Бессильный гнев, пробуждаемый в патриотической общественности российской пропагандой, позволил господам Порошенко, Турчинову и Фролову протащить антиконституционный указ о цензуре в Интернете. "Раз мы не можем ничего сделать, то давайте нагнем провайдеров, чтобы они что-нибудь запретили". И многие свыклись с этой мыслью. Впустили её в область возможного. Здорово удалось властям развести украинцев на цензуру. Роскомнадзор ничему не научил.
А теперь подводное течение Эль Мусориньо вынесло на берега коллективного бессознательного шЫдевр мусорской мысли. http://reyestr.court.gov.ua/Review/82478604
"Накласти арешт на майнові права інтелектуальної власності, які виникають у користувачів мережі інтернет при використані веб-ресурсу «ІНФОРМАЦІЯ_1» з ІР-адресою: ІНФОРМАЦІЯ_4 (США), шляхом зобов`язання інтернет - провайдерів, що здійснюють діяльність на території України, які відповідно до частини 2 статті 42 Закону України «Про телекомунікації» включені до реєстру операторів, провайдерів телекомунікацій й перелік яких міститься на офіційному веб-сайти Національної комісії, що здійснює державне регулювання у сфері зв`язку та інформатизації: ІНФОРМАЦІЯ_2, закрити до них доступ на всіх його рівнях, а саме: інформаційному, логічному та апаратному, використовуючи свої технічні можливості та за власні кошти."
Спасибо Володимир Кондрашов за ссылку.
Ни законы вобще, ни действующий закон "о телекоммуникациях" в частности не предусматривают интернет-цензуру. Потому братья наши меньшие в погонах пытаются пролезть в зад через гланды. Как бы это так объяснить. Раз вы заходите на сайт, который есть продукт интеллектуального труда, то вы как бы получаете на него права интеллектуальной собственности, на которые можно наложить ограничения (право распоряжаться собственностью) путем блокировок.
Естественно, всё это тяжелый, припадочный бред. Иначе вы уже правообладаете половиной Холливуда. И так как ограничение распространяется на провайдеров, то выходит что собственность, на которую наложен аррест - это вы. Не говоря уже о том, что блокировать из-за какой-то пушерской точки, нац. комиссия по информатизации предлагает Cloudflare - крупнейший CDN, у которого за одним IP, могут прятаться тысячи сайтов.
Тупой опер и тупой харьковский судья Божко, собрались напрячь тысячи провайдеров блокировать непонятно что за свой счет, только потому что тупые уёбки из полиции не умеют ловить наркоторговцев.
Я хочу публично обратиться к Генеральна Прокуратура України, и прошу проверить действия судьи Киевского районного суда г. Харькова Божко В. В., СУ ГУНП в Харьковской области и НКРЗІ на предмет принятия неправосудного решения, превышения полномочий и "порушення встановленого порядку її (інформації) маршрутизації". Остановите их, пока не поздно. Плюйте на них, ссыте им в лицо и бейте их в пах ногами. Насмехайтесь над ними. Презирайте их как перебродившую плесень.
Интернет у нас один один на всех, и нельзя позволять уездному полицаю решать, на какие сайты вам можно ходить, а на какие нельзя. #ACAB #цензура #укркомнадзор
P.S. Реестр провайдеров давно пора уничтожить и отобрать у НКРЗІ несвойственные ей функции.
А теперь подводное течение Эль Мусориньо вынесло на берега коллективного бессознательного шЫдевр мусорской мысли. http://reyestr.court.gov.ua/Review/82478604
"Накласти арешт на майнові права інтелектуальної власності, які виникають у користувачів мережі інтернет при використані веб-ресурсу «ІНФОРМАЦІЯ_1» з ІР-адресою: ІНФОРМАЦІЯ_4 (США), шляхом зобов`язання інтернет - провайдерів, що здійснюють діяльність на території України, які відповідно до частини 2 статті 42 Закону України «Про телекомунікації» включені до реєстру операторів, провайдерів телекомунікацій й перелік яких міститься на офіційному веб-сайти Національної комісії, що здійснює державне регулювання у сфері зв`язку та інформатизації: ІНФОРМАЦІЯ_2, закрити до них доступ на всіх його рівнях, а саме: інформаційному, логічному та апаратному, використовуючи свої технічні можливості та за власні кошти."
Спасибо Володимир Кондрашов за ссылку.
Ни законы вобще, ни действующий закон "о телекоммуникациях" в частности не предусматривают интернет-цензуру. Потому братья наши меньшие в погонах пытаются пролезть в зад через гланды. Как бы это так объяснить. Раз вы заходите на сайт, который есть продукт интеллектуального труда, то вы как бы получаете на него права интеллектуальной собственности, на которые можно наложить ограничения (право распоряжаться собственностью) путем блокировок.
Естественно, всё это тяжелый, припадочный бред. Иначе вы уже правообладаете половиной Холливуда. И так как ограничение распространяется на провайдеров, то выходит что собственность, на которую наложен аррест - это вы. Не говоря уже о том, что блокировать из-за какой-то пушерской точки, нац. комиссия по информатизации предлагает Cloudflare - крупнейший CDN, у которого за одним IP, могут прятаться тысячи сайтов.
Тупой опер и тупой харьковский судья Божко, собрались напрячь тысячи провайдеров блокировать непонятно что за свой счет, только потому что тупые уёбки из полиции не умеют ловить наркоторговцев.
Я хочу публично обратиться к Генеральна Прокуратура України, и прошу проверить действия судьи Киевского районного суда г. Харькова Божко В. В., СУ ГУНП в Харьковской области и НКРЗІ на предмет принятия неправосудного решения, превышения полномочий и "порушення встановленого порядку її (інформації) маршрутизації". Остановите их, пока не поздно. Плюйте на них, ссыте им в лицо и бейте их в пах ногами. Насмехайтесь над ними. Презирайте их как перебродившую плесень.
Интернет у нас один один на всех, и нельзя позволять уездному полицаю решать, на какие сайты вам можно ходить, а на какие нельзя. #ACAB #цензура #укркомнадзор
P.S. Реестр провайдеров давно пора уничтожить и отобрать у НКРЗІ несвойственные ей функции.
