Ограничение доступа к информации и способы обхода блокировок

Тарантино,
Вам очень хотелось ответить, вот и не удержались, хотя бы в такой форме?

Adx пишет:

Не смогли заблокировать даже телеграмм, сейчас блокируют инстаграмм и VPN, но нет необходимости даже в tor'е, чтобы всё это обходить.

А в Китае он заблокирован наглухо при том что никому он особо и не известен здесь. Так что если эти технологии «по дружбе» передадут в нужном объеме, это будет большой апгрейд для Роскомнадзора.

Adx пишет:

Я объяснял, как работает психология. Я абсолютно уверен, что люди добровольно…

Без комментариев

Calgary пишет:

На форуме много спецов по IT. Можно у вас поинтересоваться, телеграмм действительно так анонимен как о нем говорят? Или это ловушка?

Это скорее вопрос доверия, чем IT. Если вам кажется, что создателям и владельцам можно доверять, что они достаточно изолированы от влияния тех, кому эта информация может быть интересна, то используемые технологии можно считать достаточно безопасными. Если нет, то технические аспекты не важны. Есть более надежные технологии, но за улучшение безопасности придется платить простотой использования. Я лично не пользуюсь Телеграммом.

Murchik пишет:

А в Китае он заблокирован наглухо при том что никому он особо и не известен здесь. Так что если эти технологии «по дружбе» передадут в нужном объеме, это будет большой апгрейд для Роскомнадзора.

Вы думаете, что всё дело в нехватке в России технологий? )

Murchik пишет:

Без комментариев

Ну ладно, не будем про всех. )
Лично для Вас важно, в каком плеере смотреть один и тот же контент?
По какому принципу будете его (плеер) выбирать?

Adx пишет:

Вы думаете, что всё дело в нехватке в России технологий? )

Технологий, опыта в решении этих задач в масштабе страны и ресурсов.

Adx пишет:

Лично для Вас важно

Лично для нас важно иметь свободный доступ к любой информации в интернете, а не к списку курированных видео на Яндексе. Все остальные вопросы — это missing the point.

Adx пишет:

Вы считаете нормальным, что блокируют российских блогеров?

Блокируют фашистов.

Calgary пишет:

Можно у вас поинтересоваться, телеграмм действительно так анонимен как о нем говорят? Или это ловушка?

Трудно сказать. Но то, что вдруг Дуров сначала стал говорить, какая мерзкая страна США, а потом вдруг подружился с российской властью (блокировку телеграмма отменили), вызывает естественные подозрения.

Не знаю, как насчет Телеграмма, но вот вторым произведением Дурова (от которого он сам уже отказался) ВКонтакте точно не стоит пользоваться. Процент уголовных дел, возбужденных на основании ВКонтакте, просто зашкаливает (правда, это данные где-то до 2018 г.). Я слушал интервью одного из специалистов из Яндекса, тот рассказывал, что они обязаны выдавать информацию по запросу ФСБ. Но в Яндексе всегда требовали официальный запрос, отвечающий всем бюрократическим требованиям, а ВКонтакте выдавали любую информацию без всяких запросов. Конечно, там работают какие-то автоматические поисковые системы, вопрос только в том, насколько эта информация доступна.

В общем, любые Интернет-форумы и мессенджеры ненадежны, но пользоваться такими приложениями, как ВКонтакте или РуТьюб, просто противно (мне по крайней мере). Причем мне "повезло": еще задолго до всех репрессивных законов я воочию познакомился с хамством от ВКонтакте и Одноклассников (которыми поначалу пытался пользоваться). Может, кто-то взломал мой аккаунт. Я получил письмо от "В Контакте": от вашего имени идет подозрительный трафик, мы заблокировали его и т.п. Попытки разблокировать (указав кредентиалз, поменяв пароль) не проходят, мне пишут, что мне надо сфотографироваться у компьютера на фоне переписки (того письма, которое они мне послали) и послать им это фото — а у меня в тот момент и фотоаппарата не было. Правда, потом это безумство закончилось, через год я восстановил нормальным образом аккаунт ВКонтакте, но захожу туда исключительно для того, чтобы прочитать документы о любительских соревнованиях (есть любители выкладывать документы именно там) и, конечно, ничего сам не пишу. Очень похожая история была и с Одноклассниками (аккаунт заблокирован, восстановить его удается где-то через год) — тоже перестал пользоваться и этой сетью.

