cat_mucius | Entries tagged with privacy

Разоблачал сегодня конспирологические мифы.

Побеседовал тут с одним дядечкой, которого знаю как классического параноика - не до такой степени, как герой Мэла Гибсона в "Conspiracy Theory", но того же стиля. При знакомстве рассказывал, как за ним здесь, в Израиле, следит российское КГБ. Где-то полчаса менял свой гугл-пароль через мой комп, очень опасаясь, как бы это КГБ пароль с моего компа тут же не увело. Так и не решился поменять, кажется.

Сейчас его волновало 5G. Говорит, посредством него можно нас всех отслеживать.

А без него нельзя, что ли? говорю. Сотовый телефон любого поколения, с самого первого - по определению устройство, постоянно докладывающее наше местонахождение, с точностью до десятков метров даже без всяких джипиэсов, и это не какая-то зловеще внедрённая дополнительная функциональность, а самая прямая, сотовая сеть так работает. В чём заключались эти самые "технологии ШАБАКа", посредством которых отслеживали, кто контактировал с корононосителями? В этом и заключались.

Более того, сотовые компании эту информацию ещё и продают любому желающему. Ну и добавим тьму приложений, написанных кем угодно, которые безо всякого обоснования location data с телефонов снимают.

Ну это ладно, говорит, но через 5G можно нас через телефонные камеры снимать и через микрофоны подслушивать!

Ну можно, конечно, говорю, но и без него прекрасно подслушивают. По дефолту куча телефонных аппликаций, начиная с Гугла и Эппла слушают микрофон как минимум ради ключевых слов (давеча узнал, что теперь и Waze), и всё это покрывается пользовательскими соглашениями, где это открытым текстом прописано, и крайне мало кто эту функциональность отключает. Через 5G можно будет разве что гнать то же самое большими объёмами, но и так нехило.

В общем, как cмог, успокоил человека.

Current Location: https://www.youtube.com/watch?v=ZKEK5mVTOEo
Current Music: Agnes Obel - The Curse
Crossposts: https://cat-mucius.livejournal.com/76941.html

Маразм крепчал.

Как известно, несколько лет назад Евросоюз законодательно потребовал от всех сайтов предупреждать юзеров о наличии cookies - поскольку они могут использоваться для слежки за юзерской деятельностью в сети и сбора идентифицирующей информации. Хотели они хорошего, но только поскольку кукиз используются практически всеми для самых разных целей, включая аутентификацию, защиту от определённых атак, балансировки нагрузки на сервера, обеспечения непрерывной юзерской сессии, запоминания юзерских настроек и т.д. - то эффект был ровно такой же, как если бы закон потребовал сообщать "для работы с данным сайтом необходимо электричество".

Все сайты обзавелись баннерами, на которые люди кликают совершенно автоматически. Сайты, живущие за счёт таргетированной рекламы и слежки за пользователями, начали просто блокировать своё содержание с помощью так называемых "cookie walls" - всплывающих баннеров, требующих, чтобы юзер согласился на кукиз, иначе просматривать сайт он не сможет. Никакой иной пользы, кроме убытков для сайтовладельцев и раздражения для пользователей, это не принесло.

Что случилось дальше, может с лёгкостью угадать любой, знакомый с логикой бюрократии. Разумеется, реакция была не свернуть дурацкую регуляцию, а "вы мне это прекратите". И в этом месяце European Data Protection Board объявил незаконными "cookie walls", с совершенно замечательным разъяснением:

In order for consent to be freely given, access to services and functionalities must not be made conditional on the consent of a user to the storing of information, or gaining of access to information already stored, in the terminal equipment of a user (so called cookie walls).

Example: A website provider puts into place a script that will block content from being visible except for a request to accept cookies and the information about which cookies are being set and for what purposes data will be processed. There is no possibility to access the content without clicking on the "Accept cookies" button. Since the data subject is not presented with a genuine choice, its consent is not freely given.
This does not constitute valid consent, as the provision of the service relies on the data subject clicking the "Accept cookies" button. It is not presented with a genuine choice.

Иными словами, у нас здесь следующая юридическая новация:

1. Честно сказать пользователю "вот условия использования нашего продукта, take it or leave it" - это не значит предоставить ему "подлинный выбор". Нельзя на обычных людей возлагать такую тяжесть.

2. От сайтов на сей раз требуют не просто предупреждать о той или иной технологии, а предоставлять контент, даже если юзер условия его использования не принимает. Честно сказать, впервые вижу, чтобы сайты обязывали к обслуживанию. Причём касается это не какой-то особой категории сайтов, а всех: коммерческих, некоммерческих, любительских, личных, каких угодно.

