Безопасность и анонимность общения в сети подразумевают, что только участники общения будут знать о его содержимом и о самом факте наличия общения. Так как государственные структуры не являются одной из сторон в процессе обмена информацией, то мне непонятно стремление обеспечить им к ней доступ, поскольку такое решение никоим образом не обяжет преступников давать аналогичный доступ. Более того, у преступников гораздо больше возможностей для анонимизации — например, практикуется такой подход, как закупка большого количества сотовых телефонов и SIM-карт для единоразового использования. Кроме того, что делать, если содержимое общения идет вразрез с интересами государственных структур? Причем речь необязательно идет о «репрессиях» — представьте, например, обсуждение стратегии свержения правящей партии между членами оппозиции. Правящая партия в такой ситуации просто сработает на упреждение, получив соответствующую информацию.

1. На мой взгляд, большинство пользователей таких технологий — рядовые граждане, которые не хотят волноваться, условно говоря, при каждом комментарии на форуме, что на них подадут в суд за клевету, или что к ним домой заявятся вооруженные представители Секретной службы, например (рядовой случай — пользователь в США в шутку написал комментарий: «я убью президента,» - в качестве примера фразы, которую нельзя писать в интернете). То есть такие пользователи — люди, которые не хотят общаться в интернете по правилам, сильно отличающимся от общения с друзьями в реальной жизни. Это подтверждается логами выходных узлов сети Tor, которые публиковали некоторые не особо этичные администраторы. Почти весь видимый трафик с таких узлов шел на обычные новостные, развлекательные и другие сайты. Кроме того, значительная часть пользователей анонимизирующих технологий обходит таким способом блокирующие фильтры на государственном и корпоративном уровне, и совсем небольшой процент — те, кому есть, чего опасаться, то есть журналисты и активисты в странах "третьего мира", хакеры, кардеры, педофилы, SEO-шники и так далее.

2. На сегодняшний день самая важная проблема безопасности в сети с точки зрения пользователя, на мой взгляд, — это централизация огромного количества информации о пользователях и их окружении в руках отдельно взятых корпораций, таких, как Google и Facebook. Такая ситуация опасна и возможностью некорректного пользования информацией самими корпорациями, и кражей информации хакерами, и (необычайной — через удобные интерфейсы) легкостью доступа к такой информации для силовых структур в любой стране, где у корпорации есть представительство. Кроме того, опасен сам факт хранения доступной информации о человеке на протяжении многих лет и то, как этой информацией могут воспользоваться потенциальные работодатели, например.

Контроль «Старшего брата» далеко не вездесущ, так как он упирается в сбор большого количества информации о человеке заранее (здесь ресурсы практически не ограничены) и в последующий выборочный доступ к этой информации для специалистов (здесь ресурсы ограничены количеством специалистов). Средства обеспечения анонимности как раз дают возможность с самого начала не предоставлять информацию о себе «Старшему брату». Единственная проблема здесь в том, что само по себе использование средств для анонимизации может навлечь подозрения на пользователя, но увеличение количества пользователей и улучшение технических характеристик таких средств нивелируют проблему.

К сожалению (или к счастью), я не специалист в российском законодательстве — но рискну предположить, что использование сети I2P (где каждый пользователь по умолчанию является передатчиком) можно подвести под предоставление услуг шифрования без соответствующей лицензии, что, разумеется, незаконно — какое же государство добровольно согласится оставаться в неведении относительно личной жизни своих граждан? Полностью согласен с Вами по поводу конфликта интересов между властью и гражданами. Я оптимистично смотрю в будущее с точки зрения возможностей защиты личной информации в сети, так как несмотря на стремление любой власти к консолидации возможностей контроля над сетью и другими средствами связи, прогресс в средствах защиты информации двигается прежде всего рядовыми гражданами (исследователями и разработчиками), а не представителями власти, которым остается лишь с запозданием реагировать на то или иное новшество.

