LINUX.ORG.RU

Исполнился год публичной работы DeepTech-группы

 , , , ,


3

2

DeepTech-группа работает над созданием технической базы сопротивления тотальному слежению и контролю.

Слежение и контроль за гражданами непрерывно усиливается во всём мире, переходя все разумные границы. Мы предлагаем всем неравнодушным техническим специалистам объединиться для защиты.

C нашей точки зрения, существующих инструментов (например Тор) не достаточно для серьезной защиты авторов, ведущих блоги, проекты и т.д. Поэтому в рамках группы мы проводим исследования и разрабатываем новые инструменты защиты, а также предоставляем сервисы для разработчиков и активистов.

Одна из простых идей: для выхода из-под контроля полезно использовать собственные self-hosted сервисы. Поэтому кроме предоставления сервисов, мы развиваем их так, чтобы достаточно просто можно было поднять их у себя.

Подробнее можно прочитать на нашем сайте

Итоги сделанного за год

Сервисы (в основном как скрытые сервисы в Торе)

  • Запущен форум (с подправленным движком для сокрытия метаданных)
  • Опубликован статический сайт в Интернете и как скрытый сервис в Торе
  • Поднят свой git-хостинг на основе gitolite и cgit
  • Поднят trac в качестве трекера задач и вики

Разработка

  • Начата работа над проектом Delaytor

О проекте Delaytor: для защиты от атак шейпинга и пересечения предлагается внести существенные задержки между отправкой сообщения и его доставкой. Первая версия реализуется в виде self-hosted сервиса, который принимает сообщения и потом с задержкой в несколько часов отправляет их на целевые сайты/платформы (в соцсети, блоги, форумы, мессенджеры).

Из недостигнутого

Приходится констатировать, что пока не удается создать даже небольшое сообщество вокруг. Редкие люди, которые приходят, надолго не задерживаются.

Планы на будущий год

  • Выпустить Delaytor v1.0 с поддержкой нескольких целевых сайтов
  • Улучшить инфраструктуру (автоматические бакапы, мониторинг, обновления)
  • Завершить исследование атак шейпинга и пересечения (выполнить необходимые расчёты и симуляции)
  • Создать небольшое сообщество

Последний пункт наиболее сложный для нас, будем рады предложениям, как правильно работать над этим в наших условиях.

Источник: https://deeptechgroup.net/blog/dtg-public-one-year/

Обсудить на форуме DTG: http://dtforceyo5xwxfl7.onion/forumdisplay.php?fid=2



Последнее исправление: deeptechgroup (всего исправлений: 1)
Ответ на: комментарий от metaprog

Пока народу в сообществе нет, как-то странно будет выглядеть. Если кто-то хочет задонатить, можно связаться с нами через bitmessage (или на форуме, или по почте).

deeptechgroup
() автор топика
Ответ на: комментарий от rebforce

Вот я и пытаюсь понять, что на самом деле движет ТС.

Мимоходом отвечал на это в старой ветке.

Императив у нас идет от того, что мы осознали проблему => нужно что-то с ней делать, т.е. решать. Как умеем, так и делаем, не ради профитов.

deeptechgroup
() автор топика
Ответ на: комментарий от rebforce

можем себе позволить хоть имеи с ттл на лету менять из коробки

Лицензия этого и так не запрещает. Может запрещать законодательство отдельной страны (IMEI).

Вот я и пытаюсь понять, что на самом деле движет ТС.

Взаимоисключающие параграфы судя по его ответам - политика это не плохо, но ТОР ей занимается, поэтому мы с ними сотрудничать не будем. Лицензии он не признаёт (и, что хуже, не понимает), но будет использовать сразу 3. Он за полную открытость, но код не покажет. Тут не контрибьюторов, тут хорошего психиатра искать надо.

zabbal ★★★★★
()
Последнее исправление: zabbal (всего исправлений: 1)
Ответ на: комментарий от deeptechgroup

В старой ветке был анонимус. Я не говорю, что это плохо, но во избежание подставы при изложении информации конкретно на этом ресурсе предпочитаю псевдонимусов анонимусам.

Только связи с нами не вижу никакой.

Он тоже пытается что-то строить, не имея фундамента.

Во-первых, мы уже и так в ситуации «абсолютно неотслеживаемых», потому что «Неуловимые Джо».

Это до поры до времени.

Принициально для нас ничего не изменится с выпуском этого инструмента.

Тогда в чём смысл его выпуска?

Провокаций от нас?

Да, поскольку, судя по всему вышесказанному, мотивация ваша туманна весьма.

P.S. Да, я ещё больший параноик.

rebforce
()
Ответ на: комментарий от zabbal

Мы уже всё равно нарушили их EULA. В ответ на то, что сам производитель нарушил лицензии, под которыми Firefox OS распространялась (по сути, нагло сболгенив процентов 80 от оной), и не открыл код как B2G-движка, так и используемых в неймспейсе gaiamobile.org приложений (код ядра и некоторых других утилит они для галочки всё-таки выложили, да). Впрочем, их JS-код сжат, но не обфусцирован и pretty-print-ом нормально восстанавливается, так что для нас это всё равно опенсорс (в отличие от b2g-движка или, что меня больше беспокоит, api-daemon). Не де-юре, но де-факто. Так что, повторюсь, кто сказал, что мы играем по правилам?