OK. Я понимаю, что целователю коров и любимцу доярок Ляшку после вылета из парламента сайт не особенно-то и нужен, но господа хорошие, как вы собирались управлять страной, если не можете даже говносайт сделать так, чтобы не насрать себе в штаны? #FuckResponsibleDisclosure
Политическая партия "Вголосину" проебала свой CRM, данные пользователей (и не только) и весь свой сервер заодно (возможность заливать исполняемые файлы). Как говорит Вакарчук, нам нужно больше IT-комитетов. Уязвимости нашел один из волонтеров, тот который радовал нас всех до этого уязвимостями в МВД. Передайте певцу ртом, чтобы держался как можно дальше от технологий. #FuckResponsibleDisclosure
ОСТРОСЮЖЕТНЫЙ ПОРНО-IT-ТРИЛЛЕР "ЛЯШКО-2"
Если есть что-то в отечественном IT более жалкое, беспомощное и безответственное, чем государственные сайты, так это онлайн-выкидыши политических партий. Не успел опубликовать #SQLi на главной странице Ляшка, как мой коллега быстренько пробежался по сайту и нашел и пароль от базы и морду для управления. Так что Олег Валерьевич, откладывайте гитару, прекращайте теребонькать и будите ваш тех персонал. А то сейчас выведу вас в топ гугла по запросу gay hardcore Украина. #FuckResponsibleDisclosure
Если есть что-то в отечественном IT более жалкое, беспомощное и безответственное, чем государственные сайты, так это онлайн-выкидыши политических партий. Не успел опубликовать #SQLi на главной странице Ляшка, как мой коллега быстренько пробежался по сайту и нашел и пароль от базы и морду для управления. Так что Олег Валерьевич, откладывайте гитару, прекращайте теребонькать и будите ваш тех персонал. А то сейчас выведу вас в топ гугла по запросу gay hardcore Украина. #FuckResponsibleDisclosure
ХОРОШИЙ ПАРЕНЬ - НЕ ПРОФЕССИЯ
Я недавно перевёл коротенький пост св. Шнаера о full disclosure, и Брюс убедительно доказывает, что responsible disclosure (непубличное сообщение об уязвимостях) работает постольку, поскольку сохраняется угроза полного разоблачения, с сопутствующими издержками для репутации. Я когда общаюсь с админами и начальством претерпевших учреждений, у меня возникает такое чувство, будто бы я вломился в детский садик с бензопилой. Такие милые, хорошие люди, которых приходится свежевать и разделывать на аккуратные ломтики в публичной плоскости. Но это кажется единственный выход, потому что как говорит один мой коллега: "хороший парень - не профессия". Хорошим парням приходится заставлять хороших парней принимать упор лежа и отжиматься до усрачки, иначе потом приходят плохие парни и с ними разговоры не поразговариваешь. Потому в области безопасности я и веду себя как сержант Хартман, чтобы сделать из никчемного киселя цифровых морпехов, которые сожрут российских хакеров живьем и насрут им в голову. Но вернёмся к нашим гос. баранам. Где-то неделю назад наш волонтёр нашел дыру в National agency of Ukraine on civil service, которая позволяет просматривать любой файл на сервере. На задорный пост откликнулся зам. начальника службы Володимир Купрій (он меня забанил, причем не сразу, а чуть погодя). Это ему нихуя не поможет. Для тех кто пропустил напомню, что НАДС купила у непонятной шарашкиной конторы российский софт на миллион, что прямо запрещено постановой КМУ від 10 жовтня 2018 р. N 851. И он дырявый. Хотя другая шарага накатила на него КСЗІ (просто напоминаю, что КСЗІ - кусок коррупционного говна, привет The State Service for Special Communication and Information Protection) Пан Куприй в начале попытался уйти в отрицалово, но потом сообразил, что его сейчас выебут титановым ломом и решил сыграть в доброго чиновника. "Мы очень беспокоимся о безопасности. Мы сейчас всё исправим. Приходите к нам в гости на кофе" Даже попытался выдавить из себя "спасибо". Естественно, что никто и не думал ничего исправлять. Итак. Ни хера себе. Это кто у нас такой охуенный клоун? Рядовой Купрій, а? Я восхищён твоей честностью. Ты мне даже нравишься. Ты подонок! Я запомню как тебя зовут! Твоя жопа в моих руках! Ты не будешь смеяться, ты не будешь плакать! Ты будешь учиться от и до! Я буду тебя учить! Лучше сразу прекрати выёбываться, иначе я откручу тебе башку и насру прямо в горло! Передайте пану Куприю, что я сейчас прямо на его говнопортале объявлю, что его должность вакантна. #FuckResponsibleDisclosure
Я недавно перевёл коротенький пост св. Шнаера о full disclosure, и Брюс убедительно доказывает, что responsible disclosure (непубличное сообщение об уязвимостях) работает постольку, поскольку сохраняется угроза полного разоблачения, с сопутствующими издержками для репутации. Я когда общаюсь с админами и начальством претерпевших учреждений, у меня возникает такое чувство, будто бы я вломился в детский садик с бензопилой. Такие милые, хорошие люди, которых приходится свежевать и разделывать на аккуратные ломтики в публичной плоскости. Но это кажется единственный выход, потому что как говорит один мой коллега: "хороший парень - не профессия". Хорошим парням приходится заставлять хороших парней принимать упор лежа и отжиматься до усрачки, иначе потом приходят плохие парни и с ними разговоры не поразговариваешь. Потому в области безопасности я и веду себя как сержант Хартман, чтобы сделать из никчемного киселя цифровых морпехов, которые сожрут российских хакеров живьем и насрут им в голову. Но вернёмся к нашим гос. баранам. Где-то неделю назад наш волонтёр нашел дыру в National agency of Ukraine on civil service, которая позволяет просматривать любой файл на сервере. На задорный пост откликнулся зам. начальника службы Володимир Купрій (он меня забанил, причем не сразу, а чуть погодя). Это ему нихуя не поможет. Для тех кто пропустил напомню, что НАДС купила у непонятной шарашкиной конторы российский софт на миллион, что прямо запрещено постановой КМУ від 10 жовтня 2018 р. N 851. И он дырявый. Хотя другая шарага накатила на него КСЗІ (просто напоминаю, что КСЗІ - кусок коррупционного говна, привет The State Service for Special Communication and Information Protection) Пан Куприй в начале попытался уйти в отрицалово, но потом сообразил, что его сейчас выебут титановым ломом и решил сыграть в доброго чиновника. "Мы очень беспокоимся о безопасности. Мы сейчас всё исправим. Приходите к нам в гости на кофе" Даже попытался выдавить из себя "спасибо". Естественно, что никто и не думал ничего исправлять. Итак. Ни хера себе. Это кто у нас такой охуенный клоун? Рядовой Купрій, а? Я восхищён твоей честностью. Ты мне даже нравишься. Ты подонок! Я запомню как тебя зовут! Твоя жопа в моих руках! Ты не будешь смеяться, ты не будешь плакать! Ты будешь учиться от и до! Я буду тебя учить! Лучше сразу прекрати выёбываться, иначе я откручу тебе башку и насру прямо в горло! Передайте пану Куприю, что я сейчас прямо на его говнопортале объявлю, что его должность вакантна. #FuckResponsibleDisclosure
После поста про "хороших парней" https://www.facebook.com/ruheight/posts/705477436567284 упорыши из National agency of Ukraine on civil service сменили пароли. Дыра, которая позволяет их просматривать - на месте. Ору. Валяюсь просто от смеха, настолько люди иногда попадаются необучаемые. #triplefacepalm
Может быть по ошибке, а может быть и нет, но патриотический сайт enigma.ua попал в цензурный список (тот самый, в котором Яндекс и Мейл.ру) провайдера Фрінет (название провайдера звучит прямо-таки издевательски) https://www.facebook.com/vnpasika/posts/424745801451448
Точно так же пару лет назад таможня останавливала книжки "Донбасс в огне" на границе. Донбасс, да ещё и в огне - точно какая-то крамола, да, ещё и на немецком, совсем непонятно. Господин цензор неудосужился даже открыть выходные данные.
