Menu

Pomiędzy bitami

Techno, porno i duszno. Blog niezupełnie technologiczny.

Wolność

Debian over Tor

rozieblox

Z lekkim opóźnieniem, ale nadal news godny uwagi: Debian jest dostępny po sieci Tor. Najwidoczniej pozazdrościli Facebookowi, o którym wspominałem opisując uruchomienie strony w sieci Tor. ;-) Uzasadnienie uruchomienia jest następujące (i ładne):

The freedom to use open source software may be compromised when access to that software is monitored, logged, limited, prevented, or prohibited. As a community, we acknowledge that users should not feel that their every action is trackable or observable by others.

Dodatkowo, Tor zapewnia niezależne od zewnętrznych źródeł, "wbudowane" uwierzytelnianie i szyfrowanie treści - powiedzmy, że taki wbudowany HTTPS. Pełen katalog serwisów Debiana dostępnych via Tor dostępny jest tutaj, ale najważniejsze są chyba repozytoria pakietów.

Tor logoŹródło: https://media.torproject.org/image/official-images/2011-tor-logo-flat.svg

Przy okazji dowiedziałem się o load balancerze dla serwisów Tor.

Wpis jest pokłosiem dodania do czytnika RSS nowego serwisu Debiana, czyli micronews, który swoją drogą też wygląda ciekawie i być może pod względem technicznym będzie cegiełką do uruchomienia kolejnego projekciku...

Gotowanie żaby

rozieblox

Dziś będzie o gotowaniu żaby, czyli jak my, obywatele, oddajemy bezczynnie coraz więcej swojej wolności państwu. Po małym kawałeczku. Wpis jest zainspirowany dyskusją na kanale IRC o tym, jak to my, społeczeństwo bez protestu przyjmujemy to, co wymyśla rząd AKA miłościwie nam panujący.

Poszło o rządową cenzurę stron przy pomocy DNS. O sprawie pisał DI, pisała też Fundacja Panoptykon. Oczywiście, sprawa nikogo nie dotyczy - mało kogo interesuje hazard przez Internet, poza tym, co to za zabezpieczenie przez blokadę w DNS, skoro można zmienić DNS? No i mamy Tora i VPNy, łatwo można obejść ustawę za parę euro miesięcznie, jak pisałem. Zresztą na innych portalach branżowych również są instrukcje dotyczące czy to zmiany serwerów DNS, czy zdobycia łatwego VPNa. Niby nie ma sprawy.

Tyle, że powstało pozwolenie na pewną czynność i pewien mechanizm. Czynność to blokowanie dostępu do stron WWW czyli informacji na rozkaz państwa. Przy pomocy centralnego rejestru. Oczywiście na razie to tylko hazard i tylko nieskuteczna blokada DNS, ale... jaki problem rozszerzyć za jakiś czas indeks stron zakazanych o strony porno? Porno złe! I nikt nie będzie protestował. Albo krytykujące miłościwie nam panującego prezydenta. Albo równie miłościwie nam panujący rząd? Krytyka zła! I nikt nie będzie protestował.

Na razie mechanizm blokady jest nieskuteczny i prosty do obejścia, więc się godzimy na niego. Ale jaki problem za jakiś czas poprawić go? Omijają kontrolowane przez rząd DNSy? Wymuśmy, by ISP - nieodpłatnie rzecz jasna - przekierowywał każdy ruch DNS na nie. Używają Tora? Wiadomo do czego! Zablokujmy Tora! Nikt nie zaprotestuje. Używają dnscrypt i VPNów? Wiadomo do czego! Zablokujmy! Nie da się w DNSach? To nic, doda się obowiązek utrzymywania blokowania po IP. Nawet prostszy w implementacji... Nikt nie zaprotestuje.

Zwrócono w dyskusji uwagę, że przy ACTA były protesty na ulicach i że ten język rządzący rozumieją. Bo czy ten wpis, czy linkowane wyżej artykuły Panoptykonu czy DI, czy opinie Ministerstwa Cyfryzacji spływają po miłościwie nam panujących jak po kaczce. Teraz nie ma żadnych działań.

Nie chodzi o tę jedną ustawę, oczywiście. Przypominam, że powstaje (albo już powstał) ogólnopolski projekt monitorowania ruchu internetowego. Oczywiście znowu w imię walki z przestępczością i terroryzmem. Potem wystarczy dorzucić, że próby obejścia rządowej blokady są przestępstwem, wytypować korzystających z Tora, VPNów itp. i... z głowy. A wiadomo, że służby muszą mieć sukcesy. I że jak się ma młotek, to wszystko wygląda jak gwóźdź...

