Инициатива Deep Tech Group

tor и i2p - это конечно хорошо. но лучше-бы вы занимались развитием действительно безопасного im, на который можно пересадить в том числе тупых пользователей, тогда от вашей инициативы была-бы реальная польза. А таких групп по интересам в сети и так много.

Кажется, в этой теме вы уже писали этот пост год назад?)

Для протокола: я развлекался с невнимательным анонимусом, отвечая цитатами из комментариев, с которыми спорил прежде в этом обсуждении. В остальном же, экономическая эффективность — вещь конвенциональная, как договоримся, так и будет эффективно, например если за посягательство на пользовательские данные будет штраф в половину стоимости гугля, то внезапно заботиться о приватности будет очень-очень выгодно.

Совсем тупых пользователей на что либо безопасней телеги не пересадить, а для не совсем тупых много чего есть.

сделано за год
шаблоны docker-compose и Docker

Мм, окей, что еще?

выявлены <...> тайминг-атаки, в частности атаки шейпинга и пересечения

То есть то что можно найти за 5 минут гугления и что описано в куче пейперов?

вопрос об их практической применимости, и главное, практических методах защиты не поднимался на подобном уровне.

На каком «подобном»? Были опубликованы статьи? Патчи в tor? Что сделано то конкретно?

Delaytor... Начато проектирование первой версии, наиболее простой, централизованной.

То есть бесполезной

в команде нет веб/бакэнд/фулстэк разработчиков

Девопсов и админов тоже нет, это что получается — у вас вообще разработчиков нет? А кто есть? Маркетолухи чтобы выдумывать красивые названия, кидаться широкими и ничего не значащими высказываниями про «подобный» уровень (что это вообще значит?) и год писать докерфайл?

Ясно, год писались докерфайлы. С такими активистами Большому Брату точно ничего не угрожает.

Тор же и так тормоз, зачем в него дополнительные задержки встраивать, давайте сперва ускорите его.

Опять же, нужно ли это, если в i2p уже есть возможность встраивать задержки?

Мм, окей, что еще?

А вы кто такой, чтобы перед вами отчитываться вообще? Тупой (именно тупой) хейтер с чсв больше 9000, считающий себя крутым прогером? Да если бы вы хоть что-то сделали полезного, так себя не вели бы. Уважали бы чужой труд, понимали бы, что это всё делается с большим напряжением сил в свободное время. Чекнул ваш гитхаб — ну что сказать, три собственных репы за три года с несколькими сотнями строчек на расте — даа, огромный вклад, дающий право кидаться говном.

То есть то что можно найти за 5 минут гугления и что описано в куче пейперов?

Вы прочитали эти пейперы? Вы даже наш пейпер не прочитали (уверен на 100%, такие как вы по ссылкам не ходят). А мы прочитали их все. И там не было внятно сформулировано то, что написано у нас. А маркетинг Тора прямо обходит эту тему стороной (архитектурная дыра, которую не заткнуть ничем - ну окей, давайте будем замалчивать тогда).

На каком «подобном»

Как описано в нашей статье. Опубликованной на сайте, а не в журнале, да. Но от этого она менее стоящей не становится (может, в оформлении не дотягивает). Да, она не доделана — симуляции ещё предстоит сделать.

Патчи в tor

Вы понятия не имеете, о чём говорите. Но конечно имеете авторитетное мнение... /facepalm. Это нельзя запатчить в Торе. Проблема на архитектурном уровне.

То есть бесполезной

Ну на это вообще кретинизм. Без комментариев.

Девопсов и админов тоже нет, это что получается — у вас вообще разработчиков нет? А кто есть?

Девопсы, админы и веберы - это все известные виды разработчиков? Мозг включите (если он у вас есть).

Есть весьма малое количество человек, в свободное от работы и других проектов время (тоже опенсорс) пытающихся что-то делать. Да, сделано не очень много. Но это не повод поливать нас говном.

Ясно, год писались докерфайлы. С такими активистами Большому Брату точно ничего не угрожает.

Я был лучшего мнения о людях, которые на расте пишут. Но видимо в семье не без пидораста...

Тор же и так тормоз, зачем в него дополнительные задержки встраивать, давайте сперва ускорите его.