Ничем другим цензура не заканчивается, просто не может получится как-то иначе. Как только вы даёте право тупому чиновнику решать, что вам можно смотреть или читать - жди беды. #яжеговорил #цензура
P.S. Какая всё-таки короткая у людей память, бодренько переименовали улицы, а вот о том как тяжело было найти в союзе хорошую книжку, забыли напрочь, и тут же полезли на те же грабли - запрещать что-то ради "всеобщего блага". Декоммунизаторы хуевы.
И даже, если это атака запрещенным доменом, то она как раз показывает полную техническую несостоятельность механизма блокировок. Сегодня - Энигма, завтра критическая инфраструктура. Вопрос времени. Отдать врагам ключи от своего Интернета - охуенная была идея, просто замечательная.
Дякуємо, Петро Олексійович!
Точно так же пару лет назад таможня останавливала книжки "Донбасс в огне" на границе. Донбасс, да ещё и в огне - точно какая-то крамола, да, ещё и на немецком, совсем непонятно. Господин цензор неудосужился даже открыть выходные данные.
Ничем другим цензура не заканчивается, просто не может получится как-то иначе. Как только вы даёте право тупому чиновнику решать, что вам можно смотреть или читать - жди беды. #яжеговорил #цензура
P.S. Какая всё-таки короткая у людей память, бодренько переименовали улицы, а вот о том как тяжело было найти в союзе хорошую книжку, забыли напрочь, и тут же полезли на те же грабли - запрещать что-то ради "всеобщего блага". Декоммунизаторы хуевы.
И даже, если это атака запрещенным доменом, то она как раз показывает полную техническую несостоятельность механизма блокировок. Сегодня - Энигма, завтра критическая инфраструктура. Вопрос времени. Отдать врагам ключи от своего Интернета - охуенная была идея, просто замечательная.
Дякуємо, Петро Олексійович!
Facebook
Володимир Пасіка
Хороший суботній ранок в малоросійській губернії починається з цензури https://enigma.ua на рівні провайдера Фрінет Дякуючи Alex Surkov, помітили, що наш ресурс запхали в санкційний список...
Я прекрасно помню, как 16 января Парламент принимал законы, которые справедливо называют "диктаторскими". Те законы в том, числе вводили ограничения в Интернете. Если вы их поддерживаете, то у меня для вас плохие новости, вы оказались в одном лагере с регионалами, коммунистами, недобитыми совками и Роскомнадзором. И вас нужно срочно декоммунизировать. Совок не в символике, он в голове.
Крупнейший злодей, желающий вмешиваться в вашу личную жизнь даже не Фейсбук (он хочет вас стричь), а держава (эти будут резать). И я хотел бы напомнить, какие существуют технологие, позволяющие избавиться от навязанной державой "заботы". DNS, DoH/DoT, socks, proxy, TOR, что от чего защищает и как всем этим правильно пользоваться, чтобы сохранить тайну личной жизни, не смотря на "майские указы Порошенко".
Начнем с DNS, это сервис, который переводит понятные людям имена, такие как president.gov.ua в понятные машинам IP-адреса - 193.29.204.11. Провайдеров больше интересует прибыль, а не ваши права, и они сотрудничают с государством. В первую очередь нужно в настройках сети заменить DNS-сервер провайдера, который может вам выдать вместо правильного адреса адрес заглушки с описанием порошенковских скреп, на независимый. По сути, такая замена называется MiTM-атака ("человек в середине"), но в стране, где закон не писан президенту, провайдеры тем более не будут его соблюдать.
Прописываем независимый DNS-сервер 8.8.8.8 (Google), 9.9.9.9 (Quad9), 1.1.1.1 (CloudFlare) или OpenDNS. Провайдер по-прежнему может перехватить запросы и ответы DNS. Есть технологии DNS-over-HTTPS и DNS-over-TLS, которые позволяют предотвратить вмешательство в ваш трафиик. Включается в настройках в современных броузерах. Для телефоном с системой Андроид Google выпустил приложение "Intra", в последних версиях системы - это штатная функция.
Если вы хотите анонимно оставить комментарий "Антон - гандон", так чтобы Геращенко не "вычислил вас по IP" подойдёт броузер TOR или socks прокси-сервер. Сервер посредник, который скроет вас от дяди-мусора, пугающего вас синими китами. Списки прокси публикуются на многих сайтах, например free-proxy.cz.
Но даже в броузерах, скрыто не мало подвохов. Ваш IP-адрес можно определить по DNS (DNS leak, потому менять DNS, по-прежнему нужно) и WebRTC. Наберите в гугле "disable WebRTC", чтобы отключить эту функцию. А лучше использовать VPN-соединение, или другую разновидность туннеля, который невидимым для постороннего образом соединяет два IP-адреса.
