- cross-posted to:
- fediverse@lemmy.world
- cross-posted to:
- fediverse@lemmy.world
Pozwolę sobie zainicjować serię o praktycznych narzędziach, koncepcja jest taka, żeby wrzucać jedno dziennie.
Signal to komunikator, który może zastąpić domyślną aplikację do wiadomości (smsów) na smartphonie. Do normalnych kontaktów wysyła SMSy, do osób które też mają Signala wysyła silnie szyfrowane wiadomości w sposób, który podnosi anonimowość komunikacji. Umożliwia przesyłanie grafik, plików i wiadomości głosowych, czy lokalizacji, oraz tworzenie grup. Do ciekawych funkcji należą też znikające wiadomości, oraz maskowanie twarzy na zdjęciach jeśli tylko tego chcemy. Z powodzeniem wykorzystywany jest przez niektóre grupy jako platforma do natychmiastowej komunikacji, chociaż przy masowych demonstracjach warto pamiętać, że sieć GSM może być po prostu przeładowana i nie zawsze można na niej polegać. Jest to też Open Source, więc wszyscy mają możliwość dokładnej analizy zabezpieczeń i aktywnego uczestnictwa w poprawianiu programu.
Sam w sobie, nie jest jednak gwarantem bezpieczeństwa, czy anonimowości. Wymaga używania numeru telefonu, zainstalowanego google apps (domyślny element androida, ale da się go pozbyć). Prywatność naszej komunikacji może złamać też sama klawiatura (większość aplikacji klawiatur przesyła wpisywany tekst do automatycznej analizy czyli jej zapis może istnieć poza telefonem). No i cokolwiek co znajduje się na naszym telefonie, jest tak bezpieczne jak jego system, a wobec tych zawsze należy mieć podejrzenia (mały przykład; https://www.wired.com/story/at-commands-android-vulnerability/).
Niemniej, to prosty pierwszy krok w dobrym kierunku. Znajomo wyglądający interface i prostota użycia sprawiają, że może go używać każda osoba. Im będzie ich więcej, tym mniej informacji na nasz temat może być w stanie gromadzić operator sieci i inne mroczne siły. Według prawa operatorzy mają obowiązek trzymać każdą przesłaną wiadomość przez rok.
Taki cykl powinien zacząć się od wprowadzenia do bardziej wolnych i bardziej otwartych systemów operacyjnych dla komputerów i telefonów. Kwestia komunikatora na androidzie czy przeglądarki na telefonie to detal. Wystarczy dostęp do telefony by mapować wpisywane treści. Nawet najlepiej zabezpieczony program tu nic nie da kiedy taki windows potrafi instalować i usuwać programy bez wiedzy użytkownika a według licencji użytkownik nawet nie jest właścicielem plików na komputerze :D Fabryczny android jeszcze bardziej umniejsza rolę użytkownika.
Teoretycznie tak, w praktyce się to nie sprawdza. Z mojego doświadczenia wprowadzenie tłumaczące z grubsza co i jak, jeżeli chodzi o technologię i zasadnicze zagrożenia na naprawdę uproszczonym poziomie to 3h wykładu. Mam to wymierzone, bo czasami takie prowadzę.
Co osiągają takie warsztaty to przekonanie ludzi, że jakiekolwiek zabezpieczenie przed dostatecznie poważnym przeciwnikiem jest niemożliwe przy kompetencjach informatycznych przeciętnej osoby, co jest po prostu uczciwe. W najlepszym wypadku kończy się to pytaniem; jakie minimum można zaimplementować, żeby było chociaż trochę lepiej. A zmiana systemu operacyjnego na komputerze, czy tym bardziej na telefonie, to dla większości zbyt wysoki próg wejścia.
Dla tego postanowiłem zacząć na odwrót; od bardzo prostych i łatwych do zaimplementowania rozwiązań, stopniowo budując świadomość technologiczną, do “większych kroków”, kiedy ludzie oswoją się z tym, że sami coś modyfikują i nieświadomie rozbudują swoją wiedzę z tego “stasznego” obszaru jakim jest informatyka.
