Prijavi se z GoogleID

» »

Varnostna analiza anonimizacijskega omrežja Tor

Varnostna analiza anonimizacijskega omrežja Tor

Slo-Tech - Steven J. Murdoch in George Danezis iz University of Cambridge sta pred kratkim objavila članek z naslovom Low-Cost Traffic Analysis of Tor.

Kot pove že naslov, gre za varnostno analizo anonimizacijskega omrežja Tor. Avtorja v članku opisujeta uspešen napad na anonimizacijsko omrežje s pomočjo tehnike analize prometa.

Kot vemo, omrežje Tor deluje tako, da promet uporabnika šifrira in ga naključno preusmerja po omrežju do izstopne točke. S tem naj bi dosegli anonimizacijo uporabnika, saj je sledenje prometa med točkami v Tor omrežju izredno težko izvedljivo. Oziroma - vsaj tako so bili avtorji prepričani do pred kratkim.

Avtorja sta namreč novembra 2004 izvedla eksperiment, v okviru katerega sta ugotovila, da je mogoče uporabnika izslediti do vstopne točke v Tor omrežje. S tem pa se stopnja anonimizacije bistveno zmanjša. Prav tako sta z analizo prometa ugotovila, da je mogoče sicer nepovezane podatkovne poti posameznega uporabnika povezati med seboj.

Tehniko analize prometa sicer uporabljajo v kriptoanalizi, Murdoch in Danezis pa sta dokazala, da jo je mogoče uporabiti tudi za analizo anonimnih komunikacijskih tokov.

Razvijalci omrežja Tor so z njunimi ugotovitvami in predlogi za izboljšavo omrežja že seznanjeni. Poleg te varnostne pomankljivosti pa jih trenutno pestijo še težave povezane z uporabo Tor omrežja za prenose datotek preko P2P. Pred kratkim je namreč nekdo objavil članek, ki opisuje kako uporabljati P2P programe preko Tor omrežja. Posledično se je promet v omrežju Tor povečal do te mere, da je uporaba ostalih storitev postala praktično nemogoča. Na poštnih seznamih Tor omrežja zato trenutno potekajo debate ali Tor povsem zapreti za P2P promet, P2P prometu nastaviti najnižjo prioriteto ali pa najti kakšno tretjo rešitev.

Mimogrede, še informacija za uporabnike programa TorPark. TorPark je prilezel do verzije 0.4.1 in je sedaj na voljo tudi v slovenščini. V prihodnje različice bodo razvijalci vključili še podporo protokolom za neposredno sporočanje (zelo verjetno bo uporabljen prenosni Gaim), pričakujemo pa lahko tudi implementacijo "paničnega gumba", ki bo v primeru nuje pobil vse procese na računalniku in pobrisal vse datoteke iz USB ključa.

65 komentarjev

strani: « 1 2

_n00b_ ::

Skoda...

OwcA ::

pričakujemo pa lahko tudi implementacijo "paničnega gumba", ki bo v primeru nuje pobil vse procese na računalniku in pobrisal vse datoteke iz USB ključa

V čem je poanta tega? V kolikor bi ti nekdo namerval zaseči ključ in računik, lahko precej verjetno tudi rekonstruira podatke, mar ne?
Otroška radovednost - gonilo napredka.

DCER ::

Odvisno, če prepišeš podatke dovolj-krat s naključnimi, se starih podatkov ne da več obnoviti. Mislim da nekje 10x zadostuje nisem pa prepričan.

Matthai ::

Owca... 8-) USB ključi uporabljajo vfat... wiping na vfatu zelo lepo deluje...

V bistvu sem predlagal, da se najprej izvede one-pass wiping, nato pa še gutmanova metoda (če je dovolj časa). Seveda se najprej pobrišejo datoteke z osebnimi informacijami, nato tor klient, sledi pa deer park...
All those moments will be lost in time, like tears in rain...
Time to die.

OwcA ::

Tako kot pri mehaničnih diskih, tudi pri FLASH diskih sledi ostanejo po vseh nedestruktivnih (pravzprav tudi po večini destruktivnih) metodah odstranjevanja podatkov.

Smisel takšnega gumba zato vidim le v navezi s kakšno gospodarsko špijonažo in podobnim, ne pa kadar se "boriš" proti državi. Ampak potemtakem je tudi uporabnost Tora precej manjša.
Otroška radovednost - gonilo napredka.

CaqKa ::

nekdo pa je čist obseden s temle omrežjem...

MrStein ::

"Kot pove že naslov, gre za varostno analizo"
Ne, ne pove.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Jux ::

@CaqKa
Kaj hočeš povedat s tem?
web&blog&etc: http://lukabirsa.com

alexb ::

Hoce povedati, da je matthai cisto obolel s temi svojimi novicami. Kot da bi bil na drugi strani zakona in mu nekaj jemljejo..

Vesoljc ::

jest sem tud podoben feeling dobil :)
Abnormal behavior of abnormal brain makes me normal...

neoto ::

Prej se sploh nisem s tem seznanil, zdaj pa vidim, da me malce vse skupaj spominja na Freenet. Je tukaj slučajno kaj skupnega ?

Matthai ::

alexb, če delaš za kakšno represivno inštitucijo, te je upravičeno strah.
Ko bo data retention uveljavljen, bo namreč tudi Tor že tako razvit, da bodo represivni organi dejansko imeli probleme izvajati represijo nad ljudmi. Tudi razne RIAA in MPAA bodoimele zaradi tega probleme. Tako da je te ustanove Tora lahko strah.

