id: Гость   вход   регистрация
текущее время 15:56 29/03/2024
создать
просмотр
ссылки

Преступники не используют криптографию?


По данным административного управления судебной системы США, хотя и существуют отдельные криминальные элементы, которые используют и даже создают свои собственные системы шифрованных коммуникаций, по данным отчётов о прослушивании, большинство криминальных элементов не относятся к этой категории. Вместо этого они используют простые решения: готовые коммерческие продукты и оборудование для коммуникации через облачные сервисы (Gmail, Facebook). Крайне редко когда использование файлообменных коммуникаций мешало прослушиванию правоохранительных органов. Проблема использования уязвимостей в системах проста в случае правоохранительных органов: в большинстве случаев им этого просто не требуется.
Иначе говоря, преступники мало чем отличаются от рядовых граждан: крайне мало кто из них использует передовые технологии или экспериментальные устройства связи. Вместо этого они привязаны к коммерческим решениям. Коммерческие решения как ничто другое проще в использовании и лучше работают, что и является решающим преимуществом. Кроме того, способности людей к пониманию тонких деталей новых технологий (таких как шифрование) ограничены. Различие между шифрованием клиент-клиент и клиент-сервер недоступно пониманию большинства людей, включая преступников; аналогично, вопрос, играет ли шифрование на правильной стороне, часто даже не имеет под собой почвы для возникновения.

Lawful Hacking: Using Existing Vulnerabilities for Wiretapping on the Internet


In fact, most people voluntarily carry location tracking devices, a.k.a.
mobile phones
• Mobile phones are generally person-specific; law enforcement is thus more likely to capture the conversations of interest
• Cloud services (e.g., gmail) make preservation of data a priority
• Official statistics show that previous “serious threats”, such as encryption, have not turned out to be problems
• Most criminals use off-the-shelf tools and don’t do a particularly good job of covering their tracks
Late-breaking news: look at the take-down of the Silk Road

fileСлайды к публикации Lawful Hacking: Using Existing Vulnerabilities for Wiretapping on the Internet.


Steven M. Bellovin, Matt Blaze, Sandy Clark, Susan Landau. DRAFT – August 18, 2013.


 
На страницу: 1, 2, 3, 4, 5, 6, 7 След.
Комментарии
— Гость (18/11/2013 07:56)   <#>
Cперва должен быть организован и непрерывно поддерживаться определенный процесс. И только после этого имеет смысл переходить к использованию каких-либо технических средств сродни криптографии.
Это большая ошибка на которой спалились очень многие. Или ты думаешь о безопасности сразу, или будет уже поздно. Толку шифроваться, если в самом начале деятельности вы оставили прямые улики в совокупности тянущие на большой срок. Интернет, в отличии от реала, всё помнит и ничего не забывает.

Гость (18/11/2013 06:13) вы такой теоретик. Легко рассуждать, ни разу не попробовав наладить процесс. Я налаживал, и убедился что если что-то требует постоянного внимания и дисциплины, невозможно убедить людей это использовать. А если будут использовать, то сфейлятся непременно, это дело времени. Поэтому технические решения должны быть безопасными ровно настолько, насколько возможно соблюсти условие недоставления проблем. Допускается лишь небольшой геморрой при первичной настройке, дальше все должно работать само. Иначе будет херня, в самый нужный момент ты останешься без связи, или тебе начнут писать открытым текстом и спалят. Подозреваю что авторы этих технических решений зациклены на перфекционизме, и мало думают о том, как их продуктом будут пользоваться люди.
Технические решения должны работать для человека, а не человек для технических решений. Можно рассуждать насчет постоянной бдительности, дисциплины и ответственности, но как говорил товарищ Сталин: "других кадров у меня для Вас нет".
— Гость (18/11/2013 11:21)   <#>
или тебе начнут писать открытым текстом и спалят.
вот тут и появляется то самое шифрование через relay, ибо народ тупит и ошибается 100%. так сказать малое зло.
— Гость (18/11/2013 11:23)   <#>
Очень много сил уходит вообще
ибо народ в обойме дерзкий, но малоумный. обратнопропорциональная зависимость.
— K10 (18/11/2013 23:00)   <#>

Без этого никакое нормальное взаимодействие невозможно.
— Гость (18/11/2013 23:47)   <#>
Очень много сил уходит вообще
ибо народ в обойме дерзкий, но малоумный. обратнопропорциональная зависимость.