Тор не тормоз, он в реальном времени работает. Задержки там 1-2сек максимум (иногда значительно меньше).

А речь идет о задержках длительностью в часы, чтобы полностью развязать время отправки сообщения и время его доставки. По типу анонимного ремейлера. На уровне сети реального времени (самого Тора) это невозможно, только через внешние сервисы.

Да, что за задержки в i2p имеются в виду? в любом случае i2p тоже в реальном времени работает...

но лучше-бы вы занимались развитием действительно безопасного im

Так мы будем этим заниматься в том числе (смотрите список планов на сайте...) Но нельзя всё сразу делать - пока людей нет. Но если кто-то начнёт, мы обеими руками за.

на который можно пересадить в том числе тупых пользователей,

Тупых никуда не пересадить, как ниже отметили верно. Их крепко держат корпорации.

А таких групп по интересам в сети и так много.

Покажите такие группы, может быть мы с ними будем общаться и объединим усилия.

Совсем тупых пользователей на что либо безопасней телеги не пересадить, а для не совсем тупых много чего есть.

Именно так. С такими поправками:

1. телега не безопасней других im’ов (но удобнее, и есть форк от сообщества)
2. остальные im-штуки, даже хорошие, все подвержены тем же самым атакам по времени – т.к. instant же. Только уход от мгновенных сообщений может помочь.

как договоримся, так и будет эффективно

Ну это в каком-то абстрактом мире можно договориться. А в реальном власть уже и так принадлежит бизнесу, и он ни с кем не договаривается про экономическую эффективность. Ясно при этом, что на верхнем уровне экономическая эффективность измеряется не так, как внизу, куда транслируется примитивный принцип максимизации прибыли.

Кстати, а что задержки, скажем, в 15 минут недостаточно для этого? Обязательно несколько часов? Для большинства пользователей это ж явно не приемлимо.

Хороший вопрос! Ответим на него, когда построим качественную математическую модель + симуляции проведем.

По ощущениям будет недостаточно. Но всё зависит от оценки количества пользователей Тора/VPNа в стране (точнее в том месте, где локализован автор — если хоть какая-то геоинформация о нём есть, уже круг сужается), от распределения того, как они выходят онлайн, и от количества событий, генерируемых автором (и их распределения по отношению к общему).

Если постоянно постить в 5 утра, когда юзеров мало, то риск деанона растёт. И 15 минут задержек погоды не сделают. Т.е. атакующий имеет размер «окна», в котором он подсчитывает количество активных пользователей. Вопрос в том, как зависят его возможности по деанону от размера этого окна...

А вы кто такой, чтобы перед вами отчитываться вообще? Тупой (именно тупой) хейтер с чсв больше 9000, считающий себя крутым прогером? Да если бы вы хоть что-то сделали полезного, так себя не вели бы. Уважали бы чужой труд, понимали бы, что это всё делается с большим напряжением сил в свободное время. Чекнул ваш гитхаб — ну что сказать, три собственных репы за три года с несколькими сотнями строчек на расте — даа, огромный вклад, дающий право кидаться говном.

Вы возмущаетесь прям как в детском садике, на этом форуме обитают спецслужьы всех мастей, ессно им ваш проект не очень то им нравится, естественная их реакция для начала борьбы с вами попытаться демотивировать вас всеми возможными способами.

Почти все пони с этого форума - троляки спецслужб.

Надеюсь, вы для начала не забыли огородить все свои блобные устройства на отдельном хосте хотя бы по ethernet (шины PCI/SATA, USB)? Ибавились от BIOS и загрузчика на современном носителе?

Поставили охранную сигнализацию российского производства старого образца с массой дублирующих каналов на ваши устройства оповещения без закладок ARM.

Начали пользоваться криптотокенами с неизвлекаемыми ключами типа FSF 01.

И это только самая малость перед тем, как они будут внезапно появляться в охраняемом помещении из неоткуда и вшивать в ваши прошивки свои новомодние закладки.

есть альтернатива задержкам, см. katzenpost

пока людей нет

это да, посмотрел я ваш форум...если вы реально год существуете - то все очень грустно.