Veseli me pa seveda tudi nekaj drugega. Veliko podjetij omejuje svobodo zaposlenih in posega v njihovo zasebnost kao zato, da bi preprečili zlorabo notranjih informacij. Namesto da bi ljudi spodobno plačali in motivirali(!), jih na nek način zasužnjujejo s tehnološkimi sredstvi.
No, stvar je v tem, da so dragi filtering programi neučinkoviti proti določenim tehnikam izogibanja nadzoru, ki bodo v bodoče vgrajene v TorPark.

Če si firme ne dajo zlepa dopovedati, da represija nad zaposlenimi ni rešitev, si bodo dale potem, ko bodo videle, da njihove milijonske naložbe za zaščito omrežij podre en ubogi TorPark z nekaj dodatki.

V posebno zadovoljstvo si štejem, da bodo te tehnike v TorPark vgrajene na mojo pobudo. 8-)
All those moments will be lost in time, like tears in rain...
Time to die.

Matthai ::

MrStein... Traffic Analysis JE varnostna analiza. Vsaj meni je to popolnoma jasno že iz naslova članka.

Kaj pa naj bi bila analiza prometa drugega kot to???
All those moments will be lost in time, like tears in rain...
Time to die.

antonija ::

Zame je analiza prometa pac ena statisticna obdelava podatkov ki se prenasajo po omerzju, nic v zvezi z varnostjo...
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

OwcA ::

Če si firme ne dajo zlepa dopovedati, da represija nad zaposlenimi ni rešitev, si bodo dale potem, ko bodo videle, da njihove milijonske naložbe za zaščito omrežij podre en ubogi TorPark z nekaj dodatki.

Se ti ne zdi neodgovorno tako nekritično propagirati Tor? S tem, ko ga uporabiš na delovnem mestu, jasno poveš, da bodisi ne zaupaš svojemu delodajalcu, bodisi delaš nekaj, kar se ti ne zdi prav (ni nujno, da legalno, lahko le legitimno). Lahko potem podjetje zaupa takšnemu človeku? Dejansko se, na podlagi nekega akademskega zanimanja, potenicalno igraš s karierami in posledično življenji ljudi.
Otroška radovednost - gonilo napredka.

Matthai ::

TA je več kot zgolj statistična analiza. Razvili so jo kot odgovor na kriptografijo - seveda v vojski.
All those moments will be lost in time, like tears in rain...
Time to die.

Matthai ::

S tem ko podjetje nadzoruje internetne aktivnosti zaposlenih jim jasno pove, da jim ne zaupa, da jim krni avtonomijo in da jih posledično tudi izkorišča. Hkrati se firma s tem izpostavlja kazenskemu pregonu (ja, tudi pri nas je policija že obravnavala primer nezakonitega branja e-pošte s strani admina) in visokim odškodninam.

Mimogrede, o temi nadzor na delovnem mestu bom imel konec novembra v Novi gorici tudi predavanje. Lahko prideš poslušat, če te zanima.

Bodo pa predstavljeni pravni vidiki. Verjetno bo marsikateri delodajalec neprijetno presenečen...
All those moments will be lost in time, like tears in rain...
Time to die.

OwcA ::

Kako nadzorovani ve, da je nadzorovan?
Otroška radovednost - gonilo napredka.

hanibal ::

owca
S tem, ko ga uporabiš na delovnem mestu, jasno poveš, da bodisi ne zaupaš svojemu delodajalcu, bodisi delaš nekaj, kar se ti ne zdi prav (ni nujno, da legalno, lahko le legitimno).

A bi se mogel opravičevat, če ne zaupam svojemu delodajalcu?
A bi se mogel opravičevat, zaradi nezaupanja v kogarkoli ali karkoli?
A smo spet na tistem: če kaj skrivaš - si gotovo kriv?
A je tudi v našem delu sveta, ratalo normalno, da "Tisti ki niso z nami, so proti nam"?
Axis of Evil - M$, SCO, RIAA, MPAA

OwcA ::

A bi se mogel opravičevat, če ne zaupam svojemu delodajalcu?
A bi se mogel opravičevat, zaradi nezaupanja v kogarkoli ali karkoli?

A te mora firma izbrati za nasleden velik projekt?
A moraš napredovati?
A moraš dobivati stimulacijo?

Glede na citat spodaj, dopuščam možnost, da imaš težave z bralnim razumevanjem, zato bom napisal še enkrat, bolj eksplicitno. Ne postavljam pod vprašaj pravice do zasebnosti, niti pravice do uporabe Tora. Opozarjam le potencialne posledice takšnega početja, oziroma karam vas, zagovornike, da tega ne storite.

A smo spet na tistem: če kaj skrivaš - si gotovo kriv?
A je tudi v našem delu sveta, ratalo normalno, da "Tisti ki niso z nami, so proti nam"?

Če že podtikaš, se vsaj malo potrudi. ;)
Otroška radovednost - gonilo napredka.

Matthai ::

Hm, Owca, v bistvu si odprl zanimivo vprašanje.

Vprašanje bi lahko bilo: ali s tem, ko razvijajo Tor, razvijalci ne ustvarjajo situacije, ko bodo politični oporečniki na Kitajskem že zaradi posedovanja Tora žrtev preganjanja?

Ali se razvijalci Tora potenicalno igrajo s karierami in posledično življenji ljudi? V tem primeru pač Kitajcev?

Če potegnemo paralelo s podjetji. Zakaj je državni nadzor na Kitajskem bolj nelegitimen od nadzora v podjetju?