У большинства людей «из криминала» нервная система подорвана из-за неблагополучного детства. Чем больше было напрягов в детстве и юности, тем сложнее человек держит нагрузку в более зрелом возрасте. Давно известно, всплывало при изучении травматики у людей вернувшихся с боевых действий. В итоге, чем более благополучная семья и детство у мальчика — тем более спокойный, жестокий и стойкий боец получается из него на войне.
А среди преступников довольно мало людей из благополучных семей. И чуть только случаются напряги, так у большинства напрочь отключается или дисциплина или мозг целиком. И оказываются способны делать лишь то, что многократно разучено и въелось в подсознание, почти на уровне моторики. Использование сложных средств связи перестает быть проблемой, если это приходится отрабатывать регулярно. Из того же принципа, что и учебные тревоги на кораблях.

А люди хоть как-то сбившиеся в кучу и отработавшие элементарные вещи уже перестают делать явные и глупые ошибки. Тут же начинают именоваться организованной преступностью и преследоваться со всех сторон. Например, настоящие "фирмы" давно поделили поляну и держат ментов на содержании с коротким поводком. Чтобы можно было их руками давить всех потенциально способных вырасти в конкурентов.

Вот и выходит, что спрос на криптографию есть лишь у тех, кто в самом низу пищевой цепи. И появляется только после того, как нашли в себе силы взяться за самоорганизацию, устранив остальные причины проколов. Научившись выдерживать внешний натиск со стороны системы в целом.
— Гость (19/11/2013 00:46)   <#>

Так и вижу ряды гламурно-метросексуальных нордических суровых воинов, детей сынов топ-менеджеров и чиновников, готовых ради Отечества на всё. Прежде всего, откосить. Для начала. Затем получить офицера запаса, для госслужбы или для личного пользования.

Вообще-то, как раз нищета, бедность и днище для многих являются стимулом идти вверх. И биться, хоть на войне, хоть на гражданке. Или же являются приговором для жалкого существования. Это уже зависит от личных качеств, окружения и воспитания.

В остальном согласен, понятийная система. Не закон, но понятие. Главное, если с улицы чел поведет себя по понятиям, то может сесть по законам. Отсюда такие понятия как иерархия и система "свой – чужой".
А криптография сюда как-то очень натужно втискивается. Преступления, где имеет место криптография немногочисленны и последствия их не столь тяжкие, как остальные 99% преступлений, успешно обходящихся без помощи криптографии.
— Гость (19/11/2013 01:10)   <#>
Преступный мир жесток и не скован теми рамками, которые обычно удерживают людей в погонах
"Контрразведка — это белая комфортная комната, в которой сидит чистый интеллигентный человек в белом халате и очень вежливо разговаривает".
— Гость (19/11/2013 01:17)   <#>
Если организованной преступности и нужна криптография, то, логично предполагать, только в верхних слоях иерархической цепочки. и то врядли реализуется собственными руками, скорее наймитами.
— Гость (19/11/2013 01:19)   <#>
Малявы на флешках передавать в зашифрованном виде.
— unknown (19/11/2013 10:16, исправлен 19/11/2013 10:28)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

/comment73541:

ОTR, если память не изменяет, не шифрует оффлайн сообщения, что есть большая дыра.

/comment73566:

Работа без оффлайн сообщений непредставима, проблемы OTR с потерей посланных сообщений, во многих ситуациях делают работу адом, особенно когда речь идет не о чатике "хи-хи, ха-ха", а о серьезной работе.

GPG плох отсутствием PFS, OTR абсолютно непрактичен, какие варианты есть еще?

/comment73596:

> Отправка сообщения в оффлайн обычно совершенно неприемлема.
Без этого никакое нормальное взаимодействие невозможно.

У нас всплывала тема 13 причин не прибегать к использованию PGP, были интересные комментарии и до неё, и в процессе её обсуждения.


Сейчас можно отметить интересную тенденцию в ходе этого топика (котороая всплывала и раньше, но явно не озвучивалась): неважно, кто пользователи — криминал или легальный бизнес, но многие упираются в своём понимании даже не в технические, а в идеологические ограничения криптосредств.


Т.е. можно написать статью, n причин не использовать OTR, но причина глубже. Многие криптосредства разрабатывались в рамках узких моделей, ограниченных не только технологией, но и идеологией использования. (Open)PGP — больше для разработки открытого ПО открытым способом, без анонимности, отрицаемости и наперёд заданной секретности (PFS).


OTR сделал только пару шагов от OpenPGP — отрицаемость и PFS. Он не предназначен для ведения дел, как скорее всего понимают ранее высказавшиеся. Типичный сценарий совсем другой.