Он за полную открытость, но код не покажет.

Вот это вот и подозрительно. Это то, с чем мы как раз боремся. Потому что разрабы кайоси тоже все типа такие за «open web», но поддержка OWA-спецификации установки приложений — первое, что они отключили в своей сборке.

rebforce
()
Ответ на: комментарий от rebforce

нагло сболгенив процентов 80 от оной

Сказочные говнюки. А это где-то задокументировано на языке вероятного противника? Было бы полезно иметь актуальный список того что спёрто, что честно выложено, чьи копирайты попятили - в том числе и для того чтобы при случае пригрозить судебными претензиями.

zabbal ★★★★★
()
Ответ на: комментарий от rebforce

Он за полную открытость, но код не покажет.

Вот это вот и подозрительно.

Вы с троллем обсуждаете. У нас код полностью открыт. Даже инфраструктурный. И никакой причины его закрывать нет (коммерческого интереса нет).

deeptechgroup
() автор топика
Ответ на: комментарий от rebforce

Он тоже пытается что-то строить, не имея фундамента.

Поясните. О каком фундаменте речь. У вас фундамент - наработки каких-то крупных фирм (Firefox OS проприетарно переработанный?) - это имеете в виду? Тогда да, у нас нет фундамента. Потому что приходится делать вещь с нуля. Нет готовых аналогов, которые только развивать и переделывать нужно.

Тогда в чём смысл его выпуска?

Повысится уровень защиты. Инструмент будет более полезен тем, кто не такие «неуловимые джо», как мы. И, наконец, будет что показать сообществу, чем привлекать людей.

Да, поскольку, судя по всему вышесказанному, мотивация ваша туманна весьма.

Пфф. У меня едва хватает времени с вами тут общаться. Не то что провокации организовывать. Не говоря уж о том, что это не имеет никакого отношения к нашим идеям и подходам. Никогда никаких провокаций не организовывали и не будем. Но параноикам конечно не понять этого.

deeptechgroup
() автор топика
Ответ на: комментарий от devl547

Мамкин сопротивлятор, дигитал самолётик с балкона.

Как будто что-то плохое.

А если серьезно, то наш подход отличается от политических самолётиков. Только технические задачи решаем.

deeptechgroup
() автор топика
Ответ на: комментарий от zabbal

политика это не плохо, но ТОР ей занимается, поэтому мы с ними сотрудничать не будем.

Мы разделяем политическое и техническое. С одной лишь целью – чтобы не было политических срачей вместо фокусировки на конкрентые технические задачи. Но даже такой настрой многих отталкивает, как показывает этот тред. Если мы не выказываем явную поддержку их политических взглядов, они отказываются общатся.

ТОР ей занимается, поэтому мы с ними сотрудничать не будем

По технической части сотрудничать будем. Просто пока не доросли до их уровня. По политической не будем. Как не будем сотрудничать ни с кем другим. Но при этом наши инструменты можно будет использовать в том числе для продвижения каких-то политических вещей. За пределами технического сообщества.

Лицензии он не признаёт (и, что хуже, не понимает), но будет использовать сразу 3.

Уже обсудили. Будет одна для простоты. MIT.

Он за полную открытость, но код не покажет.

Жир с монитора уже течет.

deeptechgroup
() автор топика

мы развиваем их так, чтобы достаточно просто можно было поднять их у себя.

Вот это вот самое. Думал об этом еще очень давно. Именно сообщество (с адекватной документацией) и улучшения существущих проектов всяческих серверов (ftp, mail, http, p2p) для упрощения их конфигурирования собственными силами юзеров - вот ключ.

пока не удается создать даже небольшое сообщество вокруг.

Ничего, все придет постепенно. Информационную гигиену еще в школах будут преподавать на Земле будущего! Как видим, идея которая не выходила из моей головы, нашла независимый ростки у других людей, которые даже сделали публикацию и пытаются сколотить сообщество.

anonymous
()
Ответ на: комментарий от deeptechgroup

У нас код полностью открыт.

На вашем гите никакого кода, кроме примитивных докерфайлов, ридми и сопутствующих конфигураций для поднятия гита с форумом, не обнаружено. Чем вы год занимались?

Поясните. О каком фундаменте речь. У вас фундамент - наработки каких-то крупных фирм (Firefox OS проприетарно переработанный?) - это имеете в виду?

Нет. Я имею в виду это:

Просто пока не доросли до их уровня.

Причём даже не представляете, насколько. И в первую очередь даже не по техподготовке, а просто по постановке задачи. Я постарался внимательно изучить материалы на вашем форуме. В чём цель-то? Создать систему защищённого паблишинга? А в чём смысл, если среднестатичстический хомячок умеет достукиваться к ресурсам только через незащищённые каналы и ему влом даже DNS-сервера переписать на нормальные? А ещё этот хомячок обычно пользуется фейлдовсом, что позволяет кому надо в нужный момент подсунуть ему что надо по любому адресу независимо от того, какими каналами он пользуется.

