Михаил Талан. Цифровой концлагерь

[aillarionov]

В России несколько лет действует уникальная цифровая технология, запрещенная во всем мире, которая позволяет идентифицировать любого, кто попал в фокус уличных видеокамер. Система отслеживает все действия конкретного пользователя в интернете и даже управляет его контентом. Соцсети вроде "ВКонтакте" и "Одноклассники", а также популярный мессенджер

Comments

Желаемое за действительное?

[anonymous]

Андрей Николаевич, это интервью требует серьезного критического разбора. Не отрицая, что российские власти пытаются контролировать интернет, надо признаться, многие вещи, озвученные господином Таланом, звучат неправдоподобно.

Что прямо-таки бросилось в глаза:

а) Как заставить центры сертификации отдать SSL-сертификаты? Центры не отвечают за траффик, который передается через сайты. Какое отношение к ним имеет терроризм? Отдать сертификаты - огромные репутационные риски. Это уничтожает сам смысл существования центров сертификации.

б) Каким образом можно подсунуть "подменный" SSL-сертификат в браузер? А если вы установите себе немецкую или американскую версию Хрома - через нее тоже прочитают переписку?

б) Телеграм никогда не был "нормальным мессенджером".

в) Подмена контента в Фейсбуке или гугле невозможна - как это осуществить без наличия доступа к серверам? Но контент меняется в завимости от расположения - для этого не обязательно покупать финскую симку, достаточно сменить айпи адрес через впн или прокси. Это совершенно не секрет.

И тд и тп...

Возможно, у интервью есть скрытые цели. Напугать людей? Выдать желаемое за действительное? Бесполезность собирания и хранения российского траффика давно обсуждается, и бессмысленным его как раз делает шифрование.

Как специалист,

[xobbitua]

Поддержу. Есть много правдоподобного, но "И это оказались две абсолютно разные по содержанию ленты, хотя пользователь один и тот же..." выдает человека не понимающего в ФБ, но делающего громкие заявления :(

для НЕ-спецов:
"- А Mail.Ru?
- Не отбирали, "
"Mail.Ru - это первый интернет-гигант, который Кремль отобрал после 2011 года, " -- возможна неверная расшифровка интервью либо человек не способен чётко формулировать мысль...

In 2013 !!

[anonymous]

In 2013, the Nokia's Xpress Browser was revealed to be decrypting HTTPS traffic on Nokia's proxy servers, giving the company clear text access to its customers' encrypted browser traffic. Nokia responded by saying that the content was not stored permanently, and that the company had organizational and technical measures to prevent access to private information.[13]

[moid0dblr]

А вы бы ещё пояснили, когда и для кого такое возможно, чтобы попусту не пугать народ.
Такое может делать только владелец приватного ключа, когда сертификат соответствующего открытого ключа установлен в браузере.

А влезть посередке, даже если вы можете править траффик - вот это навряд ли.

Re: Желаемое за действительное?

[anonymous]

"Телеграм никогда не был "нормальным мессенджером"." - вообще с самого начала скандальной истории с Телеграмом считал её операцией внедрения мессенджера спецслужбой в протестное движение для скрытого контроля людей, откровенничающих якобы в защищённом сообществе. Но посмотрите, как ловят и наказывают в Чечне молодёжь, позволивших себе критиковать в Телеграме Кадырова и его власть. А где нерасшифруемый хвалёный трафик Дурова, что позволяет индентифицировать личности и полностью весь трафик? Дуров - проект Кремля с самого начала и его предыдущее детище так же является поставщиком улик для обвиняемых в судах РФ-ии.

Re: Желаемое за действительное?

[anonymous]

Дуров спалился, когда сбил гаишника и ему ничего за это не было

[semenoff]

Поэтому ему и не разрешили криптовалюту. В США обычно всем все разрешают, чтобы кого-то заблокировать с такими большими деньгами, нужны очень веские причины.

Re: Желаемое за действительное?

[mnogo_hodovka]

Православный реваншист Игорь Ашманов утверждает, что Павел Дуров когда-то ранее действительно был либертарианцем и выступал за свободу, а потом начал плясать под дудку ФСБ:

https://roem.ru/20-03-2020/281610/durov-kreml/#comment-294380

Цитата.

На мой взгляд, летом 2018, примерно в начале августа-2018, наши власти договорились с Пашей.
Результатом было прекращение активного блокирования и немедленно наступившее полное медийное молчание о конфликте с обеих сторон.

Паша в это время сидел на двух этажах в отеле Гросвенор-Хаусе в Дубай-Марина со всей своей командой, а из Москвы приезжал договариваться очень высокопоставленный эмиссар, по словам знающих людей.

Конец цитаты.

[ext_2541186]

еще, емнип, viber один из первых выполнил требование властей РФ по переносу персональных данных на территорию РФ, а здесь он отдельной строкой выделен как безопасный. интервью похоже на дезу

[mnogo_hodovka]

Действительно безопасными могут быть лишь мессенджеры наподобие Keybase. То есть те, где можно завести аккаунт без привязки к номеру телефона, где во всех чатах автоматически используется тотальное end-to-end-шифрование.

Re: Желаемое за действительное?

[anonymous]

а) Как заставить центры сертификации отдать SSL-сертификаты? Центры не отвечают за траффик, который передается через сайты. Какое отношение к ним имеет терроризм? Отдать сертификаты - огромные репутационные риски. Это уничтожает сам смысл существования центров сертификации.

Вроде как речь идёт не о том, что государству раскрываются приватные ключи оригинальных сертификатов, а о том, что выпускаются отдельные сертификаты, которые используются для крупных сайтов типа Фейсбука. Вот только из статьи толком не понятно, кто именно такие сертификаты выпускает, кто их заверяет, и как они попадают в списки валидных сертификатов на конечные устройства - а эти нюансы в данном случае принципиальны.

б) Каким образом можно подсунуть "подменный" SSL-сертификат в браузер? А если вы установите себе немецкую или американскую версию Хрома - через нее тоже прочитают переписку?

А вот это, кстати, не так уж сложно сделать. И версия Хрома тут вообще ни при чём - список сертификатов берётся из системы. В которую он может попадать с теми же обновлениями, которые, в свою очередь, могут специальным образом модифицироваться для того или иного региона, причём, не только местными специалистами, но и производителем ОС. Известно, что Microsoft имеет юридическое лицо в РФ, а система имеет официальные сертификаты безопасности (ФСТЭК), так что это как раз таки очень даже возможный вариант. И браузер действительно ничего не заметит.

в) Подмена контента в Фейсбуке или гугле невозможна - как это осуществить без наличия доступа к серверам? Но контент меняется в завимости от расположения - для этого не обязательно покупать финскую симку, достаточно сменить айпи адрес через впн или прокси. Это совершенно не секрет.

У Фейсбука (а также YouTube и др.) есть офисы в РФ. Мы не знаем, какие между ними и властями РФ заключены договорённости (не только официальные, конечно же), так что тут всё возможно.

Re: Желаемое за действительное?

[ext_3563476]

Конечно все это сказки - если товарищ майор требует чтобы ваш браузер установил его "подменный" SSL-сертификат, то во первых разработчики браузера 10 раз ваз предупредят MITM-атаке, а во-вторых казахские корневые сертификаты отозваны разработчикам Chrome и Firefox - https://habr.com/ru/news/t/464527/

А вот как все начиналось в Казахстане - https://tengrinews.kz/internet/spetsialnyiy-sertifikat-poprosili-ustanovit-smartfonyi-374216/

Со стороны России такого дуболомства пока никто не наблюдает.