Inne, podobne: pamiętacie obowiązek rejestracji kart SIM, wprowadzony w imię walki z terroryzmem? Niektórzy zastanawiali się, co z niezarejestrowanymi. Niektórzy nie wierzyli jak pisałem, że po prostu za jakiś czas każą operatorom zablokować wszystkie niezarejestrowane karty. Że prawo nie może działać wstecz, że umowa, że operator się nie zgodzi. Otóż Plus już zmienił regulaminy:

Klienci zawierający umowę o świadczenie usług telekomunikacyjnych od dnia 25 lipca 2016 r. będą zobowiązani do dokonania rejestracji powyższych danych oraz umożliwienia ich weryfikacji z dokumentem potwierdzającym tożsamość przed zawarciem umowy i rozpoczęciem korzystania z usług.

Abonenci Na Kartę, którzy zawarli umowę o świadczenie usług telekomunikacyjnych przed dniem 25 lipca 2016 r. obowiązani są podać powyższe dane i umożliwić ich weryfikację najpóźniej do dnia 1 lutego 2017 r. Zgodnie z ustawą o działaniach antyterrorystycznych niedokonanie rejestracji powyższych danych będzie skutkowało całkowitym zaprzestaniem świadczenia usług z dniem 2 lutego 2017 r.

Nikt nie protestuje, nikogo to nie dotyczy, jaki problem zarejestrować kartę?

Temperatura wody rośnie, żaba nie reaguje...

Kraizm

rozieblox

Mapa świata

Źródło: https://commons.wikimedia.org/wiki/File:BlankMap-World6.svg

Wyobraźmy sobie, że ktoś w cywilizowanym świecie otwiera sklep/oferuje usługę i zabrania korzystania z niego ludziom o określonym kolorze skóry. Na przykład salon fryzjerski albo kino, z napisem Murzynów nie obsługujemy. Albo wyznającym określoną religię. Ewentualnie określonej narodowości. Albo w drugą stronę - sklep/usługa tylko dla białych. Albo Nur für Deutsche... Myślicie, że by przeszło? Ja myślę, że zdecydowanie nie.

To może coś mniej oczywistego. Sklep internetowy (albo usługa...) o podobnych ograniczeniach korzystania. Co prawda trochę trudniej weryfikować, ale zawsze można próbować posiłkować się danymi z social media, czyli wymagać logowania przez Facebooka, a jeśli płeć albo kolor skóry właściciela na zdjęciach się nie spodoba, to odmawiamy dostępu do usług. Ewentualnie można wymagać zdjęcia dowodu tożsamości i próbować określić na tej podstawie. Technicznie wykonalne, z rozsądną pewnością. Myślicie, że to by przeszło? Nie jestem już taki pewny, jak w poprzednim przypadku, ale nadal mam wrażenie, że nie.

Natomiast w sieci każdego dnia spotykamy się z dokładnie taką segregacją ludzi na podstawie domniemania kraju, w którym aktualnie przebywają. Chodzi oczywiście o ograniczanie dostępu do kultury/rozrywki (muzyka, film) przy pomocy DRM, czy to za sprawą regionów DVD, czy innych, podobnych technik. Wystarczy wejść na YouTube - część utworów jest w danym kraju niedostępna (Google, don't be evil...).

Generalnie o ile nie uznajemy segregowania na podstawie płci, rasy, koloru skóry, religii czy narodowości za właściwe, to już segregacja na podstawie (domniemania) kraju przebywania jest raczej akceptowana. Przynajmniej w sieci. Nawet, jeśli nie wynika ona wprost z przepisów obowiązujących w danym kraju. Swoją drogą, prawa sankcjonujące dyskryminację ze względu na religię/narodowość/kolor skóry/płeć też istniały, więc to żaden argument.

Zastanawiałem się, czy już ktoś użył tego określenia, ale szukając po countrism znajduję tylko countrist, o zbliżonym znaczeniu, ale jednak w trochę innym kontekście. Do rozważań na ten temat bezpośrednio skłoniła mnie sytuacja z Netflix, który co prawda otworzył się na różne rynki, ale jednocześnie dołączył do firm wykorzystujących DRM i zapowiedział blokadę proxy/VPN w celu uzyskania dostępu do treści, ale problem jest oczywiście szerszy.

