?

Log in

Безопасные коммуникации с точки зрения потребительской психологии - Журнал Восставшей Машины [entries|archive|friends|userinfo]
ArkanoiD

[ userinfo | livejournal userinfo ]
[ archive | journal archive ]

Безопасные коммуникации с точки зрения потребительской психологии [May. 13th, 2016|02:34 pm]
ArkanoiD
[Tags|]

интересно, материала накопилось уже, наверное, на приличную монографию.

Почему не было реального спроса до Сноудена, хотя "ничего нового не рассказали".
Почему "андерграундные" сообщества до поры до времени предпочитали какое-то колхозное говнище типа "супершифрованной аски от хакира Васи, которого мы все знаем, а в этом вашем OTR сплошные бэкдоры от АНБ", а потом как-то бодрячком переключились на Tox или Threema.
Почему после Сноудена не взлетела популярность ни одного из существующих решений, Adium/Pidgin продолжал проваливаться в старперское небытие, зато внезапно оказался востребованным Telegram.
Почему то же самое продолжается с PGP, причем существующие плагины постепенно теряют совместимость с актуальными версиями клиентов, а замены нет вообще, то есть юзабилити не улучшается, а портится.
Почему ничего лучше PGP так и не придумали, несмотря на его очевидные недостатки.
Почему s/mime это такой кошмар и ничего не сделано, чтобы это исправить и хотя бы сделать его пригодным для использования вне корпоративной среды.
Почему по-прежнему так все плохо с голосом.
Почему когда я пришел на конференцию опенсорсных мобильных разработчиков и сказал "чуваки, вы тут все равно пилите всякое считай за спасибо, сделайте нормальный zRTP на платформе, где уже все есть, ЗА ДЕНЬГИ, есть спонсор, результат отдам в паблик", никто даже не почесался.
Почему рынок "защищенных телефонов за большие деньги" есть, причем по-прежнему очень сомнительный с точки зрения доверия к производителю и способности покупателя удержаться "ниже радара", а рынка "удобного и безопасного voip для народа" нет, при том что все продолжают ныть про прослушку.
Ну и так далее.

Неужели никто до сих пор не написал? Я -- не буду, хочется, чтобы автор не был дилетантом как в инженерной психологии, так и в социальной.
linkReply

Comments:
From: pustota1
2016-05-13 11:53 am (UTC)
Это дайджест по не техническим произведениям Шнайера что ли ?
(Reply) (Thread)
[User Picture]From: arkanoid
2016-05-13 11:55 am (UTC)
Шнайер по верхам пробежался, но в эту конкретику копал мало.
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: yoksel_moksel
2016-05-13 12:25 pm (UTC)
Возьми соавтора, сведущего в психологиях.
(Reply) (Thread)
[User Picture]From: sleeping_death
2016-05-13 12:29 pm (UTC)
не увидел вопроса про трукрипт. на него уже есть 100% достоверный ответ?
(Reply) (Thread)
[User Picture]From: black_eric
2016-05-13 12:35 pm (UTC)
Очень хороший вопрос. И не менее интересно чем его можно заменить.
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: black_eric
2016-05-13 12:32 pm (UTC)
Очень интересный список вопросов. Но вот возможность дать на них однозначные исчерпывающие ответы весьма не очевидна.

"Почему после Сноудена не взлетела популярность ни одного из существующих решений, Adium/Pidgin продолжал проваливаться в старперское небытие, зато внезапно оказался востребованным Telegram."
Как вариант, потому что их, в отличие от телеграма, никто нигде не рекламировал.
(Reply) (Thread)
[User Picture]From: sleeping_death
2016-05-13 12:45 pm (UTC)
видимо по той же причине, по какой не взлетело 100500 электромобилей, а тесла - взлетела. потому что пиар для хомячков - главное.
(Reply) (Thread)
[User Picture]From: webface
2016-05-13 12:48 pm (UTC)
Какие были до Тесли электромобили со схожими характеристиками?
(Reply) (Parent) (Thread)
(Deleted comment)
[User Picture]From: webface
2016-05-13 12:47 pm (UTC)
Почему после Сноудена не взлетела популярность ни одного из существующих решений