Так что насколько бы ценной и важной ни была информация, которую надо публиковать настолько защищённым образом, если она действительно важна, до 95% адресатов ей всё равно не дадут дойти в целости и сохранности.

Поэтому вопрос надо решать комплексно и доступно для большинства. Или уже на стеганомессенджерах/стеганопочте сконцентрироваться, там это проще, а потом уже решать вопрос с действительно юзабельным бродкастом.

rebforce
()
Ответ на: комментарий от anonymous

Ничего, все придет постепенно.

Спасибо за поддержку!

идея которая не выходила из моей головы, нашла независимый ростки у других людей, которые даже сделали публикацию и пытаются сколотить сообщество.

Приятно слышать :) Будем рады, если присоединитесь.

с адекватной документацией

Вот документации особо нет пока. Но сделаем. Есть заметки, которые перед публикацией надо привести в божеский вид.

deeptechgroup
() автор топика
Ответ на: комментарий от rebforce

На вашем гите никакого кода, кроме примитивных докерфайлов, ридми и сопутствующих конфигураций для поднятия гита с форумом, не обнаружено. Чем вы год занимались?

Вот этим и занимались, очевидно. Но если в проекте кучка людей, работающих даже не на 100% своего свободного времени (есть и другие проекты), то результат не очень большой. Никто и не говорит, что какие-то особые успехи достигнуты. Что есть, то есть.

Докерфайлы «выстраданы», т.е. это не просто рандомные вещи, мы их именно в таком виде и юзаем, они хотя бы работают.

Вы так низко оцениваете подобную работу – у вас есть опыт селф-хостинга чего-нибудь? Да ещё когда всё это нужно сделать анонимно и с высокой операционной безопасностью. Т.е. только через Тор и VPN, фейковые личности. Всё за криптовалюту, причем не за голые биткоины. Коммитить даже нельзя напрямую: по опсеку 2 репозитория, локальный без доступа в сеть и отдельно изолированный с доступом. Много интересных нюансов. К сожалению, даже поддержка съедает много времени, которого и так нет. И инфраструктурные работы не закончены.

Причём даже не представляете, насколько. И в первую очередь даже не по техподготовке, а просто по постановке задачи.

Не соглашусь. Задача поставлена достаточно хорошо. Достаточно, чтобы её можно было начать решать. Чего не хватает:

  1. Нет проведенного до конца исследования: матмоделирования и симуляции. Кое-какие подвижки в эту сторону происходят, но медленно.

  2. Нет, собственно, реализации. Пока на стадии прототипов. И буксует. Этот код действительно не выложен, но там нечего смотреть (не работают подходы).

Я постарался внимательно изучить материалы на вашем форуме.

Похвально, спасибо. Там правда почти и нет ничего. Основные тексты на сайте. На форуме только немного обсуждения. В основном как и тут на лоре, не по существу.

В чём цель-то? Создать систему защищённого паблишинга?

Да. Защищенного от определенных классов атак деанонимизации, от которых Тор/VPN не защищает.

А в чём смысл, если среднестатичстический хомячок

Делается не для хомячков. Для продвинутых авторов или сообществ, в которых есть ИТ-специалисты. Способные поднять self-хостед сервис в Тор как минимум.

Так что насколько бы ценной и важной ни была информация, которую надо публиковать настолько защищённым образом, если она действительно важна, до 95% адресатов ей всё равно не дадут дойти в целости и сохранности.

Здесь не в ценности информации дело. В ценности анонимности (псевдонимности) авторов. Которую и нужно сохранить. А информация наоборот публичная – блог-пост, например.

Поэтому вопрос надо решать комплексно и доступно для большинства. Или уже на стеганомессенджерах/стеганопочте сконцентрироваться, там это проще, а потом уже решать вопрос с действительно юзабельным бродкастом.

Вопрос с мессенджерами открытый. Но кое-какие решения есть. Тот же битмессадж. Надо улучшать, никто не спорит. И мы полностью поддерживаем начинания в этом направлении. Если кто-то захочет заняться – готовы помогать чем можем.

deeptechgroup
() автор топика
Ответ на: комментарий от deeptechgroup

Пользователи здесь слишком привыкли к буржуазному стилю рекламы...
А это значит:
・ Нужно ублажать их, хвалить, прям-таки уговаривать. Нужно
подстраиваться — узнай, как они думают, как говорят, чем
живут, какие мифы они массово разделяют. Для этого достаточно
почитать форум.
・ Всё должно быть красиво с самого начала. Не говори сразу, что
что-то недоделано. Необходимо предъявить красивую (по
последней моде) пустышку.
・ Ни в коем случае не спорь с ними. Ты уже проиграл. Овечки
обиделись, что их не уважают. Не спорь — поясняй и объясняй,
но не задевая болевые точки аудитории. Как действует взрослая,
большая реклама? Тупо и самоуверенно гонит свою волну, не
обращая внимания ни на кого. Как действуют «евангелисты»
брендов? Носятся вокруг каждого идиота, словно он миллиардер.
・ Второй ошибкой было говорить об аполитичности. Не поймут. Каждый
увидит в этом замаскированного противника. Сейчас чрезвычайно
модна «борьба с тоталитаризмом». Посмотри на Дурова. Как он
мощно выехал на этой волне и продвинул свою проприетарщину,
собирающую на свои сервера что только можно.
Борьба с ослом + игрушечный интерфейс по последней моде + лоск «зарубежности».
Всё! Все хомячки его и съедят любого, кто будет возражать.

