Мы в ответе за тех, кого мы приручили?

[vitus_wagner]

Тут the__listener выдал замечательную идею:

Возникает криминально-безумная идея: берется ботнет (достаточно большой).
ЗаразившимсяПопавшим в него, заливается достат.кол. фильмов/музыки/прочих объектов авторского права.
После заполнения поднимается большой шум (вплоть до одновременного написания со всех машин ботнета доноса в ФСБ) - в общем, нужно, чтобы это попало в прессу и какое-то время было на слуху.

Зачем нужен такой ужас? Чтобы, в дальнейшем, если на винте что-то найдут, на вопрос "Откуда?", отвечать "Вирус закачал" и ссылаться на этот случай. Доказать обратное, в большинстве случаев, будет достаточно проблематично.

Как уже показала практика, наказывать пользователей, компьютеры которых рассылают спам, или являются участниками DDoS атак, проблематично. Я даже у Шнайера где-то натыкался на точку зрения что "бабушка пенсионерка не должна нести ответственность за действия своего компьютера". Интересно, правда, почему. С точки зрения здравого сиысла, если ты покупаешь устройство, способное причинить вред окружающим, и не принимаешь мер к его грамотной эксплуатации, которая позволит избежать этого вреда, так будь добр нести ответственность за этот вред.

В этом плане интересно столкнуть две общепринятых в обществе лжи - право на незнание, право не нести ответственность за действия вируса, и инфернальный ужас который общество испытывает, скажем, перед детской порнографией. Вирусу-то всё равно что закачивать - фашистскую пропаганду, детскую порнографию или объекты авторского права. (Закачивать, естественно, надо то, что карается наибольшим наказанием в стране местонахождения данного компьютера. И письма слать в соответсттвующие органы).

Comments

[drumrock.livejournal.com]

С точки зрения здравого сиысла, если ты покупаешь устройство, способное причинить вред окружающим, и не принимаешь мер к его грамотной эксплуатации, которая позволит избежать этого вреда, так будь добр нести ответственность за этот вред.

Так можно будет говорить только после того, как к каждому продаваемому компьютеру или программному пакету будет прилагаться соответствующая памятка, да такая, чтобы пропустить её было сложно.

[vitus_wagner]

Э, дорогой, ты когда в наш город въезжал, большой красный флаг видел? - © анекдот.

К табуретке где-нибудь прилагается памятка, на которой написано, что ей нельзя бить ближнего своего по голове? А ведь за убийство табуреткой по голове - посадят.

Если ты оставишь в запертом дачном домике бутылку с метиловым спиртом, а туда залезут бомжи и выпьют - ты будешь нести ответственность за их смерть. (что на мой взгляд, тоже идиотизм, но dura lex).
И вообще принцип "незнание закона не освобождает от ответственности" никто не отменял.

[awind.livejournal.com]

делов-то, на каждую пачку сигарет лепят, и туда будут лепить.

[mur57.livejournal.com]

насколько я понимаю трудновато ботнеты закормить тяжелым контентом.

разве что-нибудь нетяжелое. аудиокниги какие-нибудь.

но для судебных целей все-равно не прокатит. там ведь как. кто девушку ужинает, тот ее и танцует.

[awind.livejournal.com]

не думаю. bittorrent поставить и вперёд. каналы нынче толстые, разойдётся довольно шустро.

[vitus_wagner]

Тяжелого контента и не надо. Тексты соответстствующей политической направленности, jpeg-и с порнографией - всё это весит немного.

[city-rat.livejournal.com]

Идея выглядит эффектно, как я и говорил в том обсуждении. Но неуловимо пахнет от нее все тем же розовым интельством из "Покаяния": "и вот тогда власть осознает абсурдность ситуации..."

[vitus_wagner]

На мой взгляд важно не то, осознает ли власть абсурдность ситуации, а то, что опасность ситуации осознает рядовой пользователь виндов. И начнет принимать меры по защите себя от возможного попадания в ботнет. Меры, конечно, будут не 100% эффективные, но если удастся снизить количество зараженных компьютеров хотя бы на порядок, уже будет хорошо.