Panoptykon narzeka na ministerstwa i blokowanie Tora

rozieblox

Fundacja Panoptykon po raz kolejny narzeka na blokowanie przez ministerstwa IP, na którym mają uruchomiony węzeł Tor (relay-node). Sytuacja skłoniła mnie do wpisu, bo mam wrażenie, że zachodzi grube niezrozumienie tematu. Z obu stron...

Logo projektu Tor

Źródło: https://media.torproject.org/image/official-images/2011-tor-logo-flat.svg

 

Czy warto blokować ruch z sieci Tor?

To zależy. Ruch z sieci Tor pozwala na łatwe uzyskanie stosunkowo wysokiej anonimowości w sieci. Z jednej strony jest to wykorzystywane do anonimowej komunikacji przez zwykłych ludzi, z drugiej jest wykorzystywane do nadużyć i wandalizmu. Ze znanych serwisów wymienionych w FAQ - Wikipedia blokuje edycję artykułów z sieci Tor, podobnie Slashdot. Oczywiście takich serwisów jest o wiele więcej. Po prostu stosunek sygnał/szum jest w przypadku sieci Tor wyjątkowo niski.

Są też inne, poważniejsze powody do blokowania. O ile sieć Tor ma raczej słabą przepustowość i nie nadaje się do ataków wolumetrycznych, to zdecydowanie ułatwia łatwe, anonimowe ataki na aplikację, SQLi itp. Czyli raj dla script kiddies. I dokładnie taki jest oficjalny powód podany przez rzecznika ABW cytowany na Niebezpieczniku.

Jak blokować ruch z sieci Tor?

Autorzy projektu Tor podkreślają, że wezły sieci Tor mają indywidualne polityki, ale.. Patrząc z punktu widzenia administratora serwisu docelowego i ekonomii działania: sieć Tor to jakieś ułamki promila ruchu, w dodatku często ruchu niepożądanego. Jeśli ktoś zdecyduje się już blokować ruch z sieci Tor, to raczej nie będzie bawił się w polityki poszczególnych węzłów, tylko zablokuje wszystkie. Czy to na poszczególnych maszynach, czy to na centralnym firewallu, czy wręcz null-route'ując na routerach ruch kierowany do węzłów Tor (co uniemożliwi komunikację TCP). Ostatnia metoda jest i prosta w implementacji, i prosta w utrzymaniu (centralne miejsce do zarządzania), i wydajna.

Z których węzłów ruch blokować?

Tu jest pies pogrzebany. Fundacja Panoptykon nie prowadzi exit node, czyli nie przekazuje ruchu z sieci Tor do "normalnego internetu". Niestety, oficjalne narzędzia udostępniane przez projekt Tor IMO nie są zbyt przyjazne administratorom (szczególnie tym, którzy są mniej świadomi zasad działania Tora lub którzy nie mają czasu). Blokowanie wszystkich węzłów Tora widziałem spotkałem, zarówno jako użytkownik końcowy (tak, relay node w domu, ruch z normalnego IP i komunikat o niewpuszczaniu z sieci Tor w serwisie), jak i administrator. Przede wszystkim brakuje oficjalnej listy węzłów wyjściowych łatwej do przetwarzania, czyli zawierającej same IP. Przypominam, że pisałem we wpisie o blokowaniu węzłów Tor, że udostępniam taką listę. Tylko exit nodes, tylko adresy IP.

Podsumowując, obie strony są winne:

Dziwią mnie żale ze strony Panoptykonu, gdy sytuacja jest typowa i opisana w FAQ Tora:

You might also find that your Tor relay's IP is blocked from accessing some Internet sites/services. This might happen regardless of your exit policy, because some groups don't seem to know or care that Tor has exit policies. (If you have a spare IP not used for other activities, you might consider running your Tor relay on it.)

Jak widać, projekt Tor zaleca prowadzenie węzłów na oddzielnych IP, nieużywanych do innych usług. Tak, wiem, sekcja dotyczy węzłów wyjściowych, ale idę o zakład, że pomysłodawca/admin w Panoptykonie nie czytał. Poza tym, zdrowy rozsądek zaleca analizę możliwych konsekwencji przed uruchomieniem usługi i stosowanie oddzielnych IP w tym przypadku.