Argument podjetja je, da jim interne grožnje predstavljajo nevarnost za preživetje. Argument Kitajske je, da jim interne grožnje lahko povzročijo verižno reakcijo, ko se bo narod začel buniti in bo sistem razpadel. Državljanska vojna v Jugoslaviji je lep primer kaj se lahko zgodi, ko državna kontrola popusti - tako verjetno razmišljajo kitajske oblasti.

Zaposleni lahkovedno odide iz podjetja. Ampak tudi iz Kitajske se lahko izseliš. Ni enostavno, vendar tudi to, da ostaneš na cesti ni enostavno.

Tole me resno zanima.

Pa še nekaj. Zakaj je legitimno biti oporečnik na Kitajskem in brati necenzurirane spletne strani in pisati bloge - to pa ni legitimno v podjetju? Seveda, v podjetju uporabljaš sredstva delodajalca. Ampak tudi internet na Kitajskem je "državen". Ali je upravičeno da za tistih 8 ali 12 ur postaneš LAST pojetja, brez avtonomije, brez lastne osebnosti? Ali se je neupravičeno temu upreti?

Moje mnenje je, da če podjetje ne zaupa svojim zaposlenim - in da jim ne zaupa jim kaže s tem,da jih nadzoruje - potem je s tem podjetjem nekaj hudo narobe. Potem to podjetje lahko kupi ne vem kakšno tehnologijo, pa ne bo preprečilo, da bi jim užaljeni zaposleni zabil nož v hrbet.

Pa ne govorim samo o plači. V ustanovi kjer delam, imamo razmeroma slabe plače. Ampak nikomur ne pride na misel, da bi zajebal celoten kolektiv. Zato, ker smo povezani v skupnost, ker vemo, da je naša firma naša prihodnost, in ker si sami soustvarjamo prihodnost.

Če firma svojim ključnim ljudemne zaupa, potem je to zelo hudo.

Pa ne bluzit sedaj, da zaposleni preveč časa porabijo na internetu. Pri nas je jasno nekaj: delo MORA biti opravljeno. ČE boš zjutrja 2 uri vlekel filme je tvoja stvar. Roke je treba spoštovati, delo mora biti narejeno, rezultati morajo biti vidni. Ja, tudi ponoči delamo včasih. Ampak glede uporabe interneta pa nam nihče ne teži. Če so pa kakšni hudi stroški - glede telefona npr. je pa tudi jasno. Toliko denarja imamo - če ga bomo zagonili za neumnosti, ga bo manj za novo opremo, razvoj in plače. In vsi se zavedajo da je treba ravnati odgovorno. Brez prisile.
In verjamem, da je v večini normalnih firm tako.
All those moments will be lost in time, like tears in rain...
Time to die.

Nejc Pintar ::

@Matthai:
To je precej odvisno od velikosti kolektiva, pri večjih kolektivih je pretok denarja tako velik da se visenje ene tajnice na telefonu ne pozna:|

Drugače pa so majhni kolektivi res super:)
Lahko je biti prvi, če si edini!

Matthai ::

Opozarjam le potencialne posledice takšnega početja, oziroma karam vas, zagovornike, da tega ne storite.
Vsak razvoj, vsaka tehnologija ima posledice. Tudi negativne.

Recimo odkritje P2P ima velike posledice. Za vse, ki so zavedeni v piratstvo.

So zato razvijalci BitTorrenta zločinci (ali samo neodgovorneži)?

Problem je v tem, da če ljudem tupiš v glavo, da represija in nadzor pri zaposlenih povzročata odpor, enostavno nočejo tega dojeti. Zakaj? Zato, ker bi bile potem njihove investicije v nadzorno opremo zgrešene. Bolj varno je vztrajati na svojem zgrešenem stališču.

Potem pač rešeč, v redu, in jim pokažeš tehnologijo, ki vrednost njihovih investicij v hipu razveljavi na nulo. Če ne gre zlepa gre pač hard way.

BTW: tudi Čeferin je nekajkrat branil kakšnega klienta brezplačno. Zato, da je državi dokazal, da mora ravnati drugače. In dejansko je država dostikrat potem orala začeti ravnati drugače.
All those moments will be lost in time, like tears in rain...
Time to die.

Matthai ::

Nejc: saj jaz delam v enem precej velikem kolektivu, ampak oddelek je pa majhen. In pripadnost oddelku je velika.
All those moments will be lost in time, like tears in rain...
Time to die.

Boeing ::

...Ali je upravičeno da za tistih 8 ali 12 ur postaneš LAST pojetja, brez avtonomije, brez lastne osebnosti? Ali se je neupravičeno temu upreti...

Matthai in ostali, počasi se boste morali zavedati, da je biti v službi tudi pri nas postal že prekleto velik privilegij in sprejeti miselnost, da si ti v službi plačan za to, da si tam. Kaj in kako boš tisti čas (čas, za katerega si plačan) počel, pa ni tvoj problem - to je problem delodajalca.

Če dobiš nalog naredi to in to na tak in tak način, potem osebno smatram, da če te plačam, potem imam vso pravico od tebe pričakovati, da zastavljeno nalogo opraviš na način, kot se meni kot plačniku zdi najbolje. Pri tem seveda lahko upoštevam tvoje predloge, lahko jih pa tudi ne. Dokler te nekdo plača za 8 ur na dan, potem je teh tvojih 8 ur pač last tistega, ki te plačuje in konec debate. Če ti ne paše - lepo prosim, zaziher je tam zunaj kdo, ki bo rade volje poprijel za delo.


