Позначка: Frd

Темний ліс росте

Нові традиції спілкування онлайн та оффлайн

З цікавістю спостерігаю, як розростається «темний ліс» інтернету. Все більше і більше людей обирають шлях уникнення публічної дискусії та перебираються в закриті середовища: форуми по запрошеннях, чати в Телеграмі, Slack, WhatsApp та навіть Signal, закриті групи Facebook, подкасти та блоги за пейволами. Тенденція зрозуміла, глобальна, тому напевно природна. Адже в публічному спілкуванні є низка недоліків.

  1. Роблячи публічну заяву, — чи то вашу оригінальну думку, чи просто коментар до публічної інформації, — ви неодмінно ініціюєте дискусію. Адже незалежно від того, наскільки правдива та чесна ваша заява, неодмінно знайдеться хтось, хто з нею не погодиться.
  2. Ініціюючи публічну дискусію, ви приречені на дебати із непрофесіоналами. Адже інтернет це таке місце, де хто завгодно може поставити під сумнів що завгодно (адже щоб розібратися в складному питанні зараз достатньо прочитати статтю в Вікіпедії), і будьте певні — вас ця доля не омине. Можна, звісно, обділяти увагою відверто аматорські коментарі, але в такому разі ви будете виглядати відверто нечемно. В противному випадку вам доведеться освічувати обивателів, що не є оптимальним використанням часу та калорій.
  3. Продовжуючи публічне транслювання думок, ви неодмінно потрапите в інформаційну бульбашку. Що більше прихильників знайдуть ваші публічні заяви, тим більше буде в них противників, але перші будуть систематично підтверджувати ваші аргументи та зміцнювати вашу впевненість в собі, в той час як останні просто не стануть за вами слідкувати. Таким чином, публічність з часом позбавить вас можливості аргументовано змінити думку, адже контраргументам не буде звідки взятись.
  4. Ваші погляди, продемонстровані публічно, можуть нашкодити вашій кар’єрі, репутації та навіть свободі. На відміну від живої дискусії в чаті або подкасті, ви не зможете уточнити та переформулювати вашу думку після невдалого або політично некоректного жарту. Усі ваші помилки моментально стануть надбанням публіки та будуть висвітлені в тому ракурсі, в якому цікаво освітлювачам. І у вас не буде жодного шансу уточнити або виправити ваші формулювання, навіть щире вибачення не буде мати ваги чи змісту. Така вже природа інтернету, сподіваюся, ви вже в курсі.
  5. Ваша публічна активність зіштовхнеться з усією повнотою викривлень людської поведінки, що їх додає інтернет. Спілкування в інтернеті дистанційне та псевдонімне, і це накладає відбиток на його учасників. В інтернеті люди дозволяють собі речі, від яких утрималися б «в реальному житті», тому будьте готові. «Це інтернет, крихітко, тут можуть послати на х**».

Всі ці та інші недоліки публічного спілкування створюють простір для застосування в інтернеті теорії темного лісу, згідно з якою інформацію не варто поспішати робити публічною, а якщо й так, то не слід приписувати їй персонального автора. Найпростіший шлях, звісно ж, це відмовитися від дискусії взагалі, та обмежити свою взаємодію з інтернетом або зробити її асинхронною й перетворитися на спостерігача. Ще один вихід — мігрувати з публічного інформаційного простору в «темні домени», створені в темному лісі спеціально для стримання поширення інформації назовні, що дозволяє їх мешканцям менше зважати на вади публічного спілкування та вільніше дискутувати один з одним.

Темні домени, — віртуальні простори та дискусійні групи «в реальному житті», потрапити в які можна лише через щільний фільтр довіри та професійної підготовки, — дозволяють людям без обмежень спілкуватися на проблемні та конфліктні теми, і доходити згоди із найскладніших питань, не зважаючи на загрози 1–4. Знаходячись в середовищі «перевірених» співрозмовників, які професійно та морально підготовлені до дискусії з «чистим серцем та відкритим розумом», вести дебати набагато продуктивніше та безпечніше в усіх сенсах.