[the--listener.livejournal.com]

А речь не идет о власти (во всяком случае, той, которую обычно имеют в виду).
Взять то же "дело Поносова" - сосоав преступления налицо, а спустили на тормозах.

Если каждый обыватель осознает тот факт, что взять и отвести "куда следует" могут не какого-то террориста/фашиста/педофила - а его, обычного простого чайникапользователя, буквально, с его же точки зрения, "ни за что" - шума будет очень много.

[awind.livejournal.com]

и в обратную сторону. я не помню, твоя ли это была идея, пока на "права" не сдашь, провайдер даёт тебе только http через прокси и свой почтовый сервер. это ж голубая мечта RIAA -- на оставшийся 1% людей с правами можно просто забить, а остальным никакого p2p.

[spb-nick.livejournal.com]

Я думаю, что создать botnet такая защита не помешает, все равно :)

[macsim-by.livejournal.com]

отличная идея! ;)

[slobin.livejournal.com]

Во-первых, право на незнание -- основа любой специализации. Во-вторых, является ли источником повышенной опасности процессор в моей стиральной машине? А в Nintedo? А в мобильнике? Кстати, заметим, что реально о вирусах и ботнетах на мобильниках я не слышал (точнее, слышал как о курьёзах). Не исключено, впрочем, что так и будет: выч. технику поделят на безопасную (читай -- не допускающую программирования пользователем) и опасную (Turing complete), и 95% потребителей вторая будет просто не нужна. И, знаешь, я против такого развития событий. Потому что при нём я буду стоять на учёте как потенциальный злоумышленник. Мне это не нравится.

А вообще читайте последние книги про Натти Бампо. Социально и психологически ситуация ничем не отличается.

... Как клавесина клавишей корсажа касается ...

[vitus_wagner]

"Владелец средства повышенной опасности" != "Потенциальный злоумышленник". В нашей цивилизации уже существует уйма технических средств повышенной опасности, владение которыми допускается, и которыми реально владеют миллионы людей. Автомобили, например, или охотничье оружие. Да, их владельцы и их техника состоят на учете. Требуются водительские права, разрешение на оружие и т.д. Но до того чтобы любой охотник или водитель рассматривался как потенциальный злоумышленник, дело не доходит.

[amarao-san.livejournal.com]

Для США - интересно (и, кстати, я слышал про оправдательный приговор по детской порнографии, т.к. у товарища нашли трояна с бэкдором). Для России - нет. Это всего лишь ещё больше развяжет руки у милиции - кого хочу, того сажаю.

[vitus_wagner]

В смысле - прецедент уже был, и право на незнание пересилило инфернальный ужас американской Фемиды перед детской порнографией?

[nasse.livejournal.com]

Думаю, кто-нибудь додумается до страхования гражданской ответственности при пользовании компьютером :)

[vitus_wagner]

На мой взгляд, это будет один из самых лучших вариантов. С одной стороны - достаточно надежно защищает от случайности, от которой никто не застрахован. С другой сторны, мы прекрасно знаем как страховые компании подходят к вопросу вычисления суммы страховой премии.

Поэтому у пользователя будет выбор не между "я потрачу сейчас $70 на антивирус, или может быть когда-нибудь подвергнусь риску попадания в ботнет", а "я потрачу сейчас $70 на антивирус, а страховая компания мне завтра сделает (со 100% вероятностью) скидку на $100".

То что скидка за использование антивируса будет больше, чем цена годовой подписки на антивирус, это очевидно. Если, конечно, от антивируса реально есть польза.

[alamar.livejournal.com]

Не, не катит ответственность.

Я понимаю, почему производитель софта не ответственен за последствия багов в нем - но сваливать на пользователей ответственность за чужой софт, которые им поставили на компьютер, не спрося - это уже верх низости похлеще всякого копирайта.