Dziwi mnie też implementacja blokowania Tora na rządowych serwerach, wskazująca na niezrozumienie tematu. Oczywiście nie mam złudzeń co do korzystania przez nich np. z mojej listy (sam bym tego na ich miejscu nie zrobił), ale samodzielna implementacja to nie rocket science... Plus, niezrozumienie tematu może prowadzić do fałszywego poczucia bezpieczeństwa - tak naprawdę nie sposób zablokować 100% ruchu z sieci Tor, przynajmniej nie w oparciu o adresy IP.

Diaspora* w użyciu

rozieblox

Patrzyłem na projekt Diaspora* od dłuższego czasu i cały czas uważałem, że nie jest skończony i gotowy. Opis instalacji na Debianie przyprawia lekko o ból głowy, znajomi nie bardzo korzystają... Ale po zniknięciu plum.me (nadal niewyjaśnionym, wygląda jakby wyparowały wszystkie zabawki A. jednocześnie) powstała pustka, więc stwierdziłem, że spróbuję.

Diaspora logo

Źródło: https://en.wikipedia.org/wiki/Diaspora_%28social_network%29

Nie stawiałem swojej instancji Diaspory, tylko skorzystałem z porównywarki podów Diaspory i wybrałem diasp.eu - ma sporo użytkowników, jest SSL, bardzo dobry uptime, stoi w Niemczech. Pierwsze wrażenie: ten klon Facebooka nawet działa! I są jacyś ludzie! Można normalnie korzystać z hashtagów (obserwować je) i po chwili okazało się, że znalazłem polskich znajomych z netu. Całych dwóch, ale zawsze.

Posty zamieszczane na Diasporze formatuje się przy pomocy Markdown - nie jestem fanem, ale jest prosty i można przywyknąć, szczególnie, że jest prosta ściągawka dostępna od ręki. Możliwości bardzo podobne do HTML, tylko bardziej dla ludzi. Załączanie obrazków czy video działa. Są hashtagi.

Są  też - znane z FB - ignorowanie użytkowników, zgłaszanie postów, możliwość ustawienia avatara, wiadomości prywatne i ankiety. Można przypisywać użytkowników do grup oraz tworzyć własne grupy. Można zintegrować Diasporę z Twitterem, Facebookiem, Tumblr czy Wordpressem. Nie testowałem, ale zdaje się (opis potwierdza), że chodzi o to, że robimy wpis na Diasporze i mamy możliwość jednoczesnego wysłania go na (wybrane?) serwisy. Jest możliwość eksportu zdjęć i treści.

Wszystko to oczywiście oparte o wolne oprogramowanie, z możliwością postawienia na własnym serwerze, szyfrowane (SSL), odporne na cenzurę wielkich portali i niezależne od nich (nie ma śledzenia, profilowania, reklam). Itd., itp. ;-)

Dodatkowo w Diasporze jest funkcja, która może zastąpić bloga (w minimalnym wymiarze). I nie jestem pewien, czy do tego Diaspora* nie nadaje się najlepiej. Mianowicie posty oznaczone jako publiczne dostępne są w formie strony WWW z wygenerowanym kanałem RSS. Czyli tak naprawdę blog, gdzie komentować mogą wyłącznie zalogowani.

Wady Diaspory:

  • Brak API. Nie żartuję, projekt open source, mocno programistyczny i póki co nie ma API. Ewidentny strzał w stopę, bo bez API słabo da się zrobić sensowne klienty (zwł. mobilne).
  • Niezbyt intuicyjny interfejs. Bardzo subiektywne, niby jest ładnie i standardowo, ale jak raz mi mignął link do kanału RSS z publicznymi wpisami, to potem się go naszukałem... Chwilowe i szybko mija.
  • Soft niby działa i jest good enough, ale używając czuć, że nie jest w 100% skończony i doszlifowany. Niekrytyczne.
  • Mała popularność. Trochę samonapędzająca się wada, ale nie mogłem pominąć...
  • Brak edycji wpisu po zamieszczeniu. Oczywiście można usunąć i dodać jeszcze raz, ale trochę overkill, jeśli chodzi tylko o usuwanie literówek.

Wygląda, że Diaspora zastąpi mi plum.me, bo możliwości większe, a nie wszystko nadaje się na bloga/Twittera/FB. Kiedyś przedstawiano - przynajmniej takie miałem wrażenie - Diasporę jako nadchodzącą wielką wolną alternatywę dla FB. IMO nic z tych rzeczy - zwykły serwis i social network, trochę mniej dopracowany, trochę bardziej wolny. Jest łatwa, więc IMO warto spróbować.