Чтобы догадаться, что произойдёт дальше, тоже Предсказамусом быть не нужно. Те сайты, что используют сегодня "cookie walls", будут вместо них показывать кусочек контента, как правило бесполезного - а для всего остального требовать кукиз, регистрации и принятия условий в сорок страниц мелким шрифтом. Евробюрократы будут топать ногами и вводить всё более и более всепроникающие регуляции, за нарушение которых можно будет прижать кого угодно. Связность и поиск информации в Сети будет работать хуже и хуже.

А как от этого улучшатся дела с юзерской приватностью, сами догадайтесь.

Current Music: Moonspell - Eurotica
Crossposts: https://cat-mucius.livejournal.com/72021.html

Коллега порадовал сообщением, что Whatsapp безопаснее, чем SMS, поскольку сообщения в нём шифруются. Верно, шифруются, и юзерам даже дали возможность ключи сравнить (прочие скайпы до таких высот не дошли).

Да вот только беда в том, что шифрование это производится между клиентами, написанными Whatsapp, и серверами Whatsapp, по протоколам Whatsapp, и любая из этих составляющих может быть изменена в любой момент - включая саму схему этого шифрования, даже если на данный момент описана она аккуратно. Никакой ясности, никаких гарантий, никаких открытых протоколов и независимых способов верификации подписей на ключах не предусмотрено, здесь вам не SSL. Даже если проверочные циферки на обоих сторонах и сходятся - это не означает совершенно ничего.

Поэтому когда компания гордо заявляет: да мы сами не можем расшифровать ваши сообщения, даже если захотим! - то это враньё в чистом виде. Для того, чтобы это было правдой, надо, чтобы любой желающий мог написать свой клиент Whatsapp с гарантией, что он будет работать, покуда он придерживается заранее определённых и открытых для всех правил. Точно так же, как любой желающий может написать свой клиент для электронной почты или для WWW. С возможностью для юзера проверить подпись на любом ключе самостоятельно, не полагаясь на честное слово программы.

А пока эти заверения означают не больше, чем "мамой клянёмся, мы не подсматриваем". Если даже законодательство не обязывает компанию обеспечивать органы специально проверченными дырками для "lawful interception", полагаться всерьёз на это слово после Сноудена, Lavabit, и так далее...

Разумеется, к iMessage, скайпу и прочим вайберам это всё относится в той же мере.

Вообще впечатляет, насколько при мощных успехах опен-сорса на многих фронтах, безрадостна ситуация на рынке мобильных аппликаций. Особенно касаемо мессенджеров - децентрализации ноль, открытости ноль, полная зависимость от малого числа компаний. Феодализм, как сказал Брюс Шнайер.

Current Music: Flogging Molly - Devil's Dance Floor
Crossposts: http://cat-mucius.livejournal.com/51259.html

Все обсуждают "дело о рубашке", побегу и я за коллективом.

Вот скажите, товарищи - как вам кажется, то, что произносит Мэтт Тейлор в начале этого видео, выглядит больше похожим на:
a.) искреннее извинение человека, узнавшего, что он кому-то случайно сделал неприятно,
б.) или на совершённое под давлением показательное покаяние?

Если вы склоняетесь ко второй версии - то как, на ваш взгляд, это давление может осуществляться? Какова его механика? Что было бы, если б он не поддался?

Мне это кажется наиболее интересным аспектом этой истории.

Current Music: Suzanne Vega - Penitent
Crossposts: http://cat-mucius.livejournal.com/42086.html

Фейсбуку удалось меня крепко удивить. То ли там обнаружили, что после сноуденовских откровений народ всё же с меньшей готовностью сообщает свои имена-явки, то ли от жадности в зобу совсем дыханье спёрло - но они решили, что чем ждать, покуда граждане добровольно выложат о себе и близких всю подноготную, лучше их к тому попросту принудить.

Делается так: в один прекрасный день юзеру объявляют, что во имя безопасности его аккаунт залочен, и, стало быть, необходимо подтвердить его, владельца, подлинность. После чего к стандартному паролю и капче прибавляется ещё квест: юзеру показывают набор фотографий, как в полицейском участке - "опознайте ваших друзей и укажите их имена". Не хочешь указывать? Ну и пожалуйста - только скажи своему аккаунту гудбай, мы тебя не пустим.

Богатая мысль. И это ведь лишь имена, а сколько ещё занимательных вопросов можно бы задать! А фамилии? А телефоны? А где живут? Работают? Политические симпатии? Како веруют? ~~Есть ли золото в деревне? Где лорд Берик Дондаррион?~~

Да, если кому подумается, что это и вправду заради безопасности мера: указание липовых имён прохождению квеста не помеха - на этом этапе, по крайней мере. Так что не в стремлении установить законность юзера это делается - просто расчёт на то, что большинство хитрить не станет.

Думается мне, что от такого замечательного сервиса ноги уносить надо как можно быстрее и дальше.