id: Гость   вход   регистрация
текущее время 14:24 28/03/2024
создать
просмотр
ссылки

Преступники не используют криптографию?


По данным административного управления судебной системы США, хотя и существуют отдельные криминальные элементы, которые используют и даже создают свои собственные системы шифрованных коммуникаций, по данным отчётов о прослушивании, большинство криминальных элементов не относятся к этой категории. Вместо этого они используют простые решения: готовые коммерческие продукты и оборудование для коммуникации через облачные сервисы (Gmail, Facebook). Крайне редко когда использование файлообменных коммуникаций мешало прослушиванию правоохранительных органов. Проблема использования уязвимостей в системах проста в случае правоохранительных органов: в большинстве случаев им этого просто не требуется.
Иначе говоря, преступники мало чем отличаются от рядовых граждан: крайне мало кто из них использует передовые технологии или экспериментальные устройства связи. Вместо этого они привязаны к коммерческим решениям. Коммерческие решения как ничто другое проще в использовании и лучше работают, что и является решающим преимуществом. Кроме того, способности людей к пониманию тонких деталей новых технологий (таких как шифрование) ограничены. Различие между шифрованием клиент-клиент и клиент-сервер недоступно пониманию большинства людей, включая преступников; аналогично, вопрос, играет ли шифрование на правильной стороне, часто даже не имеет под собой почвы для возникновения.

Lawful Hacking: Using Existing Vulnerabilities for Wiretapping on the Internet


In fact, most people voluntarily carry location tracking devices, a.k.a.
mobile phones
• Mobile phones are generally person-specific; law enforcement is thus more likely to capture the conversations of interest
• Cloud services (e.g., gmail) make preservation of data a priority
• Official statistics show that previous “serious threats”, such as encryption, have not turned out to be problems
• Most criminals use off-the-shelf tools and don’t do a particularly good job of covering their tracks
Late-breaking news: look at the take-down of the Silk Road

fileСлайды к публикации Lawful Hacking: Using Existing Vulnerabilities for Wiretapping on the Internet.


Steven M. Bellovin, Matt Blaze, Sandy Clark, Susan Landau. DRAFT – August 18, 2013.


 
На страницу: 1, 2, 3, 4, 5, 6, 7 След.
Комментарии
— K10 (17/11/2013 08:06)   <#>

Если дело доходит до "отжимания" компа, то уже вряд ли что то поможет )

ОTR, если память не изменяет, не шифрует оффлайн сообщения, что есть большая дыра.
— SATtva (17/11/2013 09:34)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Тем не менее, коммерческие фирмы всё же внедряют, к примеру, тот же HTTPS. Или можно вспомнить про всё тот же lavabit. Т.е. примеры бизнеса на безопасности или с элементами безопасности есть, хотя когда-то то же HTTPS было редчайшим исключением, а не правилом.

HTTPS — всё-таки не средство анонимности (более того, использование HTTPS в случае онлайн-коммерции диктуется регуляторами, без такого требования они бы и не заморачиваись). Можете вспомнить хоть один бизнес, построенный именно на последней? Только не приводите в качестве примера TorProject, это НКО.
— Гость (17/11/2013 10:06)   <#>
Можете вспомнить хоть один бизнес, построенный именно на последней?
Всё что вращается вокруг Bitcoin?
— SATtva (17/11/2013 10:31)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Уж точно не всё. Многие, если не большинство, используют BC не из-за потенциальной анонимности (она, не будем забывать, не является внутреприсущим свойством BC). Если покупать за BC электронику или пирожные в кондитерской, то это явно не про анонимность.

Скажем, бизнес-модель SilkRoad действительно построена на анонимности псевдонимности, но хотелось бы менее одиозных примеров. То есть раз уж речь выше зашла о коммерческих компаниях, по определению действующих в правовом поле, интересно, есть ли таковые, чей бизнес имеет одним из ключевых элементов средства анонимности. Или таких, у которых анонимность — коммерческий продукт.
— Гость (17/11/2013 11:20)   <#>

Факты — вещь упрямая:

Зафейлили стандарт IPSEC и теперь сами остались без шифрования. Своих стандартов не осилили.

Видимо, у них тоже в спецслужбы идут служить затем, "чтобы изучать историю спецсвязи" и прочие культурно-исторические артефакты. А на деле всё организовано на открытом софте обычными админами и кодерами.
— Гость (17/11/2013 11:25)   <#>

Эти примеры подойдут? Ну, или продажа хостингов за биткоины.
— Гость (17/11/2013 11:31)   <#>
VPN сервисы продают анонимность за деньги. Вполне себе бизнес.
— SATtva (17/11/2013 11:43)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Эти примеры подойдут?

Вижу там обычные сервисы, работающие добровольно и принимающие донат, но не вижу коммерческих организаций. Это не то, так же, как и pgpru.

Ну, или продажа хостингов за биткоины. <...> VPN сервисы продают анонимность за деньги.

