spjallid.is

Nú er í gangi umræða í BNA um hvort og þá hvernig er hægt að draga úr því eftirliti sem NSA stundar. Miðað við þær hugmyndir sem hafa verið reifaðar þá er um að ræða yfirborðskenndar hugmyndir, sem takmarka í raun mjög lítið hið eiginlega eftirlit sem NSA stundar. Þessar hugmyndir eru í raun bara blekking, settar fram í þeim tilgangi að blekkja fólk að verið sé að taka á vandanum. Tíu skref fram á við í eftirliti, og eitt skref aftur á bak, það er það sem þetta er.

Það er ljóst í mínum huga að þetta NSA eftirlit verður ekki stöðvað. Internetvopnakapphlaupið heldur áfram og við vitum ekki hver áhrifin verða á internetið einsog við þekkjum það.

Verstu spádómar segja til um að internetið eigi eftir að "fractionast" upp eftir landssvæðum, þar sem lönd eða ríkjasambönd (ESB/S-Ameríka/BNA/etc.) munu setja upp sitt eigið internet úr tengslum við hið bandaríska. Vilji Facebook bjóða þjónustu sína í Evrópu þá þurfi þeir að starfa eftir evrópskum lögum og reglum, og allir netþjónar verða að vera staðsettir í Evrópu, undir eftirliti evrópskra aðila.

Önnur útkoma væri sú að innviðir internetsins einfaldlega hrynja vegna styrjaldar sem geisir þar nú. Já, það er rétt, það er heimsstyrjöld í netheimum þessi misserin en enginn áttar sig á því. Internetið var hannað til þess að lifa af kjarnorkuárás, en það var ekki hannað fyrir það sem það er orðið í dag. Stærstu lönd heimsins sem hafa einhvern her eru með gríðarlegar öflugar "herdeildir" má segja hakkara sem starfa oft innan hersins. Kínverjar eru alræmdir fyrir slíkt með þúsundir manna eingöngu í internethernaði, N-Kórea er með þúsund manns sem vinna að því að ráðast á kerfi S-Kóreu, BNA auðvitað með sitt NSA og lyklana að internetinu, Rússland að sjálfsögðu, Bretland, Frakkland o.s.frv. Niðurstaðan er einhverskonar cyber-anarchy þar sem allir eru skotmörk, og internetið hnignar umtalsvert í gæðum.

En NSA njósnahneykslið er eitthvað annað, og það er það sem ég ætlaði að tala um og hugsanlegar lausnir.


Tor er nefnt sem lausn, en hún er ófullnægjandi. Hún gerir þig ekki nafnlausan, hún gerir þig bara hugsanlega enn stærra skotmark. Ef þú notar Tor þá er sérstaklega fylgst með þér. Þar að auki felur hún ekki endilega slóð þína. En helst vandamálið með Tor er að fólk einfaldlega vill ekki nota það. Venjulegt fólk er bara venjulegt fólk sem vill horfa á Youtube, nota facebook, og hvaðeina sem er nær ómögulegt með Tor. Í mínum huga er Tor amatör verkefni sem er ágætis skólaverkefni í cryptography, en nær ekki lengra en það.

Ein lausn sem ég hef hugsað um lengi er einhverskonar "traffic noise obfuscation" eða "smoke and mirrors". Fræðilega séð gætir þú verið með forrit á tölvunni þinni sem gerði ekkert annað en að hlaða inn vefsíðum á tilviljanakenndan hátt. Núna getur NSA séð nákvæmlega hvað þú ert að gera á internetinu, þegar þú ferð á vaktin.is þá sér NSA það. En hvað ef þú færir ekki bara á vaktin.is, heldur hundruðir annarra vefsíðna á svipuðum eða sama tíma. Hvaða "prófíl" gæti NSA byggt um einstaklinga sem hafa heimsótt milljónir vefsíðna á stuttu tímabili? Hvaða áhugamál hefur hann? Er þetta manneskja? Er þetta spider? Í gagnagrunnum NSA litir þú út fyrir að vera einsog tölva á almannafæri, og ekki er hægt að byggja upp neinn prófíl á public tölvum, það er tilgangslaust. Og segjum að það hafi verið skráð að þú hafir farið á nsa-secrets.wikileaks.org, þá getur þú einfaldlega sagst ekki að hafa gert slíkt, forritið sem þú notar til að fela notkun þína hljóti að hafa gert það. (plausible deniability)
Þú gætir hugsað þetta sem svo að í staðinn fyrir einn notanda, þá býrð þú til 1000 klóna af þér sem allir gera eitthvað mismunandi. Hver er sá rétti? Enginn veit.