VPN можно арендовать, а ещё лучше арендовать собственный сервер. Вас могут слушать с "той стороны". Потому, если вы используете средства анонимизации, так важно использовать шифрованные соединения. Перед названием сайта должно быть написано "https://", а "замочек" гореть зеленым.
Можно поставить плагин HTTPS Everywhere. Можно настроить на своем сервере OpenVPN, в Сети много пошаговых инструкций. Или что ещё проще использовать SSH+socks. Сервер не требует настройки, под Windows можно поставить putty, для Линуксов - это штатная функция.
На майдане в Киеве висит огромный плакат "Freedom is our religion". Не отдавайте свою свободу ради иллюзии безопасности, потому что в итоге вы не получите ни того, ни другого. И да. Если вы читаете этот пост, и собираетесь воспользоваться советами, то вы и есть сопротивление.
Крупнейший злодей, желающий вмешиваться в вашу личную жизнь даже не Фейсбук (он хочет вас стричь), а держава (эти будут резать). И я хотел бы напомнить, какие существуют технологие, позволяющие избавиться от навязанной державой "заботы". DNS, DoH/DoT, socks, proxy, TOR, что от чего защищает и как всем этим правильно пользоваться, чтобы сохранить тайну личной жизни, не смотря на "майские указы Порошенко".
Начнем с DNS, это сервис, который переводит понятные людям имена, такие как president.gov.ua в понятные машинам IP-адреса - 193.29.204.11. Провайдеров больше интересует прибыль, а не ваши права, и они сотрудничают с государством. В первую очередь нужно в настройках сети заменить DNS-сервер провайдера, который может вам выдать вместо правильного адреса адрес заглушки с описанием порошенковских скреп, на независимый. По сути, такая замена называется MiTM-атака ("человек в середине"), но в стране, где закон не писан президенту, провайдеры тем более не будут его соблюдать.
Прописываем независимый DNS-сервер 8.8.8.8 (Google), 9.9.9.9 (Quad9), 1.1.1.1 (CloudFlare) или OpenDNS. Провайдер по-прежнему может перехватить запросы и ответы DNS. Есть технологии DNS-over-HTTPS и DNS-over-TLS, которые позволяют предотвратить вмешательство в ваш трафиик. Включается в настройках в современных броузерах. Для телефоном с системой Андроид Google выпустил приложение "Intra", в последних версиях системы - это штатная функция.
Если вы хотите анонимно оставить комментарий "Антон - гандон", так чтобы Геращенко не "вычислил вас по IP" подойдёт броузер TOR или socks прокси-сервер. Сервер посредник, который скроет вас от дяди-мусора, пугающего вас синими китами. Списки прокси публикуются на многих сайтах, например free-proxy.cz.
Но даже в броузерах, скрыто не мало подвохов. Ваш IP-адрес можно определить по DNS (DNS leak, потому менять DNS, по-прежнему нужно) и WebRTC. Наберите в гугле "disable WebRTC", чтобы отключить эту функцию. А лучше использовать VPN-соединение, или другую разновидность туннеля, который невидимым для постороннего образом соединяет два IP-адреса.
VPN можно арендовать, а ещё лучше арендовать собственный сервер. Вас могут слушать с "той стороны". Потому, если вы используете средства анонимизации, так важно использовать шифрованные соединения. Перед названием сайта должно быть написано "https://", а "замочек" гореть зеленым.
Можно поставить плагин HTTPS Everywhere. Можно настроить на своем сервере OpenVPN, в Сети много пошаговых инструкций. Или что ещё проще использовать SSH+socks. Сервер не требует настройки, под Windows можно поставить putty, для Линуксов - это штатная функция.
На майдане в Киеве висит огромный плакат "Freedom is our religion". Не отдавайте свою свободу ради иллюзии безопасности, потому что в итоге вы не получите ни того, ни другого. И да. Если вы читаете этот пост, и собираетесь воспользоваться советами, то вы и есть сопротивление.
Прочитал отчет Lookout о зверюшке для телефонов "#Monokle". https://www.lookout.com/documents/threat-reports/lookout-discovers-monokle-threat-report.pdf Там действительно интересно. Есть такая компания в Петербурге ООО "Специальный технологический центр", известна производством "Орланов", и тем что давно уже в американском санкционном списке. Получили по крнтрактам от министерства обороны РФ около полумиллиарда рублей в 2015-2016 году. Помимо БПЛА ещё и софт делают антивирусный. А теперь еще и трояны.
А самое смешное в том, как их вычислили. IP адреса их антивируса пересекаются с IP командных центров мальвари. В коде полные имена разработчиков (хоть без ссылок на LinkedIn), отладочные сертификаты, номера телефонов, фразочки "МЧС Ингушетии". Ничего Штирлица не выдавало, ни будёновка, ни волочащийся по земле парашют. И это хорошие новости. Если они не в состоянии накодить трой под Андроид, так чтобы не обляпаться, то деградация технологий идёт полным ходом.
А самое смешное в том, как их вычислили. IP адреса их антивируса пересекаются с IP командных центров мальвари. В коде полные имена разработчиков (хоть без ссылок на LinkedIn), отладочные сертификаты, номера телефонов, фразочки "МЧС Ингушетии". Ничего Штирлица не выдавало, ни будёновка, ни волочащийся по земле парашют. И это хорошие новости. Если они не в состоянии накодить трой под Андроид, так чтобы не обляпаться, то деградация технологий идёт полным ходом.
