スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

あなたのBitTorrentダウンロード履歴を追跡、公開するエグいサイト

以下の文章は、TorrentFreakの「I Know What You Downloaded on BitTorrent….」という記事を翻訳したものである。

原典:TorrentFreak
原題:I Know What You Downloaded on BitTorrent….
著者:Ernesto
日付:December 10, 2011
ライセンス:CC BY

BitTorrentは決して匿名ではないことは、多くの人が知るところであろう。しかし、最近のダウンロード履歴までウェブサイトで見られてしまうとなれば驚かれるのではないだろうか。これはまさに、Youhavedownloaded.comが公開している情報である。サイトの開発者は、BitTorrentのパブリックな(オープンな)性質について認識を高めて欲しいようで、現在、ファイル共有テクノロジーの更なる匿名化に取り組んでいるという。

さて、あなたは最近何をダウンロードしただろうか?

プロキシやVPNごしにBitTorrentを使用しているのでもなければ、世界中の人々が、あなたに断りもなく、それを知ることがでできる。

YouHaveDownloadedは、ロシアのサービスで、パブリックBitTorrentダウンロード全体のおよそ20%をトラッキングしているという。しかし、単にIPアドレスやファイル名を収集しているだけではなく、収集したすべての情報をウェブサイトにて公開している。

このサイトにアクセスすると、同サイトのデータベースに情報があれば、自分のダウンロード履歴が表示される。さらに、ファイル名やIPアドレスから、誰が何をダウンロードしたのかを検索することまでできる。本稿執筆時点で、データベースは51,274,000ユーザ、103,200トレントの情報を蓄積している。

彼らはなぜ、こうしたスパイツールを開発したのだろうか。TorrentFreakはサイトの設立者の1人、スレン・テルにコンタクトを取った。

「私たちは、インターネットがプライバシーを期待できるような場所ではない、ということを認識して欲しいだけなのです。」と彼はいう。「近頃は、自分がどのような情報を残しているのかという理解すらしないまま、インターネットを使用している人々が多くいます。また、たとえ理解していたとしても、その事実を直視しないようにすることもしばしばです。」

このロシアの開発者たちは、啓発の意味も込めてこのサイトを作ったのだという。この種の情報を公開されたくないのであれば、自らのトラフィックを正しく匿名化しなければならない。このメッセージは、サイトの『プラバシーポリシー』にも反映されている。

ベイビー、こいつはインターネットなんだぜ。この辺にゃプライバシーなんてもんはないのさ。あんたはプライバシーの守られた家にいて、リンクをクリックして、何かを読んで、映画を観る。あんたはただ一人でそうしてると思ってるかもしれない。だが、利口なオタクはあんたを監視してるのさ。あんたのあらゆる所作を見てんだ。彼らにとってあんたはヒトじゃあない。あんたはただのターゲット、消費者でしかないんだ。

冗談はさておき、このサイトは、これまで十分に強調されて来なかった、BitTorrentのパブリックな性質を認識させようとしている。もちろん、自分の情報が公開されることをよしとしない人もいるだろう。開発者はそうした人向けに、IPアドレスをリストから除外するオプションを提供している。

このダウンロード習慣の公開とは別に、開発者はっよりプライベートなファイル共有プロトコルの開発を進めているという。彼ら既にBitCoinのテクノロジーをベースにした理論的概念を持っているという。ただ、実用的なソフトウェアまでは程遠い段階にあるようだ。

「おおよそのアイディアはBitCoinと類似しています。重要なのは、各ピアが匿名かつ信頼できるアイデンティティを持つことにあります。BitCoinのような署名チェーン・アルゴリズム(signature chain algorithm)はその助けとなるでしょう。」とスレンは言う。

開発者らは現在、このアイディアがどの程度実現可能かを検討し、この取り組みを続けるか否かを判断するという。、また、今のところ、彼らは数千万のダウンローダーへの追跡、公開は継続する予定だという。

Update:動的IPアドレスを使用するユーザが同サービスにアクセスした場合、別の誰かがダウンロードしたコンテンツが表示される可能性がある。

プライバシーポリシーが愉快な感じですが、ニュアンスも含めてだいたいあってるかと(権利者側?にも喧嘩を売ってるところもなかなか愉快)。スクリーンショットにも「友だちを覗き見るって楽しくないかい?」も含めて、かなり露悪的な印象。やってることも十分エグいなぁとは思うけれども。