Útfærslan á þessu er einföld. Hægt væri að gera vefsíðu sem gerði þetta, og hægt væri að hafa keyrandi í einum tab, án þess að fórna þyrfti neinu í uppsetningunni á tölvunni, nota annan browser eða hvaðeina. Eina sem þyrfti er jú að búa hana til (1 dagur fyrir góðan forritara) og svo góðan gagnagrunn yfir vefsíður, eða hegðunaralgorithma til að búa til manneskjulega browsing hegðun.

Önnur lausnin væri sú að láta allar internetpípur keyra á 100%, en fylla þær með "garbage" gögnum. Sé það gert í einn mánuð þá springur gagnageymslan hjá NSA.

Þannig að lausnin er "live with the surveillance", en þannig að ekki er hægt að fylgjast með ÞÉR.

Silk Road crack-downið sýndi að Tor er engin lausn.

Sá að frænka mín, sem er grafískur hönnuður, var að prómóta einhverja hugmynd á FB um daginn um að email og annað yrði breytt í mynd (ekki plain text) með einhverjum font sem átti ekki að vera computer readable. Ef það virkar þá væri það svo sem ágætis hugmynd upp að ákveðnu marki, NSA gæti áfram ráðið fólk til að skoða öll samskipti þeirra einstaklinga sem þeir vilja fylgjast með, og náttúrulega skoðað samskiptinn aftur í tíman ef þess þarf.

Þetta þarf samt að vera nógu unique, annars geta þeir bara filterað eftir þessum "reverse engineered" pseudo "humans"

Hvað með að fólk anonymously gefi "sín" internet click, með því að keyra forritið og forritið senda bæði "hans" og random internet click.
Þá þegar ég nota þetta forrit er forritið að skoða síður sem aðrir venjulegir notendur skoða, Og mín notkun fer líja í þennan "pool"

Hver er raunverulega að skoða google.com núna? og hver er bara að fylgja "poolinum"
Allir senda beiðnir sem allir framkvæma.

Stutturdreki skrifaði:Silk Road crack-downið sýndi að Tor er engin lausn.

Sá að frænka mín, sem er grafískur hönnuður, var að prómóta einhverja hugmynd á FB um daginn um að email og annað yrði breytt í mynd (ekki plain text) með einhverjum font sem átti ekki að vera computer readable. Ef það virkar þá væri það svo sem ágætis hugmynd upp að ákveðnu marki, NSA gæti áfram ráðið fólk til að skoða öll samskipti þeirra einstaklinga sem þeir vilja fylgjast með, og náttúrulega skoðað samskiptinn aftur í tíman ef þess þarf.

Ef þú getur lesið eitthvað getur tölva lesið það. Auk þess sem það er hægt að ráða fólk á lágum launum til að lesa texta og tölvuvæða (sbr. hvað hefur verið gert með captcha). Það er hvort eð er búið að búa til lausn til að dulkóða tölvupóst sem virkar mjög vel. Það þarf bara að fá fólk að nota það sem er svolítið erfitt þar sem þú þarft basically að venja fólk af því að nota webmail til að það sé virkilega öruggt.

