Ladar Levison: Proč jsem byl donucen ukončit Lavabit (diskuse)

Tohle už mě ani nepřekvapuje.

http://martinrotter.github.io

28.5.2014 08:46 R
Rozbalit Rozbalit vše Re: Ladar Levison: Proč jsem byl donucen ukončit Lavabit

Mna tiez nie. A uvedomujem si, aka je "bezpecnost" u Googlu a dalsich firiem: nulova. Napriek tomu, ze sa tvaria, ako je vsetko bezpecne, lebo vsade maju HTTPS. Treba o tom pisat co najviac, pretoze si to mnoho ludi neuvedomuje.

28.5.2014 09:03 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Ladar Levison: Proč jsem byl donucen ukončit Lavabit

Je to tak. Verit v soucasne dobe jakekoliv americke firme a sverovat jim sva data je ciry nesmysl - museji se podridit temto silenostem a nebo konci - a oni se podridili - a to se tyka i vsech linuxovych distribuci s puvodem v USA, zejmena pokud je americka vlada jejich dulezity obchodni partner ...

A former Red Hat freeloader.

28.5.2014 09:52 kavol | skóre: 28
Rozbalit Rozbalit vše Re: Ladar Levison: Proč jsem byl donucen ukončit Lavabit

můžeš tu myšlenku s těma distribucema nějak rozvést?

co má společného nátlak na provozovatele služby s poskytovatelem softwaru? - jakože toho poskytovatele softwaru donutí logovat, že si Pepík z Horní Dolní stáhnul z toho a toho mirroru (pokud je v USA) Fedora-Live-Desktop-x86_64-20-1.iso?

28.5.2014 11:19 x
Rozbalit Rozbalit vše Re: Ladar Levison: Proč jsem byl donucen ukončit Lavabit

Ne vzdy souhlasim s little.owl coz je asi znamo, ale neni v tom nic osobniho. Lisi se nas nahled na technicke veci, ale tady ma pravdu a tyka se to i distribuci, jak Linux, tak ale i treba takove NetBSD. Se staci pripojit na FTP od NetBSD a precist si ty hovadiny v uvitaci zprave nebo si s tim OS chvili hrat a zjistit, ze pro dost veci nejsou binarni balicky, protoze to zakony v US neumoznuji a musi si to clovek kompilovat jak osel ze zdrojaku.

Kdysi to byl jeden z primarnich duvodu proc OpenBSD sidli v Kanade, ale v dnesni dobe je pro to tech duvodu jeste vice. Staci se podivat kde se deje posledni dobou vetsina vyvoje pro Linux a ktere firmy ho delaji a bude hned jasno.

28.5.2014 14:28 kavol | skóre: 28
Rozbalit Rozbalit vše Re: Ladar Levison: Proč jsem byl donucen ukončit Lavabit

ehm, myslímže výběr dostupného software je otázka trošinku mimoběžná s tou bezpečností (pokud se zrovna nebavíme o tom, který šifrovací software je či není dostupný ;-)

)

28.5.2014 11:19 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Ladar Levison: Proč jsem byl donucen ukončit Lavabit

Napriklad to, ze kopie podpisovych klicu uz mohou byt dany k dispozici buhvi komu.

V okamziku, kdy nastupuji tajne soudy ci sverazna interpretace platne legislativy (jako treba The Patriot Act, viz. treba zde), muze byt firma ci jednotlivec donucen temer k cemukoliv, s omezenou moznosti se branit a malokdo je ochoten udelat to co udelal Levinson; rozhodne ne velke korporace.

Nikdo samozrejme nenuti Pepika z Horni Dolni stahovat Fedoru, nicmene by mohl vzit v uvahu ze jeji tvurci operuji podle legislativy Spojenych statu, a at chteji ci ne, museji se ji podridit.

Zacinam ted chapat paranoidni chovani velkych nemeckych firem, ktere se podle vseho, stejne jako Merkel, staly cilem [prumyslove] spionaze.

A former Red Hat freeloader.

28.5.2014 12:14 x
Rozbalit Rozbalit vše Re: Ladar Levison: Proč jsem byl donucen ukončit Lavabit

Nemusime chodit ani do Nemecka. Staci se podivat do CR a jak to tady US potopilo umyslne po revoluci aby se dostali jen ke smetane. Viz. Tatra, Aero Vodochody, Tesla a mnoho dalsiho. O to same jde i na Ukrajine, jen na Krymu je Rusko predbehlo, protoze o svoji zakladnu prijit nechteli.