日本だと動的IPのユーザが多いし、接続を共有している場合もあるから、誤爆もかなりありそう。違法なダウンロードは止めましょう、という枕はとりあえず置くとして、動的IPならば定期的に変えておくのがよいかと。

あと、同サイトトップページへのリンクは上記の翻訳からは意図的に除外した。注意点として、アクセスすると自分のダウンロード履歴が表示される、ってだけじゃなくて、他のユーザがサイトトップにアクセスしたときにも(直近のアクセスがあったユーザとして)IPアドレスが表示されるかもしれない。それでもOK、問題ないよという方は以下のリンクからどうぞ。

■ YouHaveDownloaded.com

スポンサーサイト

シリア:Facebookに中間者攻撃、盗聴やアカウント乗っ取りの恐れ

以下の文章は、Electronic Frontier Foundationの「A Syrian Man-In-The-Middle Attack against Facebook」という記事を翻訳したものである。

原典:Electronic Frontier Foundation
原題:A Syrian Man-In-The-Middle Attack against Facebook
著者:Peter Eckersley
日付:May 05, 2011
ライセンス:CC BY

昨日、我々はシリア通信省が、FacebookのHTTPS版に中間者攻撃(man-in-the-middle attack)を開始したという報道を知った。この攻撃は現在も続けられており、複数のシリアISPのユーザから報告が上がっている。今のところ、攻撃者の特定には至っていない。

この攻撃は、さして高度なものではない。ユーザのブラウザでは、セキュリティ証明書は無効と判断され、セキュリティ警告が表示される。残念なことに、実際の中間者攻撃ではない場合でも、操作上の理由からこうした警告が表示されることがしばしばあり、ユーザは反射的に続行を選択しがちだ。しかし、今回のケースでそうしてしまうと、攻撃者にFacebookアカウントへのアクセスおよびコントロールを可能にしてしまう。セキュリティ警告は、ユーザの唯一の防衛線となっている。

EFFは、TLS/SSL証明書の収集に関心を持っている。我々のSSL観測(SSL Observatory)プロジェクトは、パブリック・インターネットをスキャンすることで、数百万の証明書を収集した。また、モハンマドというシリア市民の協力により、シリアの偽のFacebook証明書のコピーを入手することもできた。この件に関心がある読者の方は、こちら(human readable / PEM encoded)から。

このFacebook HTTPS版への攻撃は、実にアマチュアなやり口である。この偽の証明書は、ユーザのウェブブラウザが信頼する認証局の署名を受けていない。しかし残念なことに、こうした認証局は、直接的ないし間接的に、複数の政府のコントロール下にある。このことは、セキュリティ証明書警告を出さずに中間者攻撃を実行できることを意味している。

モハンマドのマシンでは、s.static.ak.facebook.comドメインを195.59.150.24、www.facebook.comドメインを66.220.153.11と解決した。これらのアドレスは、我々も確認した。つまり、この攻撃はDNSの不正操作ではなく、ルータないしプロキシレベルで実行されていると考えられる。

UPDATE I:シリアからFacebookにアクセスし、ブラウザがセキュリティ証明書警告を表示した場合、Facebookへのログインが危険であることを意味している。その場合は、Facebookへの接続はTorやシリア国外のプロキシを使用すべきだろう。

UPDATE II:シリアの一部ISPがTorをブロッキングしているとの報告を受け取った。Torが機能していないのであれば、別のISPから接続してみるべきだろう。Torやシリア国外のプロキシを使用しないFacebookへの接続は、依然危険な状態だ。

シリア国外からのアクセスであれば心配する必要はないのだろうが…。恐ろしい状況だと思う。

先日の「Torを匿名BitTorrentのために使うのは止めよう」というエントリの中に、「Torを本当に必要とした人たちが利用できなく」なる懸念について書かれているが、まさにこのような状況にある人たちのためにあるツールだということをご理解いただきたい。