Varðandi svona smoke & mirrors tækni eins og appel nefnir þá er það eitthvað sem ég hef velt fyrir mér. Það sem rango bætir svo við (ef ég skildi rétt) að gera random request á síðuna sem þú ert að skoða til að drepa það t.d. að facebook/google geti greint hegðun þína á þeirri síðu. Það væri örugglega hægt að gera eitthvað plugin fyrir Firefox sem getur gert svona. Þá myndi það alltaf vera með einhverja traffík að sækja einhverjar random síður og myndi rendera þær og keyra í "no-head" og þykjast skoða þær (til að fá öll event og passa að basic javascript keyri, annars virkar það ekki neitt). Það væri hægt að tjúna þetta til þannig að það muni aldrei hafa áhrif á raunverulegu vöfrunina þína.

Ætli þetta myndi virkilega virka?

Ohh... Núna er ég spenntur. Verst að maður hefur alltof mörg verkefni og alltof lítinn tíma.

dori skrifaði:Það sem rango bætir svo við (ef ég skildi rétt) að gera random request á síðuna sem þú ert að skoða til að drepa það t.d. að facebook/google geti greint hegðun þína á þeirri síðu. Það væri örugglega hægt að gera eitthvað plugin fyrir Firefox sem getur gert svona. Þá myndi það alltaf vera með einhverja traffík að sækja einhverjar random síður og myndi rendera þær og keyra í "no-head" og þykjast skoða þær (til að fá öll event og passa að basic javascript keyri, annars virkar það ekki neitt). Það væri hægt að tjúna þetta til þannig að það muni aldrei hafa áhrif á raunverulegu vöfrunina þína.

Ætli þetta myndi virkilega virka?

Ohh... Núna er ég spenntur. Verst að maður hefur alltof mörg verkefni og alltof lítinn tíma.

Appel var að tala um það, ég var að tala um að sampla raunverulega notkun sem er notuð í randomizið
svo ég spila net frá 20x öðrum raunverulegum notendum sem líta út fyrir að keyra frá minni vél.
og ég lít út fyrir að keyra á 20 öðrum vélum.

Ef þetta er tölvugeneratað þá verður þetta aldrei 100% random, enn ef raunverulegt fólk generatar beiðnir þá hlýtur það að vera óaðgreinanlegt minni notkun.
ef "reddit" er vinsælt þá er ég að senda margar beiðnir á reddit, ekki bara einhver skripta og random() heldur hvað velja úr hvað annað fólk gerir

rango skrifaði:

dori skrifaði:Það sem rango bætir svo við (ef ég skildi rétt) að gera random request á síðuna sem þú ert að skoða til að drepa það t.d. að facebook/google geti greint hegðun þína á þeirri síðu. Það væri örugglega hægt að gera eitthvað plugin fyrir Firefox sem getur gert svona. Þá myndi það alltaf vera með einhverja traffík að sækja einhverjar random síður og myndi rendera þær og keyra í "no-head" og þykjast skoða þær (til að fá öll event og passa að basic javascript keyri, annars virkar það ekki neitt). Það væri hægt að tjúna þetta til þannig að það muni aldrei hafa áhrif á raunverulegu vöfrunina þína.

Ætli þetta myndi virkilega virka?

Ohh... Núna er ég spenntur. Verst að maður hefur alltof mörg verkefni og alltof lítinn tíma.

Appel var að tala um það, ég var að tala um að sampla raunverulega notkun sem er notuð í randomizið
svo ég spila net frá 20x öðrum raunverulegum notendum sem líta út fyrir að keyra frá minni vél.
og ég lít út fyrir að keyra á 20 öðrum vélum.

Ef þetta er tölvugeneratað þá verður þetta aldrei 100% random, enn ef raunverulegt fólk generatar beiðnir þá hlýtur það að vera óaðgreinanlegt minni notkun.
ef "reddit" er vinsælt þá er ég að senda margar beiðnir á reddit, ekki bara einhver skripta og random() heldur hvað velja úr hvað annað fólk gerir

Ef þú ert farinn að senda notkunina þína til 20 annarra þá ertu farinn að vinna gegn því sem þú vilt gera því að þá er bara hægt að stela þeirri traffík.