Ale to kosmetyczne tworzenie ułudy bezpieczeństwa i prywatności. Póki spina to OS, który nie jest pod kontrolą użytkownika a użytkownik nie wie jak on działa to system kontroluje oprogramowanie i użytkownika. To oczywiste. Zainstalowanie dystrybucji linuksa wcale nie jest trudne dla osoby potrafiącej czytać. W ostatniej dekadzie dokonał się ogromny postęp w tej materii. Poza tym zawsze można kogoś poprosić instalacje i wprowadzenie albo wziąć udział w jakimś installparty, które na zachodzie wciąż są organizowane. W tym cała rzecz przecież, że większość jest tak uzależniona od rozwiązań MS i google, że kontakt z jakąkolwiek innym doświadczeniem jest paraliżujący, niewygodny czy o zgrozo nielogiczny (np. na początku struktura plików linuksa taka dla mnie była, dziś wiem, że to MS namieszał i wprowadził niewygodne rozwiązanie).
Serio, takie wrażenie wynosisz z mojego tekstu?
Teoretycznie tak. Tylko, że według wszelkich oznak ponad 50% naszego społeczeństwa nie potrafi. A kompetencje technologiczne reszty są znacznie niższe niż najwyraźniej zakładasz. Postęp w upraszczaniu procesów instalacji etc jest bezdyskusyjny, obserwuje go od kiedy w bólach zainstalowałem sobie jednego z pierwszych Auroxów we wczesnych 2000, ale dalej to radykalne działanie dla większości. Installparty - u nas niezbyt są organizowane a jak były to i tak mało kto chciał/a brać w nich udział, wiem bo prowadziłem.
Tak, ale rzuceniem ludzi na głęboką wodę go nie rozwiązujesz a tylko pogłębiasz. Dlatego wolę to robić małymi krokami. Nie jest też zresztą tak, że zainstalowanie Linuxa kończy kwestię bezpieczeństwa. Absolutnie tak nie jest i to przykład ułudy bezpieczeństwa o której wspominasz wcześniej.
Nie twierdze, że moje podejście jest jakoś wybitnie przemyślane i stoi za nim głęboka filozofia czy metodyka dydaktyczna. Ale też siedzę w temacie ze 20 lat, edukuje w nim od kilkunastu, parę przepracowałem jako nauczyciel w liceum, parę jako technik wsparcia w różnych organizacjach. Moje wnioski są takie, że jeżeli nie ma dostatecznego dostępu (możliwość wymuszenia określonych rozwiązań, dużo czasu na szkolenia i rozwój wiedzy) jedynym skutecznym sposobem jest rozwój inkrementalny. Małymi krokami, byle do przodu.
Przecież napisałem - nie można wierzyć, że jakiś programik szyfrujący wprowadzany tekst, zapewni prywatność kiedy system operacyjny potrafi zainstalować cokolwiek bez wiedzy użytkownika. W tym wypadku ktokolwiek, kto ma lub uzyska status superużytkownika na tym komputerze (pan z MS, z policji, złodziej czy nieufna dziewczyna) jest w stanie dowolnie inwigilować tajemniczego szyfranta. On nawet nie wie w jakie narzędzia dany system jest wyposażony out of box. Dlatego jest to tylko kosmetyka.
Ja nie twierdzę, że zainstalowanie linuksa załatwia wszystkie problemy z bezpieczeństwem. Oczywiście, że nie! Ale jeśli dla kogoś naprawdę ważne jest bezpieczeństwo i prywatność a także aspekty wolnościowe czy etyczne to chyba w imię tego jest w stanie podjąć ten (niewielki, jeśli zostawimy komuś kwestie techniczne) wysiłek nauki. Jeśli nie jest w stanie tego podjąć to tak naprawdę ma to gdzieś. Nie pomożesz komuś, kto nie chce pomocy.
Spoko, a mój tekst przeczytałeś? Bo poruszam nie tylko problem rząd wyżej (software klawiatury), ten, ale i poziom niżej tzn. hardware. Tak zgadzam się z tą uwagą, ale nie z twoim rozwiązaniem tego problemu.
To oczywiste, ale ponownie, jak chcesz to zoperacjonalizować jako cel edukacyjny, nie przekonując ludzi, że ich działania to strata czasu. Czego nie zrobisz, o ile nie używasz co najmniej Qubes OS, nie używasz żadnego GSM, masz ze 2 poziomy separacji od ISP etc praktycznie w ogóle nie masz szans wobec state-actor. Albo będzie on operować na poziomie, gdzie wystarczy Signal - nie ma nic pomiędzy.