Из всех российских социальных сетей Телеграмм, возможно, не самый опасный их представитель. Пользоваться им, увы, приходится, но, конечно, без особого желания.

Adx пишет:

Лично для Вас важно, в каком плеере смотреть один и тот же контент? По какому принципу будете его (плеер) выбирать?

Я давно пользуюсь только свободным софтом, доступным в исходных кодах. По многим разным причинам (мои принципы как компьютерного коммуниста, GNU-лицензия и т.п., но и не в последнюю очередь потому, что свободный софт почти всегда лучше коммерческого). Так что это главный критерий. Ну и, конечно, по возможности не стоит пользоваться российским государственным софтом, даже если он основан на свободном (российский сертифицированный вариант Linux'а и т.п.). Просто разница: если вы пользуетесь каким-нибудь MS Windows, то у вас украдут личные данные (мне пофиг), в худшем случае снимут деньги с вашей банковской карты (было бы что снимать). А в случае российского софта против вас заведут административное или уголовное дело, и не потому, что вы опасны для государства, а просто для галочки. Как в песне Высоцкого:

Цитата:

Это был воскресный день, я был усталым и побитым, но одно я знаю, одному я рад: в семилетний план поимки хулиганов и бандитов я ведь тоже внёс свой очень скромный вклад!

Adx пишет:

Вы считаете нормальным, что блокируют российских блогеров?

Давайте я расскажу о собственных ощущениях, а там видно будет, насколько они репрезентативны. Подозреваю, что весьма.

Смотрите: вот из всех тех, которых блокнули на треклятом Западе, я не смотрел никого, за исключением как раз Гобина-Пучкова, да и его изредка - у него попадались интересные беседы с Антоном Первушиным по истории космонавтики и смежным темам, или с Александрой Элбакян, основательницей Sci-hub. То есть от этих блокировок я не пострадал почти никак. А если учесть, что видео с Первушиным появляются редко, а когда появляются, спокойно могу посмотреть вКонтакте, то и вовсе никак.

А вот блокировки известных соцсетей год назад сделали мой доступ к информации существенно менее комфортным. Это не один ролик в полгода или год, это достаточно регулярное получение того контента, который я сочту нужным, и того сервиса, который для этого нужен. В отличие от всех этих блогеров, на которых мне в принципе пофиг, на удобство доступа к этим инструментам мне совсем не пофиг. И в этом большая разница.

Насчёт надёжности, безопасности и т.п.

Вопрос самый первый — от каких угроз и атак нужно защищаться, как инструмент используется. Что подразумевается под анонимностью?

В отношении ВК-Ок единственно возможная политика это полностью удалить там аккаунты вместе со всеми сообщениями в них. Если же по каким-то причинам аккаунт нужен, например для получения сообщений в закрытых группах нейтральной направленности (например информация о соревнованиях по ФК) и т.п., то создать новый аккаунт для этого, и не использовать его для чего-либо ещё, никакой личной переписки, никаких других групп, никаких лайков и т.п. Никакого приватного общения или, тем более, приватных групп, там давно уже нет.

С телегой сложнее, в целом она безопасна, но смотря на каком уровне и смотря от каких угроз. При желании автора постов в какие-нибудь группы можно вычислить просто по его активности в других группах, если автор не предпринимал действий против этого. Активность ведь в виде лайков, комментариев и т.п. доступна всем, специальные боты могут собирать и собирают информацию об этом. Можно вспомнить расследования команды Навального, они довольно эффективно деаномизировали пользователей и описывали, как это делали.

При этом больше риски от того, что человека задержат, изымут телефон и уже с его телефона будут изучать активность, в том числе личную переписку, закрытые группы и т.п., никакая надёжность не спасёт против этого. Это к вопросу о характере угроз.

Тарантино пишет:

При этом больше риски от того, что человека задержат, изымут телефон и уже с его телефона будут изучать активность,

Подкреплю значимость этого вектора атаки своим опытом. Сразу (в течение нескольких часов) после начала ковидных протестов в Шанхае наряды начали проверять телефоны у всех в районе места событий, в метро и на улицах на наличие фотографий с протеста, картинок с мемами, белыми листами и т.п. При этом разлочить телефон для представителя правопорядка ты обязан по закону, то есть за отказ могут принять. Много людей по крайней мере в Пекине и Шанхае просто исчезли.

Похожие истории были с разработчиками средств для обхода блокировок. Их вычисляли, приходили к ним домой и разработка на этом заканчивалась. Популярные проекты с открытым исходным кодом продолжали жизнь, но понятное дело, что без основных разработчиков на плаву остаются не многие.