Казахский липовый сертификат для Фейсбука использует RSA-1024 (слишком короткий) с экспонентой 3 (слишком маленькая). Если вы не понимаете что тут написано, то криптография не для вас. Вломать пока не смог, но выглядит затея крайне паршиво. Если ключ проломят, то ебашить казахов будет не только родное государство, но и все кому не лень. Принуждая устанавливать бэкдоры, государство ставит под удар всех, не исключая и гос. чиновников и гебню. Потому бэкдоры - зло. Не делайте так. Никогда. #QazCA
Перед тем, как от души набросить на полоумных свидетелей блокчейна, решил перевести ещё один пост Брюса Шнайера на эту тему. Я не переводчик, и переводил с листа, даже не вычитывая (хотя потом, возможно, внесу правки). Для людей, адаптировавшихся к нормальной жизни, после тяжелой травмы, нанесенной советским образованием, оригинал: https://www.schneier.com/blog/archives/2019/02/blockchain_and_.html TL;DR
БРЮС ШНАЙЕР. БЛОКЧЕЙН И ДОВЕРИЕ
В статье 2008 года, в которой впервые был предложен биткоин, аноним Сатоши Накомота пришел к выводу: "Мы предлагаем систему электронных транзакций, не полагаясь на доверие". Он ссылался на блокчейн, систему, стоящую за криптовалютой биткоин. Обойтись без доверия - многообещающее предложение, но оно не верно. Да, биткоин исключает некоторых доверенных посредников привычных в других платежных системах, таких как кредитные карты. Но вы по-прежнему должны доверять биткоину и всему, что с ним связано.
Много было написано о блокчейнах и как они вытесняют, меняют и исключают доверие. Но если проанализировать и блокчейн, и доверие, вы быстро сообразите, что тут больше хайпа чем смысла. Решения на блокчейне зачастую гораздо хуже, чем те что они заменяют.
Прежде всего, опредимся. Под блокчейном Я подразумеваю нечто вполне конкретное: структуры и протоколы из которых состоит /публичный/ блокчейн. У него есть три основных элемента. Во-первых, он распределенный (distributed) (как копии документа), но централизованный (centralized) гросбух (он только один), и это способ для записи, что случилось и в каком порядке. Гросбух публичен, кто угодно может его читать, и неизменяем (immutable) - никто не может изменить записи о том, что случилось в прошлом.
Второй элемент - алгоритм консенсуса, и это способ убедиться в том, что все копии гросбуха одинаковы. Это и называется майнингом, критичная часть системы, втом что каждый может участвовать. Он тоже распределенный, вам необязательно доверять любому отдельно взятому узлу (node) в сети. ОН так же может быть чрезвычайно дорогим, как из-за хранения данных, так и по энергии, необходимой для его поддержания. Мир, наверняка, не видывал более дорогого алгоритма.
И наконец, третий элемент - валюта. Некая разновидность цифрового токена, у которого есть стоимость на открытых торгах. Валюта необходимый элемент блокчейна, чтобы мотивировать всех участников ради общей цели. Транзакции с этими токенами сохраняются в гросбухе.
Частные блокчейны (private blockchain) совсем неинтересны. (Под ними я подразумеваю системы, которые используют структуры данных блокчейна, но лишены вышеперечисленных элементов) В общем, у них есть внешние ограничения, на то кто может взаимодействовать с блокчейном и его функциями. В этом нет ничего нового, это распределенные структуры данных только для добавления (append-only) со списком людей, авторизованных для записи. Протоколы консенсуса в рапределенных сетях исследуются уже более 60 лет. Структуры данных "только для добавления, изучены не хуже. Они блокчейн только по названию, и скажу больше, единственная причина по которой их используют - прокатиться на войне блокчейн хайпа.
Все три элемента публичного блокчейна вместе образуют сеть, у которой есть новые свойства безопасности. Вопрос в том, действительно ли она подходит для всего? И это вопрос доверия.
Доверие необходимо для существования общества. Как вид, люди прошиты доверять друг другу. Общество не может функционировать без доверия, и то что фактически мы об этом не думаем, свидетельствует о том, насколько хорошо работает доверие.
Слово "доверие" заряжено множеством смыслов. Есть личное и интимное доверие. Когда мы говорим, что доверяем другу, мы подразумеваем, что мы доверяем его намериням и знаем, что его намерения расскажут о его действиях. Есть так же менее личное доверие - мы можем не знать кого-то лично или не знать о его мотивах, но мы можем доверять их будущим действиям. Блокчейн включает именно этот вид доверия - мы не знаем ни одного биткоин-майнера, к примеру, но мы верим в то, что они будут соблюдать протокол майнинга, что позволяет системе работать.
БРЮС ШНАЙЕР. БЛОКЧЕЙН И ДОВЕРИЕ
В статье 2008 года, в которой впервые был предложен биткоин, аноним Сатоши Накомота пришел к выводу: "Мы предлагаем систему электронных транзакций, не полагаясь на доверие". Он ссылался на блокчейн, систему, стоящую за криптовалютой биткоин. Обойтись без доверия - многообещающее предложение, но оно не верно. Да, биткоин исключает некоторых доверенных посредников привычных в других платежных системах, таких как кредитные карты. Но вы по-прежнему должны доверять биткоину и всему, что с ним связано.
Много было написано о блокчейнах и как они вытесняют, меняют и исключают доверие. Но если проанализировать и блокчейн, и доверие, вы быстро сообразите, что тут больше хайпа чем смысла. Решения на блокчейне зачастую гораздо хуже, чем те что они заменяют.
Прежде всего, опредимся. Под блокчейном Я подразумеваю нечто вполне конкретное: структуры и протоколы из которых состоит /публичный/ блокчейн. У него есть три основных элемента. Во-первых, он распределенный (distributed) (как копии документа), но централизованный (centralized) гросбух (он только один), и это способ для записи, что случилось и в каком порядке. Гросбух публичен, кто угодно может его читать, и неизменяем (immutable) - никто не может изменить записи о том, что случилось в прошлом.
Второй элемент - алгоритм консенсуса, и это способ убедиться в том, что все копии гросбуха одинаковы. Это и называется майнингом, критичная часть системы, втом что каждый может участвовать. Он тоже распределенный, вам необязательно доверять любому отдельно взятому узлу (node) в сети. ОН так же может быть чрезвычайно дорогим, как из-за хранения данных, так и по энергии, необходимой для его поддержания. Мир, наверняка, не видывал более дорогого алгоритма.
И наконец, третий элемент - валюта. Некая разновидность цифрового токена, у которого есть стоимость на открытых торгах. Валюта необходимый элемент блокчейна, чтобы мотивировать всех участников ради общей цели. Транзакции с этими токенами сохраняются в гросбухе.
Частные блокчейны (private blockchain) совсем неинтересны. (Под ними я подразумеваю системы, которые используют структуры данных блокчейна, но лишены вышеперечисленных элементов) В общем, у них есть внешние ограничения, на то кто может взаимодействовать с блокчейном и его функциями. В этом нет ничего нового, это распределенные структуры данных только для добавления (append-only) со списком людей, авторизованных для записи. Протоколы консенсуса в рапределенных сетях исследуются уже более 60 лет. Структуры данных "только для добавления, изучены не хуже. Они блокчейн только по названию, и скажу больше, единственная причина по которой их используют - прокатиться на войне блокчейн хайпа.
