтверждённой функциональностью и неизвестными бенефициарами.

Системы сканирования контента уже есть во всех мало-мальски популярных рабочих средах.
Microsoft, Google, Twitter, Facebook и крупные облачные сервисы (например, Dropbox) уже давно используют CSAM-сканирование в своих ПО и продуктах. Оно точно так же встроено в Microsoft Office, Gmail и Поиск Google.



Эппл начинает революцию в сфере слежения которую официально анонсировала на своем сайте.

Теперь сканирование будет производится непосредственно на устройстве пользователя!

* Функция neuralMatch будет локально сканировать фотографии пользователей на iPhone без передачи данных в облачное хранилище. Если система определит, что владелец iPhone хранит незаконные изображения, после чего на пользователя обращает внимание специалист.

Где гарантии, что завтра эта система не будет использована для преследования конкретных людей или, хуже, поиска и слежки за целым пластом «неблагонадёжных» на основе тайных или публичных интересов отдельных государств или спецслужб?

Человек, не дурак, знает что если операция прикрытия использует детей, значит все направлено совсем в противоположную сторону.

Солнце с нами!