Допустим, кто-то (назовём его провокатор) начинает приватную переписку с известным человеком, ну например со Шнайером. Входит в доверие и пытается развести собеседника на то, чтобы он наболтал лишнего, чтобы могло повредить его репутации. Если бы известный человек (условный «Шнайер») наболтал лишнего в переписке PGP, то провокатор мог бы слить переписку в паблик через pastebin и растиражировать через журналистов. Продвинутые пользователи могли бы проверить PGP подписи Шнайера и убедиться, что фразы, подрывающие его репутацию, принадлежат именно ему. Эти пользователи также могли бы транслировать этот факт через сетевые сообщества и журналистов до остальных масс.


Если же с «известным человеком» переписываться через OTR, то провокатор не сможет слить его слова в паблик — они будут бездоказательны, можно сказать, что провокатор сам все эти диалоги насочинял.


Это не защищает от полицейского и судебного преследования. Если провокатор — штатный сотрудник или нанятый правоохранительными органами эксперт, то его показания и материалы полученной им переписки могут быть приняты судом и без электронной подписи обвиняемого, с которого получат ещё какие-то доказательства другими путями.


Т.е. OTR — это способ узнать мнение человека, которое он не хотел бы высказывать открыто и при этом не доверяет своему собеседнику. Как дополнительный пример: разработчики ПО могут вести вообще открытую нешифрованную и неанонимную переписку, прибегая только к подписям. По чуствительным вопросам — шифроваться. А в какой-то момент кто-то может заявить — по этому вопросу он развёрнутый ответ давать не будет, но может сказать своё мнение только под OTR, например, чтобы не ссориться с другими участниками проекта.


Другой аспект — крипто ПО писалось техногиками, под идеологию информационного изоляционизма, эскапизма, анархизма, либертарианства, в лучшем случае — технократии и прочей экзотики и маргинальщины, действительно изначально далёкой от рядового пользователя и вне системы ценностей типичного криминального и легального бизнеса как такового.

— gegel (19/11/2013 10:50)   профиль/связь   <#>
комментариев: 393   документов: 4   редакций: 0
Нормальная процедура предполагает необходимость перед сеансом связи убедиться в двух вещах. Что на другом конце находится действительно тот человек, кто и должен быть. И что данный человек не работает под принуждением с чьей либо стороны.

Вот это может быть важно. Ну и плюс отрицаемость и PFS. Я ввел в Торфон возможность скрытого уведомления под прессингом, хотя и не встречал подобных функций в других протоколах. Стоит подумать над концептуальной возможностью реализации этой функции и в оффлайновых месенжерах.
— Гость (19/11/2013 11:13)   <#>
в оффлайновых месенжерах.
в чем принципиальное отличие передачи оффлайн сообщений в мессенджере от почтового сообщения (e-mail)?
— unknown (19/11/2013 11:22, исправлен 19/11/2013 11:30)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Вот не знаю, в эту тему или в юмор (чёрный), статья в Форбс. Кто-то открыл анонимный аукцион киллеров против политиков и чиновников (Обама, Кейт Александр, Бен Бернанк).


Точнее, не аукцион, а краудфандинг — сбор средств с добровольных пожертвователей. Убийца должен захешировать дату или обстоятельства гибели жертвы и разместить на сайте. После свершения деяния он раскрывает сообщение и получает биткоины из фонда сообщества.


Сам проект пока-что больше похож на мошенничество или малореалистичную схему. Но что-нибудь менее одиозное по такой схеме финансировать можно.

— Гость (19/11/2013 11:30)   <#>
Продвинутые пользователи могли бы проверить PGP подписи Шнайера и убедиться, что фразы, подрывающие его репутацию, принадлежат именно ему.
Вот поэтому PGP подписи в jabber не ставятся и не проверяются. Глупо было бы подписываться. Что-что, а оставлять свою подпись под каждым сообщением, особенно публичным ключом, я категорически не согласен.
— тестерТьюринга (19/11/2013 12:06)   профиль/связь   <#>
комментариев: 301   документов: 8   редакций: 4
Давайте спросим у преступников ;) Пока можно только представить закон, в отношение которого любой здешний форумчанин становится преступником. Это закон о полном запрете использования криптографии. Ощутив себя преступником можно ответить на следующий вопрос. Вы перестанете использовать криптографию?
(подозреваю, что вопрос в соотношении выгоды от её использования и наказания за её использование)

ну всё щас точно в провокаторы запишут :(
На страницу: 1, 2, 3, 4, 5, 6, 7 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3