[vitus_wagner]

А как ещё можно научить людей НЕ ДОПУСКАТЬ, чтобы им на компьютер что-то ставили без их ведома? Лично с моей точки зрения высовывать в сеть компьютеры с Windows это то же самое, что испражняться в подъездах. Наплевательское отношение к окружающим. Свою потребность удовлетворил, а что в результате будет окружающим - не важно. Может быть и административную ответственность за использование подъездов в качестве туалета отменим?

[zhuk-s.livejournal.com]

инфернальный ужас который общество испытывает, скажем, перед детской порнографией
Этот ужас связан не с контентом как таковым, а с его производством.

[vitus_wagner]

Это, конечно так. Но ужас получается инфернальный. Я бы на месте американцев, всю конфискованную в процессе правоохранительных действий детскую порнографию выкладывал бы на сервере ФБР, сопровождая каждую картинку баннерами на тему того, что будет с тем, кто займется производством аналогичного контента, или просто повторением того что на этих фотографиях изображено.

Платные порносайты прогорели бы мгновенно - у ФБР бы оказалось контента больше. А раз контент уже создан, скрывать его никакого смысла нет.

[os80.livejournal.com]

Витус, я не большой специалист в области сетей, но неужели нельзя все проблемы с DDoS решить на уровне провайдера? Вот почему-то я уверен, что можно.
А раз так, то и решать их должны провайдеры (всегда, если есть выбор между двумя группами "решателей", решение надо поручать меньшей). Пусть провайдер отлавливает атаки, пишет гневные письма юзерам с объяснением, как не доводить до греха. А терроризировать всех не надо, и без того хреново.
Разумеется, у провайдера должна быть возможность В КРАЙНЕМ СЛУЧАЕ отлучить пользователя от сети, пока не почистит всё у себя.

[vitus_wagner]

Нельзя. Потому что с точки зрения провайдера действия достаточно хорошего ботнета выглядят как легитимный траффик. Вот, допустим ты провайдер. Некрупный. У тебя в on-line одновременно 100 пользователей. Вдруг 50 из них начинают одновременно с интервалом в 5 секунд писать посты в некое ЖЖ-шное коммьюнити. Что может об этом подумать провайдер, даже если он исхитрится проблему заметить? Что в этом коммьюнити завязалась жаркая дискуссия, которая почему-то именно этим 50 пользователям интересна. А на самом деле имеет место ботнет из 100 000 компьютеров, из котрых 50 оказалось у этого провайдера, и они лепят в это коммьюнити 20000 комментариев в секунду, чего ЖЖ, естественно, выдержать не может. (Остальные 50 пользователей этого провайдера либо регулярно ставят апдейты, либо вообще используют другие операционки и ботнет к ним не сел).

Где в пользовательском соглашении провайдера написано, что пользователь не имеет права писать комментарии в форум каждые пять секунд или отправлять письмо с рекламной информацией каждые три секунды? А письмо в три секунды - это 1000 писем в час. Умножаем на размер ботнета и получаем весьма приличный поток спама.

[vladimir000]

А какие собственно претензии к идее (не к ее реализации обычными нашими грязными лапами!) "человек не несет ответственности за действия сложной системы, которые идут в разрез с ее описанием пользователя и вообще некоторыми разумными ожиданиями"?

Допустим, я завтра покупаю кофемолку, которая работает как обычная, но взрывается при приближении члена царской фамилии:) Естественно, никаких намеков на эту ее террористическую опцию в документации не содержалось, да и сам я одновременно и не специалист по кофеваркам и не сапер - какие, собственно, ко мне претензии?

[vitus_wagner]

Претензия в том, что в результате либо за действия этой системы не отвечает вообще никто, либо люди, которые способны отвечать за действия своих систем, начинают необосновано ограничиваться в правах, как выше справедливо опасался slobin.