В общем, учись у буржуев.

anonymous
()
Ответ на: комментарий от anonymous

Спасибо за сообщение! Сохранил как памятку :)

С первыми тремя методами согласен. Надо учиться действовать в таком ключе.

В последнем пункте всё тоже абсолютно верно написано, про Дурова в точку!

Только не могу согласиться, что такой подход можно применить у нас. Да вообще в любом независимом сообществе. Потому что он требует откровенно лгать людям. Это уже неприемлемо. Именно поэтому и выбран вариант аполитичности. Можно замалчивать, не говорить ничего конкретного. Но не врать. По-моему если обратиться в политику, то только со своими искренними убеждениями. Но тогда для технической группы получится ещё хуже, поскольку эти убеждения не совпадают с модными трендами, приведут к спорам и ещё большим проблемам с аудиторией.

deeptechgroup
() автор топика
Ответ на: комментарий от deeptechgroup

загляните сюда

«Сегодня мы запустили Openly Operated - бесплатный, всеобъемлющий стандарт прозрачности, который позволяет компаниям на самом деле *проверять*, какой именно код и инфраструктура работает на их серверах, вместо того, чтобы просто делать непроверенные заявления в их Политике и Условиях конфиденциальности. Расскажите нам, что вы думаете!»

BLOBster ★★★
()
Ответ на: комментарий от BLOBster

Спасибо!

Странная штука. Много красивых слов, но по факту формализованный аудит. Никаких реальных доказательств предоставить не может. Да это и невозможно. Т.е. пользу он может принести только в случае, если честная организация делает что-то неправильно по ошибке. Если же она сознательно что-то нехорошее делает на своих серверах, то она вполне может отключить это, пройти сертификацию, а потом установить измененные версии сервисов. В этом случае даже вред будет причинен — многие будут больше доверять такой компании.

Правильное отношение к инфораструктуре — недоверие. Конечно, это не означает, что не нужно проводить аудитов или не нужно защищать её.

deeptechgroup
() автор топика
Ответ на: комментарий от xdimquax

Хомячки умеют использовать Tor Browser, этого недостаточно для получения доступа к контенту?

Хомячки его качают на свой фейлдовс, и хорошо, если с официального сайта, а не по баннеру с очередной вируснёй.

rebforce
()
Ответ на: комментарий от deeptechgroup

Вот этим и занимались, очевидно.

Феерично.

Вы так низко оцениваете подобную работу

Увы, не могу оценить как-либо, поскольку результатов работы не видно.

у вас есть опыт селф-хостинга чего-нибудь? Да ещё когда всё это нужно сделать анонимно и с высокой операционной безопасностью.

Внезапно, есть. Вот только методика такого анонимного хостинга вам явно не подойдёт, ибо ограничение на размер данных довольно суровое, хотя для текстовых публикаций в том же Markdown 24 КБ хватит всем ©

Т.е. только через Тор и VPN, фейковые личности.

Не с того конца подходите. Tor — не панацея.

Всё за криптовалюту, причем не за голые биткоины.

Monero?

Коммитить даже нельзя напрямую: по опсеку 2 репозитория, локальный без доступа в сеть и отдельно изолированный с доступом. Много интересных нюансов. К сожалению, даже поддержка съедает много времени, которого и так нет. И инфраструктурные работы не закончены.

Инфраструктура — одно дело, но я так понимаю, основная роль уделяется этому вашему Delaytor?

Этот код действительно не выложен, но там нечего смотреть (не работают подходы).

Так вот, системы отложенной публикации известны достаточно давно, можно и готовые решения уже адаптировать. Только прошу вас, забудьте о бредовой идее публикации в соцсети. Понятия «операционная безопасность» и «публикация в соцсети» несовместимы от слова вообще. Даже с более-менее независимыми посредниками наподобие IFTTT.

Да. Защищенного от определенных классов атак деанонимизации, от которых Тор/VPN не защищает.

Как уже правильно здесь заметили, деанонимизация может проводиться уже по стилистике написания текстов. Здешние безграмотные ублюдки, например, палятся уже по отсутствию запятых и/или мягких знаков на нужных местах.

Делается не для хомячков. Для продвинутых авторов или сообществ, в которых есть ИТ-специалисты. Способные поднять self-хостед сервис в Тор как минимум.

Здесь не в ценности информации дело. В ценности анонимности (псевдонимности) авторов. Которую и нужно сохранить. А информация наоборот публичная – блог-пост, например.