Je pa res, da če delodajalec utemeljeno sumi, da mu iz podjetja odnašaš informacije, te ima vso pravico zašiti. No, mislim pa, da bi moralo to biti vse sproti dokumentirano v okviru podjetja in med večimi ljudmi. Po drugi strani pa spet, "zasebni maili" se res nobenega ne tičejo in samo z zasebnimi maili ravno ne sprožiš sumničavosti nadrejenega, je tako ?

:)

Sicer pa nad vsem zgoraj napisanim velja "zdrava pamet", kot si sam napisal nekaj postov višje.
Ko segaš po zvezdah ne skrbi, če kakšno zgrešiš... Morebiti ujameš Luno...
R50e AS355n, T-Rex600FBL, T-Rex500FBL, T-Rex450FBL, Futura + JetCat 200SX

OwcA ::

Kar se mene tiče, se začne problem že prej. Na točki, ko sprejmeš odločitev, da boš uporabljal Tor. Ovrednotiti je potrebno štiri postavke:

1) Verjetnost, da si nadzorovan
2) vrednost zavarovanja informacij
3) verjetnost, da nadzornik opazi tvoj "beg"
4) škodo, ki jo lahko povzroči odkritje.

Vsakdo, ki uporablja Tor in se tega ne zaveda, je žrtev ideologije. Legitimnost je tu relevantna le v ekstremnih primerih, ko aktivno delaš na prevratu in jo lahko vkomponiraš v 2). Motiv za nadzor je lahko legitimizacijsko sredstvo zate in kot tak še manj pomemben. Če sprejmemo realnost sveta v katerem se dogajajo neprestani posegi v naše pravice, lahko mirno rečemo bobu bob in prepustimo skrb za legitimizacijo revolucionarjem in pesnikom.

Država te za zaupanje načeloma ne bi smela kaznovati. Če te, moraš seveda tudi to vzeti v račun. Pri podjetju to ne drži nujno. Poleg tega lahko na povsem legitimen način ugotovijo, da uporabljaš Tor. Za nekoga, v tem primeru tvojega šefa, ki s to problematiko nima nobnega stika, bo takšno dejanje kaj lahko sprožilo sumničavost. Postaneš stigmatiziran. "Kazen" je lahko tako povsem nenamerna, ampak še vedno je naš nadebudni uporabnik Tora resno onemogočen in posledično oškodovan.

Vprašanje bi lahko bilo: ali s tem, ko razvijajo Tor, razvijalci ne ustvarjajo situacije, ko bodo politični oporečniki na Kitajskem že zaradi posedovanja Tora žrtev preganjanja?

Bolj kot razivjalci zagovorniki in propagatorji.

Problem je v tem, da če ljudem tupiš v glavo, da represija in nadzor pri zaposlenih povzročata odpor, enostavno nočejo tega dojeti. Zakaj? Zato, ker bi bile potem njihove investicije v nadzorno opremo zgrešene. Bolj varno je vztrajati na svojem zgrešenem stališču.

Potem pač rešeč, v redu, in jim pokažeš tehnologijo, ki vrednost njihovih investicij v hipu razveljavi na nulo. Če ne gre zlepa gre pač hard way.

Če je vložek v opremo za nadzor večji od kakšne skripte, ki analizira loge, ti bo verjetno že sama uporaba Tora zadosten razlog za bodisi sprejtje ukrepov, bodisi postritev nadzora. Mar ne?
Otroška radovednost - gonilo napredka.

Zgodovina sprememb…

  • spremenilo: OwcA ()

Kami ::

Dokaj kul programpak ampak imho, če rabiš kaki simpl program za dva komunikacirat pa naj bi bilo dobro enkriptano je še vedno najboljše, da napišeš svoj program in svoj algoritem za enkripcijo :)
http://www.ubuntu.si || http://www.freebsd.si

OwcA ::

Če prav razumem, ni toliko poanta v enkripciji sami, kot v onion routing-u.
Otroška radovednost - gonilo napredka.

Zgodovina sprememb…

  • spremenilo: OwcA ()

Kami ::

Jap to je res ampak se tema malo sem obrnila :)

Drugače pa ok program kot sem že reko ampak za enkrat še ga nimam potrebe uporabljat
http://www.ubuntu.si || http://www.freebsd.si

Azrael ::

Zanima me v vrednost Tor omrežja, če se začne zbirati prometne podatke?

Konec koncev, vsaj jaz tako razumem, kar je prišlo od A do B, po še tako zaviti poti, je beleženo. Uporabnik Tor omrežja ali nekih enkripcij pa še za precej stopenj bolj sumljiv, kot tisti, ki pošiljajo plain maile in brska po netu z IE...

Res ne vem, nisem strokovnjak za te stvari, kje in kdaj je sploh smiselnostna uporaba Tor in enkripcije za navadnega uporabnika?
Nekoč je bil Slo-tech.

OwcA ::

Načeloma naj ne bi mogel povezati zahtevka iz A z odgovorom iz B. Veš kvečemu, da je zahtevek prišel iz Tor omrežja in da je B poslal odgovor v Tor omrežje.
Otroška radovednost - gonilo napredka.

Barakuda1 ::

Da ne bom predlog.

Osebno sem velik zagovornik zasebnosti, a tokrat moram dati pomislekom OwcA prav.

Azrael ::

Torej B ve, da ga je poklical A in komunikacija teče (malo bolj počasi, ampak dela), ker drugače kot dvosmerna komunikacija ne gre.

Npr. ko je prišel ven Tor, sem se malo igračkal z njim in na testu ShieldsUp! (na www.grc.com) sem dobil nazaj svoj IP (OK, dopuščam možnost, da sem kaj narobe nastavil).

