Follow

还是回到了以前的疑问:「编程随想」究竟是如何长期做到不被查水表的?

这并不是一个技术问题,而是具有现实意义的问题,其答案可以揭示几点信息:第一,技术上做到匿名并不难,但关键问题在于「长期」——匿名一天容易,困难在于连续多年,长期使用同一个身份还不会犯下任何错误。第二,这个问题的答案,可以直接显示政府在网络侦察与攻击方面的态度和能力。「编程随想」之所以没被查水表,只能说明政府的技术能力不足(或者政府其实有充足技术能力,但并不愿意进一步采取更极端的侦察或打击措施)。作为一个影响力极高的博客,政府对它采取打击态度与技术措施,可以视为政府对键盘政治人物会采取的打击态度与技术措施的上限。如果我们知道「编程随想」行动的严格程度,就能知道这一上限。第三,「编程随想」的身份是否彻头彻尾就是一个精心安排的骗局?如果实际运营者其实根本并不在国内(或者早已离开),那么第一点与第二点也就不再是问题(但同样,也就无法再揭示上述的疑问)。

What's your opinion? @KagurazakaInkscape

@niconiconi @KagurazakaInkscape 咱覺得編程隨想就算在國內,也絕不是打工的。有可能是企業高管或者大學教授,風向不對隨時能走。

@niconiconi
「錯誤」有兩類,一類為常規的技術錯誤,一類為社工錯誤。

@niconiconi @KagurazakaInkscape 我在网上都已经匿名3年了,之所以只有3年,是因为2017年才下决心,而将来,我还会多年匿名下去,只要有决心有技术,这并不是太难坚持的事。

@keestone @KagurazakaInkscape
> 用已有技术长期匿名是可以坚持下来的。

如果这么认为,就错失了我问题中的重点内容。我刚才已经说了这不是一个纯粹的技术问题。为了和你解释这为何这不是,我只好先和你说说技术本身:匿名在技术层面上自然是完全可性的,但另一方面往往也是脆弱的。困难在于保证技术上没有任何安全漏洞,操作上也不犯任何人为错误或泄露信息。首先谈信息泄露,阻止它这并不是容易的。地球上现在一共有 70 亿人口,log2(7e9) == 32.7,这意味着若攻击者的能力无限,那么你只要泄漏 33 比特信息熵,就泄漏了身份。举个非常极端的例子,大多计算机时钟振荡器都存在 10 - 40 ppm 的温度系数,如攻击者可对你系统时间反复采样,就可以根据一天气温变化导致的时钟漂移推测你的地理位置(Murdoch06, Hot or Not: Revealing Hidden Services by their Clock Skew, Proc. of CCS 2006),其中就有几比特的信息熵。其次是安全漏洞,几乎没有任何应用程序是为了安全而设计的。只要攻击者资源无限的,你点击个视频或者图片都能任意执行代码。此外还存在虚拟机逃逸、侧信道攻击。

所以要保证匿名,技术上应采取防御措施,操作上也应该保持严格的纪律(在情报和信息安全界叫做 operational security)。但另一方面,尽管这么多威胁,实际操作时也不是说只要有个漏洞就死定了。并没有采取极端手段的用户照样能成功匿名,这是因为攻击者资源并非无限(或者说有资源,但你活动时,并没有投入资源)。只要攻击你所需的成本(技术)大于攻击者愿意花费(所拥有的)的成本(技术),那往往就是安全的。还有匿名活动的性质决定其脆弱性——如果只是一人发邮件或者微博,长期匿名很容易(我手里有几十个匿名账号,估计永远也不会有人知道身份)。但如果还要和读者互动,乃至处理它们发来的文件,就困难许多。而最脆弱的是匿名服务器,因为它全天暴露在攻击者面前。

所以我才说这并不是纯技术问题,而是攻击者的资源问题。如果我们能回答「编程随想」究竟是如何长期做到不被查水表的,那么我们就可以知道一下两种信息(一定程度上是等价的):

1. 「编程随想」采取的 opsec 措施,究竟严格到了什么程度?

2. 政府究竟愿意花费多大的成本打击类似「编程随想」的高影响力网络政治言论?

@niconiconi @KagurazakaInkscape 我知道你说的不是纯技术问题,我之前的回复也没说是纯技术问题,我之前回复的重点在于 长期坚持。
我以前做过一点网络安全方面的工作,也知道没有绝对安全的技术,但就像你说的破解成本问题。我之前的回复的意思就是,用已有的技术坚持下去就行了,编程随想的影响力有限,只在小圈子里的影响力比较大,并没有普及到普罗大众,对于政府而言,要抓到的成本投入不如用在那些可以影响到大量普通人的更有影响力的事情上。所以,用已有技术坚持下去就能保持匿名了,并没有必要毫无漏洞的绝对安全,那不现实。

@keestone @KagurazakaInkscape 了解,如果你这么说我就明白了。所以你提出的猜想是:编程随想的影响力有限,当局也并没有采取零日漏洞对其进行网络攻击。

不过也是个有待验证的假设。

@niconiconi @keestone @KagurazakaInkscape 一个粗浅的个人观点:编程随想并没有系统性全方位地引领读者系统性全方位地建立安全观和匿名观,因此有关部门并没有对其进行重视,或者,卧底?

@niconiconi @KagurazakaInkscape 【删除线】 🤦‍♂️ 仔细阅读了你们的对话,其实就跟 @keestone 说的一个意思【/删除线】

抱歉,前言收回,我发现我跟 @keestone 说的有一定的区别。我认为 编程随想 既没有向其信众传达系统性全方位建立安全观和匿名观的重要性,也没有引导其信众系统性全方位建立安全观和匿名观。我甚至看不到其主动扩大其影响力广纳信众之意愿。

@niconiconi @KagurazakaInkscape @keestone 抱歉不能公开解释“BSE 原始人”之概念,我认为看了 编程随想 博客文章的 BSE 原始人并不会进化,只会将其当神拜而已。此观点我在隐去 编程随想 之名后于微博上发表过

@niconiconi @keestone @KagurazakaInkscape

我觉得编程随想的政治言论影响力不及姨学/加速主义/入关学

@niconiconi 那端点星的蔡伟、陈玫的影响力难道更大吗?

Sign in to participate in the conversation
Cybrespace

Cybrespace is an instance of Mastodon, a social network based on open web protocols and free, open-source software. It is decentralized like e-mail.