Ценность (защищённой) информации заключается в её доступности, целостности и конфиденциальности. Если нарушается хотя бы один из этих трёх параметров, информация перестаёт быть ценной. Вы хотите обеспечить последние два параметра, игнорируя первый — доступность. Поясняю: информация-то публична и опубликована защищённым образом, но как читатель до неё достучится с гарантией того, что она не была изменена на пути к оному? И насколько доступным для этого самого читателя будет способ чтения этой информации с гарантией её целостности? Мой вопрос исключительно в этом состоит.

rebforce
()
Ответ на: комментарий от deeptechgroup

bitmessage

ШОК ты форум читал? сообщения автора о наезде со стороны ФБР или АНБ(точно не помню) читал? вы там вообще общаетесь на тему приватности?

Xant1k ★★
()
Ответ на: комментарий от WitcherGeralt

Не, аффтар как бы пытается сказать «делайте с нашим кодом что угодно, всё равно мы вас не поймаем, даже если бы хотели». Вполне разумный подход. Вот только кода что-то не видно, одни докерфайлы мутные.

rebforce
()
Ответ на: комментарий от WitcherGeralt

А что они могут сделать, чтоб поймать? И как они могут доказать свои собственные права на код, на который сами не сформулировали лицензию? И что они будут в случае чего делать с эффектом Стрейзанд?

rebforce
()
Ответ на: комментарий от rebforce

Да какая разница? Нет смысла в это ввязываться, вот и всё. Тем более, что ситуация с лицензией как бы намекает на то, что авторы — неадекваты.

WitcherGeralt ★★
()
Ответ на: комментарий от WitcherGeralt

Не проприетарщина, вы ошибаетесь. Но проблема с лицензией нами до конца не осознавалась. Благодаря этому треду удалось подумать над вариантами. Был принят наиболее подходящий для нас вариант — Unlicense.

https://unlicense.org/

Эта лицензия подходит нам не только по существу, но и по духу. С практической точки зрения она аналогична MIT. Только лучше с идеологической стороны.

Только что закоммитил файлик LICENSE в наши репозитории.

deeptechgroup
() автор топика
Ответ на: комментарий от rebforce

Не, аффтар как бы пытается сказать «делайте с нашим кодом что угодно, всё равно мы вас не поймаем, даже если бы хотели». Вполне разумный подход.

Именно так. Теперь и формальности соблюдены - лицензия Unlicense указана.

Вот только кода что-то не видно, одни докерфайлы мутные.

Они не мутные. Они работают. Но это другое направление — сервисное. С которого и началась работа у нас.

Кода Delaytor'а нет пока. Он в стадии проектирования с зимы, с весны - прототипирования, причем не очень удачного (из-за отсутствия опыта). Сейчас могу сказать, что наконец все затыки сняты, идет активная разработка первого прототипа — v0.1.0. И код будет выложен, как только что-то самое минимальное будет работать (не v0.1.0, а просто шевелиться хоть).

deeptechgroup
() автор топика
Ответ на: комментарий от WitcherGeralt

Да какая разница? Нет смысла в это ввязываться, вот и всё. Тем более, что ситуация с лицензией как бы намекает на то, что авторы — неадекваты.

Вы слишком торопитесь с выводами. Ситуация с лицензией необычная, потому что проект необычный — делается анонимами, хостится не на гитхабе. Поэтому типовой выбор открытой лицензии не подходит (как минимум не имеет смысла в таких нестандартных условиях). Но вот теперь, подумав, удалось найти правильный ответ в виде Unlicense.

deeptechgroup
() автор топика
Ответ на: комментарий от rebforce

Феерично.

Зато честно, без прикрас.

Увы, не могу оценить как-либо, поскольку результатов работы не видно.

Работающие сервисы вы как-то не заметили. Для нас это было достижение (первый раз что-то подобное делали). Никто не говорит, что мы какие-то крутые перцы, которые тут всё сейчас моментально сделают. Нет, увы, наоборот. Но мы пытаемся – и стараемся делать хорошо. Кстати, если кто-то найдет проблемы в конфигах, будем признательны (а они там 100% есть, поскольку опыта у нас мало в этих вопросах).

Внезапно, есть. Вот только методика такого анонимного хостинга вам явно не подойдёт, ибо ограничение на размер данных довольно суровое, хотя для текстовых публикаций в том же Markdown 24 КБ хватит всем ©

Расскажите поподробнее, о чем речь?

Не с того конца подходите. Tor — не панацея.

Пытались подходить системно. Но Tor – важная основа всё равно. Без него вообще плохо всё с анонимным хостингом.

Monero? Да. Криптовалют, обеспечивающих приватность, совсем не много - Monero, ZCash.

Инфраструктура — одно дело, но я так понимаю, основная роль уделяется этому вашему Delaytor?

