GOPHERSPACE.DE - P H O X Y
gophering on hngopher.com
HN Gopher Feed (2017-09-23) - page 1 of 10
 
___________________________________________________________________
Duck Duck Go: Illusion of Privacy (2013)
77 points by awaisraad
http://etherrag.blogspot.com/2013/07/duck-duck-go-illusion-of-pr...
ion-of-privacy.html
___________________________________________________________________
 
belorn - 3 hours ago
Most of the points is arguing that NSA could compel the company
Duck Duck Go, Inc to install equipment and then forbidding the
company from disclosing that fact.Doing so does carry quite a bit
of political risk. There have been quite a few lawsuits from EFF
and ACLU in regard to do so, and as the comment from CEO of Duck
Duck Go says in the comment thread, all existing cases has been
about turning over records. Going the extra step of compelling
people to install hardware and keeping the operation going would be
a further step.I doubt ddg is currently worth the political risk.
There is likely much easier targets to attack first in order to get
100% of the worlds search data.*down votes? Explanation?
 
  wallace_f - 2 hours ago
  With DDG's focus on privacy, I wonder why they never had any
  warrant canaries setup?
 
  pmoriarty - 2 hours ago
  I'm not sure if they really need to compel DDG in the first
  place.I know if I was a three letter agency, I'd start a "secure"
  service like DDG myself as kind of a honeypot.Not that I'm saying
  that such an agency is actually behind DDG -- I have no way of
  knowing.  But I would be very surprised if a large number of
  services promising "security" and "privacy" weren't run by such
  agencies or their agents.That's why I believe that frequent,
  independent third-party auditing (by multiple trusted groups like
  the EFF) would be necessary to gain any kind of confidence in
  such services.  Even then, it'll be no guarantee that they're not
  compromised, but it would just make such compromise significantly
  more difficult and less likely to be effective.
 
    belorn - 39 minutes ago
    While that is always possible, I think its more plausible that
    they then simply buy out key companies rather than found a
    bunch of new companies in hope that one will succeed. The
    question then is, what is the likelihood that NSA is the secret
    owner and operator of Microsoft, Apple or Yahoo, which each
    would likely be the cost effective choice if one wanted access
    to all search queries done on the Internet.Independent third-
    party auditing is useful. There is the occasional fund raising
    for auditing of software (Truecrypt comes in mind), but I don't
    recall hearing one about search engines.
 
kasbah - 3 hours ago
Recently I have been using the free and open source Searx more and
more (admittedly mostly using the !searx shortcut from DDG).
Results seem better than DDG sometimes. Would be interesting to try
and host my own instance or write something that picks a random
public instance.https://asciimoo.github.io/searx/
 
  chiefalchemist - 2 hours ago
  i saw there's an Installation page but do you know of an easy
  step by step tutorial for setting this up? Perhaps with a low
  cost recommended host, etc.?
 
    OJFord - 1 hours ago
    There's a Dockerfile, just spin that up. (Or, if needed, find a
    brief step-by-step on running a docker container, because
    that's all there is to getting searx running.)
 
  KGIII - 13 minutes ago
  Along that same line is YaCy.https://yacy.net/en/index.html
 
  hdhzy - 2 hours ago
  Wow, very cool project! Thanks for sharing.
 
jerheinze - 1 hours ago
If you're worried that DDG may log your IP you can simply use it
with the Tor Browser (it's the default search engine) or use their
onion service (https://3g2upl4pq6kufc4m.onion/) for increased
security and anonymity.
 
  jacquesm - 20 minutes ago
  Tor is far from perfect and there are several ways in which one
  could connect traffic at some endpoint with a user at a specific
  IP. Do not rely on Tor if you really want anonymity.
 
    wolco - 12 minutes ago
    Tor offers a layer of protection.  It is possible to stay anon
    on Tor.
 
      jacquesm - 4 minutes ago
      > It is possible to stay anon on Tor.That is an extremely
      dangerous statement to make and one I do not agree with.Keep
      in mind that:- you will have to trust that a large chunk of
      the nodes is not in the hands of someone that you count as
      your enemy- that even if your enemy is not in charge of a
      substantial part of the network they may still be monitoring
      entry and egress and that that alone can be enough to figure
      out who is talking to who- that any data present at egress
      that can be intercepted might still reveal who you areSo no,
      Tor is not 100% secure and it is very well possible that even
      if you use Tor your identity will be connected with some
      activity or even all of your activity while using the
      network.
 
sfRattan - 2 hours ago
I think DuckDuckGo is unfairly singled out here. They do more than
most companies to protect privacy, and most of their users are
specifically trying to deprive Google of more feed for its data
silo. Of course they can't protect you from the NSA. Extremely few
actors can.If your threat model includes actors within the US
Federal Government (especially the intelligence community), run.
Yesterday. That's a statement about our times, not about any
particular company.The solution ought to be browbeating the US
Government for unethical practices, not browbeating a company that
does privacy better than most, and not as well as would be
necessary to stand toe-to-toe with some of the most powerful and
far reaching organizations in the world.
 
  sandworm101 - 2 hours ago
  Protection from the Nation State Actors cannot come from
  companies.  One must implement protections on one's own client-
  side.  Proper encryption always.  Tor when needed.  Software and,
  where possible, hardware only from trusted sources.
 