Тупых никуда не пересадить, как ниже отметили верно

А надо. Не тупые найдут способ обменяться любой информацией в защифрованном виде, хоть через открытые каналы. А вот для тупых нужно готовое и надежное решение, т.к. ты в любом случае будешь общаться со всякими родственныиками и случайными знакомыми, которые не знают ничего про шифрование, а в вопросах приватности им хватает «авторитета» Пашки Дурова с его клоунскими выступлениями.

Покажите такие группы

они рождаются и умирают так быстро, что сейчас не вспомню. Но вообще в diaspora много крипто-анархистов сидит.

Независимая техническая группа для защиты людей от тотального контроля

Вы тут не уточняете каких людей, значит и тупых пользователей тоже. И вообще задумайтесь над тем, что можете сколько угодно шифровать данные на своих винтах и переписку, но один раз отправите что-то «тупому пользователю» и все это сольется в интернет. Так что нельзя разделять пользователей на касты, если хотите идти к криптореволюции, то нужно создавать инструменты для всех и максимально просвящать тех кто в этом не шарит.

А почему бы вам не объединить свои усилия с ParaziD ?

https://heads.dyne.org/about.html

LiveCD типа Tails только на мой взгляд побезопаснее

Hardened ядро с grsecurity и даже вроде бы Libre без блобов, минимальный init script, на базе Devuan без systemГ

У них есть чатег:

irc.dyne.org:+9999 #heads

Вот еще презабавнейшая ветка по закладкам в оборудовании:

https://web.archive.org/save/http://dev1galaxy.org/viewtopic.php?id=2818

Наверно, нет смысла городить ваш проект без grsecurity на современном ядре, а кстати были ли свежие сливы grsec хотя бы платные?

Тогда остается только два варианта:

1) экстремальный OpenBSD

либо

2) более функциональный HardenedBSD (в нем есть бесплатный аналог grsecurity для FreeBSD)

Предположим, ты создашь полностью защищенный канал обмена информацией со всеми этими тупыми пользователями. Что помешает им затем слить все куда-нибудь в соцсети? Или что помешает спецслужбам затем прижать твоих собеседников, и получить желаемое?

Вы тут не уточняете каких людей

Мне тоже непонятно. Хотеть объединить людей можно с разными целями. Не факт, что конструктивными.

Да, задел этот тролль. Извиняюсь перед всеми нормальными людьми в треде, что вообще приходится это выслушивать. Стоит просто игнорировать троллей.

Операционная безопасность у нас есть. Даже чрезмерная на этом этапе, поскольку проект пока не взлетел и никому не интересен.

Используются секьюрные клиент-системы (Qubes рекомендуем, но не все конечно на нем). Весь хостинг анонимный и за анонимизированную криптовалюту. Доступ к проду только у доверенных людей. Мастер-ключ GPG хранится офлайн.

Но можно конечно ещё больше - чистить биосы, ME... Спецхарвдарь закупать. Пока этого нет.

Спасибо за ссылку! Хотя мы видели этих ребят некоторое время назад, когда изучали тему. Правильно сделанные микс-сети (а тор в общем-то тоже микс-сеть, только с жесткими компромиссами) — это действительно вариант. Но они делают свою сеть, на практике это будет уделом малого количества продвинутых юзеров. А мы хотим сделать инструменты для более широкого круга людей. Вернее так: авторы должны быть достаточно продвинутыми. Но при этом они должны иметь возможность обратиться к широкой аудитории, т.е. пойти в существующие системы - соцсети, мессенджеры, блоги и т.п. В этом разница подходов...

это да, посмотрел я ваш форум…если вы реально год существуете - то все очень грустно.

Можно только добавить, что по какой-то причине люди не очень хотят постить на форуме – большая часть общения проходит в личных сообщениях. Но всё равно грустно.

Пока основной план – сделать работающую софтинку, чтобы было хоть демо. Может, больше людей заинтересуются, хз. Ну или к нам придет человек, понимающий как надо развивать сообщества…

А надо. Не тупые найдут способ обменяться любой информацией в защифрованном виде, хоть через открытые каналы. А вот для тупых нужно готовое и надежное решение, т.к. ты в любом случае будешь общаться со всякими родственныиками и случайными знакомыми, которые не знают ничего про шифрование, а в вопросах приватности им хватает «авторитета» Пашки Дурова с его клоунскими выступлениями.