Все три элемента публичного блокчейна вместе образуют сеть, у которой есть новые свойства безопасности. Вопрос в том, действительно ли она подходит для всего? И это вопрос доверия.
Доверие необходимо для существования общества. Как вид, люди прошиты доверять друг другу. Общество не может функционировать без доверия, и то что фактически мы об этом не думаем, свидетельствует о том, насколько хорошо работает доверие.
Слово "доверие" заряжено множеством смыслов. Есть личное и интимное доверие. Когда мы говорим, что доверяем другу, мы подразумеваем, что мы доверяем его намериням и знаем, что его намерения расскажут о его действиях. Есть так же менее личное доверие - мы можем не знать кого-то лично или не знать о его мотивах, но мы можем доверять их будущим действиям. Блокчейн включает именно этот вид доверия - мы не знаем ни одного биткоин-майнера, к примеру, но мы верим в то, что они будут соблюдать протокол майнинга, что позволяет системе работать.
👍1
У большинство блокчейн-энтузиастов нееестественно узкое определение доверия. Они гордятся фразочками в духе "на код уповаем", "на математику уповаем" и на "крипто уповаем" [переделанный офиициальный девиз США "на Бога уповаем", печатаемый на долларовых купюрах] И это доверие, как проверяемость (verification). Но проверяемость не то же самое что доверие.
В 2012, я написал книгу о доверии и безопасности "Liars and Outliers" [её всё-равно не перевели, но на всякий случай, она называется "Лжецы и посторонние"]. И в ней я перечислил четыре очень общих системы, которые наш вид использует, чтобы поощрять поведение заслуживающее доверия. Первые две - мораль и репутация. Проблема в том, что они масштабируются только до опрделенного размера популяции. Примитивные системы достаточно хороши для небольших сообществ, но большие сообщества требуют делегирования и больше формальностей.
Третья система - институции. У институций есть правила и законы, которые побуждают людей вести себя в соответствии с групповой нормой, вводя санкции против тех, кто не хочет. В каком-то смысле, законы формализуют репутацию. И наконец, четвертая - системы безопасности. Мы используем широкий спектр защитных технологий: замки на дверях и высокие заборы, сигнализация и охрана, криминалистика и аудит, и так далее.
Эти четыре элемента вместе работают на доверие. Возьмем, к примеру, банки. Финансовые институты, торговцы и индивидуумы все беспокоятся о своей репутации, которая предотвращает кражи и мошенничество. Законы и регуляции, окружающие каждый аспект банковской деятельности, строят всех по струнке, включая гарантии (backstops), снижающие риски в случае мошенничества. Там много систем безопасности, начиная с технологий против подделок и до технологий интернет защиты.
Кевин Вербах в своей книге 2018 года "Blockchain and the New Architecture of Trust" описывает четыре разных архитектуры доверия. Во-первых, доверие равный-равному (peer-to-peer). В целом, она соответствует моим системам морали и репутации: парам людей, которые начали доверять друг другу. Во-вторых, доверие к левиафану [читайте Гоббса], которое соответствует институциональному доверию. Вы можете посмотреть, как это работает в нашей системе договоров, которая позволяет сторонам, недоверяюшим друг другу, прийти к соглашению, потому что они верят, что правительственная система поможет разрешить споры. В-третьих, доверие к посреднику. Хороший пример - система кредитных карт, позволяющая недоверчивым продавцам и покупателям участвовать в торговле. Четвертая архитектура доверия - распределенное доверие. Спонтанно возникающее (emergent) доверие к определенной системе безопасности, к блокчейну.
Блокчейн вытесняет часть доверия к людям и институциям в пользу доверия к технологиям. Вы должны доверять криптографии, протоколам, программам, компьютерам и сети. И вы должны доверять им абсолютно, потому зачастую они единственные точки отказа.
Когда это доверие оказывается необоснованным, возмещения не будет. Если ваш обменник биткоинов хакнули, вы теряете все свои деньги. Если ваш биткоин-кошелек хакнули, вы теряете все свои деньги. Если вы забыли информацию для входа, вы теряете все свои деньги. Если в коде смарт-контракта найдется ошибка, вы теряете все свои деньги. Если кто-то обойдёт механизмы защиты блокчейна, вы теряете все свои деньги. Во многом, доверять технологиям сложнее, чем доверять людям. Кому вы скорее доверитесь, человеческой правовой системе или особенностям какого-то компьютерного кода, в аудите которого вы не разбираетесь?
Блокчейн-энтузиасты указывают на более традиционные формы доверия - комиссии банков, как дорогостоящие. Но доверие к блокчейну, тоже стоит немало. Издержки просто скрыты. Для биткоина, это стоимость майнинга новых биткоинов, комиссии за транзакцию [на хайпе, комиссии значительно превышали банковские] и огромный вред для окружающей среды.
В 2012, я написал книгу о доверии и безопасности "Liars and Outliers" [её всё-равно не перевели, но на всякий случай, она называется "Лжецы и посторонние"]. И в ней я перечислил четыре очень общих системы, которые наш вид использует, чтобы поощрять поведение заслуживающее доверия. Первые две - мораль и репутация. Проблема в том, что они масштабируются только до опрделенного размера популяции. Примитивные системы достаточно хороши для небольших сообществ, но большие сообщества требуют делегирования и больше формальностей.
Третья система - институции. У институций есть правила и законы, которые побуждают людей вести себя в соответствии с групповой нормой, вводя санкции против тех, кто не хочет. В каком-то смысле, законы формализуют репутацию. И наконец, четвертая - системы безопасности. Мы используем широкий спектр защитных технологий: замки на дверях и высокие заборы, сигнализация и охрана, криминалистика и аудит, и так далее.
Эти четыре элемента вместе работают на доверие. Возьмем, к примеру, банки. Финансовые институты, торговцы и индивидуумы все беспокоятся о своей репутации, которая предотвращает кражи и мошенничество. Законы и регуляции, окружающие каждый аспект банковской деятельности, строят всех по струнке, включая гарантии (backstops), снижающие риски в случае мошенничества. Там много систем безопасности, начиная с технологий против подделок и до технологий интернет защиты.