[lqp.livejournal.com]

С точки зрения здравого сиысла, если ты покупаешь устройство, способное причинить вред окружающим, и не принимаешь мер к его грамотной эксплуатации, которая позволит избежать этого вреда, так будь добр нести ответственность за этот вред.

Нет. Это не имеет никакого отношения ни к здравому смыслу, ни вообще к окружающей реальности. Это лозунг держиморд-экстремистов.

HINT: если я нанесу кому-нибудь вред

без использования каких-либо устройств

- то я далеко не всегда буду "нести ответственность за этот вред". А только в том случае, если мои действия, приведшие к причинению вреда были неправомерны.

Я категорически против идеи, что использования технических средств само по себе создает дополнительную ответственность и дополнительные обязанности, там, где их раньше не было и быть не могло. Из того что, воспользовавшись техническими средствами, стал больше мочь сам - никоим образом не следует, что я стал больше обязан какому-то хрену с горы.

[vitus_wagner]

Из того что, воспользовавшись техническими средствами, стал больше мочь сам - никоим образом не следует, что я стал больше обязан какому-то хрену с горы.

Вообще-то не "какому-то хрену с горы" а окружающим тебя людям. Таким же как ты. И в обмен на то, что они тоже стали тебе больше обязаны.

В прежние времена незнание и неумение обычно каралось смертью или разорением. В наше время общество довольно успешно защищает своих членов от этого, перекладывая ущерб, причиненный идиотом на ни в чем не повинных окружающих.

[dmitrmax.livejournal.com]

Потому что ответсвенность должен нести обладатель прав на ПО, через которое произведено заражение.

[lqp.livejournal.com]

Забавно, что вопрос об ответственности организатора ботнета даже не ставится.

Понятно почему - он как правило недосягаем, и в _техническом_ отношении его уместно рассматривать как стихийное бедствие.

Вся беда в том, что рассматривается-то вопрос не технический, а юридический. Не о средствах защиты, а об

ответственности

. В результате все последующее приобретает достаточно похабный характер. Типо, сажаем не того, кто виноват, а того, до кого смогли дотянуться.

[ramendik]

Подумалось: а ведь есть "ослабленный" вариант этих действий, который ударит по немалой части ботнетов, но вообще не тронет рядового юзера.

Ответственность провайдера за действия его сервера.

Провайдеров немного, поймать их легко (в отличие от юзеров, которые бывают анонимными и с identity theft). Но, скажем, цены на хостинг с включённым PHP подымутся до небес, и минус одна вечная дыра. (Правда, надо будет решать вопрос colocation и выделенных серверов с рутовым доступом).

При этом рядовому юзеру не нужен PHP или Perl. Ему нужен форум, фотогалерея и т.п.

[vitus_wagner]

А в чем вопрос с collocation? Либо провайдер берет на себя ответственность, либо заключает договор на collocation/виртуальную машину так, что ответственность несет пользователь. На уровне договорных отношений это всё решается. В принципе, вообще вся система на уровне договорных отношений выстраивается. Лишь бы убедить нескольких крупных провайдеров, контролирующих заметную долю траффика - начать.

Правильный способ борьбы со спамом.

[(Anonymous)]

Это всего-то криптографическое доказательство поля From. Всего-то делов-то.

Выглядит так:
а) Каждый мэйлер будет нести на себе пару публичный/приватный ключ.
б) В протокол SMTP будет добавлена команда, которая позволит кому угодно запросить с любого мэйлера его публичный ключ.
в) Каждый мэйлер при отправке письма (кроме случаев релея) берет SHA1 от его заголовка, кодирует _приватным_ ключом, потом в текст по base64, и добавляет как последнюю строку заголовка.
г) Каждый мэйлер при приеме письма связывается обратно с сервером-отправителем и запрашивает публичный ключ. Потом расшифровывает поле заголовка, и сравнивает с самостоятельном посчитанным SHA1.