UPDATE: Dodany brak edycji w wadach.

Monitoring w pracy

rozieblox

Nadzór w pracy istnieje od zawsze. Jakby nie było, jest to jedna z funkcji kadry kierowniczej. Zastanawiałem się ostatnio, jak to wygląda obecnie, co się zmieniło. O tym, że coraz więcej zakładów ma zamontowane kamery powszechnie wiadomo. Zresztą rejestratory video staniały i spowszedniały na tyle, że spora część znajomych ma je zamontowane w samochodach czy na rowerach. Opinie na ich temat w miejscach pracy są różne, część pracowników jest (była?) zdecydowanie niechętna, ale IMO tak naprawdę wszystko zależy, jak są wykorzystywane i umieszczone. Pracuję w miejscu, gdzie są kamery i raz mi osobiście jako pracownikowi się przydały.

Sprawa trywialna, coś z laptopem i dyskiem było. Kumpel przyniósł czyjegoś służbowego lapka, ja wyjąłem z niego dysk, podłączyłem do kieszeni, IIRC zrobiłem diagnostykę, wkręciłem dysk z powrotem, oddaję lapka. No i przychodzi kumpel, pokazuje zdjętą zaślepkę, pusto, i pyta "a gdzie dysk?". Szukamy. Tak całkiem pewien, że go wsadziłem z powrotem to nie byłem, bo raczej odruchowo działałem, więc sprawdzam biurko, szuflady. Jak się tak rozglądam, to jestem coraz bardziej przekonany, że włożyłem z powrotem. Kumpel upiera się, że dostał ode mnie, otworzył i było pusto. Zgrzyt.

No to wzięliśmy nagranie z rejestratora. I widać jak wyjmuję, podłączam do kieszeni, wkładam z powrotem, przykręcam. Kumpel obraca lapka tak, jak jest na kamerze i pokazuje pustą dziurę po lewej. Patrzymy w monitor, wkręcam po prawej. WTF? Patrzymy na lapka i w śmiech. Ano tak, laptop był 17" i miał dwa sloty na dysk, ale to zupełnie nie przyszło nam do głowy.

Tak czy inaczej, nagrania z kamer są dość dokładne (no dobrze, zależy od kamery i ustawień jeszcze), ale raczej trudno je analizować automatycznie. Forma strawna dla komputera to raczej osoba, timestamp, określenie miejsca. Oczywiście da się zrobić, bo pozycjonować można choćby smartfona (i aktywnie, przy pomocy aplikacji na smartfonie, i pasywnie, z wifi), no ale nie każdy pracownik w zakładzie musi mieć smartfona, włączonego, z wifi itd.

Niedawno dostałem namiar na stronę https://www.autoid.pl/ czyli dostawcy systemów do automatycznego... praktycznie wszystkiego - identyfikacji osób, przedmiotów, pojazdów itp. i dostałem odpowiedź na moje pytanie, jak można w sposób łatwo przetwarzalny komputerowo monitorować miejsce przebywania pracownika w firmie. Technologia opiera się na RDIF, które mogą służyć nie tylko do jako karty dostępu do drzwi (de facto standard w firmach, kto nie ma karty?), ale w wersji "dalekiego zasięgu" (do 12 m)  mogą być odczytywane bez przykładania do czytnika. Wygląda na prostsze i tańsze od smartfona u pracownika, prawda?

Producent podpowiada nawet sposoby umieszczenia - zaszycie w ubraniu roboczym, oraz jako karta. No i w tym momencie można automatycznie sprawdzić... wszystko. Na przykład to, czy dany pracownik pracuje na swoim stanowisku, czy siedzi i flirtuje z sekretarką. Z których pomieszczeń korzysta. Albo jak często wychodzi do toalety.

Uczucia, podobnie jak w przypadku kamer mam mieszane. Oczywiście wyobrażam sobie nadużycia ze strony pracodawcy z wykorzystaniem tego typu technologii, ale... nie dajmy się zwariować. Równie dobrze może wykorzystywać tego typu rozwiązania do optymalizacji rozmieszczenia narzędzi/pomieszczeń... Tworzący prawo będą mieli kolejny trudny orzech do zgryzienia.