Кевин Вербах в своей книге 2018 года "Blockchain and the New Architecture of Trust" описывает четыре разных архитектуры доверия. Во-первых, доверие равный-равному (peer-to-peer). В целом, она соответствует моим системам морали и репутации: парам людей, которые начали доверять друг другу. Во-вторых, доверие к левиафану [читайте Гоббса], которое соответствует институциональному доверию. Вы можете посмотреть, как это работает в нашей системе договоров, которая позволяет сторонам, недоверяюшим друг другу, прийти к соглашению, потому что они верят, что правительственная система поможет разрешить споры. В-третьих, доверие к посреднику. Хороший пример - система кредитных карт, позволяющая недоверчивым продавцам и покупателям участвовать в торговле. Четвертая архитектура доверия - распределенное доверие. Спонтанно возникающее (emergent) доверие к определенной системе безопасности, к блокчейну.
Блокчейн вытесняет часть доверия к людям и институциям в пользу доверия к технологиям. Вы должны доверять криптографии, протоколам, программам, компьютерам и сети. И вы должны доверять им абсолютно, потому зачастую они единственные точки отказа.
Когда это доверие оказывается необоснованным, возмещения не будет. Если ваш обменник биткоинов хакнули, вы теряете все свои деньги. Если ваш биткоин-кошелек хакнули, вы теряете все свои деньги. Если вы забыли информацию для входа, вы теряете все свои деньги. Если в коде смарт-контракта найдется ошибка, вы теряете все свои деньги. Если кто-то обойдёт механизмы защиты блокчейна, вы теряете все свои деньги. Во многом, доверять технологиям сложнее, чем доверять людям. Кому вы скорее доверитесь, человеческой правовой системе или особенностям какого-то компьютерного кода, в аудите которого вы не разбираетесь?
Блокчейн-энтузиасты указывают на более традиционные формы доверия - комиссии банков, как дорогостоящие. Но доверие к блокчейну, тоже стоит немало. Издержки просто скрыты. Для биткоина, это стоимость майнинга новых биткоинов, комиссии за транзакцию [на хайпе, комиссии значительно превышали банковские] и огромный вред для окружающей среды.
Блокчейн не может заменить доверие к человеческим институциям. Всегда будет огромная пропасть, которую нельзя закрыть одними только технологиями. Люди по-прежнему должны нести ответственность, и по-прежнему требуется управление (governance) за пределами системы. Всё это становится очевидным в ходе дебатов о изменении размера блока в биткоине или исправлении DAO-атаки против Ethereum. Всегда есть необходимость в переписывании правил, и всегда будет потребность вносить в правила долгосрочные изменения. Пока возможен hard fork [принудительное разделение систем, две новые системы существуют независимо], когда люди ответственные за блокчейн выходят за пределы системы, чтобы её изменить, люди должны нести ответственность.
Любая блокчейн система должна сосуществовать с другими более привычными системами. Современный банкинг спроектирован так, чтобы действия были обратимы. А биткоин нет. Их сложно сделать совместимыми, и зачастую это приводит к незащищенности (insecurity). У Стива Возняка вымутили 70 тысяч, потому что он об этом забыл.
Технологии блокчейна зачастую централизованы. Биткоин может теоретически полагаться на распределенное доверие, но на практике это просто не правда. Почти каждый, кто использует биткоин, вынужден доверять одному из нескольких доступных кошельков и пользоваться одним из нескольких доступных обменников. Люди должны доверять программам и операционным системам, и компьютерам на которых всё это работает. Мы сталкивались с троянами, фишингом и перебором паролей. Преступники даже пользовались уязвимости в системе, которой люди пользуются для восстановления своих мобильников, чтобы красть биткоины.
Более того, в любой распределенной системе, существуют черные ходы, чтобы централизация проползла обратно. В биткоине не так уж много майнеров. Только одна компания производит большинство майнингового оборудования. Есть всего несколько крупных бирж. В большинстве случаев, когда люди взаимодействуют с биткоинами, они делают это через централизованные системы. Это так же делает возможными атаки против систем основанных на блокчейне.
Все эти особенности не ошибки в современных блокчейн-приложениях, они изначально ему присущи. Любой анализ безопасности системы должен рассматривать социально-технологическую систему как целое. Многие блокчейн-энтузиасты фокусируются на технологии и игнорируют всё остальное.
Многие люди не пользуются биткоинами, потому что они не доверяют биткоинам. И это не имеет ничего общего с криптографией или протоколами. Фактически, система, в которой вы можете потерять сбережения всей своей жизни, если забудете ключ или скачаете мальварь не очень-то заслуживает доверия. И никакие объяснения о том, как SHA-256 предотвращает атаку "двойной расход" (double spending) не могут это исправить.
И точно так же, те из людей кто пользуется биткоинами, пользуются потому что доверяют. Люди покупают или не покупают биткоины, основываясь на репутации. Это так даже для спекулянтов, которые покупают биткоины, потому что думают, что смогут быстро обогатиться. Люди выбирают кошелек для криптовалюты и биржу для транзакций, основываясь на репутации. Мы даже оцениваем и доверяем криптографии, лежащей в фундаменте блокчейна, основываясь на репутации алгоритмов.
Чтобы увидеть, как всё может сломаться, посмотрим на системы снабжения (supply-chain), которые используют блокчейн. Использовать блокчейн совсем необязательно, ни в одной из них. Причина по которой они успешны в том, что у всех есть единая платформа, куда можно вводить данные. И хотя блокчейн системы построены на распределенном доверии, люди не обязательно с этим согласны. К примеру, некоторые компании не доверяют системе IBM/Maersk, просто потому что это не /их/ блокчейн. [И, пожалуй, правильно делают. Maersk. NotPetya. Помоги вам ваши блокчейны?]
Иррационально? Возможно, но так работает доверие. Его нельзя заменить алгоритмами и протоколами. Оно гораздо социальнее чем они.
Любая блокчейн система должна сосуществовать с другими более привычными системами. Современный банкинг спроектирован так, чтобы действия были обратимы. А биткоин нет. Их сложно сделать совместимыми, и зачастую это приводит к незащищенности (insecurity). У Стива Возняка вымутили 70 тысяч, потому что он об этом забыл.