Також, темні домени створюють умови для формування консенсусу — зваженої думки чи позиції групи людей, експертів в певній області знань. Дійшовши згоди з проблемного питання, вони можуть сформулювати пораду непрофесіоналам, які зможуть застосовувати цю рекомендацію, покладаючись не на якогось одного консультанта чи «лідера думок», а на певний об’єктивний консенсус. Мовляв, якщо вже ці шановні пані та панове між собою домовилися, то які ще можуть бути сумніви? (Звісно ж, сумніви все одно будуть, і об’єктивним консенсус буде лише з певним коефіцієнтом, але це краще, ніж альтернативи.)

В темному домені діють певні правила, які дозволять йому якнайдовше залишатися платформою для вільного спілкування.

  1. Учасники повинні бути професійно та морально підготовлені до участі в домені. Іншими словами, експерти повинні підтвердити свій рівень володіння темою, а ті, хто ще навчається, повинні це задекларувати. Експерти повинні бути готові взаємодіяти з позиції менторів, а всі інші — з позиції учнів.
  2. Учасники потрапляють в домен через процес відбору та перевірки рекомендацій. Випадкові люди в темному домені — це нонсенс. Гості — також. +1 до учасника на одну зустріч — так само. В ідеалі, кожен учасник домену має право аргументованого вето на додавання наступного учасника. В противному випадку, в домені можуть з’явитися учасники, які будуть заважати один одному вільно вести дискусію.
  3. Інформація потрапляє в темний домен вільно та проходить завзяту перевірку на фактичну правдивість. Інформація виходить з домену в максимально узагальненому та знеособленому вигляді, авторство інформації не приписується конкретним особам. В разі потреби, учасники домену можуть дійти згоди про оголошення певного рішення або поради від імені всього домену. Але наративи про обговорення та джерела фактів варто залишати всередині.

На завершення, наведу вам один приклад темного домену. Усім вам напевно відомо про існування Українського кібер-альянсу, але мало хто в курсі подробиць його складу та конкретних учасників. Довгий час ззовні УКА виглядав як 1–2 активісти, які виносили на публіку результати діяльності організації з мінімальною атрибуцією до конкретних груп та учасників. Згодом флешмоби УКА набули популярності та до них почали долучатися всі охочі. Але звісно ж, учасники #FRD (акції з пошуку вразливостей в інформаційних ресурсах державних органів та об’єктів критичної інфраструктури) аж ніяк не ставали автоматично учасниками УКА. Але поспішали при цьому оголосити свої знахідки, і таким чином уникали захисту так старанно створеного темного домену. Як наслідок, жоден активіст, який оголошував результати своєї діяльності поза інформаційними потоками УКА, не міг скористатися захистом темного домену — всіх їх видно як на долоні. Вони можуть сподіватися на допомогу спільноти, але не на захист теорії темного лісу. Іншими словами, вони відкриті для цілого спектру загроз, що набагато менш актуальні для учасників темного домену УКА. Які все ще мають змогу працювати у відносному затишку, транслюючи свої знахідки через напрацьовані канали зв’язку із силовими відомствами та «публічні рупори» альянсу.

Сподіваюся, ці знання допоможуть вам зорієнтуватися в інформаційному сьогоденні. Бережіться.

Більше про теорію темного лісу:

  1. The Intellectual Dark Web (IDW) and Dark Forest Theory.
    How fear of repercussions can drive meaningful interaction into private forums. https://danielmiessler.com/blog/the-intellectual-dark-web-is-a-clear-case-of-dark-forest-theory/
  2. The Dark Forest Theory of the Internet. https://onezero.medium.com/the-dark-forest-theory-of-the-internet-7dc3e68a7cb1
  3. Beyond the Dark Forest Theory of the Internet. https://onezero.medium.com/beyond-the-dark-forest-a905e2dd8ae0

Про Responsible Disclosure, Full Disclosure, та чому хакери — це добре для кібербезпеки

та чому хакери — це добре для кібербезпеки

Багато хто звернув увагу на вакханалію розкриття вразливостей у системах Українських державних установ, органів самоврядування та підприємств критичної інфраструктури. Якщо ви провели останні тижні на сонячному пляжі або у темній печері, подивіться на крайні пости Sean Brian Townsend та увійдіть у курс справи. Після цього можете повертатися до цього поста.