random() þarf ekki að vera eina inputið. Það er hægt að herma eftir því sem þú ert að gera í þinni raunverulegu notkun (eða nota það sem input í eitthvað one-way hashing týpu til að búa til hegðunina á tölvustýrðu gaurunum). Þannig væri traffíkin á þeim síðum ekki bara constant og robotic heldur myndi hún fylgja því sem þú ert raunverulega að gera (upp að marki) og líka jafna notkunina þannig að það er erfitt að greina hvenær nákvæmlega þú notar tölvuna og hversu löngum tíma þú eyðir á síðum etc.

dori skrifaði:Ef þú ert farinn að senda notkunina þína til 20 annarra þá ertu farinn að vinna gegn því sem þú vilt gera því að þá er bara hægt að stela þeirri traffík.

random() þarf ekki að vera eina inputið. Það er hægt að herma eftir því sem þú ert að gera í þinni raunverulegu notkun (eða nota það sem input í eitthvað one-way hashing týpu til að búa til hegðunina á tölvustýrðu gaurunum). Þannig væri traffíkin á þeim síðum ekki bara constant og robotic heldur myndi hún fylgja því sem þú ert raunverulega að gera (upp að marki) og líka jafna notkunina þannig að það er erfitt að greina hvenær nákvæmlega þú notar tölvuna og hversu löngum tíma þú eyðir á síðum etc.

Það er hægt að herma eftir því sem þú ert að gera í þinni raunverulegu notkun

er þetta kanski líka að vinna gegn þessari hugmynd, Er þú hermir eftir sjálfum þér ertu samt búinn að gefa upp hvað þú ert að gera.

ég samt kanski ekki að tala um nákvæmlega útlistun, enn ef þetta væri hægt að taka bita hér og þar frá öllum notendunum.
Ég held það sé samt erfit að tölvugenerata lista af heimasíðum sem einhver myndi fara inná, hence hugmyndin að aðrir notendur gefa það upp.
"Ad block" filter dæmi jafnvel.

Annars þarf þetta forrit líka að herma eftir músarsmellum, t.d. facebook.

ég er sammála að það er ekkert bulletproof að vera með svona "user" pool.

Ég tók nú reyndar fram að það þyrfti að setja þitt input í einhvers konar hashing græju þannig að það væri ekki hægt að fara til baka.

Það var líka pælingin að keyra þessar síður sem eru sóttar upp í headless vafra og herma eftir öllum user eventum (hreyfa músina, smella á hitt og þetta... óvart ýtt á takka nálægt homekeys reglulega). Algorithminn myndi ekkert bara hamra á hlutum og reyna að gera sem mest (eins og margir bottar virðast gera) heldur reyna að herma eftir raunverulegri notkum með öllum þeim hikum sem því fylgir.

Að finna raunverulegan lista af síðum til að nota sem input væri auðvelt að skoða Alexa með input eftir landinu sem þú ert í (þar sem þú ert nú ekkert að fara að fela það hvaðan traffíkin kemur, a.m.k. ekki með þessu) og salta það svo með síðum sem eru í history hjá þér, síðum sem eru á opinberum block listum og síðum sem þú og bottarnir rekast á á sínu vafri.

dori skrifaði:Ég tók nú reyndar fram að það þyrfti að setja þitt input í einhvers konar hashing græju þannig að það væri ekki hægt að fara til baka.

Það var líka pælingin að keyra þessar síður sem eru sóttar upp í headless vafra og herma eftir öllum user eventum (hreyfa músina, smella á hitt og þetta... óvart ýtt á takka nálægt homekeys reglulega). Algorithminn myndi ekkert bara hamra á hlutum og reyna að gera sem mest (eins og margir bottar virðast gera) heldur reyna að herma eftir raunverulegri notkum með öllum þeim hikum sem því fylgir.

Að finna raunverulegan lista af síðum til að nota sem input væri auðvelt að skoða Alexa með input eftir landinu sem þú ert í (þar sem þú ert nú ekkert að fara að fela það hvaðan traffíkin kemur, a.m.k. ekki með þessu) og salta það svo með síðum sem eru í history hjá þér, síðum sem eru á opinberum block listum og síðum sem þú og bottarnir rekast á á sínu vafri.

þarna, þetta
gerum þetta.

Lífið er lotterí.