Истории с медиками, которые пытались распространить информацию о ковиде в 2019 году, вроде бы уже широко известны, но повторю еще раз, к ним приходили домой, удаляли их аккаунты, отслеживали каналы распространения и т.д.

Это только то о чем мне лично известно. И все это без удобного повода «война же» и успешно сохраняя видимость нормальности происходящего.

bregalad пишет:

Просто разница: если вы пользуетесь каким-нибудь MS Windows, то у вас украдут личные данные (мне пофиг)

Мне пофиг, если данные украдут ФБР, ЦРУ или ФСБ. А вот если мошенники - то нет.

bregalad пишет:

в худшем случае снимут деньги с вашей банковской карты (было бы что снимать).

В худшем на Ваше имя возьмут кредит или переоформят собственность на себя.

bregalad пишет:

А в случае российского софта против вас заведут административное или уголовное дело, и не потому, что вы опасны для государства, а просто для галочки.

При необходимости на Вас заведут дело при пользовании любым софтом, российским, иностранным или свободным.
Спецслужбам абсолютно без разницы.
Да, собственно, никто из тех, кого в России задерживали или осуждали, российским софтом не пользовался.

bregalad пишет:

Я давно пользуюсь только свободным софтом, доступным в исходных кодах.

Речь о ютубе, свободных альтернатив нет, да и не может быть - это не только софт, но и инфраструктура.

Doctor of Philosophy пишет:

Давайте я расскажу о собственных ощущениях, а там видно будет, насколько они репрезентативны. Подозреваю, что весьма. Смотрите: вот из всех тех, которых блокнули на треклятом Западе, я не смотрел никого, за исключением как раз Гобина-Пучкова, да и его изредка - у него попадались интересные беседы с Антоном Первушиным по истории космонавтики и смежным темам, или с Александрой Элбакян, основательницей Sci-hub. То есть от этих блокировок я не пострадал почти никак. А если учесть, что видео с Первушиным появляются редко, а когда появляются, спокойно могу посмотреть вКонтакте, то и вовсе никак. А вот блокировки известных соцсетей год назад сделали мой доступ к информации существенно менее комфортным. Это не один ролик в полгода или год, это достаточно регулярное получение того контента, который я сочту нужным, и того сервиса, который для этого нужен. В отличие от всех этих блогеров, на которых мне в принципе пофиг, на удобство доступа к этим инструментам мне совсем не пофиг. И в этом большая разница.

Я периодически смотрел Пучкова - он талантливый журналист, и у него часто бывали интересные мне гости.
Не то, чтобы это нельзя было сделать сейчас, ютубом, к счастью, доступ к видеороликам не ограничивается, но по удобству они все ютубу сильно проигрывают..
Других заблокированных блогеров не смотрел, я вообще почти не смотрю политику, но если у кого-то 3 млн. подписчиков, то, наверное, им не всё равно.
А вот зато инстаграммом я не пользовался от слова "совсем". (ну, очень редко кидают ссылки, тогда смотрю что-то)
Но есть знакомые, которые им много пользовались и пользуются до сих пор без особых сложностей.
В этом смысле аналогичный вариант блокировки ютуба создаст существенно больше проблем - инстаграмм прекрасно работает даже через бесплатные VPN, ему скорость не нужна.

Murchik пишет:

При этом разлочить телефон для представителя правопорядка ты обязан по закону, то есть за отказ могут принять.

Murchik пишет:

Их вычисляли, приходили к ним домой и разработка на этом заканчивалась.

Административные меры - самые эффективные.
Любую программную блокировку можно обойти, а вопрос с шифрованием решается путём прихода к тебе домой с требованием предоставить ключи.

Murchik пишет:

Сразу (в течение нескольких часов) после начала ковидных протестов в Шанхае наряды начали проверять телефоны у всех в районе места событий, в метро и на улицах на наличие фотографий с протеста, картинок с мемами, белыми листами и т.п.

Сейчас активно развиваются большие нейросети, и я удивлюсь, если их не поставят на службу правоохранительным органам.
Вычислять разных активистов будет на порядок проще.

Adx пишет:

Сейчас активно развиваются большие нейросети, и я удивлюсь, если их не поставят на службу правоохранительным органам. Вычислять разных активистов будет на порядок проще.