Это один из проектов по разработке. Первый. Но сначала все силы были потрачены на инфраструктуру как раз. И теперь ещё надо доводить её до ума, там много проблем. Бакапы, например. Один только форк mybb смерджить с апстримом – руки прямо опускаются честно говоря(

Delaytor начали проектировать зимой. Сейчас только добрались до понимания, как надо делать и началась фаза написания кода. Чтобы лучше понимать положение дел – на эту работу есть примерно 10-20 часов в неделю у человека в свободное от работы и других проектов время. При этом приходится изучать язык программирования (python), веб-фреймворки, базы данных и т.д. с нуля фактически. К счастью, человек опытный в других языках и программировании вообще (не веб), так что всё потихоньку получается.

Помимо разработки самого Delaytor’а, надо закончить исследование. Теорвер вспомнить (на хорошем уровне, не шары по урнам…). И симуляцию сети реализовать. Кое-какие подготовительные работы ведутся.

Так вот, системы отложенной публикации известны достаточно давно, можно и готовые решения уже адаптировать.

Подскажите эти системы. Мы не нашли. Вернее, для WordPress есть плагин на php, который это умеет частично. Но и то там мутная история с каким-то проприетарным блобом, который делает всю магию. В общем, пока ещё не разбирались с ним. Как дело дойдет именно до соцсетей, возможно придется поковырять с целью набраться работающих идей…

Только прошу вас, забудьте о бредовой идее публикации в соцсети. Понятия «операционная безопасность» и «публикация в соцсети» несовместимы от слова вообще. Даже с более-менее независимыми посредниками наподобие IFTTT.

Идея не бредовая, это требование. Элемент постановки задачи. Смысл всей затеи в том, что сейчас приходится заходить в эти соцсети напрямую. А после реализации Delaytor’а защита анонимности тех, кто туда заходит, существенно вырастет.

Конечно, мы не с топовых соцсетей начнём. Скорее всего в v0.1.0 будет поддерживаться только форум MyBB. Потом добавим LOR :) Дальше посмотрим, что из популярных сервисов будет попроще. А, ещё Телеграм наверно получится легко (заюзав их либы).

Как уже правильно здесь заметили, деанонимизация может проводиться уже по стилистике написания текстов.

Да-да. Эту проблему надо решать тоже. Просто рук не хватает. Но как только появится возможность, мы начнём над ней работать.

Ценность (защищённой) информации заключается в её доступности, целостности и конфиденциальности. Если нарушается хотя бы один из этих трёх параметров, информация перестаёт быть ценной. Вы хотите обеспечить последние два параметра, игнорируя первый — доступность. Поясняю: информация-то публична и опубликована защищённым образом, но как читатель до неё достучится с гарантией того, что она не была изменена на пути к оному? И насколько доступным для этого самого читателя будет способ чтения этой информации с гарантией её целостности? Мой вопрос исключительно в этом состоит.

Не до конца понимаю вопрос. Если о целостности говорить, то в данном контексте изменить эту информацию сможет только соцсеть (соединение Delaytor’а к соцсети не отличается от обычного клиента – т.е. через TLS всё пойдет). Например, модератор соцсети. От этого никуда не деться, условия работы такие. Конечно, рекомендуется размещать эталонную информацию на своей, подконтрольной инфраструктуре. А соцсети - это для привлечения аудитории…

Если про доступность, то требование поддержки соцсетей как раз направлено на повышение доступности информации. Одно дело писать на своём сайте, другое - во всех популярных соцсетях. Можно добиться большего охвата аудитории.

deeptechgroup
() автор топика
Ответ на: комментарий от rebforce

deeptechgroup (20.06.19 19:34:20) ниче полезного не делают, только закидывают ЛОРовцев ***ми

На вашем гите никакого кода, кроме примитивных докерфайлов, ридми и сопутствующих конфигураций для поднятия гита с форумом, не обнаружено. Чем вы год занимались?

Все сходится.

t184256 ★★★★★
()
Ответ на: комментарий от deeptechgroup

А после реализации Delaytor’а защита анонимности тех, кто туда заходит, существенно вырастет.

Виртуальных номеров на всех не хватит, а с реальными об анонимности не может быть и речи (даже если сами сим-карты, как у нас, по умолчанию деперсонализированы).

Не до конца понимаю вопрос.

А вопрос этот — обеспечение доступности при сохранении целостности — как раз фундаментален.

Если о целостности говорить, то в данном контексте изменить эту информацию сможет только соцсеть

Что уже нивелирует всю затею. Посты должны быть иммутабельными с момента публикации, и их целостность должна контролироваться на всех этапах от автора к читателю. Поэтому обычные форумы, а тем более сторонние поцсети, не катят.

Как по мне, наиболее живучий (и это доказано практически) формат таких публикаций — публичный mailing-list с добровольно-принудительными ЭЦП всех сообщений (пост без сформированной валидной ЭЦП просто отвергается сервером рассылки). Такую вещь можно на любую скрытосеть натянуть, а веб-интерфейсы для просмотра таких рассылок просты и эффективны.

rebforce
()
Ответ на: комментарий от rebforce

Виртуальных номеров на всех не хватит

Вы всё ещё не до конца понимаете смысл проекта. Речь идет о повышенной защите только для авторов. Которых реально мало. Для них хватит таких номеров.

