Преступники не используют криптографию?
По данным административного управления судебной системы США, хотя и существуют отдельные криминальные элементы, которые используют и даже создают свои собственные системы шифрованных коммуникаций, по данным отчётов о прослушивании, большинство криминальных элементов не относятся к этой категории. Вместо этого они используют простые решения: готовые коммерческие продукты и оборудование для коммуникации через облачные сервисы (Gmail, Facebook). Крайне редко когда использование файлообменных коммуникаций мешало прослушиванию правоохранительных органов. Проблема использования уязвимостей в системах проста в случае правоохранительных органов: в большинстве случаев им этого просто не требуется.
Иначе говоря, преступники мало чем отличаются от рядовых граждан: крайне мало кто из них использует передовые технологии или экспериментальные устройства связи. Вместо этого они привязаны к коммерческим решениям. Коммерческие решения как ничто другое проще в использовании и лучше работают, что и является решающим преимуществом. Кроме того, способности людей к пониманию тонких деталей новых технологий (таких как шифрование) ограничены. Различие между шифрованием клиент-клиент и клиент-сервер недоступно пониманию большинства людей, включая преступников; аналогично, вопрос, играет ли шифрование на правильной стороне, часто даже не имеет под собой почвы для возникновения.
Lawful Hacking: Using Existing Vulnerabilities for Wiretapping on the Internet
In fact, most people voluntarily carry location tracking devices, a.k.a.
mobile phones
• Mobile phones are generally person-specific; law enforcement is thus more likely to capture the conversations of interest
• Cloud services (e.g., gmail) make preservation of data a priority
• Official statistics show that previous “serious threats”, such as encryption, have not turned out to be problems
• Most criminals use off-the-shelf tools and don’t do a particularly good job of covering their tracks
Late-breaking news: look at the take-down of the Silk Road
Слайды к публикации Lawful Hacking: Using Existing Vulnerabilities for Wiretapping on the Internet.
Steven M. Bellovin, Matt Blaze, Sandy Clark, Susan Landau. DRAFT – August 18, 2013.
Гость (18/11/2013 06:13) вы такой теоретик. Легко рассуждать, ни разу не попробовав наладить процесс. Я налаживал, и убедился что если что-то требует постоянного внимания и дисциплины, невозможно убедить людей это использовать. А если будут использовать, то сфейлятся непременно, это дело времени. Поэтому технические решения должны быть безопасными ровно настолько, насколько возможно соблюсти условие недоставления проблем. Допускается лишь небольшой геморрой при первичной настройке, дальше все должно работать само. Иначе будет херня, в самый нужный момент ты останешься без связи, или тебе начнут писать открытым текстом и спалят. Подозреваю что авторы этих технических решений зациклены на перфекционизме, и мало думают о том, как их продуктом будут пользоваться люди.
Технические решения должны работать для человека, а не человек для технических решений. Можно рассуждать насчет постоянной бдительности, дисциплины и ответственности, но как говорил товарищ Сталин: "других кадров у меня для Вас нет".
Без этого никакое нормальное взаимодействие невозможно.
У большинства людей «из криминала» нервная система подорвана из-за неблагополучного детства. Чем больше было напрягов в детстве и юности, тем сложнее человек держит нагрузку в более зрелом возрасте. Давно известно, всплывало при изучении травматики у людей вернувшихся с боевых действий. В итоге, чем более благополучная семья и детство у мальчика — тем более спокойный, жестокий и стойкий боец получается из него на войне.
А среди преступников довольно мало людей из благополучных семей. И чуть только случаются напряги, так у большинства напрочь отключается или дисциплина или мозг целиком. И оказываются способны делать лишь то, что многократно разучено и въелось в подсознание, почти на уровне моторики. Использование сложных средств связи перестает быть проблемой, если это приходится отрабатывать регулярно. Из того же принципа, что и учебные тревоги на кораблях.
А люди хоть как-то сбившиеся в кучу и отработавшие элементарные вещи уже перестают делать явные и глупые ошибки. Тут же начинают именоваться организованной преступностью и преследоваться со всех сторон. Например, настоящие "фирмы" давно поделили поляну и держат ментов на содержании с коротким поводком. Чтобы можно было их руками давить всех потенциально способных вырасти в конкурентов.
Вот и выходит, что спрос на криптографию есть лишь у тех, кто в самом низу пищевой цепи. И появляется только после того, как нашли в себе силы взяться за самоорганизацию, устранив остальные причины проколов. Научившись выдерживать внешний натиск со стороны системы в целом.
Так и вижу ряды
гламурно-метросексуальныхнордических суровых воинов,детейсынов топ-менеджеров и чиновников, готовых ради Отечества на всё. Прежде всего, откосить. Для начала. Затем получить офицера запаса, для госслужбы или для личного пользования.Вообще-то, как раз нищета, бедность и днище для многих являются стимулом идти вверх. И биться, хоть на войне, хоть на гражданке. Или же являются приговором для жалкого существования. Это уже зависит от личных качеств, окружения и воспитания.