ネットには匿名性を確保しつつ接続すべき?楽観主義かパラノイアか

以下の文章は、TorrentFreakの「Major BitTorrent Uploader Used No Anonymity – Bring Out The Straightjacket?」という記事を翻訳したものである。

原典:TorrentFreak
原題:Major BitTorrent Uploader Used No Anonymity – Bring Out The Straightjacket?
著者:Ernesto
日付:March 10, 2011
ライセンス:CC BY

先月、古参BitTorrentサイトの主要アップローダーが、1,000本以上の映画をアップロードしたとして逮捕された。検察によれば、男性はIPアドレスを隠そうともしていなかったので、追跡は容易であったという。このことは、無防備なオンライン接続が当たり前になりつつあることを示しているのだろうか。

3年と少し前、我々は「BitTorrentトラッカーのオーナーはいかにしてMPAA/RIAAから姿を消しているか(How a BitTorrent Tracker Owner Hides from the MPAA/RIAA)」というタイトルの記事を公開した。この記事は、あるBitTorrentサイト管理人がどのように自身のセキュアな状態を保ち、安眠を迎えているか、という内容だった。この情報は一部では好評だったものの、一方では警戒しすぎ、そんな必要はないなどの批判もあった。

ある読者はこのようにコメントした。「MAFIAAの恐怖戦略よりもひどい。何だってこんなパラノイアになる必要がある?脅しもいいとこだ。」

それから3年、この記事の要点は2008年当時よりもさらに重要性を増し、サイト管理人以外の人々にとっても、再度考えるべきこととなった。

今月初め、スウェーデン当局と国内著作権団体Antipiratbyranは、閉鎖した大手BitTorrentトラッカーSwebitsの主要アップローダーが逮捕されたことを明らかにした。逮捕された25歳の男性は1,000本超の映画作品をアップロードしたとされるが、検察官ヘンリーク・ラスムセンによると容疑者の逮捕は実に容易だったという。

ラスムセンは「彼は個人のインターネット・アカウントで、ISPにひも付いた静的IPアドレスを使っていたので、逮捕は全く難しくはなかった。」とスウェーデンのラジオ番組に語った

逮捕された人物の心中をお察しするところではあるが、このご時世に、何の暗号化もせず、またはある程度の匿名性を確保せずにこうした活動を続けていたなんて、クレイジーとしか言いようがないのではないだろうか。国外のVPNやプロキシの使用が当たり前なんじゃないのか?最悪の事態を想定し、備えることが2011年に必須のスキルじゃなかろうか?おそらく、そうなるべきなのだろう。

2008年の記事では、サイト管理人は生IPでは絶対に電子メールを受信しないと話していたが、これについても一部からは行き過ぎだという意見もあった。先日逮捕されたChannelSurfing.netの管理人は、この意見に賛同することはないだろう。Googleは彼の記録を当局に提出しているのだから。

さらに、2008年記事の管理人は、自身のサイトだけではなく、他の人が運営するサイトでも自身のIPアドレスを残さないように用心したという。彼を嘲笑するような反応もあり、被害妄想に陥っていると言われた。

しかし2011年、PS3ハッカーGeohotzの多数の無実のファンたちは、彼らのIPアドレスをGoogleやYouTube、TwitterによってSonyにバラされた。もはや、笑い事ではなくなったのだ。

インターネットユーザは、YouTubeのビデオを試聴したり、Twitterのコメントを読んだりするのでさえ、Sonyのような大企業の監視や攻撃的な訴訟の脅威におびえなければならなくなった。もはや、オンラインに接続する際にはある程度の匿名性が必要な時期になったのではなかろうか?

