Может, вам повезёт?

Category: Меры массового надзора

  • Лихорадочный сон

    Как и было сказано в предыдущей публикации, этот материал возник исключительно потому, что автор «Может, вам повезёт?» получал множество вопросов о недавних «тезисах» Алекса Карпа, главы Palantir.

    Большинство задававших эти вопросы, к слову, принадлежали к поколению, которое не только имеет чрезвычайно расплывчатое представление о предметной области Palantir, но и пользуется вычислительной техникой «постольку-поскольку».

    Это значит, что «тема» действительно беспокоит «ширнармассы». Плюс, автору «Может, вам повезёт?» только в удовольствие пересказать собственные слова.

    Первое. Palantir не является чем-то принципиально новым. Алекс Карп может хоть в цирке выступать, но это не изменит факт того, что его «контора» ничего нового в «сферу» не принесла.

    Гораздо большую опасность представляет Агенство Национальной Безопасности (NSA). Эта «скромная» американская структура начала подрывать общемировую безопасность ещё задолго до самого Palantir.

    О возможностях АНБ мы знаем только из документов 2013 года, и не в последнюю очередь благодаря Эдварду Сноудену. На тот момент, у них уже имелись возможности массово заражать устройства, пользователи которых вводили запросы вроде «анонимные прокси» в поисковые системы.

    Второе. С Palantir-ом можно и нужно бороться как с любой другой государственной угрозой. На собственный «класс» Алекс Карп ещё «не заработал».

    На данный момент успешную борьбу с подобными «акторами» ведут проекты вроде GrapheneOS. Самые «крутые» на рынке незаконного взлома устройств, израильская компания Cellebrite, не могут взломать эту ОС уже как четыре года.

    Прямое подтверждение этому можно посмотреть на сайте «Может, вам повезёт?». Уже много месяцев там опубликована свежая матрица «поддержки» устройств Google Pixel от Cellebrite, а также лицо их сотрудника Алекса в качестве доказательства — правда не Карпа, а Ранкмора.

    Что важно, это полностью частная «инициатива», с финансированием через добровольные пожертвования. Для поддержания ментального здоровья масштабировать этот пример на ресурсы, которые «пилят» отечественные «казнокрады» не рекомендуется.

    Таких примеров массы. GrapheneOS была выбрана только потому, что автор «Может, вам повезёт?» пользуется ей каждый день. Алекс Карп волен говорить все, что ему «вздумается», но его «качество» определяют действия.

    Информационная безопасность всегда была «гонкой вооружений» между «обороной» и «нападением». Весь этот «цирк» имеет «вес» только потому, что «оборона» сейчас сильно отстает.

    Никакой «черной магией» Palantir не обладает. Надо просто уметь «дать сдачи».

  • Когда умрёт анонимность?

    Из-за всеобщего и хорошо координированного раската «проверки возраста» по государственным документам/биометрии в западной части интернета многие «паникеры» начали говорить о конце анонимности в сети как таковой.

    Мы не будем говорить о том, кто и как продвигает подобные инициативы (спойлер: глобалисты), только о «технической» стороне вопроса.

    Взять и ввести проверку возраста во всем интернете просто невозможно. Единственный способ реализации этого «генерального плана» — заставить каждый отдельный сервис проверять своих пользователей.

    Это критическая «уязвимость» всей системы. Любое приложение, которое начнёт спрашивать пресловутый «паспорт» можно заменить на его аналог. Только отток пользователей много кого заставит «задуматься», не говоря уже о прибыли.

    Сейчас этот «эффект» уже чувствуют российские маркетплейсы, которые теряют миллиарды из-за ограничения пользователей с VPN.

    Как пример, у интернет-ресурса «Может, вам повезёт?» есть достаточно простое «Руководство по созданию собственного мессенджера», которое является как прямой заменой Discord, так и Telegram.

    На это существует прямой контраргумент — мол, «так уже в самих операционных системах вводят проверку возраста!».

    Важно заметить, что не во всех, и «черти-как». Для GNU/Linux существует простой скрипт, который «убивает» все имеющиеся задатки таких проверок на данный момент.

    С мобильными устройствами ситуация несколько сложнее, в том числе и потому, что вы не их хозяин. Почему? В том числе и потому, что они вам не доверяют.

    На данный момент действительно «владеть» можно только устройствами Google Pixel, которые позволяют использовать ваш ключ как корень доверия.

    Если вы не подпишете соответствующий код (или как это бывает чаще, разработчик вашей ОС), никаких «проверок», «досмотров», и так далее у вас не будет. Система просто воспримет такие «модификации» как умышленное повреждение данных, чем оно, грубо говоря, и является.

    В подобных случаях всегда стоит обращаться к русской аксиоме «у страха глаза велики». Следующий материал будет про несчастный Palantir, в том числе и потому, что автора «Может, вам повезёт?» активно расспрашивали «по вопросу» в частных беседах.

  • Токсичные пакеты

    Как и было сказано в предыдущей публикации ресурса «Может, вам повезёт?», кроме установления фактического запрета на конфиденциальность интернет-сообщений, «Пакет Яровой» также противоречит практикам минимизации хранимых данных, устанавливая непомерно долгий срок хранения чувствительной информации.

    Нет «непробиваемых» информационных систем; всегда есть шанс существования неизвестной уязвимости в критическом системном компоненте, которую могут обнаружить ваши «недоброжелатели» и применить против вас. На таких уязвимостях строится целый рынок «цифрового оружия»: от полицейских «открывашек» до шпионского ПО.

    Для уменьшения возможного урона от подобного «недуга» существуют стратегии минимизации хранимой информации, которые значительно снижают количество информации, которую можно украсть. Таким образом, даже если ваша система будет взломана, «недоброжелатель» получит кратно меньше чувствительной информации.

    «Пакет Яровой» же обязывает сервисы в реестре ОРИ хранить данные годами, что повышает возможность их утечки как и от простого взлома, так и от человеческих ошибок. Второй вариант особенно популярен в отечественных корпорациях — чего один случай взлома государственного «Аэрофлота» стоит. Если инфраструктура организации подобного уровня является «дырявой», то можно представить, как все обстоит у «простых смертных».

    Кроме того, это создаёт «тепличные» условия для продажи данных; так как использовать нормальное шифрование нельзя, а данные хранятся годами, у сотрудников возникает сильный «соблазн» заработать дополнительную «копеечку». Актуальный пример — продажа облачных чатов в мессенджере Telegram, менее актуальный — продажа доступа к почтовым ящикам сотрудниками VK.

    Таким образом, «Пакет Яровой» представляет из себя ничто иное, как «Токсичный Пакет» — так как ухудшает и без того плохую ситуацию с защитой персональных данных в российских сервисах.