    Mtinie - 1 hours ago
    Even then the concept of "trusted sources" is a dubious one. A
    source only needs to be trusted until it sells you down the
    river.
 
      katastic - 1 hours ago
      So Equifax were good guys until they ditched all out data?
 
      xkarga00 - 1 hours ago
      We need more than "trust". We need open software and open
      hardware.
 
  KGIII - 19 minutes ago
  If I were a conspiracy theorist, I'd think there was something
  nefarious going on when I see articles like this. What if the
  intended result is not actually browbeating DDG but, rather,
  making people think that DDG is no better than Google in the
  privacy arena so why invest the energy in switching?If DDG isn't
  any better than maybe nobody is, so we might as well get used to
  the lack of privacy. Why switch if you're just going to get worse
  results, expend more energy, and not actually get increased
  privacy? You might just as well give up the
  struggle...Fortunately, I'm not a conspiracy theorist,
 
  TAForObvReasons - 2 hours ago
  The article was a response to a guardian article that ultimately
  cited https://siliconangle.com/blog/2013/06/14/duckduckgo-the-
  pris...> ?By not storing any useful information, DuckDuckGo
  simply isn?t useful to these surveillance programs,? says
  Weinberg. ?We literally do not store personally identifiable user
  data, so if the NSA were to get a hold of all our data, it would
  not be useful to them since it is all truly anonymous.?DDG is
  "unfairly singled out" for good reason, namely that company
  representatives made an incorrect assertion.  DDG is still useful
  for ongoing surveillance, as the article pondered:> But what if
  DuckDuckGo provided a splitter-feed to the NSA?  DuckDuckGo can
  claim without lying that they store no personal information, but
  that speaks nothing of a collaborating partner storing it.
 
    chiefalchemist - 2 hours ago
    Not to get off topic but there's a part of me that suspect the
    Equifax hack has the NSA (or will ultimately filter back to
    them). When I read Dragnet Nation a couple years ago one of the
    things that left an impression on me was the fact that the gov
    can buy "private" personal data on the open market just like
    anyone else can. That is, it's not spying (and a violate of
    right / laws) if the data is on the free market.Obviously, DDG
    isn't perfect. I'm not naive. But for me there's some value in
    trying not to succumb to Google's desire to have us all
    assimilate.
 
runningmike - 3 hours ago
Privacy requires full transparency. We're is documented with what
foss software ddg works and where can I find trusted audit reports?
 
  lyk - 3 hours ago
  ddg's server and js are closed/proprietary, if I remember right.
 
  hdhzy - 2 hours ago
  Even if they were completely open source how would you verify
  that they are using the same software on their servers? That the
  hardware is not compromised?Audit reports? How trustworthy are
  they if Symantec was able to provide good reports for such a long
  time for their certificate issuance when things were clearly not
  ok.
 
    fghtr - 1 hours ago
    For example if they used AGPL software, it would be much harder
    for them to cheat. But you can never get 100% confidence.
 
fghtr - 1 hours ago
I am participating in a peer-to-peer search engine based on free
software, http://yacy.net. But I am not sure it can save us from
NSA... We have to take political steps against them anyway.
 
pdimitar - 3 hours ago
The only conclusion I can make from this article is to avoid
services hosted in the USA but even that is not guaranteed to work
-- having in mind that US agents have been known to go abroad to
request access to foreign company's servers. (They were even
supposedly thrown out from Iceland once -- assuming that wasn't a
honey pot propaganda operation to lure people to host stuff in
Iceland, of course.)What's left for the people who aren't criminals
but don't like being spied on? PGP and keys that are exchanged
physically, by hand?If somebody can physically spy on the
infrastructure cables that your traffic goes through, will SSL
protect you? As written in the article -- no it will not, because
the certificate can be obtained, even if it takes some time and
strong-arm effort to do so. But when a country can order you to
give up private keys and keep quiet about it, really, what can you
do?At this point, full decentralization, mesh networking and
something times better than Tor encoded in 100% of the network code
seems to be the only way out. Maybe a combination of IPFS and
FreeNet, full packet-level encryption and keys that expire in 1
minute and are auto-generated for every transaction?
 
  katastic - 1 hours ago
  From previous discussions I've learned that USA companies are the
  only ones that actually are protected from the USA government.So
  feel free to build a company in Sweden, but the US is actually
  legally permitted to wiretap the crap out of it.
 