Czyli klasyczne: narzędzia nie determinują wykorzystania. Pozostało życzyć wszystkim normalnych AKA ludzkich pracodawców, którzy rozsądnie korzystają z narzędzi. I pracowników, których nie trzeba kontrolować na każdym kroku.

Własna strona w sieci Tor

rozieblox

Za sprawą normalnych tradycyjnych stron w sieci Tor zrobiło się ostatnio głośno z powodu Facebooka. Nie dość, że Facebook wystawił stronę oficjalnie do sieci Tor pod adresem .onion, to adres był ciekawy, a całość jest dostępna po HTTPS, czyli w wersji szyfrowanej[1]. Mniejsza o powody, dla których to uczynili. Wydaje się, że nie tyle chodziło im o anonimowość użytkowników (nie miejcie złudzeń), co o ich prywatność i bezpieczeństwo (ukrycie lokalizacji). Plus przy okazji rozwiązali sobie problem false positives przy wykrywaniu włamań, które mieli przy użytkownikach korzystających z tradycyjnych exit node[2].

Tor logoŹródło: https://media.torproject.org/image/official-images/2011-tor-logo-flat.svg

Tak czy inaczej, wygląda, że Tor został dostrzeżony przez dużych w z właściwej perspektywy, czyli po prostu jako medium transmisji, a nie odrębna sieć, używana przez złoczyńców[3]. Myślę, że można spodziewać się kolejnych naśladowców.

Warto zauważyć, że to co zrobił Facebook to nie jest typowy hidden service w sieci Tor. W typowym chodzi o ukrycie tożsamości właściciela, miejsca hostowania itp. Czyli masa pracy poświęcona uszczelnianiu systemu i serwera WWW, która nie jest przedmiotem tego wpisu (na stronie projektu Tor też się tym nie zajmują, ale zainteresowani znajdą tam ogólne wskazówki). Tu przeciwnie - wszystko jest dostępne, a tożsamość jest potwierdzona certyfikatem SSL, czyli wersja znacznie łatwiejsza w wykonaniu.

I właśnie takim przypadkiem zajmę się w tym wpisie. Całość opisana jest dokładnie na stronie projektu Tor, ale widzę, że pojawiają się pytania jak to zrobić, więc zamieszczę wersję skróconą i uproszczoną. Tak naprawdę całość sprowadza się do dwóch linii w pliku konfiguracyjnym (zakładam, że Tor jest już skonfigurowany jako relay node lub bridge node). I nawet nie do napisania, tylko do odhashowania/edycji.

Przede wszystkim w pliku konfiguracyjnym[4] szukamy sekcji dotyczącej hidden services, zaczynającej się od linii:

############### This section is just for location-hidden services ###

Następnie odhashowujemy/edytujemy dwie linie:

HiddenServiceDir /var/lib/tor/hidden_service/
HiddenServicePort 80 IP_SERWERA_WWW:80

Pierwsza musi wskazywać na katalog, który musi mieć prawa odczytu i zapisu dla użytkownika na którym działa demon Tor (w Debianie wystarczy odhashować).

Druga to wskazanie który port chcemy przekierowywać i na jaki adres (IPv4 działa na pewno, IPv6 nie udało mi się skłonić do działania) oraz port. Jedyna zmiana, czy też wymóg konfiguracji po stronie serwera WWW, jest taki, że musi on pozwalać na dostęp do zasobów po IP, bez podania domeny (vhosta)[5].

Następnie należy zrestartować demona Tor i... gotowe. Pozostało jeszcze tylko sprawdzić, jaki adres ma nasz hidden service:

cat /var/lib/tor/hidden_service/hostname

Potem można już tylko zweryfikować działania serwisu za pośrednictwem adresu .onion. Jeśli nie mamy pod ręką normalnego dostępu do Tora, można posiłkować się bramką Tor2web.

[1] I całe szczęście, bo przypominam, że Tor nie szyfruje użycie Tora nie oznacza automatycznie szyfrowania danych, co więcej, każdy węzeł, ma możliwość przechwycenia całej (co prawda zaszyfrowanej) transmisji, a exit node, jest w stanie podsłuchać nieszyfrowaną transmisję do końcowego hosta.

[2] Więcej w tym wpisie (ANG).

[3] Nie ukrywajmy, typowy użytkownik Tora kojarzył się do tej pory z nielegalnymi działaniami.