28.5.2014 14:35 kavol | skóre: 28
Rozbalit Rozbalit vše Re: Ladar Levison: Proč jsem byl donucen ukončit Lavabit

ok, takže se bojíš, že vláda USA podepíše a podstrčí falešný balíček?

no, možnost to je, ale že bych to spatřoval jako důvod věřit neamerickým distrům nějak významně(*) více, to tedy ne

(*) významně = aby mě to ovlivnilo nějak jinak než že ztratím pár minut v diskusi na téma, že třípísmenkové agentury jsou zlo, zlo, zlo ...

28.5.2014 14:39 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Ladar Levison: Proč jsem byl donucen ukončit Lavabit

ok, takže se bojíš, že vláda USA podepíše a podstrčí falešný balíček?

Ano.

no, možnost to je, ale že bych to spatřoval jako důvod věřit neamerickým distrům nějak významně(*) více, to tedy ne

To je také pravda. I u neamerických dister má klíče… já nevím… třeba u Debianu desítky, možná stovky lidí, ne? Tak to už určitě bude taky leaknuté.

28.5.2014 17:54 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Ladar Levison: Proč jsem byl donucen ukončit Lavabit

To je také pravda. I u neamerických dister má klíče… já nevím… třeba u Debianu desítky, možná stovky lidí, ne?

Tady by asi mohly trochu pomoci reprodukovatelne buildy.

Nicmene v situaci, kdy se nedela security audit klicovych casti kodu systemu a ty se zaroven casto podstatne meni, je bezpecne podepisovani berlicka. Na prusvihu s OpenSSL neni tragedie, ze se chyba stala, ale ze trvalo dva roky ji odhalit a jeste nejakym heuristickym testem. To znamena, ze navzdory volne dostupnemu kodu na to nikdo poradne nekoukl.

Pokud se tohle nezmeni, muzeme o nejake bezpecnosti jen snit.

Tady musim dat tem saskum z OpenBSD nejaky kredit: nemeni system tak casto, provadeji jakys-takys audit, jejich kod je vesmes relativne citelny a dokumentovany.

A former Red Hat freeloader.

28.5.2014 18:41 x
Rozbalit Rozbalit vše Re: Ladar Levison: Proč jsem byl donucen ukončit Lavabit

Dneska nam hvezdy asi hraji do karet :-)

Jen dodam, ze i samotne OpenBSD priznava, ze nema dost lidi a audit se provadi jen pro samotny zakladni system. I kdyz je v nem obsazeno dost, tak pro typicky desktop je nutne dodat spoustu veci z balicku a ty uz takovym auditem neprochazi. Neni na to dost lidi. Snaha je tedy zachytit alespon co se da pomoci specialnich implementaci malloc atd., ale neni mozne zachranovat vsechno.

28.5.2014 20:19 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Ladar Levison: Proč jsem byl donucen ukončit Lavabit

Snaha je tedy zachytit alespon co se da pomoci specialnich implementaci malloc atd., ale neni mozne zachranovat vsechno.

Pak by meli odhodit ideologicke bryle a implementovat nejaky mandatory access control framework.

A former Red Hat freeloader.

28.5.2014 20:28 x
Rozbalit Rozbalit vše Re: Ladar Levison: Proč jsem byl donucen ukončit Lavabit

Ten se bije s dulezitejsim pozadavkem na omezeni komplexnosti. Mozna jednou v budoucnu az nekdo prijde s MAC, ktery dodrzuje Unix principy a neni zbytecne komplexni, tak si nemyslim, ze by byl nejaky velky problem, ale do te doby jsou dulezitejsi veci. V praci jsem za poslednich nekolik let na cemkoliv od True64, pres HP-UX, Linux a dalsi narazil na MAC jen 3x. V jednom pripade se to davalo pryc, protoze to veci az prilis komplikovalo jak pro uzivatele, tak pro spravu a vysledkem byla horsi bezpecnost diky premysleni jak to obejit nez jak to pouzivat. Ja sam proti tomu nejsem z principu, ale pravda je, ze jsem nenarazil na "jednoduchou" implementaci.

28.5.2014 23:50 g.g
Rozbalit Rozbalit vše Re: Ladar Levison: Proč jsem byl donucen ukončit Lavabit

Ten se bije s dulezitejsim pozadavkem na omezeni komplexnosti. Mozna jednou v budoucnu az nekdo prijde s MAC, ktery dodrzuje Unix principy a neni zbytecne komplexni

Nebo bychom mohli všichni začít programovat v Newspeaku, a svět by hned byl mnohem veselejší. :-)

29.5.2014 07:49
Rozbalit Rozbalit vše Re: Ladar Levison: Proč jsem byl donucen ukončit Lavabit

>> ok, takže se bojíš, že vláda USA podepíše a podstrčí falešný balíček?