Да, недавно был скандал — западные журналисты нашли в софте для камер HIK функции для опознавания и оповещения о собраниях групп людей, протестах с транспарантами и т.п., информация о которых была размещена без всякой задней мысли в официальной документации на их сайте. Так что все это уже есть и используется. Насколько я представляю трудности пока в качестве картинки и в масках. Недавно появилась одежда с паттернами, сбивающими с толку модели распознавания, но понятно что arms race тут не на аналоговой стороне. Маски, бейсболки и наиболее распространенная простая одежда, пока, пожалуй, лучший способ защиты. Плюс перемещение, усложняющее отслеживание — грубо говоря вместо поездки из дому на протест на метро лучше сначала поехать на велосипеде куда-то в другое место, оттуда взять такси, пересесть на трамвай, пройти пешком и т.д.

Adx пишет:

Административные меры - самые эффективные.

Да, но плохо масштабируются. Ментов нужно набирать, содержать, мотивировать, направлять, контролировать качество выполнения работы. Если автоматизировать 80% репрессий, они становятся гораздо более жизнеспособными.

Murchik пишет:

Да, недавно был скандал — западные журналисты нашли в софте для камер HIK функции для опознавания и оповещения о собраниях групп людей, протестах с транспарантами и т.п., информация о которых была размещена без всякой задней мысли в официальной документации на их сайте. Так что все это уже есть и используется.

Вы прямо сейчас доставили горячих лулзов профессионалам в области видеонаблюдения.
Это типовая задача видеоаналитики, которая реализована всеми, кто хоть что-то из себя представляет на рынке видеонаблюдения.
Но HikVision гордиться вашей рекламой и выдать вам один дополнительная миска рис

Гретхен, счастлив услужить профессионалам видеонаблюдения. Не думаю, что мой вклад больше, чем журналистов работавших над этой историей, но миска риса лишней не бывает.

Кстати, эти функции были только в китайской версии софта, в экспортных версиях они были удалены. Возможно, все кто что-то собой представляют работают на рынках стран где это считается нормой.

Adx пишет:

Любую программную блокировку можно обойти, а вопрос с шифрованием решается путём прихода к тебе домой с требованием предоставить ключи.

Очень простые алгоритмы (Диффи-Хеллмана и т.п.) позволяют сгенерировать ключ шифрования только на одну сессию, при этом информация для генерации общего ключа передается по открытому каналу (подслушивание не даёт ничего). Ни провайдер, ни ты сам не имеют никакой секретной информации. Требование госструктур к провайдеру (типа Телеграмм) предоставить секретные ключи шифрования бессмысленно — их нет. Я не утверждаю, что так устроен Телеграмм, я этого не знаю и не особо интересуюсь, но современная криптография, основанная на разных результатах математики (или более узко — теории чисел), имеет подобные возможности.

(Как послать посылку, чтобы ее не смогли открыть на почте? X посылает Y ящик с нужным содержимым, на который вешает свой замок. Y, получив посылку, не открывает ее (он не может этого сделать), а вешает на нее дополнительно ещё и свой замок и отсылает обратно. X, получив обратно свою посылку, но уже с двумя замками, снимает свой замок и снова посылает ее Y. После чего Y, получив посылку только со своим замком, снимает его и открывает ящик. Это не алгоритм Диффи-Хеллмана, но такая технология также возможна, замки — это алгоритмы шифрования, коммутирующие между собой.)

Murchik пишет:

Да, недавно был скандал — западные журналисты нашли в софте для камер HIK функции для опознавания и оповещения о собраниях групп людей, протестах с транспарантами и т.п., информация о которых была размещена без всякой задней мысли в официальной документации на их сайте. Так что все это уже есть и используется.

Подобный софт для распознавания не нужно встраивать в камеры, он ставится на серверах.
Я думаю, что в данном случае всё же дело в недобросовестной конкуренции.
В том же, что подобный софт разрабатывается, в т.ч. и в Китае, у меня сомнений нет.

Murchik пишет:

Да, но плохо масштабируются. Ментов нужно набирать, содержать, мотивировать, направлять, контролировать качество выполнения работы. Если автоматизировать 80% репрессий, они становятся гораздо более жизнеспособными.