Все! Технически - элементарно, а поле From после этого не подделаешь (кроме случаев отравления DNS, что не всегда возможно, особенно сложно в глобальном масштабе).

Спам в таких условиях не порассылаешь особо. Сразу будет видно, кто и от какого провайдера/компании рассылал. За это на компанию наедут в административном порядке (спам должен быть запрещен законами), и она отключит юзера и/или даст ему по башке в рамках трудовой дисциплины. В амерских компаниях типа Микрософта, если человек своими внерабочими действиями "подставил" компанию под любые проблемы с законом, его вышвыривают в 24 часа.

Спам можно будет рассылать только в виде несекьюрной почты, а ее роль - в идеале - будет падать по мере массового внедрения секьюрной.

Мне это все было очевидно еще году в 99. Почему-то этого не сделали, ни опен-сорс, ни коммерческие вендоры типа Микрософта и Лотус/ИБМ. Я не знаю, почему.

Кстати, по утверждениям конторы Касперского, около 80% малвари идет из мейла. Т.е. спам - основной источник малвари.

Re: Правильный способ борьбы со спамом.

[vitus_wagner]

Почему именно SHA1? В MD5 коллизия уже за 8 часов ищется, SHA1 будет там же через пару лет.

Потом что такое в вашем понимании мейлер? Если это mail user agent, то извините, как можно с него запросить ключ? Он же большую часть времени offline. А если это mail transport agent, так он всегда релей.

И вообще, реальное внедрение электронной подписи где бы то ни было - это в первую очередь построение сети доверия. Для обязательной защиты заголовков электронной почты такую сеть доверия нужно строить в глобальном масштабе.

Опять же во втором абзаце у вас возникает требование "должен быть запрещен законом".
То есть без юридической поддержки всё равно не обойтись. Соответственно ваше предложение отличается от моего (ввести достаточно большие финансовые санкции за любую нехорошую активность компьютера в сети для его владельца) только большим количеством техническх наворотов. Хотя RFC на эту тему уже принят.

Мысли непосредственно по топику.

[(Anonymous)]

На самом деле такая идея не только по копирайту ударит, и не только развяжет руки создателям детской порнухи - а было правильно замечено, что инфернальна не она сама, а процесс ее создания.

Она вообще поставит под сомнение действенность юридических мер против любых сетевых правонарушителей. Санкции, более тяжелые, чем отключение от сети, наложить будет нельзя - "а мне все вирус закачал!".

Останется только давление на компании и провайдеров, в руках у которых рычаги отключить нафиг конкретных юзерей от сети.

Re: Мысли непосредственно по топику.

[vitus_wagner]

Именно поэтому я и считаю что основной вывод из этой идеи - пользователь должен нести ответственность за несанкционированную им активность его компьютера.

Ламерство должно быть уголовно наказуемо, вплоть до смертной казни.

[peggy-s.livejournal.com]

Э-э... я есть кажется то самое многажды клятое ламерье (в смысле что и в компьютере у меня стоит Windows, и меры по защите я принимаю только те, которые она рекомендует. Вот рекомендует файрволл включить - включаю. Не рекомендовал бы - не включала бы.

Но что касаемо ответственности и права на незнание... этот принцип соблюдается и в более серьезных областях Если человек заболеет какой-нибудь заразной болезнью - его тоже почему-то не сажают. Более того, его и заставить лечиться кажется нельзя (тут не уверена впрочем). Но в любом случае - наказуемо только _сознательное_ заражение других людей. То есть скажем если у меня желтуха и я сдаю кровь на донорском пункте - то чтобы меня за это посадить надо доказать, что я про желтуху знаю.
А вы предлагаете сажать человека сразу, что он заразился - и тем подверг опасности окружающих. Как-то оно мне... не очень

[vitus_wagner]

Вам знакомо такое понятие "карантин"? Это как раз когда человека лишают свободы за то, что он не то чтобы заболел, а просто контактировал с заразными больными или приехал из зараженной местности.