> Ano.

spis nez o vladu se bojte o zmocneneho urednika, co si to podepise pro svuj rozmar. zneuziti vojenske policie a vojenske rozvedky k soukromym ucelum ma pomerne velkou tradici ve vsech zemich bez rozdilu.

29.5.2014 17:59 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Ladar Levison: Proč jsem byl donucen ukončit Lavabit

Ještě víc se bojím úředníka, který to leakne. Ať už třeba tím, že na svém počítači spustil obama_naked.exe.

28.5.2014 15:01 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Ladar Levison: Proč jsem byl donucen ukončit Lavabit

Tak ja nepredpokladam, ze by se moje nevyznamna a nicim nevyjmecna osobnost dostala do hledacku techto instituci, maximalne strojove zpracuji me maily a zahrnou me do nejake statistiky. A i kdyby se tak stalo, stejne nemam moznost se branit.

Takze to byla jen ilustrace.

Nicmene pokud bych byl vlastnikem ci CEO nejake vetsi firmy, kde takove chovani muze mit prime dopady, a firma muze byt objektem zajmu, bral bych to urcite v potaz. My jsme treba dopadli tak, ze treba VPN a souvisejicic infrastrukturu nam na zakazku napsala nejaka svycarska firma dodavajici soft pro jejich banky, cele Cisco bylo splachnuto a tento posuv je u klicovych veci viditelny.

Tahle situace a chovani instituci v USA bude do budoucna poskozovat americke firmy, Red Hat nevyjimaje, takze nezbyva nez doufat, ze se vzpamatuji a usadi to cele do srozumitelneho pravniho ramce, s jasnymi pravidly a respektem k soukromi.

A former Red Hat freeloader.

28.5.2014 15:51 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Ladar Levison: Proč jsem byl donucen ukončit Lavabit

Já bych řekl, že firma vyrábějící různá zajímavá embedded zařízení (nevím co přesně děláš) se do hledáčku může dostat poměrně jednoduše. A půjdou na to přes zaměstnance.

28.5.2014 17:53 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Ladar Levison: Proč jsem byl donucen ukončit Lavabit

Na to jsou nastesti vhodnejsi lide jako cil.

A former Red Hat freeloader.

29.5.2014 09:17 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
Rozbalit Rozbalit vše Re: Ladar Levison: Proč jsem byl donucen ukončit Lavabit

maximalne strojove zpracuji me maily a zahrnou me do nejake statistiky

Třeba do statistiky potencionálně nebezpečných oveček…

Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!

28.5.2014 11:09 x
Rozbalit Rozbalit vše Re: Ladar Levison: Proč jsem byl donucen ukončit Lavabit

O necem psat vubec nicemu nepomuze ;-)

Protoze to jsou firmy, ktere spolupracuji se statem. Firmu zajimaji jen penize. Cili to znamena jedine, kdyz proti tomu chcete neco delat, tak mate jedinou moznost. Vubec nepouzivat jejich sluzby. Jde to pomerne snadno a sam aplikuji. Idealne se vyhnout sluzbe jakekoliv US firmy dokud tam zase za par let nedostanou rozum.

A argumenty o tom, ze to maji vychytane nebo ze je nekdo neco levnejsi neobstoji. Protoze to co se tvari jako pro vas vyhodne je necim vykoupeno a nekdo jiny za to musel pekne draze zaplatit jako je prikladem Google, Amazon, Skype, Apple, Facebook a mnoho dalsich. Hlavne doporucuju napred cist to co se o techto firmach vi, pripadne zjistilo misto soustredeni se na hovadiny jako kdo to vlastne napsal nebo odkazuje ze sveho webu.

V jednom tato státní (myslím tím zkorumpovaných států, nic proti instituci státu jako takové) zvůle může napomoci.

Uživatelé si snad konečně uvědomí, že své soukromí a data (nejen) nemohou dávat všanc žádné blackbox službě třetích stran, byť sebebezúhonějších, ale věřit mohou pouze P2P trustless řešení založeném na svobodném software. Naštěstí pro messaging takováto řešení již existují a fungují, např. bitmessage.

♡ Všechna bezpráví vyhlazena., Skripty, akordy, básně, palindromy, titulky, ...

28.5.2014 11:12 x
Rozbalit Rozbalit vše Re: Ladar Levison: Proč jsem byl donucen ukončit Lavabit

Bohuzel NE.