Первое — с большой натяжкой. Второе — плюс-минус, если считать VPN средством анонимности.
— Гость (17/11/2013 12:04)   <#>

Продажа Tor-роутеров aka JanusVM. Freedombox тоже будет в виде продаваемой коробочки? EFF что-то такое, кажется, тоже хотел замутить.
— SATtva (17/11/2013 12:06)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Продажа Tor-роутеров aka JanusVM.

Bingo!
— Гость (17/11/2013 12:09)   <#>
query "Tor events" / Flying Pig — какая-то компания-подрядчик же разрабатывала это? Тоже пример, причём полностью легавный легальный.
— SATtva (17/11/2013 12:14, исправлен 17/11/2013 12:15)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118

Бизнес, построенный на чужой анонимности? Ну да, с таким бизнесом вообще полный порядок, достаточно посмотреть, кто разрабатывает средства для DPI и LE-MITM, и на их финансовые отчёты.

— Гость (17/11/2013 19:17)   <#>
Нужен сдвиг в сознании. Если широкие массы откажутся работать с, к примеру, соцсетями без убедительных гарантий того, что контроль над информацией есть только у них самих, то владельцы соцсетей будут вынуждены внедрять криптографию.

Попробуй сдвинуть сознание широких масс античата, убеди их отказаться от icq и скайпа.

При этом я никому не мешаю и не делаю плохо. Того же требую от других

Требование – это угроза сделать плохо в случае невыполнения условий. Без угрозы требование превращается в просьбу. Попробуй применить аргумент – я вас не трогаю и вы меня не трогайте при встрече с грабителями.

ОTR, если память не изменяет, не шифрует оффлайн сообщения, что есть большая дыра.

Не дыра, а необходимое условие реализации PFS. В OTR меня смущает 128 битный ключ, почему не используется 256?
— Гость (17/11/2013 20:02)   <#>
Не дыра, а необходимое условие реализации PFS
Чтобы криптография была безопасной, она должна быть в первую очередь удобной, чтобы раз настроил и можно забыть об ее существовании. Это важнее чем многие технические моменты, потому что если криптографическое решение создает постоянные проблемы или требует постоянного внимания, им не пользуются как надо. Правильный OTR мог бы создавать некое "окно" сессии, идущее как вперед так и назад, с сохранением временных ключей на диске. За счет небольшого ослабления PFS, мы бы получили беспроблемную работу.
Сейчас приходится использовать GPG и периодически менять ключи, потому что GPG не создает проблем. Работа без оффлайн сообщений непредставима, проблемы OTR с потерей посланных сообщений, во многих ситуациях делают работу адом, особенно когда речь идет не о чатике "хи-хи, ха-ха", а о серьезной работе. Постоянно вручную рестартить сессии, переспрашивать дошло то или иное сообщение или нет, часами ждать пока собеседник появится в онлайне чтобы скинуть пару строк (а можно за несколько дней так и не пересечься), это не дело.
GPG плох отсутствием PFS, OTR абсолютно непрактичен, какие варианты есть еще?
— Гость (18/11/2013 06:13)   <#>
Преступники редко пользуются криптографией потому, что и других проблем хватает в силу изношенной нервной системы. Очень много сил уходит вообще на организацию элементарного процесса сами "дела делать" в целом.

Безопасность — это в первую очередь процесс, она не обеспечивается лишь сами фактом использования технических средств. Сперва должен быть организован и непрерывно поддерживаться определенный процесс. И только после этого имеет смысл переходить к использованию каких-либо технических средств сродни криптографии.

Сперва необходимо устаканить все базовые нюансы взаимодействия. Например, ни один протокол не гарантирует доставку сообщения адресату. Даже если послание дошло до im-клиента адресата и было показано пользователю, то это ничего не означает. Человек мог быть вынужден отключить компьютер раньше, чем удалось прочитать текст в выскочившем окне.
Обмен информацией посредством электронной переписки изначально предполагает определенный дисциплинированность. Адресат всегда должен отвечать получил ли сообщение и как именно его понял. Вот на этом многие и останавливаются, основательно споткнувшись. Поскольку у них не получается вообще реализовать эффективное взаимодействие посредством электронной переписки. Из-за нарушения процедуры постоянно возникают неоднозначности и приходится тратить много сил с ресурсами на разгребание последствий.
Отправка сообщения в оффлайн обычно совершенно неприемлема. Нормальная процедура предполагает необходимость перед сеансом связи убедиться в двух вещах. Что на другом конце находится действительно тот человек, кто и должен быть. И что данный человек не работает под принуждением с чьей либо стороны.
Например, нельзя забывать, что криптографический ключ используемый для аутентификации в ходе сеансов связи мог быть похищен третьей стороной. Несколько людей могли медленно порубить на куски ради возможности получить этот самый ключ. Лишь бы с его помощью ввести в заблуждение удаленного собеседника. Преступный мир жесток и не скован теми рамками, которые обычно удерживают людей в погонах. И процесс обеспечения безопасности должен быть выстроен с учетом подобных реалий.
На страницу: 1, 2, 3, 4, 5, 6, 7 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3