Отже, хлопці відриваються в форматі Full Dosclosure: знаходять у системі вразливість та повідомляють про неї публічно. Реакція на таку поведінку в суспільстві неоднозначна: власники вразливих систем, звичайно, нервуються, та реагують в міру власної обізнаності з кібербезпеки. Обізнані втирають сльози, зчіпляють зуби, беруть себе в руки, та виправляють вразливість. Необізнані волають на весь інтернет “це провокація”. Зовсім новачки ще й погрожують хакерам у відповідь, очевидно не маючи жодного уявлення про те, що у нас типу свобода слова, а “злам” — це навмисне подолання заходів безпеки, яких у їхньому випадку тупо не існувало. Спеціалісти з безпеки, принаймні ті, хто не просто так називається, а ще й розбирається в темі, майже одностайні: це краще, ніж мовчати, але… Ось тут можуть бути варіанти.

Але чому ж спеціалісти з безпеки не засуджують такі дії? Адже публічне повідомлення про вразливість інтуїтивно погіршує безпеку системи, хіба ні? Відповідь на це питання дати непросто, плюс для цього треба знати трохи історії, отже дозвольте зробити невеличкий екскурс.

В 90-ті, коли інтернет з’явився в усіх цивілізованих країнах, веб перетворився з академічного інструменту в комерційний, а хакінг став масовим захопленням технічно обізнаної молоді, оця сама молодь першою зрозуміла, що інтернет до неї не готовий. Хакери знаходили вразливості пачками, дехто використовував їх для розваг (перші мережеві та веб-черв’яки не були фінансово вмотивованими), дехто перейшов на темний бік та почав тупо рубати з цього бабло. Але вендори, тобто розробники та продавці програм та систем були майже одностайні: вам не слід шукати та використовувати вразливості в наших системах, або ми вас нафіг засудимо, бо у нас є юристи та лобі в конгресі, а у вас — ні. Хакери, як відомо, не дуже полюбляють таке ставлення, тому десь у ті роки з’явився такий собі список розсилки під назвою Full Disclosure, в який зливалися всі публічні звіти про вразливості, причому робилося це здебільшого анонімно.

Десь наприкінці 90’х, початку 2000’х, найбільш просунуті вендори зрозуміли, що стратегія заперечення проблеми відсутності безпеки в їхніх продуктах — не дуже ефективна. Зокрема, вихід Windows XP показав, що вразливості безпеки являють собою екзистенціальну загрозу компанії Microsoft. Адже коли протягом днів після релізу твого флагманського продукту в ньому знаходять вразливість виконання коду на відстані, яка легко перетворюється на мережевого черв’яка, це, м’яко кажучи, не дуже добре. І десь в районі 2002–2003 років Майкрософт, точніше Білл Гейтс, прийняв рішення щось з цим робити. І не самостійно, а з залученням у процес хакерів з таких легендарних команд, як L0pht Heavy Industries, Foundstone, Sysinternals тощо. Останню, до речі, вони зрештою придбали та зробили частиною компанії. Результатом цієї співпраці програмістів, які пишуть програми, та хакерів, які ці програми зламують, було утворення першої методології Secure Development Lifecycle (SDL) та зрештою — розробка першого більш-менш захищеного продукту компанії Microsoft — SQL Server 2005.

Всі ці зрушення призвели до того, що вендори (не всі) зрештою усвідомили (Oracle так і не усвідомив), що з хакерами потрібно співпрацювати. Але правила цієї співпраці вони встановили власноруч, не порадившись з хакерами. І придумали вони таку річ, як Responsible Disclosure, що означало, що першими про вразливість мають дізнаватися вендори, а хто так не робить — той безвідповідальний. І почався багаторічний holy war між прихильниками Responsible та Full Disclosure, який не припиняється й досі, і повірте мені: ані українська Кібер-поліція, ані Херсонська обласна рада не будуть останньою інстанцією у цих дебатах. Це глобальна дискусія, яка напевно триватиме вічно, тому що в Responsible Disclosure є свої вади, такі як гальмування реакції вендора, а Full Disclosure… а FD, — це FD 🙂

Тому, не дивуйтеся такій поведінці Українського кібер-альянсу. Це олдскул спосіб швидко навести лад на окремо взятій ділянці інтернету. Так, це змушує нервувати дуже багато людей, але місія хакерів саме в цьому і полягає. Щоб люди, від безпеки чиїх систем залежить безпека інших людей, а саме нас з вами, буквально нервували та намагалися захиститися якнайкраще.

Бережіться