Посты должны быть иммутабельными с момента публикации, и их целостность должна контролироваться на всех этапах от автора к читателю.

Это может быть требованием к независимой системе распространения контента. И далее вы приводите пример как раз такой системы. Кстати, полным аналогом такого листа является чан в битмессадже. Всё это верно, но Delaytor  — проект о другом.

Мы же говорим об использовании существующих популярных систем распространении контента. Потому что именно там находится подавляющее большинство пользователей. Перетягивать лучших из них на свои системы нужно. Но более эффективно работать и на этой опасной территории соцсетей напрямую.

deeptechgroup
() автор топика
Ответ на: комментарий от Xant1k

ШОК ты форум читал? сообщения автора о наезде со стороны ФБР или АНБ(точно не помню) читал? вы там вообще общаетесь на тему приватности?

Приведите ссылки пожалуйста. Не в курсе подобных вещей.

Про битмессадж только знаю, что относительно недавно была найдена уявзимость типа RCE (из-за бага в десериализации на питоне). Она была проэксплуатирована, и украдены приватные ключи основного майнтейнера. В общем, качество кода у битмессаджа не очень, раз такое допустили. Но сейчас всё исправлено. Таких простых ошибок больше нет.

deeptechgroup
() автор топика
Ответ на: комментарий от deeptechgroup

Вы всё ещё не до конца понимаете смысл проекта. Речь идет о повышенной защите только для авторов.

Вы всё ещё не до конца понимаете основные принципы информационной безопасности. Речь идёт о том, что несмотря на защищённость авторов в вашей модели, ценность выкладываемой ими информации близка к нулю, поскольку эта информация может быть скомпрометирована и изменена в любой момент на тех самых публичных серверах без возможности определения и/или доказательства подлога, что нарушает принцип целостности.

Для них хватит таких номеров.

Это только на первый взгляд, там своих нюансов хватает. Но об этом на данном этапе ещё даже задумываться рано, не то что обсуждать.

Мы же говорим об использовании существующих популярных систем распространении контента. Потому что именно там находится подавляющее большинство пользователей.

Именно поэтому не существует никакой гарантии, что это самое подавляющее большинство пользователей сможет прочесть выложенную информацию в неискажённом виде. И чем враждебнее среда (втентакль, ФCБук и прочее), тем более вероятным является такое искажение, на которое авторы контента никак не смогут повлиять.

Это может быть требованием к независимой системе распространения контента. И далее вы приводите пример как раз такой системы.

А без таковой затея вообще не имеет смысла. Почему? См. выше.

Странно, вы вроде постулируете, что наиболее правильным отношением к инфраструктуре является недоверие, и при этом считаете соцсети допустимой средой распространения информации. Ню-ню…

rebforce
()
Ответ на: комментарий от rebforce

Речь идёт о том, что несмотря на защищённость авторов в вашей модели, ценность выкладываемой ими информации близка к нулю, поскольку эта информация может быть скомпрометирована и изменена в любой момент на тех самых публичных серверах без возможности определения и/или доказательства подлога, что нарушает принцип целостности.

При наличии эталонных сообщений на своей, подконтрольной системе, эти проверки становятся возможными. Так что ничего не нарушается.

Это только на первый взгляд, там своих нюансов хватает. Но об этом на данном этапе ещё даже задумываться рано, не то что обсуждать.

Прекрасно понимаю. Сложностей будет много.

Именно поэтому не существует никакой гарантии, что это самое подавляющее большинство пользователей сможет прочесть выложенную информацию в неискажённом виде. И чем враждебнее среда (втентакль, ФCБук и прочее), тем более вероятным является такое искажение, на которое авторы контента никак не смогут повлиять.

Не слышал о том, чтобы информация именно искажалась. На практике скорее всего реакцией может быть удаление информации, удаление группы, бан аккаунта и т.д. Это уже вопрос «доступности», а не «целостности». И пока не продуман. Но явно в стороне лежит. Опять-таки, не предполагается, что система будет использована для откровенно неприемлемых материалов.

А без таковой затея вообще не имеет смысла. Почему? См. выше.

Так мы и не против подобных систем. Они существуют, с нуля их делать точно не нужно. Для большинства авторов, на мой взгляд, для проверки целостности достаточно собственного форума / блога (можно децентрализованного) — цифровые подписи не особо нужны. Они нужны для официальных постов какой-нибудь организации. Ну, по типу наших канареек, например...

Странно, вы вроде постулируете, что наиболее правильным отношением к инфраструктуре является недоверие, и при этом считаете соцсети допустимой средой распространения информации. Ню-ню…

Здесь нет противоречия. Конечно, соцсети — недоверенная инфраструктура. Но это не значит, что её нельзя использовать. Ортогональные вещи.

Как пример — ЛОР тоже соцсеть с этой точки зрения. И мы с вами тут общаемся, а не на нашем слегка более защищенном форуме. Потому что вам _неудобно_ туда идти. А ценность информации, общения от этого не убывает.

deeptechgroup
() автор топика
Ответ на: комментарий от deeptechgroup

слегка более защищенном*

*имелась в виду только защита метаданных, а не общая информационная безопасность / устойчивость к взломам (у нас она ниже, очевидно).

deeptechgroup
() автор топика

Дочитал до этого, дальше не читал:

Наверно надо выходить в I2P (пока руки не дошли посмотреть, что есть русскоязычного там).