Сложная проблема. Как правильно заметил xdimquax, от активных атакующих/стукачей, внедряющихся в сообщества, это никак не защитит. Операционная безопасность вещь во многом организационная. Про это у grugq можно почитать много. Начать с примера внедрения агентов спецслужб в группу педофилов, и как шифрование им не помогло, а вот хорошая организационная безопасность (~«не болтай, не оставляй мета-данные») позволила преступникам ускользнуть от правосудия.

Вы тут не уточняете каких людей, значит и тупых пользователей тоже. И вообще задумайтесь над тем, что можете сколько угодно шифровать данные на своих винтах и переписку, но один раз отправите что-то «тупому пользователю» и все это сольется в интернет. Так что нельзя разделять пользователей на касты, если хотите идти к криптореволюции, то нужно создавать инструменты для всех и максимально просвящать тех кто в этом не шарит.

Всё правильно говорите-то. Можно только уточнить такие моменты, как мы к этому подходим:

1. Авторы, или их сообщества должны иметь грамотного представителя, понимающего в конспирации/шифровании/опсеке чуть больше ноля. Для них мы делаем инструменты и сервисы.

2. Авторы, как я уже говорил, должны иметь возможность безопасно обратиться к широкой аудитории (т.е. построить закрытую безопасную систему для своих — это хорошо и полезно, но не решает более широкую и важную задачу). Именно для такой цели создается Delaytor - в этом плане он именно ориентирован на «массового пользователя», хотя и не напрямую.

3. Просвещение, всяческое поднятие уровня грамотности людей в вопросах безопасности, приватности, анонимности и т.д. — это в наших приоритетах тоже. Сейчас нам некогда писать гайды и делиться опытом. Но такой опыт есть, нарабатывается. И всё что можно, мы опубликуем со временем. Плюс, конечно приглашаем к сотрудничеству всех, кто может подобным заниматься.

И последнее - мы не строим иллюзий на счёт «криптореволюции». В рамках этого проекта делается только техническая часть. Организационная, политическая и т.п. работа ещё более нужна — без неё не будет хороших социальных изменений. На одной технике никуда не уехать. Но и без техники, «с шашкою на танк» — путь в никуда.

Этот вопрос вроде бы постарался прояснить: - объединить технических специалистов - для создания средств защиты от большого брата для тех, кому это реально надо (для настоящих независимых журналистов; независимых политических, просветительских и других сообществ).

Попутно просвещать всех и нести свет и добро :)

Если коротко, всё плохо. Пока ПК не будет говорить ваши мысли своими словами, вас будет легко вычислить, даже если везде шифрование и из трафика нельзя найти адресатов. Было бы желание.

Но система социального рейтинга есть ИРЛ и юзается. Более того, скорее всего она будет везде со временем.

Ну а ты как думал?

Спасибо за наводку, не знал о них. Похоже, автор из России (Иван)?

Идеи их понятны. На мой взгляд подход Qubes гораздо сильнее (но и сложнее конечно). Но их подходу тоже есть место — там, где тяжеловесный Qubes не запустится, или где он расплещет мета-данные (потому что они пекутся о секьюрности, но не о приватности). Т.е. фактически нужна система для каких-то «действий в полях», «mission-critical communications», «communicate safely and covertly in hostile environments». Конечно, сразу вспомнился Liberte Linux... И русским делался — жаль, проект заглох (https://dee.su/liberte).

В общем, попробуем связаться. Может быть найдем точки для взаимопомощи.

Из систем без виртуализации — похоже что так. Для компьютера общего назначения. А вообще от задачи зависит — для специальных задач может быть не так важно наличие защиты от эксплойтов на уровне ОС, зато нужны какие-то другие свойства (незаметность, кастомизируемость, скорость работы, «амнезичность»...)

Это верно. Мы планируем проект по защите от подобного, с использованием современного ML для работы с текстами :) Работы на много лет вперед...