Zato mislim, če bo beležen ves internetni promet, da je zaunterisiranim moč rekonstruirati povezave, samo mogoče to traja malo več časa, kot brez uporabe Tor omrežja. Mogoče bo dalo dovolj časovnega zamika za kakšno lopovščino, kaj več pa ne, kar bo hitro pripeljalo do(upravičene?) prepovedi tega protokola.
Nekoč je bil Slo-tech.

OwcA ::

Torej B ve, da ga je poklical A

Ne, B ve, da ga je poklical Tor.
Otroška radovednost - gonilo napredka.

CaqKa ::

>>> @CaqKa
>>> Kaj hočeš povedat s tem?

sem mislo da si pismeno funkcionalen.

>>> S tem ko podjetje nadzoruje internetne aktivnosti zaposlenih jim jasno pove, da jim ne zaupa, da jim krni avtonomijo in da jih posledično tudi izkorišča.

kaj ti si prišo v službo si denar zaslužit, al se norca delat?

Zgodovina sprememb…

  • spremenil: CaqKa ()

Matthai ::

Boeing (in tudi CaqKa): podjetja se bodo morala zavedati, da so locirana v Evropi. In v Evropi velja evropska zakonodaja, ne ameriška. Obstjajajo odločbe sodišč (npr. evropsko sodišče za človekove pravice, Kasacijsko sodišče Francije, tudi pri nas), ki pravijo, da ima zaposleni TUDI na delovnem mestu pravico do zasebnosti.

In ima tudi avtonomijo.

Da, delodajalec te nima v lasti za 8 ur - še vedno imaš avtonomijo.

Je pa res, da je v ZDA praksa malce drugačna. Ampak zaenkrat smo še v Evropi.

Če dobiš nalog naredi to in to na tak in tak način, potem osebno smatram, da če te plačam, potem imam vso pravico od tebe pričakovati, da zastavljeno nalogo opraviš na način, kot se meni kot plačniku zdi najbolje.
Definitivno. Vendar je to podobno kot z draženjem psa. Če ga dražiš, kar imaš kot lastnik seveda pravico, te bo morda ugriznil. Če ga obravnavaš spoštljivo, bosta lahko sodelovala. V slednjem primeru je izkupiček zate večji.

Gre samo za vprašanje ali si lastnik firme želi dokazati da je on šef (in morda zdraviti komplekse), ali pa si želi večjo učinkovitost. Seveda je odločitev povsem njegova.

Sicer sem mnenja, da večina lastnikov zna razmišljati racionalno, kajti mnogo podjetij dejansko poskrbi za udobje zaposlenih. Bolj so problem firme, ki prodajajo nadzorno tehnologijo in njihov marketing.

Je pa res, da če delodajalec utemeljeno sumi, da mu iz podjetja odnašaš informacije, te ima vso pravico zašiti.
Absolutno! Opozarjam samo, da mora v tem primeru za nadzor dobiti odredbo sodišča oz. poskrbeti, da je nadzor zakonit. Zakaj? Zato, ker so znani primeri, recimo tudi pri nas, ko je nekdo v firmi kradel, delodajalec mu je nastavil kamero, ga posnel, odpustil, na koncu se je pa tat pritožil na sodišče, ki je ugotovilo, da je bil dokaz nezakonito pridobljen. Tipa so morali sprejeti nazaj v službo in mu tudi plačati odškodnino. Če bi se delodajalec prej posvetoval s policijo - en klic ali kratek sestanek, bi tatu gladko zašil.

Komu je torej v interesu spoštovanje veljavne zakonodaje?

Owca:
Ovrednotiti je potrebno štiri postavke:
1) Verjetnost, da si nadzorovan

V bistvu je te verjetnost precej velika. Zakaj? Včasih si lahko utemeljeno sumil, da si nadzorovan, če si se ukvarjal s kakšno ilegalno dejavnostjo. Danes je v nekaterih državah dovolj, da si mirovni aktivist, da javno rečeš da je Bush prasec, ali kaj podobnega. Poleg tega data retention uvaja nadzor nad vsemi.
Recimo dejstvo, da imaš mobilni telefon, danes v sloveniji že pomeni, da si nadzorovan. Zakaj? Zato, ker zakonodaja omogoča shranjevanje prometnih podatkov za 3 mesece. Skratka, ne rabiš biti nek kriminalec, dovolj je da tehnologijo uporabljaš, pa si že nadzorovan. Sicer je stopnja nadzora manjša, vendar nadzor je nadzor.
V podjetju kjer imajo nadzorno tehnologijo je tudi velika verjetnost. Poznam primere slovenskih podjetij, kjer managerji na koncu meseca z zanimanjem pergledujejo izpiske GSMja, uporabe interneta, itd. Pa ne zato, da bis prejeli kakšne ukrepe. Gre bolj za njihovo perverznost, užitek, ko kukajo v življenje nekoga drugega.

2) vrednost zavarovanja informacij
V podjetjih praviloma velika. Ampak problem je v tem, da se nadzor uvaja na silo, in da je nadzor predstavljen kot edini ukrep za zavarovanje informacij. Jaz načeloma nimam nobenih problemov delati v nadzorovanem okolju, če sem le vnaprej seznanjen z razlogi za omejitve, kdo in kdaj ima dostop do podatkov, koliko časa se podatki hranijo. Skratka, če se upoštevajo moje zakonite pravice. Če je nadzor transparenten. Problem je v tem, da ni. Da šef ne gleda logov v primeru ko je prišlo do incidenta, pač pa iz radovednosti "peeping Toma". Zanima ga pač kako in s kom komunicira luštna tajnica...