Не нужно задерживать всех.
Достаточно только организаторов, да и то, только тех, кто какую-то угрозу власти несет.
Тут главное - вовремя их выявить и задержать, тут-то нейросети и помогут.

bregalad, для тех кто попытается что-то из этого загуглить чтобы понять как этим, собственно, пользоваться, это называется end-to-end encryption. Примеры реализаций: OMEMO, OTR, отчасти PGP. Их можно использовать для обмена сообщениями в мессенджерах, электронной почте, с использованием плагинов для браузеров даже на веб-платформах, не поддерживающих шифрование.

Одного шифрования, конечно, недостаточно. В журналистике, например, важно аутентифицировать собеседника, тогда применяются электронные подписи. Иногда нужно чтобы не осталось следов разговора, тогда нужно чтобы софт поддерживал удаление истории сообщений и т.д.

Кстати, еще одно открытие с декабрьских протестов: пользователями Айфонов активно использовался открытый AirDrop для обмена «нелегальными» фотографиями и видео. Все другие доступные большинству каналы были абсолютно прозрачны для партии. Буквально через пару недель Apple отключили эту функцию для пользователей в Китае.

bregalad пишет:

Очень простые алгоритмы (Диффи-Хеллмана и т.п.) позволяют сгенерировать ключ шифрования только на одну сессию, при этом информация для генерации общего ключа передается по открытому каналу (подслушивание не даёт ничего). Ни провайдер, ни ты сам не имеют никакой секретной информации.

Это можно при необходимости обойти использую метод "человек посередине", MITM (Man in the Middle). В промежутке ставится прокси, который выдаёт себя за противоположную сторону, каждая из сторон обменивается ключами с прокси, предполагая, что обменивается с конечной стороной, а на самом деле они общаются с посредником.

К слову, важно, что-то подобное можно проводить и с обычным интернет-трафиком. Сейчас он в основном шифрованный. У сайтов есть сертификаты, благодаря которым MITM не внедришь. Но в браузер можно встроить дополнительный сертификат, то атака становится возможной. Например в российские браузеры, в Яндекс-браузер и некоторые другие такой сертификат встроен, это сертификат от минцифры. Его можно самостоятельно поставить на любой браузер, в компании в браузеры встраивают свои сертификаты, чтобы контролировать трафик сотрудников, это достаточно обычная практика.

Вот, если люди пользуются Яндекс-браузером, то в принципе несложно со стороны государства организовать прослушку их трафика. Это правда нельзя сделать незаметно, кто понимает и полезет проверять, это заметит. Пока не было сообщений, вроде бы, что вот как-то это массово применяется. Но в перспективе возможно.

Тарантино пишет:

Но в браузер можно встроить дополнительный сертификат, то атака становится возможной.

Мы когда ездили на Универсиаду в Казахстан, там как раз установка государственного сертификата стала обязательной для всех. А некоторые китайские корневые сертификаты уже попали во многие официальные бандлы.

Murchik
Это было когда-то довольно давно, но потом браузеры стали с этим бороться и они отменили, ещё до смены власти. Сейчас тоже ничего там такого нет, весь интернет работает относительно свободно, без установки дополнительных сертификатов или чего-то такого, в общем всё намного-намного свободнее по этой части, чем в РФ.

bregalad пишет:

Очень простые алгоритмы (Диффи-Хеллмана и т.п.) позволяют сгенерировать ключ шифрования только на одну сессию, при этом информация для генерации общего ключа передается по открытому каналу (подслушивание не даёт ничего). Ни провайдер, ни ты сам не имеют никакой секретной информации.

Все подобные механизмы имеют одинаковую проблему - взломщик посредине.
Когда кто-то перехватывает трафик, и подменяет его на свой.
Открытый ключ (или какие-то данные для его создания, не принципиально) передается по открытому каналу, но взломщик его перехватывает и дальше транслирует уже свой открытый ключ.
Ты зашифровываешь информацию по открытому ключу взломщика и посылаешь ответ, он его расшифровывает, и вновь зашифровывает исходным открытым ключом, и посылает ответ исходному автору.
Понятно, что такое не сможет проделать рядовой взломщик, но организовать подмену траффика на уровне провайдера вполне реально.
С квантовым шифрованием не просто так пытаются работать.

Тарантино пишет:

Вот, если люди пользуются Яндекс-браузером, то в принципе несложно со стороны государства организовать прослушку их трафика.

Встраивать в наше время прослушку в софт - глупее не придумаешь.
Это быстро выяснится, тем более, что сам браузер на базе Chromium'а, ничего особо нетривиального и нестандартного там нет.
Намного эффективнее поставить прослушку у провайдера, ты даже не узнаешь, что за тобой следят.