Когда речь идет о защите, то необходимо выяснить, от кого и с какой целью эта защита должна помогать. Например, используя почту вместо социальных сетей, Вы избегаете накопления общедоступной информации о Вас, причем необязательно в собственно социальных сетях, так как существует достаточно агрегаторов, накапливающих такую информацию для своих целей. Но стоить помнить, что, например, полиция с легкостью получит доступ ко всей Вашей электронной почте, хранящейся на серверах Yahoo! или Hotmail. Телефонный разговор в этом плане более надежен, так как у полиции не будет доступа ко всей истории разговоров — только с момента получения ордера на прослушивание. Спецслужбы, с другой стороны, могут хранить запись всех совершенных Вами разговоров, но в суде такую запись использовать будет нельзя, и так далее. Оплачивая счета на работе, где квалифицированный системный администратор позаботится о защите компьютера от взлома, Вы избегаете воровства паролей от сайтов банка и кредитной карты, но все равно рискуете тем, что хакеры взломают сайт компании, счета которой Вы оплатили, и скопируют данные кредитной карты. Если же, к примеру, Ваш банк предоставляет средства для входа на свой сайт с использованием двухфакторной аутентификации (такие, как SecurID), а также одноразовые виртуальные кредитные карты (VCC), то Вы сможете избежать вышеозначенных рисков, даже оплачивая счета из дома. То есть само по себе общение со знакомыми и друзьями в социальных сетях никакой опасности не несет (и, на мой взгляд, у игнорирования новых средств общения больше минусов, чем плюсов), но важно осознавать, что происходит с информацией по мере ее выкладывания в сеть, и действовать соответственно.

Кроме очевидной возможности так называемой «кражи личности», которая имеет значение в основном в США (с их высоким уровнем доверия к предоставляемым людьми личным данным), основная, на мой взгляд, проблема с публикацией таких данных в сети в том, что никто из нас не знает, в какой ситуации окажется лет через 20. Срок жизни информации, однажды оказавшейся в сети, ничем не ограничен, а человек человеку далеко не всегда друг, товарищ и брат, и кто-то может воспользоваться легкомысленно или случайно опубликованной много лет назад информацией в корыстных целях. Возможностей достаточно — подсидеть коллегу по карьерной лестнице, в красках расписать сопернице былые похождения ее мужа, шантажировать объект навязчивого преследования угрозой показать кому-либо малоприличные видеоролики давней юности, про ушедших в политику людей, я думаю, и так все ясно, и так далее. Кажущаяся безобидной информация может быть использована в будущем, чтобы отказать человеку в медицинском страховании или во въездной визе в другую страну, например. То есть общество, со временем, конечно же, становится более толерантным к увеличению потока личной информации, но возможность нанесения человеку вреда с использованием такой информации эта толерантность не уменьшает.

Вы правы — если не пользоваться какими-либо методами для обеспечения безопасности и анонимности в сети, то информация легко становится доступной методом обычной прослушки на уровне физической связи (чем с радостью занимаются многие военные организации). Но, к примеру, при использовании обычного шифрования прослушку придется устанавливать уже непосредственно на сервере сайта, что не всегда возможно (сервер может находиться за пределами юрисдикции соответствующих органов). Если же ресурс содержится в виде скрытого сервиса в сети Tor (или как eepsite в сети I2P), то местоположение сайта и его посетителей никому не будет известно.

Военные совсем не зря с подозрением относятся к компьютерному и не только обеспечению, производимому в странах потенциального противника, заклятых друзей и просто за рубежом. Например, согласно книге “At the Abyss: An Insider’s History of the Cold War” (Thomas C. Reed) во время "холодной войны" ЦРУ сумело поставить Советскому Союзу (в качестве троянского коня) ПО для управления газопроводом, которое в результате запланированной диверсии вызвало взрыв мощностью около 3 килотонн в Сибири в 1982-м году. Недавний пример с военизированным вирусом Stuxnet тоже широко известен. Вооруженные силы стран, заказывающих оборудование для безопасной связи у США, могут быть уверены, что друзья в США тоже, как говорится, всегда на связи. По поводу же операционных систем, в 1999-м году в Windows NT 4 был обнаружен второй ключ (в дополнение к основному) для подписи устанавливаемых модулей для шифрования. Название ключа было “_NSAKEY” (NSA — Агентство национальной безопасности США, занимается прослушкой и декодировкой разнообразных каналов связи). Выводы делайте сами, правда, насчет холодильника я бы не волновался. ☺