Кстати, гораздо хуже дело обстоит не с текстами, а с исходными кодами — у них есть свойства, которые никакой обфускацией не скрыть. Даже компиляцией — т.е. уже сейчас детектируют авторов вредоносного кода по бинарникам (например, посмотрите в материалах с последнего дефкона, отличный доклад). Так что лучше не выкладывать код на гитхаб/гитлаб, где это всё сразу как «большие данные» обрабатывается. Ну и писать на разных языках, с сильными отличиями в стиле — и не смешивать реальную личность и анонимную. Очень непросто :(

Это верно. Надо думать, как от неё защищаться. Наши усилия пока — капля в море. Даже если реализуем всё что запланировали...

Никак. Социальные проблемы не решаются техническими средствами.

Никак. Социальные проблемы не решаются техническими средствами.

Типовое заявление нарушителя прав человека, в котором заинтересован банкстер и работодатель.

Если неанонимно обличать их вредительство, то они вредят еще больше своим криминальным ганстолкингом.

(для настоящих независимых журналистов

Покажите хоть одного. Настоящего независимого журналиста.

Сайт у вас красивый. И стелите вы гладко.

Пытаюсь задействовать TorBrowser из heads в chroot heads на другой системе.

Не хочет показывать результаты рендеринга, видно что пытается отрисовывать, моргает что-то, если кликнуть в пустоту, ходит по ссылкам, но на экране результатов рендеринга нету.

Скрин:

https://ibin.co/4kM8DMGtxP5j.png

Что я делаю не так? Как исправить?

но при этом нормально запускается на основной системе:

LD_LIBRARY_PATH=/usr/lib/i386-linux-gnu ./firefox

Что думаете по поводу проекта yggdrasil ?

уболтайте разработчиков тора начать работу в направлении по противодействию глобальному наблюдателю, ну или сами к ним присоединяйтесь со своими идеями)

они должны иметь возможность обратиться к широкой аудитории, т.е. пойти в существующие системы - соцсети, мессенджеры, блоги и т.п.

к нам придет человек, понимающий как надо развивать сообщества…

вам нужен русский Столлман)

ускользнуть от правосудия

не так давно была новость - создатели толи шифровальщика толи ботнета, сдававшие его в аренду - заработали около 150кк долларов за год и ушли с рынка заявив публично что всё успешно отмыли и им хватит до конца жизни :D по мере развития систем тотальной слежки наверняка лет через 10 сядут, но возможно оно того стоило

Просвещение, всяческое поднятие уровня грамотности людей в вопросах безопасности, приватности, анонимности и т.д. — это в наших приоритетах тоже.

сейчас и предыдущие 20 лет есть неограниченное количество информации по теме и какой % интересуется ? а что будет когда средства анонимизации и противодействия слежке будут вне закона ? будем наверно флешки с линуксом в лесу закладками передавать

зато нужны какие-то другие свойства (незаметность, кастомизируемость, скорость работы, «амнезичность»...)

всё это уже реализовано в соответствующих проектах - попытка объединить в один комбайн приведет к сильному повышению сложности как в плане поддержки так и использования

Покажите хоть одного. Настоящего независимого журналиста.

Иван Голунов

Пока ПК не будет говорить ваши мысли своими словами, вас будет легко вычислить

есть средства для анонимизации сообщений, например anonymouth и аналоги

С этим абсолютно согласен. Вопрос был скорее про то, какие технические методы могут пригодиться для тех, кто будет решать эти социальные вопросы в условиях развернутой системы соцрейтинга.

Как минимум есть некоторое количество независимых блоггеров — их не так много, и лучших постоянно забирают «на зарплату»...

Согласен, что как-то мало их.

Пример Голунова на мой взгляд неудачный — медуза это довольно официальное СМИ, встроенное в систему, связанное с бизнесом. Да и независимых не станут так раскручивать.

Может быть в chroot не примонтированы нужные структуры каталогов? Как вы его создаёте?

Ни разу не пробовал использовать chroot для графических приложений — стоит поискать, как это делать. Второй вопрос - а зачем? Чрут не дает какой-то дополнительной защиты... Хотя бы firejail нужно :)

Да, видели этот проект. Похоже не развивается дальше. И все эти проекты для английского языка только. Нам нужно для русского тоже, естественно.