A ty wiesz? Jak dokładnie znasz zainstalowane w twoim systemie pakiety? Domyślne Ubuntu wjeżdża z 1784 pakietami na dzień dobry, nie wiem czy po nazwie byłbym w stanie zidentyfikować co robi połowa, o znajomości kodu już nie wspominając. Dlatego lepiej żeby ludzie zaczęli od poczucia, że mogą cokolwiek, niż zmierzenia się z pełną świadomością jak bardzo (prawie) nic nie rozumieją.
Przepraszam, ale zaczynam podejrzewać, że nie masz tego doświadczenia - zainstaluj linuxa kilkunastu/kilkudziesięciu osobom i zacznij je supportować. Szybko odkryjesz, że nawet te przekonane i totalnie wspierające naszą perspektywę, jeśli nie posiadają pewnego poziomu wiedzy technologicznej będą się z nowym system zmagać. Tak samo jak ze M$, ale tutaj zawsze będziesz dodatkowo mierzyć się ich podejrzeniem, że to jednak wina tego nowego sytemu, bo tak działa ludzka psychika. Już nawet nie mówię o problemach typu brak photoshopa czy innego narzędzia które znają i zmaganie się ze znacznie mniej zaawansowanymi, albo znacznie trudniejszymi, alternatywami.
No i w końcu - zauważmy, że punktem wyjścia jest poprawienie bezpieczeństwa codziennej komunikacji na komórkach. I tak, Linux faktycznie mógłby to osiągnąć, z tym, że nie wierzę, żebyś go w tym celu używał i mi też by się nie chciało, bo pełen stack linuxa na komórkach nie jest w tej chwili specjalnie wygodnym rozwiązaniem.
Ależ ja to właśnie robię, a pomagając im pomagam też ich otoczeniu. Trochę kosmetyki i nagle zamiast jednej osoby szyfrowuje większość środowiska. Właśnie dla tego, że to proste, łatwe i powierzchowne.
Sporą część problemów, które przedstawiłeś rozwiązuje (oczywiście nie doskonale) społeczność zgromadzona wokół projektów. Widzę, że masz pojęcie o tym, więc doskonale zdajesz sobie z tego sprawę, że społeczność dyskutuje dużo i często. Chociażby cała gównoburza wokół systemd. Ja nie śledzę dziesiątków for, raz na jakiś czas sobie poprzeglądam ten czy tamten blog lub stronę.
Po to właśnie jest ten społecznościowy audyt czy portale internetowe w stylu privacytools.io. Przecież są całkowicie wolne miksy Ubuntu, przecież jeśli jakiś pakiet w Ubuntu albo element kernelu mi nie odpowiada to mogę go odinstalować albo wyłączyć. MS nie daje komukolwiek w ogóle takiej opcji. Jak chcę to nie muszę, to jest właśnie sedno - otwarte projekty są transparentne i elastyczne. Używasz tego co Ci odpowiada, słuchasz tych, do których masz zaufanie. Tak np. była ze słynną apką Amazona w Ubuntu.
Mam za sobą kilkanaście osób, którym instalowałem linuksy i jakoś wspierałem czy wspieram. Większość z nich nie potrzebuje wsparcia, bo… przy ich użytkowaniu komputerów oni tego nie potrzebują. Systemy są całkowicie stabilne od lat (nawet Kubuntu stoją dzielnie ku memu zdziwieniu). Część nauczyła się nieco więcej. Jeden z nich nawet po paru latach od kiedy pomagałem mu w ogarnięciu Ubuntu na niesfornym laptopie via facebook, poszedł na kurs dżawki i w tym pracuje.
Przyznam, specjalistą w edukacji FOSS nie jestem, bo moja wiedza na ten temat jest dostateczna (do niedawna podstawowym distro domowo-pracowym była Fedora, która bywa narowista ale to żaden hardkor) ale wystarczająca.
Przecież jeśli ja zdołam kogoś nakłonić do przejścia na weganizm to nie powoduje to od razu, że muszę mu gotować do końca życia, prawda?
Potwierdzam! Niby jestem w miarę techniczna a i tal bywa ciężko 😐
Ej, ty chyba nigdy nie byłaś na moich warsztatach? xD