Разумеется, такая ситуация ненормальна, и доверять личную информацию (если, конечно, Вы не хотите, чтобы она стала общедоступной) таким сервисам нельзя. Нужно понимать, что клиентами абсолютно всех социальных сетей, новостных и развлекательных порталов, почтовиков и даже поисковых сервисов являются рекламодатели, а в качестве товара выступают посетители. Конечно, нет ничего плохого в том, чтобы воспользоваться предоставляемым бесплатно сервисом для удобного общения с друзьями, например, но необходимо помнить о фундаментальном конфликте интересов между провайдером сервиса и посетителем. Помните, что, как бы очередная социальная сеть ни тужилась показать свою элитарность, Вы (как товар для рекламодателей) нужны ей гораздо больше, чем она Вам (сетей много).

Если Вы имеете в виду, что сеть «ВКонтакте» якобы была создана ФСБ для слежки за гражданами, то я не видел никаких подтверждений этому мифу. Обычно в качестве аргументов приводится огромное количество необходимых средств для содержания серверов и полное отсутствие рекламы в первые годы развития ресурса, но Павел Дуров всего лишь полностью скопировал социальную сеть Facebook — включая принцип позднего ввода целевой рекламы для обеспечения «модности» сети на раннем этапе привлечения пользователей. За развитие же ресурса в первые годы в любом случае платят инвесторы, без связи с наличием или отсутствием монетизации. К слову, такой же миф про связь между Facebook и ЦРУ популярен за рубежом — по-видимому, миф тоже был скопирован. Но, вне всякого сомнения, спецслужбы всех стран получают огромное количество «сырой» развединформации из социальных сетей — было бы безрассудно не воспользоваться таким замечательным ресурсом.

По умолчанию браузер Google Chrome отсылает на сервера Google адреса всех сайтов, на которые Вы заходите, с заявленными целями предотвращения фишинга, подсказок в адресной строке и подсказок в случае ошибок. Я бы посоветовал Вам изменить такое поведение браузера в настройках, а также отменить отсылание в Google статистики при сбоях. Подробности настроек можно прочесть после поиска «Обзор настроек конфиденциальности» в сети. Кроме вышеперечисленных проблем с приватностью при настройках по умолчанию, я не вижу причин не пользоваться данным браузером, если Вы находите его удобным — все, что браузер куда-либо отсылает, можно просмотреть, установив сниффер.

Я так не думаю. Права и привилегии человека определяются в соответствии с морально-этическими нормами и тем этапом развития, на котором в данный момент находится общество. На сегодняшний день интернет плотно вошел в нашу жизнь и в некоторых странах даже признан интегральной частью прав человека (например, в Эстонии, Франции и Финляндии). Но полноценно пользоваться интернетом в современных условиях без какого-либо ожидания на невмешательство в частную жизнь, на мой взгляд, невозможно. Если же отойти от сетевой тематики, то «Европейская конвенция о защите прав человека», например, в 8-й статье гарантирует право на уважение частной и семейной жизни.

Вы, несомненно, правы, если речь идет об отдельно взятом рационально мыслящем человеке. Но человек — прежде всего социальное животное, а большинство людей действует скорее на инстинктивном уровне, чем на осмысленном. Поэтому предположу, что у одних людей просто появится больше поводов обсуждать поступки других людей. Интересно заметить, что развязка фантастической повести «Свет былого» Боба Шоу (Bob Shaw, “Light of Other Days”) близка к Вашей точке зрения: «В последующие десятилетия людям приходилось мириться с повсеместным присутствием ретардитового соглядатая, и они научились жить не таясь и не стыдясь, как жили в далеком прошлом, когда знали доподлинно, что от очей бога укрыться негде».