Технологии блокчейна зачастую централизованы. Биткоин может теоретически полагаться на распределенное доверие, но на практике это просто не правда. Почти каждый, кто использует биткоин, вынужден доверять одному из нескольких доступных кошельков и пользоваться одним из нескольких доступных обменников. Люди должны доверять программам и операционным системам, и компьютерам на которых всё это работает. Мы сталкивались с троянами, фишингом и перебором паролей. Преступники даже пользовались уязвимости в системе, которой люди пользуются для восстановления своих мобильников, чтобы красть биткоины.
Более того, в любой распределенной системе, существуют черные ходы, чтобы централизация проползла обратно. В биткоине не так уж много майнеров. Только одна компания производит большинство майнингового оборудования. Есть всего несколько крупных бирж. В большинстве случаев, когда люди взаимодействуют с биткоинами, они делают это через централизованные системы. Это так же делает возможными атаки против систем основанных на блокчейне.
Все эти особенности не ошибки в современных блокчейн-приложениях, они изначально ему присущи. Любой анализ безопасности системы должен рассматривать социально-технологическую систему как целое. Многие блокчейн-энтузиасты фокусируются на технологии и игнорируют всё остальное.
Многие люди не пользуются биткоинами, потому что они не доверяют биткоинам. И это не имеет ничего общего с криптографией или протоколами. Фактически, система, в которой вы можете потерять сбережения всей своей жизни, если забудете ключ или скачаете мальварь не очень-то заслуживает доверия. И никакие объяснения о том, как SHA-256 предотвращает атаку "двойной расход" (double spending) не могут это исправить.
И точно так же, те из людей кто пользуется биткоинами, пользуются потому что доверяют. Люди покупают или не покупают биткоины, основываясь на репутации. Это так даже для спекулянтов, которые покупают биткоины, потому что думают, что смогут быстро обогатиться. Люди выбирают кошелек для криптовалюты и биржу для транзакций, основываясь на репутации. Мы даже оцениваем и доверяем криптографии, лежащей в фундаменте блокчейна, основываясь на репутации алгоритмов.
Чтобы увидеть, как всё может сломаться, посмотрим на системы снабжения (supply-chain), которые используют блокчейн. Использовать блокчейн совсем необязательно, ни в одной из них. Причина по которой они успешны в том, что у всех есть единая платформа, куда можно вводить данные. И хотя блокчейн системы построены на распределенном доверии, люди не обязательно с этим согласны. К примеру, некоторые компании не доверяют системе IBM/Maersk, просто потому что это не /их/ блокчейн. [И, пожалуй, правильно делают. Maersk. NotPetya. Помоги вам ваши блокчейны?]
Иррационально? Возможно, но так работает доверие. Его нельзя заменить алгоритмами и протоколами. Оно гораздо социальнее чем они.
И всё-таки, идея о том, что блокчейн каким-то образом уничтожит потребность в доверии не умирает. Недавно я получил письмо от компании, реализовавшей безопасный обмен сообщениями, используя блокчейн. В нем, в частности, говорилось: "Использование блокчейна, как это сделали мы, уничтожило потребность в Доверии". Сие восклицание подсказывает, что автор письма неправильно понимает ни что делает блокчейн, ни как работает доверие.
Нужен ли вам публичный блокчейн? Ответ почти определенно "нет". Блокчейн скорее всего не решает проблем с безопасностью, которые как вы думаете он способен решить. Проблемы с безопасностью, которые он решает, скорее всего не ваши проблемы. (Манипуляции с данными аудита [не бухгалтерского] скорее всего не не главная для вас проблема с безопасностью) Ложное доверие к блокчейну может само по себе оказаться угрозой безопасности. Проблемы с неэффективностью, особенно в масштабировании, скорее всего не стоят того, чтобы начинать. Я видел много приложений на блокчейне, и в каждом из них можно было бы получить те же самые свойства безопасности без использования блокчейна, но конечно у них тогда бы не было крутого названия.
Честно, криптовалюты бесполезны. Их используют спекулянты в жажде быстрого бырыша, люди которым не нравятся деньги обеспеченные правительством и преступники, которым нужен черный рынок обмена валют.
Чтобы ответить на вопрос нужен ли блокчейн, спросите себя: Изменяет ли блокчейн систему доверия, хоть сколько-нибудь осмысленным способом или просто отодвигает её прочь. Может он просто заменяет доверие проверяемостью? Усиливает ли он отношения доверия или действует против них? Как доверием можно злоупотреблять в новой системе, и хуже ли это или лучше, чем в старой системе? И наконец: Как будет построена ваша система, если вобще не пользоваться блокчейном?
Если вы зададите себе эти вопросы, то скорее всего вы выберете решения, которые не используют публичный блокчейн. И этохорошо, особенно после того как развеется хайп.
Нужен ли вам публичный блокчейн? Ответ почти определенно "нет". Блокчейн скорее всего не решает проблем с безопасностью, которые как вы думаете он способен решить. Проблемы с безопасностью, которые он решает, скорее всего не ваши проблемы. (Манипуляции с данными аудита [не бухгалтерского] скорее всего не не главная для вас проблема с безопасностью) Ложное доверие к блокчейну может само по себе оказаться угрозой безопасности. Проблемы с неэффективностью, особенно в масштабировании, скорее всего не стоят того, чтобы начинать. Я видел много приложений на блокчейне, и в каждом из них можно было бы получить те же самые свойства безопасности без использования блокчейна, но конечно у них тогда бы не было крутого названия.
Честно, криптовалюты бесполезны. Их используют спекулянты в жажде быстрого бырыша, люди которым не нравятся деньги обеспеченные правительством и преступники, которым нужен черный рынок обмена валют.
Чтобы ответить на вопрос нужен ли блокчейн, спросите себя: Изменяет ли блокчейн систему доверия, хоть сколько-нибудь осмысленным способом или просто отодвигает её прочь. Может он просто заменяет доверие проверяемостью? Усиливает ли он отношения доверия или действует против них? Как доверием можно злоупотреблять в новой системе, и хуже ли это или лучше, чем в старой системе? И наконец: Как будет построена ваша система, если вобще не пользоваться блокчейном?
Если вы зададите себе эти вопросы, то скорее всего вы выберете решения, которые не используют публичный блокчейн. И этохорошо, особенно после того как развеется хайп.
👍1