Neexistuje totiz technicke reseni, ktere vam umozni obejit statni/firemni smirovani pokud si oni usmysli. Vymkli se z kontroly a open source nebo closed source uz to nezachrani.

Viz. FOSDEM 2014 video

28.5.2014 11:20 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Ladar Levison: Proč jsem byl donucen ukončit Lavabit

Je to tak ... instituci jako NSA nejste schopni celit.

A former Red Hat freeloader.

30.5.2014 19:11 Qwaqwa
Rozbalit Rozbalit vše Re: Ladar Levison: Proč jsem byl donucen ukončit Lavabit

Ale jsme, jsou to jenom hloupí lidi :-)

30.5.2014 20:24 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Ladar Levison: Proč jsem byl donucen ukončit Lavabit

Já jsem taky hloupý, ale rád si nechám poradit :-)

. Jak se mohu bránit backdooru ve svém procesoru? Jak mohu používat něco jako Tor, když protistrana sleduje podstatnou část komunikace na Internetu, takže je pro ně timing-correlation hračka? Jaký mám používat operační systém, když ty dnešní jsou bloatware se spoustou chyb a backdoorů?

31.5.2014 03:19 Drom | skóre: 24 | Kdyne
Rozbalit Rozbalit vše Re: Ladar Levison: Proč jsem byl donucen ukončit Lavabit

Do počítadla snad backdoor ještě nepropašovali... :)

31.5.2014 03:53 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Ladar Levison: Proč jsem byl donucen ukončit Lavabit

<@Jenda`> Hele, dostal jsem logáro. Píšou na něm:
<@Jenda`> ✔ Arithmetic-oriented instruction set including integer, fixed and floating-point instructions
<@Jenda`> ✔ Bignum and arbitrary-precision libraries available
<@Jenda`> ✔ No hardware backdoors, fully transparent operation
<@Jenda`> ✔ 100% EMP proof
<@Jenda`> ✔ Solar powered, only little illumination necessary

31.5.2014 08:22 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
Rozbalit Rozbalit vše Re: Ladar Levison: Proč jsem byl donucen ukončit Lavabit

Jak se mohu bránit backdooru ve svém procesoru?

Říkal jsem ti to snad už desetkrát: Snadno. Že vezmeš kovadlinu, kladivo, trochu křemíku, nahřeješ výheň a vykoveš si procesor svůj vlastní. Pokud do něj nějaký backdoor nezabuduješ, žádný tam mít nebudeš.

Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!

31.5.2014 08:23 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
Rozbalit Rozbalit vše Re: Ladar Levison: Proč jsem byl donucen ukončit Lavabit

instituci jako NSA nejste schopni celit.

Ha, sni dál prosimtě.

Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!

28.5.2014 12:14 Fill | skóre: 19 | blog: Fill | Třebíč
Rozbalit Rozbalit vše Re: Ladar Levison: Proč jsem byl donucen ukončit Lavabit

Muzes z toho 46 minut dlouheho videa vypichnout nejake klicove argumenty, nebo si ho budu muset cele pustit a do it myself ;)? Dik

Nerikam, ze svobodny software je automaticky postacujici podminkou zarucujici bezpecnost, ale IMHO nutnou a zaroven diky moznosti kontroly komunitou docela nadejnou.

♡ Všechna bezpráví vyhlazena., Skripty, akordy, básně, palindromy, titulky, ...

28.5.2014 12:32 x
Rozbalit Rozbalit vše Re: Ladar Levison: Proč jsem byl donucen ukončit Lavabit

To je prave to, ze je lepsi, kdyz to clovek shledne cele, protoze tam toho je dost a neco vypichnout hrozi, ze jine dulezite momenty vynecham. Stoji to opravdu za to. Obecne nazor prezentujiciho (jeden ze znamych Evropskych FreeBSD vyvojaru) rika, ze existuje pouze politicke reseni a ne technicke.

Samozrejme nerikam, ze se ma se svobodnym SW seknout. To vubec ne, prave naopak. Jenze sila open source komunity jako takove se posledni dobou az prilis precenuje. Staci se podivat kdo dela vetsinu vyvoje v Linuxu treba. Nebo jak komunita vlastne nemuze ani zabranit prosazeni veci jako je systemd, ktere jsou proste podany firmou jako tady to mate, nekecejte nam do toho, popis API nebo nejakou dokumentaci nepotrebujete a nacpeme to vsude at se vam to libi nebo ne a ostatni jen se sklopenyma usima to implementuji. Dost to pripomina chovani jine zname firmy, ktera byla znama tim jak byla proti open source a tehdy nebo mozna i ted se Linux snazil byt jeji alternativou. Po par letech si ale podobnou firmu pusti do svych rad.......