Если Вы заходите на ресурс без использования прокси, то вычислить Вас при наличии соответствующего ордера или без него (в зависимости от страны) будет очень легко — провайдеры обязаны хранить логи как раз для этой цели. Чтобы защитить себя от такого способа идентификации, необходимо воспользоваться прокси в той или иной форме: сетью Tor (желательно в качестве готового решения, например TorButton), двойным VPN-подсоединением с серверами в странах с недружественной друг к другу юрисдикцией и так далее. Но IP — не единственный способ идентифицировать посетителя, которого можно ассоциировать с уникальным набором версий браузера и его расширений, обычными и flash cookies (LSO), и так далее. Для борьбы с такой недружественной к пользователю активностью я бы порекомендовал Вам как минимум установить блокировщики рекламы и flash-контента (который можно включать в индивидуальном порядке — как правило, это видеоролики), запретить third-party cookies и регулярно чистить обычные, а на подозрительные сайты заходить в режиме «инкогнито» (который есть у большинства современных браузеров) с выключенным Javascript’ом. Для более основательной защиты от идентификации Вы можете воспользоваться целевыми дистрибутивами — Liberté Linux или Tails. Важно заметить, что при выходе в сеть через Tor нешифрованный трафик виден выходным узлам, которые может администрировать кто угодно, поэтому, например, соединения браузера с сайтами должны идти по протоколу HTTPS с подтвержденными сертификатами.

Если Вы хотите использовать именно коммерческие решения, то оптимальный вариант, на мой взгляд, — коммуникаторы BlackBerry вкупе с собственным BlackBerry Enterprise Server. Таким образом почта, посылаемая через коммуникатор, будет шифроваться независимо от серверов компании Research In Motion. Голосовую же связь лучше всего осуществлять через установленный на коммуникатор Skype. И BlackBerry, и Skype используют современные алгоритмы шифрования. На десктопах можно использовать решения компании PGP (купленной Symantec), включая шифрование с публичным ключом для почты. Для скрытия IP-адреса можно воспользоваться цепью из двух или более надежных VPN-сервисов в нейтральных странах. В области открытых решений я бы посоветовал Вам попробовать интерфейс почтовых сообщений в Liberté Linux, разработанный специально с целью скрыть местоположение собеседников и содержимое сообщений без необходимости напрямую работать с ключами шифрования и сертификатами. При использовании обычной почты необходимо пользоваться шифрованием с открытым ключом — например, GnuPG (открытый аналог PGP Email), но желательно иметь в виду, что спецслужбы будут иметь возможность анализировать трафик (кто кому и когда послал сообщение) и высылать на дом специалистов по терморектальному криптоанализу. Сообщество в соцсети обезопасить от закрытия невозможно, но можно попробовать перенести активность в соцсеть, неподотчетную спецслужбам Вашей страны.

В отличие от реальной жизни, где человек либо «под колпаком», либо нет, в сети это понятие более размыто, так как информация собирается соответствующими организациями про всех и сразу, а последующий ее анализ может произойти через продолжительное время. Соответственно, и признаков, о которых Вы говорите, нет — если, конечно, через пять минут после поста в сети не звонят на личный номер вежливые люди с просьбой прокомментировать выраженное мнение. Сохранять же относительную анонимность не так трудно — пользуйтесь такими анонимизирующими сетями, как Tor, не публикуйте личную информацию о себе. Про Google, как я понимаю, вопрос риторический? Для того, чтобы такие ситуации не возникали, нужно «всего лишь» добиться того, чтобы власть представляла интересы граждан, а не финансовые и иные интересы. Если доверять предвыборной пропаганде, то это очень просто.

К сожалению, я не обладаю достаточной квалификацией, чтобы ответить на Ваши вопросы. Могу только заметить, что образование в области компьютерных наук в России гораздо хуже, чем на Западе, но возможно, что для уровня специалистов в области компьютерной безопасности это не играет решающей роли.