PunkoIvan ★★★★
()
Ответ на: комментарий от deeptechgroup

чем I2P лучше в плане «культуры»

Авторы анонимны, как и мы (в отличие от Тора), и помощи и раскрутки от НКО и DoD не получают, живут «на свои».

А на конфах они в масках сидят, да?

kwinto
()
Ответ на: комментарий от kwinto

А на конфах они в масках сидят, да?

Честно говоря, не в курсе. Возможно, не все из них присутствуют? И конфа по I2P только с 2015 года.

С википедии:

Many developers of I2P are known only under pseudonyms. While the previous main developer, jrandom, is currently on hiatus,[9] others, such as zzz, killyourtv, and Complication have continued to lead development efforts, and are assisted by numerous contributors.[1]

deeptechgroup
() автор топика
Ответ на: комментарий от deeptechgroup

При наличии эталонных сообщений на своей, подконтрольной системе, эти проверки становятся возможными.

От них толку чуть более, чем никакого, если адресат информации не имеет к этой самой эталонной системе доступ на чтение, грубо говоря. А если имеет, то зачем тогда посредники в виде соцсетей?

Опять-таки, не предполагается, что система будет использована для откровенно неприемлемых материалов.

Это уже противоречит изначальной концепции «противодействия тотальному слежению и контролю», если кто-либо в этой системе на любом этапе пути информации от издателя к получателю имеет власть определять, что приемлемо, а что нет.

Для большинства авторов, на мой взгляд, для проверки целостности достаточно собственного форума / блога (можно децентрализованного) — цифровые подписи не особо нужны.

Заблуждение довольно распространённое. Пространство для несанкционированных манипуляций огромно.

Как пример — ЛОР тоже соцсеть с этой точки зрения. И мы с вами тут общаемся, а не на нашем слегка более защищенном форуме. Потому что вам неудобно туда идти. А ценность информации, общения от этого не убывает.

С моей стороны уровень доверия что к ЛОРу, что к вашему форуму одинаков и близок к нулю. Действительно важную информацию, от которой зависит чья-то жизнь или кибербезопасность, я на таких ресурсах не обсуждаю. Да и см. пункт о неприемлемости — не люблю, когда какой-то хъ с горы решает это за меня.

rebforce
()
Ответ на: комментарий от rebforce

От них толку чуть более, чем никакого, если адресат информации не имеет к этой самой эталонной системе доступ на чтение, грубо говоря. А если имеет, то зачем тогда посредники в виде соцсетей?

Суть в том, что большинство людей не станет проверять ничего, и из соцсети не перейдет по ссылкам. Но сам факт, возможность проверить для дотошных товарищей позволит обнаружить подобные вмешательства. Повторюсь, не слышал о таких случаях (именно изменения сообщения, а не его удаления).

Это уже противоречит изначальной концепции «противодействия тотальному слежению и контролю», если кто-либо в этой системе на любом этапе пути информации от издателя к получателю имеет власть определять, что приемлемо, а что нет.

Не противоречит вот в каком смысле. Мы не делаем супер-устойчивую к любой цензуре систему. Такие системы уже созданы. Думаю, вы прекрасно их знаете даже. Дело в другом — в этих системах нет людей. Мы именно к этой проблеме пытаемся адресоваться. Переходить в те места, где люди есть. Следовательно, в этой модели всегда есть посредник в виде сторонней платформы (будь то популярный форум, соцсеть или блог). Т.е. его цензура останется. В таких условиях поддерживать какую-то особо острую информацию не получится — она будет отмодерирована в любом случае. В итоге, мы пока не рассматриваем этот крайний случай. Для него нужны какие-то другие методы.

С моей стороны уровень доверия что к ЛОРу, что к вашему форуму одинаков и близок к нулю. Действительно важную информацию, от которой зависит чья-то жизнь или кибербезопасность, я на таких ресурсах не обсуждаю.

Так мы и не говорим о подобной важной информации. Для этого есть другие системы. Мы говорим о публичном общении, ведении сообществ, организации совместной работы и т.д. Для этого в основном и используются подобные форумы и соцсети. Однако же очевидно, что нужно делать это на популярном ресурсе (ЛОР), а не на таком же собственном (наш форум, где нет пользователей).

Да и см. пункт о неприемлемости — не люблю, когда какой-то хъ с горы решает это за меня.

В любом общественном месте вопрос о приемлемости не является частным. Так что можно лишь ставить вопрос о границах этой приемлемости, из каких причин эти ограничения задаются и т.д.

deeptechgroup
() автор топика
Ответ на: комментарий от deeptechgroup

Сложно Тор браузер скачать и запустить?

Вкупе с предыдущей риторикой, словно вырезанной из передач Киселёва, зреет убеждение, что товарищ-майору палочек не хватает.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.