    jacquesm - 21 minutes ago
    Except that's not how it works. They will take everything
    including those USA companies' data and then they will go to a
    judge to ask for a warrant to make interception after the fact
    legal. It's US citizens that are exempt and their data is only
    looked at in exceptional cases but on the whole you should not
    assume the data is not recorded. The legal fiction used to
    protect this abuse of your rights is that they claim that as
    long as nobody looks at it your data wasn't really collected.
 
    pdimitar - 1 hours ago
    From all the leaks we've seen in the last 4 years, the three
    lett3r agenc1es weren't deterred by the laws at all, wouldn't
    you agree?
 
  stinkytaco - 3 hours ago
  I've argued here at HN before that I don't think this is a
  technological problem, but a social one. There is nothing that
  stops a powerful enough actor from breaking encryption with a
  rubber hose, except for a strong stigma against that kind of
  behavior. We need to give digital privacy the same social
  protection. The other problem with making a purely technical
  solution is that you leave out people who are not capable of
  using that solution because they do not have the resources,
  education or capability.
 
    fiatjaf - 2 hours ago
    Solving the problem with technology is 1000000 times easier
    than solving it from the "social" side.
 
      confounded - 1 hours ago
      Is it? For who?Do you think people's data would be more
      secure  at the border if- You kernal-hacked iOS so that it
      booted into a vanilla account upon entry of a certain
      passcode, and encouraged people to install your hack from
      GitHub, potentially borking their phones- People couldn't be
      compelled (or face being denied entry) to allow search of
      their electronic devices?What about trying to do everything
      via a VPN and spoofed UA strings vs. PII being banned from
      sale, heavily taxed, or a meaningful opt-out existing? Or
      even just DNT having a legal basis?
 
        blfr - 14 minutes ago
        Is it? For who?For HN readers. And probably in general.As
        for your questions, I would definitely like to first use
        software which doesn't compromise my privacy and security
        and only as a very distant second have some bureaucrat who
        would maybe in the best case scenario fine a company which
        leaks my data.The vote I cast by running a Tor relay is
        much more meaningful and valuable defence of privacy than a
        vote in the general elections. By orders of magnitude.
 
      stinkytaco - 40 minutes ago
      Sure, if you're a fairly affluent and educated hacker news
      reader. But there are far more people who I routinely work
      with who struggle with the concept of a password but need to
      use the internet to apply for work, register for disability,
      social security, communicate with family, etc. Do those
      people deserve less privacy?
 
        fiatjaf - 9 minutes ago
        Nom they deserve the same privacy. I wish there was a
        solution for them, but I don't think there is.Better
        software and newer generations that know how to use them
        will, however, come before anyone can make a government
        that respects his population.
 
    pdimitar - 1 hours ago
    I agree. The biggest problem in this age is having a strong
    encryption that is user-friendly. The common wisdom says it's
    impossible to combine the two. I disagree with it but I don't
    have the time to try and work in the area, nor am I an expert.
    IMO it's a good cause to work on anyhow.Furthermore, spies
    aren't stopped by social stigma. Even if the whole planet
    agrees in one voice wiretapping shouldn't be done (never gonna
    happen) the spies can always deny that they're spying. It's not
    like any of us can actually prove that any agency is indeed
    wiretapping.Morality is, in the technical sense, optional. It
    cannot be enforced. Thus it's unreliable.
 
      stinkytaco - 39 minutes ago
      > strong encryption that is user-friendlyNot enough, in my
      opinion. Where most people will fail is on the opsec side.
      They just don't understand security best practices. I realize
      that not all problems can be solved, but technology is not
      just encryption, it's understanding how the technology works
      so you can avoid leaking information in the hundreds of other
      ways that are possible on the Internet.
 
  jacquesm - 24 minutes ago
  There are two levels at play here: who is saying what and who is
  talking to who. The second one is extremely hard to protect
  against and already plenty useful on its own.
 
  hdhzy - 2 hours ago
  If one's threat model includes state actors that target that
  person then all regular methods are useless. The best we can do
  is to protect against passive attacks and that's where PGP,
  double ratchet schemes, Tor etc come in handy.
 
    pdimitar - 1 hours ago
    True enough, sadly. Still doesn't mean we shouldn't push back
    with the means we have in our hands. Open-source firmwares
    might be a VERY good first step in that direction (one of the
    reasons I am replacing my ASUS router with Mikrotik; another
    being that ASUS routers are laggy pieces of crap, even those
    that cost north of $200).Also, we all know about Intel ME,
    right? It's baffling how most people using PCs have hardware-
    level backdoor and the world hasn't lost its shit. It's a very
    sad epoch we live in. :(A solution right now is to simply not
    get on the state adversaries' bad side, maybe. And utilize the
    blockchain for anonymity, I guess.
 
  fiatjaf - 2 hours ago
  Here's another solution, from the late Pieter Hintjens:
  https://www.indiegogo.com/projects/edgenet#/
 
bitmapbrother - 1 hours ago
So does DDG produce a transparency report and if not then why not?