Сбор, классификация и перекрестный анализ открыто доступной информации — основное занятие разведок во всем мире. Дезинформация же, как правило, — «штучные» операции спецслужб, предназначенные для их коллег в других странах, а никак не для широкой публики. Поэтому наибольший интерес в Вашем вопросе, на мой взгляд, представляет степень вовлеченности силовых структур в целенаправленное влияние на общественное мнение в своей или в других странах методом выборочного вброса комментариев в развернувшуюся где-либо в интернете полемику. Вопреки распространенному мнению («проплаченные комментарии»), такой метод практически нигде не используется, так как для него необходимы огромные широко квалифицированные людские ресурсы (вклиниться в полемику и сразу вызвать доверие дано не каждому), а выхлоп невелик — гораздо продуктивнее, например, мотивировать и подкармливать симпатизирующих кому нужно блогеров (можно в буквальном смысле — на приеме в посольстве, например) или даже заранее вложиться в агента влияния, который с годами, как в бабочку, превратится в знаменитого журналиста. В монографии “Blogs and Military Information Strategy” (JSOU, 2006) видно, что пять лет назад подход с целенаправленным влиянием на общественное мнение через блогеров рассматривался американской военщиной лишь теоретически и оценивался как очень сложный и требующий вербовки или найма блогеров, которые уже имеют авторитет у целевой аудитории. Вместе с тем открытое и обоснованное выражение собственного мнения в сети (с указанием организации, к которой относится комментатор) в качестве реакции на неугодные посты (так называемый “counter-blogging”) часто поощряется в военных и коммерческих организациях.

Как же государство запретит провайдерам хранить крайне нужную ему информацию? Во всем мире государство, наоборот, обязывает операторов хранить такую информацию достаточное количество времени (обычно несколько лет), чтобы в случае возникновения интереса к одному из граждан оператор мог предоставить такую информацию по первому запросу. Более того, государства всех стран активно противятся возможности шифрования голосовой связи из конца в конец, например (чему давно нет никаких технических преград при современных мощностях сотовых телефонов), так как такое шифрование сведет возможность властей неограниченно прослушивать телефонные разговоры на нет. Поэтому я думаю, что не стоит ждать милостей от государства в плане сохранности личной информации, надо начинать пользоваться средствами для безопасного общения в сети уже сегодня.

Это очень широкий вопрос. Как правило, с точки зрения безопасности, ОС отвечает за непревышение программами данных им привилегий и корректную обработку сетевых пакетов (например, взломанный сервис синхронизации часов не должен дать злоумышленнику доступ ко всей системе); ПО несет ответственность за отсылку только необходимой информации и проверку получаемой информации (например, браузер не должен запустить файл на сайте без подтверждения пользователя и не должен автоматически заполнить поле формы ранее дававшимся номером кредитной карты); сервер же должен обеспечить защищенность данных пользователя и хранить как можно меньше чувствительной информации (например, хранить хэши паролей вместо самих паролей). Если в одной из этих систем появляется «слабое звено», то безопасность и конфиденциальность пользователя в сети попадают под угрозу.

1. В то время как RTMP — открытый протокол, для которого Вы используете хоть и проприетарный, но отлаженный временем просмотрщик для приема видеопотока с целевого сервера, SopCast — проприетарное решение для P2PTV, в котором Вы принимаете видеопоток не с целевого сервера, а от других пользователей, которые могут воспользоваться неизвестной уязвимостью протокола или просмотрщика и, так сказать, впарить Вам троян. Вероятность взлома через чат, на мой взгляд, значительно меньше, так как трафик чата, скорее всего, идет через сервер SopCast, и при минимальном уровне компетенции разработчиков шанс взлома нулевой (если Вы, конечно, не кликаете по линкам, которые постят собеседники).

2. Надежными (то есть с сайтами без вирусов) файлообменниками пользоваться безопасно, так как, хотя скачивание и может идти в несколько потоков, но все потоки скачивают сегменты файла с одного и того же сайта-файлообменника. Торрентами пользоваться гораздо опаснее, поскольку, опять же, сегменты файла скачиваются напрямую у других пользователей. Тем не менее, протокол BitTorrent проверен временем, поэтому я не советую Вам отказываться от торрентов, но пользоваться популярным клиентом, который сам находит и скачивает обновления.