Var ekki maður ákærður og fangelsaður um daginn þar sem hann notaði tölvuna sína sem tengipunkt og notaði annar maður hans tengingu til að sækja barnaklám? Þeas. maður sem var kærður var ekki mannvonskan, heldur milliliðurinn.

Spurning um að hætta að hafa eitthvað að fela á netinu, þá þarf engar áhyggjur að hafa.

Meðan netið er notað, er það vandamál. Alveg sama hvaða "lausn" einhverjum dettur í hug. It will be broken.

Lang best að hitta viðkomandi "in-person" og segja það sem þið ætlið að segja, sem er svona mikið leyndó. (t.d. hittumst undir brúnni klukkan 18:08).

Nei bara vangaveltur...

starionturbo skrifaði:Spurning um að hætta að hafa eitthvað að fela á netinu, þá þarf engar áhyggjur að hafa.

Meðan netið er notað, er það vandamál. Alveg sama hvaða "lausn" einhverjum dettur í hug. It will be broken.

Lang best að hitta viðkomandi "in-person" og segja það sem þið ætlið að segja, sem er svona mikið leyndó. (t.d. hittumst undir brúnni klukkan 18:08).

Nei bara vangaveltur...

Það er furðulegt að segja það en þessi skoðun þín er einfaldlega röng. Þó svo að þú hafir ekkert að fela þýðir það ekki að þér eigi ekki að finnast óþægilegt að það sé fylgst með þér.

http://www.wired.com/opinion/2013/06/wh ... veillance/

Hehe ég veit ekki, ég nenni ekkert að spá í þessu.

Allur minn tími fer í að forrita

90% er skítsama þótt allir viti hvað þeir gera

þetta er eins og fá reikninga/bréf umslögin opin og svona límd með teipi. samtal tveggja manneskja ætti ekki vera hljóðafritaðar af þriðju,

Ef einhver vill eiða tîma sínum í að fylgjast með mér þá má hann það

Þeir sem halda að þetta skipti ekki máli hafa bara ekki kynnt sér hvaða áhrif þetta hefur á allt samfélagið í heild, fréttamenn, frjálsa tjáningu, lýðræðið o.s.frv. Þetta er ekki "bara" eftirlitssamfélag sem þetta býr til, þetta er óttasamfélag. Í alræðisríkjum þá hugsar fólk eitt en segir annað og þarf að passa að segja ekki hvað það er að hugsa. Í raun er búið að búa til sömu aðstæður. Fréttamenn þora ekki lengur að nota síma eða tölvur til að tala við þá sem hafa eitthvað að segja, þeir sem hafa eitthvað að segja þora ekki að tala við fréttamenn, á endanum fær almenningur ekki að vita hvað stjórnvöld eru að gera.

Þó þú skoðir í mesta lagi eingöngu mbl.is einu sinni á dag þá þýðir það ekki að þetta hafi ekki áhrif á þig. Hvernig treystir þú því að lýðræðislega kjörnir fulltrúar séu ekki stjórnaðir af bandarískum yfirvöldum í gegnum kúganir? Kannski vita bandarísk stjörnvöld af framhjáhöldum eða einhverju sem viðkomandi vill halda leyndu, en getur notað gegn þingmanni eða ráðherra í þeim tilgangi að stjórna honum?

Þegar aðalframkvæmdastjóri SÞ hitti Obama á árinu til að fara yfir nokkra punkta sem Ban Ki Moon hafði sett saman í tölvunni sinni þá var NSA búið að fá þessa punkta áður en fundurinn hófst! Þannig hefði Obama getað vitað nákvæmlega hvað hann var að fara tala um þó hann hefði ekki átt að vita það.

Þetta hefur víðtækar afleiðingar fyrir ALLT heimssamfélagið. Þetta er verst og mesta ógn við lýðræðið og málfrelsið síðan tímar hófust að mínu mati. Þeir sem átta sig ekki á þessu hafa ekki kynnt sér þetta til þess að geta metið það.

bara kenna þessu liði að gera ekki OK eða Accept við hvað sem er.

hvernig er máltakið fight fire with fire?