3) verjetnost, da nadzornik opazi tvoj "beg"
No, tukaj smo že na spolzkem terenu. Namreč, če pristanemo na logiko, da ne smemo zbujati pozornosti, potem pristanemo na "prostovoljen" nadzor. V bistvu nadzor ponotranjimo, to je pa najhujša oblika totalitarizma. Foucault je lepo pisal o tem. Pred njim pa Bentham.

4) škodo, ki jo lahko povzroči odkritje.
Isto kot prej - škoda, ki jo povzroči odkritje, da ne pristajaš na prostovoljno podreditev, da si se pripravljen upreti.

V bistvu s tem uvajamo hlapčevsko logiko. "Bodimo pridni, ne vzbujajmo pozornosti, da ne bomo kaznovani". Idealno za rast totalitarizma - v državi ali v podjetju.

Za nekoga, v tem primeru tvojega šefa, ki s to problematiko nima nobnega stika, bo takšno dejanje kaj lahko sprožilo sumničavost. Postaneš stigmatiziran.
Točno.
Ampak po drugi strani - če šef nenadoma uvede nadzor nad zaposlenimi, mar to pri zaposlenih ne sproži sumničavost? Šef jim ne zaupa. Zakaj bi potem oni zaupali njemu? Šef zganja (sicer blago in prefinjeno) represijo nad njimi. Represija navadno sproži odpor (lahko tudi nezadovoljstvo). Vprašanje je, ali si podobna vprašanja zastavljamo tudi, ko gre za uvajanje nadzornih tehnologij, ali samo ko gre za uvajanje tehnologij, ki nas nadzora lahko osvobodijo?

Dajmo potegnit paralelo s P2P. Če ga uporabljaš, si že "pirat". Pa čeprav si prenašaš zgolj Linux ISOte. A ni upravičeno, da se tej logiki upreš? Ali pa je treba na to pristati in ne razvijati takih tehnologij, oziroma sploh ne razmišljati o tem, da bi se nadzoru izognil, da ne bi slučajno pritegnil preveč pozornosti nadzornika?

Če je vložek v opremo za nadzor večji od kakšne skripte, ki analizira loge, ti bo verjetno že sama uporaba Tora zadosten razlog za bodisi sprejtje ukrepov, bodisi postritev nadzora. Mar ne?
Ali obratno - uvedba nadzora kar nenadoma lahko pri zaposlenem sproži razmišljanje o nepravičnosti teh ukrepov (govorim o dojemanju nepravičnosti, ne nujno dejanski nepravičnosti) in izogibanju nadzoru. Skratka - uvedba nadzora je lahko razlog za uporabo Tora.

Kami: če rabiš kaki simpl program za dva komunikacirat pa naj bi bilo dobro enkriptano je še vedno najboljše, da napišeš svoj program in svoj algoritem za enkripcijo :)
Napaka. Bolj se splača uporabiti preiskušen algoritem, kot izumljati lastno enkripcijo. Kriptoanaliza je zadeva, ki jo odlično obvladamo že vsaj od prve svetovne vojne dalje.

Azrael: Zanima me v vrednost Tor omrežja, če se začne zbirati prometne podatke?
...
Res ne vem, nisem strokovnjak za te stvari, kje in kdaj je sploh smiselnostna uporaba Tor in enkripcije za navadnega uporabnika?

Smisel je ravno v izogibanju data retentionu. Recimo uporaba Tor + P2P je lahko za večino navadnih uporabnikov zelo koristna zadeva. Pa za recimo pisanje na kakšne forume. Recimo v ZDA je imeti mirovniško spletno stran (oz. postati nanjo) lahko že dovoljšen razlog za to, da te začne nadzorovati FBI.
Koliko američanov si upa napisati, da je BinLaden morda v očeh Arabcev osvoboditelj, in da ga je sproducirala ameriška zunanja politika? Tudi, če je ta izjava napačna, naj bi veljala svoboda govora. Pa res velja?


Drugače pa je ta pomislek na mestu, kaj če bi dejansko nadzorovali vse računalnike, ali ne bi bilo mogoče ugotoviti kdo in kako uporablja Tor?
No, če je omrežje dovolj veliko in če uporablja tehnike za onemogočanje traffic analize, potem ne. Ena takih tehnik je recimo da je promet v Tor omrežju vedno 100%. Kadar se ne prenaša nič pametnega, se prenaša dummy promet. Ker je kriptiran in ker so vse povezave ves čas na 100% bandwitha pa od zunaj ne moreš ugotoviti kako poteka routing.
All those moments will be lost in time, like tears in rain...
Time to die.

CaqKa ::

>>> ki pravijo, da ima zaposleni TUDI na delovnem mestu pravico do zasebnosti.

meni ni sporno da ima pravico do zasebnosti, sporno mi je da bo delal nekaj drugega za kar ni plačan, v delovnem času namesto v zato predvideni pavzi. sploh pa .. če jaz njega nebom nadzoroval (s kamero ali pa filtriranjem prometa), potem tudi on nebo skrival svojih podatkov recimo s pomočjo tor omrežja. why the heck bi moral isp vedet, da se je nekdo iz moje firme povezal v tor omrežje? da bom izpadel kot nazauplivež?
daj no, pretiravaš. tokrat res.

Matthai ::

CaqKa, na podlagi česa ti postavljaš svoje trditve? Na podlagi prepričanj a brez dokazov?