3. Согласно тестам компании NSS Labs, профинансированным компанией Microsoft, браузер Internet Explorer 9 является наиболее безопасным браузером. К сожалению, история показывает, что полагаться на безопасность продуктов, производимых компанией Microsoft, как минимум ошибочно. Я бы посоветовал Вам (присоединившись к рекомендации Федерального управления по информационной безопасности Германии), если такое возможно, использовать браузеры с открытым кодом и с лучшей репутацией — Mozilla Firefox или Google Chrome (с соответствующими настройками приватности, о которых я написал в другом ответе).

Я думаю, что, скорее всего, Вы настроили свой антивирус на слишком высокую чувствительность (проверьте настройки так называемого heuristics). Для СМИ нет никакого смысла заражать посетителей троянами — пресса действует тоньше и эффективнее, а информацию о себе посетители, как правило, предоставляют сами и добровольно — например, своими ответами на опросы, статьями, которые читают, и рекламой, на которую кликают. Если новостной портал и пытается заразить компьютер вирусом, то, скорее всего, хакерами был взломан один из элементов сайта. Мой email есть по ссылке в пресс-конференции: mk@dee.su, буду рад пообщаться с Вами.

Я думаю, что сложность кода ПО с точки зрения безопасности должна рассматриваться прежде всего относительно количества разработчиков, которые анализировали этот код. Подозреваю, что у ядра Linux в этом плане нет альтернатив — и решающее значение приобретают такие факторы, как поддержка периферийных устройств, например. Кроме того, простота не всегда является достоинством — поддерживает ли Minix установку брандмауэра, мягкую перезагрузку в мини-ядро для очистки памяти, замыкание участков памяти для хранения паролей и так далее?

Лично мне высокий уровень анонимности редко необходим, поэтому я иногда пользуюсь Tor’ом для того, чтобы зайти на тот или иной сайт; кроме того, IRC и мессенджером я пользуюсь в основном из Liberté Linux — что, разумеется, подразумевает Tor’ификацию общения. В основном я просто избегаю публикации излишней личной информации о себе в социальных сетях и держу семейный альбом под паролем, известным только близким. Сотовый телефон в поездках не выключаю и батарейку из него не вынимаю. «Параноиком» себя не считаю, но против их дискриминации. ☺

Liberté Linux является прежде всего целостным решением для анонимного и безопасного общения. Разумеется, что такая целенаправленность дистрибутива подразумевает в том числе и то, что обычно называют безопасностью самой ОС, но это разные понятия. Отдельно взятый дистрибутив ОС Linux может быть устойчив к удаленному или локальному взлому, но внешний перехватчик трафика все равно будет осведомлен об активности пользователя в сети — на какие сайты ходит, с кем общается, что и кому пишет (при отсутствии шифрования, но не только) и так далее. Более того, приложения, аналогичные TorButton, являются лишь надстройками (над конкретным браузером в случае TorButton) и не защищают пользователя от утечки информации через другие каналы. Liberté Linux включает в себя безопасный дистрибутив Hardened Gentoo в качестве основы, настройку его и всех приложений применительно к целям Liberté, анонимизацию всех сетевых соединений, а также целевые приложения, одно из которых предоставляет возможность скрытно обмениваться сообщениями через стандартный почтовый клиент — без привязки к какому-либо серверу, без возможности обнаружения и с прозрачным для пользователя шифрованием.

Конечно, я готов рассмотреть такую возможность. Предлагаю обсудить на IRC-канале про аниме.

Как я написал выше, такое сравнение некорректно. Кроме того, на мой взгляд, представление об OpenBSD как о сверхбезопасной ОС основывается большей частью на сверхвысоком самомнении ее разработчиков.

Так как речь идет об автоматизации построения живых образов, то разные дистрибутивы и являются принципиальным отличием. Другие отличия перечислены на сайте проекта — на мой взгляд, наиболее важным из них является поддержка зашифрованного раздела, на котором хранятся, в числе прочего, изменения конфигурации пользователя.