Потому-что это все — тормознутое говно с костылями и хреновым UI. А Телеграм - нет.
(Reply) (Thread)
[User Picture]From: arkanoid
2016-05-13 02:16 pm (UTC)
что такое "хороший ui"? я вот думал, например, что хороший ui -- это когда ты вообще не видишь такой псевдосущности, как "приложение". Миллиарды людей со мной не согласны.
(Reply) (Parent) (Thread) (Expand)
(no subject) - (Anonymous) Expand
(no subject) - (Anonymous) Expand
[User Picture]From: yoksel_moksel
2016-05-13 12:52 pm (UTC)
Возьми соавтора, сведущего в психологиях.
(Reply) (Thread)
From: oopk
2016-05-13 01:05 pm (UTC)
(Я не дилетант в лени!)
Люди привыкли, что за ними следят, причин скрывать что-то у большинства особо нет, лень париться, а бесплатные работающие решения без не очень нужных функций безопасности прут изо всех щелей (Скайп вот как обновление Окон и т.п.).
А Сноуден — хороший повод ныть и ощущать себя жертвой, чтобы продолжать лениться.

Что уж там, если Tor броузер используется не для анонимизации и т.п., а для скачивания с rutracker-а, потому что в два щелчка устанавливается и дальше как броузер и работает.

В вопросах, связанных с зарабатыванием денег, обычной электронной почты с PGP (хоть не RC4) или TrueCrypt-а (хоть не zip под паролем) вроде бы пользователей встречал, а зачем нужны многие другие перечисленные технологии — не понял.

Безопасность на смартфоне? Встречал наклеивание защитной плёнки, чтобы сбоку экран видно не было (потому что подглядеть мог бы кто не должен, а стоит рядом), а всякие там программные технологии — смысл?
(Reply) (Thread)
[User Picture]From: arkanoid
2016-05-13 01:39 pm (UTC)
насчет ныть это очень важное наблюдение

я давно когда-то писал небольшое эссе об административных проблемах ИБ

где специально выделил тот факт, что декларативные цели отличаются от реальных! и у людей и у организаций! и пока мы не научимся выявлять и обслуживать реальные, отличные от декларируемых, потребности, при этом честно их сформулировав для начала, будет невнятная херня!
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: bormotov
2016-05-13 01:48 pm (UTC)
А что такого сложного с zRTP на платформе где уже всё есть?
Можешь тут в двух словах свою версию высказать. почему никто не почесался?
(Reply) (Thread)
[User Picture]From: arkanoid
2016-05-13 02:12 pm (UTC)
ну это утомительная, нудная задача по заточке интероперабельности компонентов. красноглазым неинетересно, даже за деньги.
(Reply) (Parent) (Thread) (Expand)
(Deleted comment)
From: silly_sad
2016-05-14 07:21 am (UTC)
(1) Net ne slushajet i ne chitajet -- zajebjoshsja vsex chitatj.
(2) "scandal" na 100% postanovka chtoby ubeditj poljzovatelej chto i apple i FBR na sluzhbe rodine.
(Reply) (Parent) (Thread)
(Deleted comment)
(Deleted comment)
[User Picture]From: vit_r
2016-05-13 02:43 pm (UTC)
Первым делом, людям деловым некогда заморачиваться. Вторым, молодёжь склонна к Интернет-эксгибиционизму. (Причём, в этом повинны как твиттер с фесбуком, так и то, как их учат в школе.)

Чтобы что-то защищать, надо иметь что-то ценное. У основной массы кроме котиков ничего нет.

Плюс разрушительные взломы заменились сейчас паразитическими. Профессионалам не надо показывать, что они круты и пугать пользователя, если можно использовать его ресурсы или тихо качать информацию.
(Reply) (Thread)
[User Picture]From: Iliya Krasnokutskiy
2016-05-25 06:59 pm (UTC)
... ага ага чего собака с кузни стащит ... согласен!
(Reply) (Parent) (Thread)
[User Picture]From: mik
2016-05-13 02:49 pm (UTC)
4 года назад с коллегой сконструировали zRTP+OTR (OpenFire на сервере и Jitsi клиентом), но не нашли бюджета для ява-программера для доведения всего этого уёбищного UI до ума.

За это время Jitsi стал чуть менее уёбищным и глючным, пользуюсь комплектом до сих пор. Как это коммерциализировать - непонятно.
(Reply) (Thread)
[User Picture]From: redreptiloid
2016-05-13 04:15 pm (UTC)
а тем временем whatsapp? который facebook и palantir :) запустил end2end шифрование между клиентами. сделав упомянутый безопасный voip для народа.
подложив тем самым огромную свинью любителям крипто и анонимности через пару забавных косвенных эффектов.