[4] W Debianie jest to /etc/tor/torrc, pewnie w Ubuntu i innych pochodnych jest analogicznie.

[5] Tu uwaga dla chcących stawiać bramki hidden service - z punktu widzenia zewnętrznego serwisu (i tylko jego, i tylko w przypadku połączeń poprzez adres .onion) mój klient Tor IP jest teraz exit node! W przypadku nadużyć za pośrednictwem sieci Tor i adresu .onion może się to skończyć wizytą policji. W przypadku serwisów, których nie jesteśmy właścicielami bezwzględnie należy mieć zgodę właściciela serwisu.

Owoc żywota twojego je ZUS?

rozieblox

Niecały tydzień pozostał do zakończenia najważniejszego IMO w tym roku głosowania w Polsce. Chodzi oczywiście o wybór pomiędzy OFE a ZUS. Jest to jedna z niewielu okazji do opowiedzenia się jasno za lub przeciw polityce rządu (o mądrym niegłosowaniu w tradycyjnych wyborach pisałem wcześniej). Rządu, który najpierw dał możliwość wyboru miejsca, gdzie lokujemy - niestety obowiązkowo - zarobione pieniądze, a następnie tę możliwość odebrał, zabierając połowę odłożonych przez nas składek do ZUS.

Nie ma co mieć złudzeń. Na efekt końcowy, czyli wysokość emerytury, wybór jednej lub drugiej opcji jest praktycznie pomijalny. W najbardziej pesymistycznym wariancie możemy stracić 15% składki emerytalnej. Najbardziej optymistyczny wariant trudno przewidzieć. Skuteczność inwestowania i gospodarność ZUS jest znana, więc OFE naprawdę IMO musiałyby się postarać, by wypaść gorzej. Z drugiej strony tego typu zagrywki rządu i zmiana otoczenia ekonomicznego nie poprawiają OFE warunków działania.

Niemniej, jak pisałem wcześniej, decyzja dla większości jest głównie polityczna. Kontrowersji wokół sprawy jest więcej. Nie chodzi tylko o zabranie połowy pieniędzy z OFE do ZUS. Dochodzi do tego wariant domyślny czyli zmiana dokonanego przez obywateli wyboru (pomijam tych, którzy nie wybierali OFE, tylko zdali się na losowanie). OFE otrzymały również zakaz reklamowania możliwości pozostawienia u nich składek. Czyli mamy cenzurowanie prywatnych przedsiębiorstw i podejście rządu wybory będą powtarzane tak długo, aż wybierzecie co chcemy. Bo może zapomnicie wybrać, a wtedy wybieracie nasz wariant.

Decyzja podejmowana nie jest na zawsze. Będzie można zmienić wybór za 2 lata, a potem co kolejne 4 lata. Natomiast aby jasno uzyskać efekt sprzeciwu przeciw polityce rządu należałoby zagłosować już teraz. Brak dokonania wyboru do końca lipca oznacza przeniesienie wszystkich składek do ZUS. Nie warto czekać do ostatniego dnia. Do tej pory wyboru dokonała tylko niewielka liczba uprawnionych osób, co może oznaczać kolejki w urzędach ZUS, szczególnie pod koniec miesiąca.

Po szczegóły typu wyliczenia, wzór deklaracji i inne źródła odsyłam do subiektywnego, ale solidnego wpisu OFE czy ZUS. Większość danych na końcu ww. wpisu plus bardzo dobra "bibliografia", czyli odnośniki do innych źródeł w temacie.

Dell deanonimizuje Bitcoiny

rozieblox

Niedawno Dell ogłosił, że akceptuje transakcje przy pomocy Bitcoin. Mało tego, dają 10% rabatu na transakcje z użyciem BTC (do $150). Na pierwszy rzut oka jest to dobra wiadomość dla sympatyków BTC i popularyzacji Bitcoin ogólnie, ale mi się od razu zapaliły lampki ostrzegawcze. W szczególności:

We’re piloting bitcoin, the world’s most widely used digital currency, as a purchase option on Dell.com for consumer and small business shoppers in the U.S.

Czemu tylko USA? Jedną z wad Bitcoin jest możliwość prześledzenia całej historii przemieszczania się waluty, czyli zupełna kontrola przeprowadzanych transakcji. Zamawiając sprzęt z dostawą, wiążemy konto BTC (przynajmniej jedno z kont) z naszą tożsamością.