Odločitev Kasacijskega sodišča Francije št. 99–42.942 z dne 2. 10. 2001: “delodajalec, ki bere sporočila, ki jih zaposleni pošilja ali sprejema preko službenega računalnika, krši temeljne pravice delavca, kot jih določa 8. člen Evropske konvencije o človekovih pravicah... To velja ne glede na to, ali je bil delavec vnaprej seznanjen, da službenega računalnika ne sme uporabljati v neslužbene namene... Podjetje ali druge ustanove ne smejo biti mesta, kjer bi delodajalci arbitrarno in brez omejitev izvajali svoje diskrecijske pravice; ne smejo postati okolja totalnega nadzora, kjer temeljne človekove pravice nimajo veljave... Menimo, da je splošna popolna prepoved uporabe e-pošte v neslužbene namene nerealna in krši pravno načelo sorazmernosti.”

Vir: Avtor: Klemenčič, Goran. "37. člen (varstvo tajnosti pisem in drugih občil)" V knjigi: Šturm, Lovro (ur.). 2002. Komentar ustave republike Slovenije, str. 391-408. Ljubljana: Fakulteta za podiplomske državne in evropske študije.

Jaz samo pravim, da ima firma lahko težave, če preveč posega v pravice delavcev. In kot sem že rekel: meni kot šefu je vseeno kaj delajo moji zaposleni (da le ne kršijo zakona in nabijajo previsokih stroškov). Kar me zanima je: DELO MORA BITI OPRAVLJENO DO ROKA IN V ZAHTEVANI KVALITETI.

In drugo kar pravim je: Tor je ODGOVOR na represijo. Čeprav se ga skuša sedaj prikazati kot vzrok ali vsaj povod zanjo. Ne, to je ODGOVOR.
All those moments will be lost in time, like tears in rain...
Time to die.

CaqKa ::

jaz pa pravim, da če boš ti uporabljal tor, ti bom povedal da bom jaz tudi uporabljal, da te bom nadzoroval. ali pa ti onemogočil tor.

Matthai ::

Zanimivo. Jaz pa pravim, da če me boš ti nadzoroval, bom uporabljal Tor.

Če mi boš uporabo Tora preprečil, bom pa kaj drugega uporabil.

Na koncu bo prišlo tako daleč, da bo nezaupanje popolno. Zaradi tega bo firma trpela.

Če zaposleni nima informacij, nemore biti učinkovit. Če informacije ima, jih lahko vedno ukrade in ti zabije nož v hrbet. Rešitev: potrebno je zaupanje.
All those moments will be lost in time, like tears in rain...
Time to die.

CaqKa ::

torej ko boš že tor uporabljal ga boš še enkrat? kul. samo razloži mi kak gre to :)

Matthai ::

Ne se delat da ne razumeš kaj ti hočem povedat. ;)
All those moments will be lost in time, like tears in rain...
Time to die.

CaqKa ::

mhm. to da je tor omrežje eden prvih dejavnikov, ki bo začel gradit nezaupanje med firmo in svojimi delavci.
pa četudi ni prvi dejavnik (ker je recimo firma nadzirala promet), je nezaupanje samo še podkrepil. in to tako, da zgleda kot, da delavci dejansko nekaj skrivajo.

Matthai ::

No, da ne bomo preveč govorili o podjetjih. Saj so problem tudi razni cybercaffeji, knjižnic, itd.

Drugače pa je treba pogledati reklamne slogane npr. prodajalcev opreme za videonadzor: zaupanje je dobro, nadzor je še boljši.

Skratka - s širjenjem nezaupanja so prva začela podjetja. In sedaj, ko imajo ljudje orožje, da udarijo nazaj, sedaj pa se začne nezaupanje pojavljati kot velik problem. Prej pa ne. Dvoličnost?
All those moments will be lost in time, like tears in rain...
Time to die.

OwcA ::

Bistveno je, da se zavedamo, da je na te štiri točke treba gledati kot na argumente odločitvene funkcije. Pavšalno reči, " V bistvu je te verjetnost precej velika" in se naprej nauduševati nad "panic button" tu ni pravi pristop, ker vsakdo izmed nas različno tvega ter različno vrednoti ideji zasebnost in svoboda.

Očitno sem bi moral tudi moje postavke bolj podrobno razložiti. Namreč:

Nadzor pod 1) se nanaša na obliko, ki jo Tor lahko prepreči, ne kar vse povprek.

Pod 2) je govora o informacijah, ki jih ti želiš skriti pred nadzornikom. Torej je mišljeno kot nadpomenka za vsakršen komunikacijski promet od in do tebe. Nadzornik jih seveda lahko vrednoti drugače.

3) in 4) suvaš povsem mimo ker te vleče na legitimizacijo. Še enkrat, legitimnost delovanja tu nima nobene teže, gre le za posameznikovo odločitev in njene posledice. Ja, verjetno bi se kaj spremenilo, če bi vsi nastopili složno in enotno, ampak za kaj takega trenutno še nimaš dovolj vojakov. Vse kar bo to preglasno bevskanje doseglo je izbolšavo nadzornika in nepotreben propad tistih, ki so brez potrebnega premisleka ponotranjili tvojo ideologijo.
Nekaj moram vzeti nazaj, pravzaprav lahko govorimo o legitimnosti. Namreč, če ti ne uvidiš, da tu problem niso neke abstaktne ideje in primerjava utopij z distopijami, potem tvoje propagiranje Tora in zasebnosti zgubi legitimnost. Vedno znova se izkaže, da absolutne resnice ostajajo v domeni tiranov.
Otroška radovednost - gonilo napredka.

Zgodovina sprememb…

  • spremenilo: OwcA ()

CaqKa ::

sam si vneso v temo, besedico nezaupanje.. zdaj se pa vun zmaži.
zame je ta program evil in ga bom strogo odsvetoval.