ну а вопросы все риторические на самом деле и ответ очень краток:
шифропанки шифровали байтики, тогда как людям нужны безопасные коммуникации в человеческом смысле этого слова а не передачу невскрываемых пакетов по сети.

(Reply) (Thread)
[User Picture]From: arkanoid
2016-05-13 04:21 pm (UTC)
задачу operations security тоже нужно решать в понятном идиоту виде.
(Reply) (Parent) (Thread) (Expand)
(no subject) - (Anonymous) Expand
[User Picture]From: tzirechnoy
2016-05-13 06:47 pm (UTC)
Да ладно, не прибедняйся -- остальные тожэ нифига не понимают и в технической и в соцыальной области.

А ты мог бы себе какой-нибудь грант выбить на написание научного труда. А потом ещё phd защитить по итогам.
(Reply) (Thread)
(Deleted comment)
From: anonim_legion
2016-05-13 11:02 pm (UTC)
Этот самый zRTP требует от пользователя читать вслух своему собеседнику некие буковки, сверяя ключ:

- Алё, Вася! Тут мне пишут чегой-то - а, эн как русская и наоборот, эс как доллар, три, шесть, восемь, бздно. Чего? Ну буква эта такая, 𝔹, видимо функциональщики писали, они любят непонятными буковками повыделываться перед простыми смертными, которые теорию категорий не знают.

Я делал защищенную корпоративную телефонию на Freeswitch, c SSL и SDES. Ни один из опенсорцных бесплатных клиентов не заработал нормально, голос просто не шел или был чрезвычайно искажен, пока я явным образом не ограничил разнообразие методов шифрования в самом FS. После этого, нормально стали работать Jitsi и Linphone, а также мобильный Zoiper. Причем, кодеки тоже пришлось ограничить до uLaw, иначе через некоторое время голос становился совершенно неразборчивым.

Что характерно, сам Freeswitch без специальных настроек идеально стыкуется с провайдером Twilio по SSL, то есть - в серверной части все готово, проблема только в клиентах (типичные опенсорцопроблемы).

Существует два софтфона, использующих FS как библиотеку, один на QT (совсем плохой), другой на С# WPF (он хотя бы запускается). Они оба чрезвычайно кривые и почти непригодны к использованию, но - само их ядро, FS - почти безупречно, там внутри все же sip-stack от Nokia, SofiaSip. У меня есть желание сделать нормальный софтфон на этой основе, осталось только найти на это денег, инвестора.

Нытье: на меня еще и наезжают, что я-де долго все это поднимал и во всем этом разбирался. Существует контора 3CX с соответствующим телефонным сервером и клиентами для защищенных разговоров, они просят по 1000$ за инсталляцию, пригодную для мелкой компании из 8 человек. Я так считаю, что если некий продукт продается за весьма немаленькие деньги, стало быть, эта область не имеет нормальных бесплатных решений, и это вам не апач с похапе и почтовиком поднять, а нечто более сложное. Зла не хватает...
(Reply) (Thread)
From: silly_sad
2016-05-14 08:01 am (UTC)
na samom dele ja protivnik shifrovanija.
mozhno dolgo ob etom pisatj, no ja pridumal dlja ljubitelej "shifrovacca" korotkuju formulu:

It is easy to disappear an invisible man.
(Reply) (Thread)
[User Picture]From: arkanoid
2016-05-14 05:01 pm (UTC)
Нет-нет.

Шифрование это отлично.
Но шифровать нужно ВСЕ, а не "важное" или "секретное".
Иначе это первый фейл операционной безопасности.
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: sporaw
2016-05-15 06:26 pm (UTC)
> Почему не было реального спроса до Сноудена, хотя "ничего нового не рассказали".

Когда некто говорил нечто подобное (что было реально очевидно или частично известно по ряду обстоятельств), то практически любой оппонент автоматически заявлял - бред, чушь, неуловимый джо, никому не нужно, дорого, бла-бла-бла и еще 1000 аргументов из той же серии. И в итоге говорящий человек представал перед всеми фриком и маргиналом, неадекватом. Что-то на уровне "рептилоиды среди нас".

Сноуден же "легализовал" весь этот набор для вдалбливания простым массам. Теперь появилась возможность тупо тыкать носом - на, смотри.
(Reply) (Thread)