そんなことはないって?なら、もう3年後にまたお伝えしよう。その頃にはあなたの気も変わっているのだろうね。

2ヶ月ほど前の記事ですが…。

著作権侵害だのなんだの悪いことをしなきゃいいじゃん、とも言えるのだが、文中のGeohotzのファンたちは必ずしも悪いことをしたわけじゃないからねぇ。ただ、悪いことしたのに追跡できないというのは、社会にとっても、ユーザにとっても決してよいことではないんだよね。本当に「悪いこと」であればね。

ちなみに、私は特に何もせずネットに接続しています。

PS3ハッカーGeohot、PSN情報流出事件への関与を否定

以下の文章は、TorrentFreakの「Geohot: Don't Blame Me For Sony Hack」という記事を翻訳したものである。

原典:TorrentFreak
原題:Geohot: Don't Blame Me For Sony Hack
著者:enigmax
日付:April 28, 2011
ライセンス:CC BY

Sonyとのトラブルに不当に巻き込まれた感のあるPS3ハッカーGeohotは、今回のプレイステーション・ネットワークへの攻撃との関係を否定した。

「何らかのかたちで僕が関与していたと思っている人もいるみたいだけど、僕はそこまでイっちゃいないし、FBIにドアをノックされたいわけでもない。」と彼は言う。

「ホームブリュー(homebrew:自作ゲームソフト)を起動したり、手持ちのデバイスのセキュリティをチェックするのはクールだ。でも、誰かのサーバをハックしたり、ユーザ情報データベースを盗むのはクールじゃない。たとえ相手がSonyみたいな糞野郎だとしても、ハッカー・コミュニティのイメージは最悪にしてしまう。」

Geohotは、今回の壊滅的な侵入の責任は、「ハッカーに宣戦布告し、かつてSonyと呼ばれた要塞への侵入を叫んだ人々をあざ笑い、海賊行為に絶え間ない愚痴をこぼし、優れたセキュリティ専門家を雇うべき時に弁護士ばかり雇ってきた経営陣」にある、という。「ハッカー・コミュニティを排除しようとするのは、得策じゃない。」と彼は付け加えた。

全くだね。

全文はこちらから

今回の件とこれまでの経緯とは関係がないわけじゃないけれども、私は切り離して考えるようにしている。もちろん、Geohotを訴えて、コミュニティの怒りを買ったのは当然だと思うし、私も憤りを覚える。ただ、そういう経緯があって攻撃を受けたのだろうだから(といっても、未だ犯人が割れているわけではないのだが)、その状況を生み出したSonyが悪いんだ、とも思えなくて。

ただ、セキュリティ上の問題を抱えていたことや、対応の後手後手感などには、やはり不信感を覚えてしまう。なんだかなぁ。

欧州議会:児童ポルノを口実にした全インターネット検索の監視の動き

以下の文章は、スウェーデン海賊党欧州議会議員Christian Engströmの「Written declaration 29, for data retention of Internet searches」という記事を翻訳したものである。

原典:Christian Engström, Pirate MEP
原題:Written declaration 29, for data retention of Internet searches
著者:Christian Engström
日付:May 31, 2010
ライセンス:知らん

今、全ての欧州議会議員が、データ保全指令を検索エンジンにも拡張することを求める「宣言書(Written Declatatoin)( 訳註: 「児童ポルノ廃絶に向けた早期警戒システム」に関する宣言 )」 に署名することができます。 これは、私たち市民一人一人がネット上で見た情報すべてを常に記録し続けることを強制するというものです。 この監視拡大の議論は、例によって児童ポルノとの戦いであるとされています。

私たちのインターネット検索の情報を収集するという提案は、「宣言書 29」という名前で知られています。この宣言を支持する人たちは、smile29.euというキャンペーンサイトを作っています。

どうしてこんなセンスのないアドレスにしたのか理解に苦しみます。議論する内容が性的児童虐待であれ、広範な市民監視の導入であれ、そこにスマイルなどあるはずもないと思うのですが。ちょっと横道にそれてしまいましたね。

宣言書 29の主な要求は以下のようなものです。

2. 欧州委員会ならびに欧州連合理事会に対し、オンライン上の児童ポルノならび性犯罪に迅速かつ効果的に対処するために、Directive 2006/24/ECの施行し、それを検索エンジンに拡張することを求める

(強調は筆者による)

Directive 2006/24/ECをご存じならば、その忌まわしきデータ保全指令についてもよくご存じでしょう。

データ保全指令によれば(現在のところ、その施行段階は加盟国ごとに異なっています)、インターネットサービスプロバイダおよびモバイルネットワーク事業者は、私たちが誰と接触したか、どこにいるかというデータを収集し、保全しなければならないとされています。宣言書 29では、Googleその他の検索エンジンにおいても、私たちが何を検索したのかを収集、保全し、警察機関からの要請に対してそのデータを提出しなければなりません。