TrueCrypt проблематичен с лицензионной точки зрения, из-за чего от него отказалось большинство дистрибутивов Linux. Так как в Liberté Linux на разделе OTFE хранятся лишь отдельные файлы (то есть раздел не функционирует, как read-write слой над read-only файловой системой), то скорость доступа непринципиальна, и решающее значение приобретают другие факторы: стандартизированность, интеграция в ОС, открытость разработки и так далее.

Если делать все вышеозначенное под своим настоящим именем, то, разумеется, анонимность сохранить не выйдет. Если же создавать учетные записи из Liberté и не пользоваться ими из других ОС без соответствующих методов анонимизации, то не должно быть возможности связать Вас с этими учетными записями — если только Вы сами никому не раскроете свои личные данные.

Копирайт на сайте размещен как дань уважения этим организациям. KADDB, например, недавно прославился прототипом бронетранспортера с выходом для десанта в лобовой части корпуса. «Сколково» — тоже замечательный правительственный проект. Но Liberté Linux пока не спонсируется правительством или спецслужбами. Проблема, конечно, в том, что гарантию отсутствия такого контроля не сможет предоставить ни один проект. К счастью, Liberté — проект с открытым кодом, около 10000 строк на данный момент. Если Вы полагаетесь на отсутствие «закладок» в ядре Linux и в используемых пакетах дистрибутива Gentoo, то достаточно попросить специалиста провести аудит кода Liberté Linux (к слову, я буду только рад отзывам).

Я не вижу причин считать, что сеть Tor является «приманкой» для кого-либо. Tor довольно популярен в качестве объекта исследований специалистов в области сетевой безопасности, насколько мне известно, в нем нет принципиальных уязвимостей в рамках реализуемой модели анонимизации (несколько устаревшие методы шифрования не в счет). Проблема с Tor’ом, на мой взгляд, в другом. Размер активной части сети Tor, то есть передатчиков (включая выходные узлы) очень невелик — около 2500 узлов. Между тем, количество пользователей этой сети — около 350000, но по умолчанию они не включаются в сеть даже в качестве внутренних передатчиков. Более того, сеть централизована, и список передатчиков всем доступен. Налицо архитектурная проблема: доступ из Tor к ресурсу в открытом интернете легко заблокировать; возможность использования Tor можно как минимум сильно затруднить на государственном уровне; и (что наиболее важно) организация уровня возможностей NSA может легко накрыть всю сеть анализом трафика, сведя анонимизацию на нет (здесь стоит упомянуть, что длина цепи в Tor при выходе в открытый интернет равна всего трем узлам). Для того же, чтобы добавить в сеть в ее текущем состоянии значительный процент контролируемых злоумышленником узлов, нужно лишь желание и относительно небольшое количество денежных ресурсов. С доступом к скрытым сервисам в сети Tor ситуация несколько лучше, так как даже глобальный анализ трафика не дает информации о характере скрытого узла, к которому идет доступ, и цепь узлов немного длиннее, но остальные проблемы остаются в силе. На мой взгляд, Tor в его текущем виде несомненно усложняет задачу деанонимизации пользователя, но рассматривать его в качестве гарантии анонимности нельзя.

Вне всякого сомнения, обмениваться чувствительной информацией через Tor без использования шифрования безрассудно (но не в большей степени, чем, например, делать то же самое с использованием беспроводной связи). Но при использовании протокола HTTPS, например, у выходных узлов не будет доступа к содержимому трафика, а при доступе к скрытым сервисам (адреса .onion) выходные узлы отсутствуют как класс.

Мне неизвестны достоверные источники информации о таком контроле. Возможные же последствия такого контроля я прокомментировал выше.

Flash не включен в образ Liberté из-за своего закрытого кода и постоянных проблем с безопасностью данного плагина. Браузер Midori, поставляемый в образе, поддерживает Javascript и HTML5 и включает поддержку вложенного видео и аудио в следующем релизе Liberté Linux — без необходимости установки Flash. В любом случае Вы можете самостоятельно собрать образ со всеми необходимыми приложениями — кроме настройки на свой вкус, такой подход дает возможность не полагаться на поставляемый бинарный образ.