Jake je vlastne ted svobodne Linux distro? Slackware ten se zatim dost drzi, ale jak dlouho? A RMS seznam kdyz se clovek podiva, tak vlastne zadne to distro uz neexistuje mimo Libre Linux nebo jak se ted jmenuje.

28.5.2014 12:42 Druhá Doba
Rozbalit Rozbalit vše Re: Ladar Levison: Proč jsem byl donucen ukončit Lavabit

Qubes?

28.5.2014 13:05 x
Rozbalit Rozbalit vše Re: Ladar Levison: Proč jsem byl donucen ukončit Lavabit

Na Rutkowskou jsem zapomnel, ale nevim taky jestli uz to ma dostacujici pro nasazeni nebo stale je to ve vyvoji.

Jinak jsem mel na mysli tenhle seznam Free GNU/Linux distributions

28.5.2014 14:37 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Ladar Levison: Proč jsem byl donucen ukončit Lavabit

Hm, asi bych se na to měl taky kouknout, už mi to doporučuje asi čtvrtý člověk (pokud to není pořád ta jedna osoba s více identitami! :)

Jake je vlastne ted svobodne Linux distro?

Co tím myslíš? Svobodný software je snad ve všech distribucích.

28.5.2014 14:33 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Ladar Levison: Proč jsem byl donucen ukončit Lavabit

Naštěstí pro messaging takováto řešení již existují a fungují, např. bitmessage.

A na čem mám tu bitmessage provozovat? Moje MHB8086 to už neupočítá a nic novějšího neexistuje.

Pokud bylo primárním cílem soukromí uživatelů, nebyla ta služba náhodou špatně navržená? Proč se zprávy ukládaly šifrované klíčem společnosti (podle článku na zvedavec.org) a ne klíčem klienta, který by neměl opustit lokální pc? Všechno by se mělo šifrovat lokálně a provozovatel by neměl mít žádnou možnost se k obsahu dostat (max. nějaké hlavičky mailů, aby to vůbec došlo).

28.5.2014 10:43 misch | skóre: 3
Rozbalit Rozbalit vše Re: Ladar Levison: Proč jsem byl donucen ukončit Lavabit

Přesně tak. U googlu a spol. to chápu, chtějí znát obsah mailů kvůli reklamě apod. Ale u služby která byla primárně založená s ohledem na bezpečnost mailů?

Jsem zvědavej například na protonmail.ch, tam by snad mělo šifrování probíhat líp. I když ... s ohledem na to že na webu píšou "All user data is protected by the Swiss Federal Data Protection Act (DPA) and the Swiss Federal Data Protection Ordinance (DPO)", je to ode mě asi dost naivní iluze. Hlavně že jsou data chráněná ne šifrováním, ale nějakým zákonem :-)

))

28.5.2014 14:41 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Ladar Levison: Proč jsem byl donucen ukončit Lavabit

Jsem zvědavej například na protonmail.ch, tam by snad mělo šifrování probíhat líp.

Dokud ti nepodstrčí personalizovaný JavaScript, který klíče pošle ven (stalo se).

28.5.2014 16:37 misch | skóre: 3
Rozbalit Rozbalit vše Re: Ladar Levison: Proč jsem byl donucen ukončit Lavabit

Aha :(. Moc hezká finta (a pěkně nechutná).

28.5.2014 11:15 x
Rozbalit Rozbalit vše Re: Ladar Levison: Proč jsem byl donucen ukončit Lavabit

Tohle je napr. velmi dobre reseno u on-line backup sluzby Cyphertite.

Zacalo vznikat jeste pod OpenBSD nez pak udelal fork Bitrig.

28.5.2014 14:40 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Ladar Levison: Proč jsem byl donucen ukončit Lavabit

Pokud bylo primárním cílem soukromí uživatelů, nebyla ta služba náhodou špatně navržená?

Protože je to pro lamy, co neumí používat PGP.

29.5.2014 09:33 Marv-CZ | skóre: 21
Rozbalit Rozbalit vše Re: Ladar Levison: Proč jsem byl donucen ukončit Lavabit

Hlavně, proč takovou službu provozoval z USA, když tamní zákony v podstatě ani žádné soukromí a svobodu neumožňují. S tím musel počítat, že mu takoví pánové zaklepou na dveře.