XorbotSultanSatmaranGöran Widhamらスウェーデン人ブロガーが、この宣言書 29を警戒しています。

私も彼らの批判に賛成しています。この提案は監視社会をさらに強化するものだからです。

では現在、何が起こっているのでしょうか。

欧州議会に問題に対する見解を表明させるための手段は多々ありますが、宣言書もその1つです。こうした宣言書というのは、欧州議会の通常のワークフローからはやや外れたところにあります。これらは、個々の欧州議会議員のグループが、現在あまり政治的アジェンダにはなっていない問題のイニシアチブをとるため、しばしば討議を開始するための手段として利用されています。

たとえば、宣言書 30は食品へのトランス脂肪酸の使用制限を求めていますし、宣言書 34 は5月22日を欧州肥満予防デーにしようとしています。

宣言書の筆者は最初に、欧州議会としてどのような意見を表明しなければならないか、ということを書きます。長くとも200語程度で納め、事例、リファレンスを冒頭に記し、それに続いて欧州議会として表明すべき意見、アクションの目的などのパラグラフが続きます。

宣言書 29を書いたのは、イタリア選出のTiziano Motti議員とスロバキア選出のAnna Záborskáです。 キリスト教民主主義会派EPP(欧州人民党グループ)のメンバーで、欧州議会での最大会派になっています。

宣言書が提出されると、ナンバーが割り振られ、EUのすべての公用語に翻訳されます。その後3ヶ月間、欧州議会議員に公開され、それを支持する場合には署名することが出来ます。

宣言書が期限内に多数の議員の署名を集めることが出来れば、採択されることになります。その後は、宣言書に書かれたものが、欧州議会の問題に対する見解となります。もし、期限内に十分な署名を集めることが出来なければ、宣言書は不採用となり、それでおしまいです。

現在、欧州議会には736名の議員がいますので、宣言書が通過するには369名文の署名が必要になります。

宣言書の概要のページではそれぞれの宣言書がどのくらい署名を集めているのかを知ることが出来ます。現在のところ、宣言書 29は324名の署名を集めています。

採択に向けて、既に危惧すべき数の署名が集まっているのです。

宣言書が採択されたとしても、宣言書そのものは法的効力を持つものではありません。ある特定の問題について欧州議会はこんなふうに、または、あんなふうに考えるというだけのもので、欧州委員会にその問題に対処ためにこんなふうな、あんなふうなイニシアチブをとるよう促すものです。そうしたイニシアチブをとるか、それとも無視するかは委員会次第というところです。

しかし、たとえ採択された宣言書が直接的には法的効力を持たないとしても、委員会に対する強力なシグナルとなります。ある種の対処が望ましいと思っている人が委員会内部にいれば、委員会に対しそうするよう求めるために宣言書を持ち出します。委員会を動かすためは有効な手段と言えるでしょう。

インターネット検索データの保全を求める宣言書 29が採択されることになれば、おそらくこれはスウェーデンの委員Cecilia Malmströmのもとに届けられるでしょう。彼女は「Fredom, Security, and Justice」部門の責任者であり、彼女自身も最近、児童ポルノを口実にしてインターネット検閲の導入を提案しています。

この宣言書が採択されれば、Malmström氏はさらに激情を煽るでしょう。そして彼女は議会に対しインターネット検索のデータ保全の導入を求めるよう促すことができます。児童ポルノの御旗の下で、自由かつオープンなインターネットへの撲滅運動(crusade)を続けるのでしょう。

この話題については、スラッシュドットでも取り上げられているので、そちらもどうぞ。

EU、全インターネット検索の監視を実施 ? - スラッシュドット・ジャパン 

プロフィール
heatwave Author
:heatwave

RSS Jamendo twitter tumblr Creative Commons Attribution 2.1 Japan
ブログ内検索
記事リスト
ネットとセキュリティ プライバシーの記事
→次
全記事一覧
他所で書いてるブログ

P2Pとかその辺のお話@はてな

アーカイブ

カテゴリー
最近のコメント
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。