Сеть Tor (и ее аналоги) как раз и является общим случаем такого свободного VPN-сервиса, так как трафик пользователя передается через цепь случайно выбранных узлов. Кроме того, в сети есть достаточно возможностей получить бесплатный доступ к VPN (поищите “free vpn”), но степень анонимности при их использовании, разумеется, будет под вопросом.

Как и все экстремисты, террористы поддерживают свою идеологию за счет тщательной фильтрации поступающей информации, осуществляемой самими террористами или направляющими их идеологами. Я не думаю, к примеру, что террорист средней руки решится доверить свои секреты принципам анонимизации, реализованным в Liberté Linux — не утвержденной муллой очевидной подсадной утке спецслужб Большого Дьявола. Он предпочтет скачать с уютного джихадского форума пакет шифрования «Секреты моджахедов–2», введя цитату из Корана в качестве капчи. В любом случае ограничить доступ к общедоступной информации невозможно.

Мне очень импонирует Netsukuku как независимая и автономная mesh-сеть с возможностью интеграции с обычным интернетом. Как показали события этого года в арабском мире, доступ в интернет легко блокируется на государственном уровне. Между тем, современные технологии позволяют легко создавать независимые сети на основе устройств, имеющихся у огромного количества людей — вопрос только в наличии хорошей программной реализации, для чего необходима популяризация таких сетей и привлечение специалистов для разработки. Я надеюсь, что Netsukuku продолжит развиваться, но уверен, что в любом случае та или иная mesh-сеть получит распространение в ближайшем будущем. С точки зрения надежности самый важный момент — открытые спецификации протокола и код, что позволяет анализировать стойкость сети до того, как уязвимость обнаружил кто-то другой. В этом плане Tor и в меньшей мере Freenet (как менее часто анализируемую сеть) и I2P (как более новую сеть) можно считать относительно надежными, с учетом возможных проблем (глобальный анализ трафика, например), которые я прокомментировал выше. Для прямого файлового обмена я бы порекомендовал Вам попробовать почтовый функционал в Liberté Linux, работающий через скрытые сервисы Tor и реализующий прозрачное для пользователя шифрование и верификацию доставки.

На мой взгляд, существенных уязвимостей у сети I2P нет — более того, она обладает рядом серьезных преимуществ по сравнению с сетью Tor. Например, сеть I2P полностью децентрализована, посылаемые пакеты группируются вместе, а туннели для связи между узлами асимметричны. «Прикрыть» I2P будет сложнее, чем Tor, так как необходимо разрушить всю сеть, а не несколько центральных серверов. Кроме того, проект I2P развивается, на мой взгляд, гораздо более динамично, чем Tor (хотя именно Tor финансируется из различных источников), и качество анонимизации улучшается со временем. Я надеюсь, что количество пользователей I2P будет продолжать расти — даже несмотря на то, что эта сеть не ориентирована на связь с открытым интернетом.

Любая власть стремится монополизировать контроль над гражданами страны в целях продвижения своих интересов. Так как интересы власти чаще совпадают с интересами тех, кто обеспечивает ее незыблемость (корпорации, олигархи, теневой бизнес, военные структуры), чем с интересами собственно граждан, то любая неконтролируемая группа обычно рассматривается как угроза. Я думаю, что, в зависимости от оценки властью степени такой угрозы, вполне возможна ситуация, при которой отдельные проявления активности анонимусов будут истрактованы отдельно взятым президентом или премьер-министром как международный терроризм, например.

Да, «Максим Каммерер» — псевдоним. Многие разработчики ПО для анонимизации и схожих целей предпочитают не раскрывать своего имени. Представьте, например, ситуацию, в которой член наркокартеля сливает информацию конкурентам, используя такое ПО — о чем узнает глава наркокартеля. Преступники редко отличаются выдающимися мыслительными способностями, поэтому руководитель может решить, что создатель ПО сможет помочь в поимке информатора.

«Иногда сигара — это всего лишь сигара». ☺