MrStein ::

Odsvetuješ tudi uporabo pisemskih ovojnic ?

Vsebina pisma se tiče le naslovnika. Kdor trdi drugače, je potomec Hitlerja in Huseina.

In Stalina.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

CaqKa ::

sej skozi zaprto ovojnico lahko posvetiš

Matthai ::

Bistveno je, da se zavedamo, da je na te štiri točke treba gledati kot na argumente odločitvene funkcije. Pavšalno reči, " V bistvu je te verjetnost precej velika" in se naprej nauduševati nad "panic button" tu ni pravi pristop, ker vsakdo izmed nas različno tvega ter različno vrednoti ideji zasebnost in svoboda.
Ja, imaš prav.
Ampak poanta tega softwera je v temle. Zadeva je free in zasnovana tako, da je relativno enostavna za uporabo in bo omogočala tudi razmeroma dobro skrivanje. Skratka - če je nekdo dovolj motiviran za izogibanje nadzoru, mu ta programdaje možnost, da to svoje dejanje uresniči. Pej te možnosti niso bile dosegljive, ker večina ljudi ni programerjev in hekerjev.

Točka 2: promet od in do tebe. Če smo bolj picajzlasti, TCP promet je mogoče ven spraviti tudi preko DNS-a. Wrapneš ga v DNS promet in gre lepo ven. V praksi pa je vedno težje stvar dokazati kot skriti. Poznam par primerov, ko so v Sloveniji skušali zavarovati elektronske dokaze. Ljudi so ujeli zgolj zato, ker so bili idioti. Če bi uporabljali vsaj najbolj osnovne varnostne mehanizme, jim ne bi mogli dokazati nič.

Vse kar bo to preglasno bevskanje doseglo je izbolšavo nadzornika in nepotreben propad tistih, ki so brez potrebnega premisleka ponotranjili tvojo ideologijo.
To je možno. Ampak ne razumem, zakaj bi moral biti to argument razvijalcem in zagovornikom? "Ne razvijat in ne propagirat, da ne bo potem še hujšega nadzora" -- "Ne se upirat, da ne bo še hujše tiranije". To je pač neka možnost, ljudje pa tehnologijo prostovoljno uporabljajo.

Zakaj istega moralnega argumenta ne podaš podjetjem, ki recimo dajejo support vojski ali pa diktatorskim režimom?

Glede legitimnosti tudi ne razumem čisto kaj hočeš reči? Jaz sledim tejle logiki:
1. človekove pravice so univerzalne in jih je treba spoštovati;
2. pravica do zasebnosti je človekova pravica,čeprav ni absolutna;
3. nadzor se povečuje, zasebnost se zmanjšuje na vseh področjih - nadzorniki imajo večjo moč kot nadzorovani;
4. podrejeni - nadzorovani - imajo moralno pravico da se nadzoru uprejo;
5. odpor mora biti legalen. Če pa nadzorniki onemogočijo možnost legalnega odpora in možnost izvrševanja pravic (npr. s tehničnimi sredstvi), potem se imajo podrejeni pravico upreti tudi drugače.

Primer: imaš pravico do ene varnostne kopije. Če ti založba s tehničnimi sredstvi prepreči da siizdelaš eno varnostno kopijo, imaš po mojem mnenju moralno pravico uporabiti hekersko orodje in si narediti eno varnostno kopijo, ki ti po zakonu pripada.

Če ti nadzornik s tehničnimi sredstvi onemogoča tvoje izvrševanje pravice do zasebnosti, se imaš moralno pravico temu upreti in tehnična sredstva onemogočiti.
Zato je razvoj Tora upravičen. Ali ga bodo ljudje uporabili ali ne je pa njihova stvar. Mislim samo, da morajo imeti možnost.

caqka - besedico nezaupanje sem vnesel v kontekstu da podjetja ne zaupajo zaposlenim. Ni treba minirat debate.

zame je ta program evil in ga bom strogo odsvetoval.
Hja, eni čudaki so mnenja, da je Microsoft evil. Ampak veš kaj - vsak ima pravico verjeti v kar mu paše.

P. S. Imam občutek, da vas pri celi stvari najbolj moti dejstvo, da ta tehnologija obstaja, da dejansko celo (napol) deluje, da je razmeroma enostavna za uporabo in da ima oz. pridobiva funkcije, ki bodo omogočile visoko stopnjo varnosti za uporabnika (panic button).

Z drugimi besedami - moti vas dejstvo, da imajo nadzorovani možnost, da se nadzoru približno učinkovito uprejo (za razliko od sedaj, ko so lahko samo bolj ali manj negodovali).

Česa vas je pravzaprav strah?
All those moments will be lost in time, like tears in rain...
Time to die.
strani: « 1 2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

VPN preko Tor omrežja

Oddelek: Novice / Zasebnost
72998 (1933) Matthai
»

Načrti za razvoj anonimizacijskega omrežja Tor v prihodnjih treh letih

Oddelek: Novice / Zasebnost
124416 (2652) Jst
»

Na voljo Ubuntu skladišča za Vidalio in Mixminion

Oddelek: Novice / Zasebnost
103620 (2932) Matthai
»

Anonimizacija za vsakogar: TorPark v0.2

Oddelek: Novice / Zasebnost
245688 (4252) MrStein
»

Varnostna analiza anonimizacijskega omrežja Tor (strani: 1 2 )

Oddelek: Novice / Zasebnost
658073 (6801) hokuto

Več podobnih tem