В остальном согласен, понятийная система. Не закон, но понятие. Главное, если с улицы чел поведет себя по понятиям, то может сесть по законам. Отсюда такие понятия как иерархия и система "свой – чужой".
А криптография сюда как-то очень натужно втискивается. Преступления, где имеет место криптография немногочисленны и последствия их не столь тяжкие, как остальные 99% преступлений, успешно обходящихся без помощи криптографии.
комментариев: 9796 документов: 488 редакций: 5664
/comment73541:
/comment73566:
/comment73596:
У нас всплывала тема 13 причин не прибегать к использованию PGP, были интересные комментарии и до неё, и в процессе её обсуждения.
Сейчас можно отметить интересную тенденцию в ходе этого топика (котороая всплывала и раньше, но явно не озвучивалась): неважно, кто пользователи — криминал или легальный бизнес, но многие упираются в своём понимании даже не в технические, а в идеологические ограничения криптосредств.
Т.е. можно написать статью, n причин не использовать OTR, но причина глубже. Многие криптосредства разрабатывались в рамках узких моделей, ограниченных не только технологией, но и идеологией использования. (Open)PGP — больше для разработки открытого ПО открытым способом, без анонимности, отрицаемости и наперёд заданной секретности (PFS).
OTR сделал только пару шагов от OpenPGP — отрицаемость и PFS. Он не предназначен для ведения дел, как скорее всего понимают ранее высказавшиеся. Типичный сценарий совсем другой.
Допустим, кто-то (назовём его провокатор) начинает приватную переписку с известным человеком, ну например со Шнайером. Входит в доверие и пытается развести собеседника на то, чтобы он наболтал лишнего, чтобы могло повредить его репутации. Если бы известный человек (условный «Шнайер») наболтал лишнего в переписке PGP, то провокатор мог бы слить переписку в паблик через pastebin и растиражировать через журналистов. Продвинутые пользователи могли бы проверить PGP подписи Шнайера и убедиться, что фразы, подрывающие его репутацию, принадлежат именно ему. Эти пользователи также могли бы транслировать этот факт через сетевые сообщества и журналистов до остальных масс.
Если же с «известным человеком» переписываться через OTR, то провокатор не сможет слить его слова в паблик — они будут бездоказательны, можно сказать, что провокатор сам все эти диалоги насочинял.
Это не защищает от полицейского и судебного преследования. Если провокатор — штатный сотрудник или нанятый правоохранительными органами эксперт, то его показания и материалы полученной им переписки могут быть приняты судом и без электронной подписи обвиняемого, с которого получат ещё какие-то доказательства другими путями.
Т.е. OTR — это способ узнать мнение человека, которое он не хотел бы высказывать открыто и при этом не доверяет своему собеседнику. Как дополнительный пример: разработчики ПО могут вести вообще открытую нешифрованную и неанонимную переписку, прибегая только к подписям. По чуствительным вопросам — шифроваться. А в какой-то момент кто-то может заявить — по этому вопросу он развёрнутый ответ давать не будет, но может сказать своё мнение только под OTR, например, чтобы не ссориться с другими участниками проекта.
Другой аспект — крипто ПО писалось техногиками, под идеологию информационного изоляционизма, эскапизма, анархизма, либертарианства, в лучшем случае — технократии и прочей экзотики и маргинальщины, действительно изначально далёкой от рядового пользователя и вне системы ценностей типичного криминального и легального бизнеса как такового.
комментариев: 393 документов: 4 редакций: 0
Вот это может быть важно. Ну и плюс отрицаемость и PFS. Я ввел в Торфон возможность скрытого уведомления под прессингом, хотя и не встречал подобных функций в других протоколах. Стоит подумать над концептуальной возможностью реализации этой функции и в оффлайновых месенжерах.
комментариев: 9796 документов: 488 редакций: 5664
Вот не знаю, в эту тему или в юмор (чёрный), статья в Форбс. Кто-то открыл анонимный аукцион киллеров против политиков и чиновников (Обама, Кейт Александр, Бен Бернанк).
Точнее, не аукцион, а краудфандинг — сбор средств с добровольных пожертвователей. Убийца должен захешировать дату или обстоятельства гибели жертвы и разместить на сайте. После свершения деяния он раскрывает сообщение и получает биткоины из фонда сообщества.
Сам проект пока-что больше похож на мошенничество или малореалистичную схему. Но что-нибудь менее одиозное по такой схеме финансировать можно.
комментариев: 301 документов: 8 редакций: 4
(подозреваю, что вопрос в соотношении выгоды от её использования и наказания за её использование)
ну всё щас точно в провокаторы запишут :(