Oczywiście U.S. only może wynikać z tematów formalnych, prawnych czy organizacyjnych, ale zastanawiam się, czy nie wiąże się z łatwością/jakością śledzenia lub obszarem zainteresowania. W sumie rozsądniej byłoby zbierać dane globalnie, nawet obarczone jakimś błędem.

Oczywiście anonimowość (pozorna?) to tylko jeden z aspektów kryptowalut. Niekoniecznie najważniejszy.

Bez Disqusji!

rozieblox

Od dłuższego czasu popularność na różnych blogach zdobywa Disqus[1], czyli niezależny od platformy blogowej system komentowania. Nie dziwi mnie to specjalnie, bo Disqus jest dość wygodny. Zalogować się do systemu można przez "wielką trójkę", czyli Twittera, Facebooka i Google. Oczywiście można też mieć osobne konto tylko na Disqus. Można w końcu komentować jako gość. Dodatkowo komentarze ułożone są w estetyczny i sensowny sposób, z wątkowaniem. Na deser jest jeszcze głosowanie, udostępnianie komentarzy w mediach społecznościowych, możliwość otrzymywania powiadomień o odpowiedziach mailem czy ustawienia moderacji. Cud, miód i orzeszki po prostu. Szczególnie, jeśli porówna się to z wynalazkami wymyślonymi odnośnie komentarzy przez niektóre serwisy blogowe. Rozwiązanie fajne do tego stopnia, że np. Tumblr w ogóle nie ma komentarzy na blogach i Disqus jest jedyną opcją na komentarze tamże. Przyznam, że i ja się skusiłem na moim tumblrowym blogu na to rozwiązanie.

Do niedawna[2] nie zwracałem na to szczególnej uwagi, ale postanowiłem dodać komentarz na blogu Łukasza Bromirskiego. Komentarz zawierał sporo URLi do polskich około technicznych blogów pracowicie wygrzebanych z mojego czytnika RSS (nie wiem co Łukasz planuje, ale możecie podrzucić blogi, których nie ma na liście, czy Łukaszowi, czy tutaj w komentarzu). Ponieważ od jakiegoś czasu nie ograniczam się do podpisu, tylko loguję, na koniec edycji postanowiłem się zalogować. Nawet się udało, tyle, że cała treść komentarza zniknęła. Uśmiechnąłem się tylko, bo przecież od dawna na takie okazj mam Lazarusa (polecam!). I zonk! Lazarus nie radzi sobie z Disqus. Pewnie dlatego, że Disqus to nie typowy formularz na stronie, a javascript. W każdym razie musiałem przepisywać.

Potem było tylko weselej. Wysyłam komentarz i nie ma. Nie wiadomo, czy błąd po stronie Disqusa i komentarz należy uznać za MIA, nie przeszedł przez wbudowany antyspam (w końcu bardzo dużo linków w treści, szczególnie patrząc na stosunek linki/treść) czy po prostu nie przeszedł przez moderację. W każdym razie napisałem i nie ma. I tak jakoś trzy razy (przyznaję, cierpliwy jestem).

Zacząłem się zastanawiać nad tematem i doszedłem do wniosku, że korzystanie z Disqus powoduje implikacje dotyczące wolności i prywatności. Ameryki w tym momencie nie odkrywam, bo część jest opisana w artykule na Wikipedii w części dotyczącej kontrowersji Disqus. Zatem do ograniczeń wolności i prywatności przez Disqus[3]:

  • Obecność na wielu stronach powoduje możliwość śledzenia użytkowników, nie tylko komentujących, ale po prostu odwiedzających strony. Dodatkowo w przypadku komentujących możliwe jest łatwe śledzenie ich zainteresowań i poglądów. Jeśli chodzi o odwiedzających, można to minimalizować przy pomocy wtyczek do przeglądarek typu NoScript, Adblock czy Ghostery. Śledzącym może być Disqus, ale może też chodzić o śledzenie wszystkich komentarzy jednego użytkownika przez innego.
  • Możliwość cenzurowania komentarzy, zarówno w momencie ich zamieszczania, jak i wstecznie. Czy to po słowach kluczowych, autorze, IP z którego jest zamieszczany komentarz... W sumie, w skrajnym wypadku, możliwa byłaby nawet zmiana treści i mamy gotową sytuację z Rok 1984 - szybko można zmienić treść czyjegoś komentarza, by odzwierciedlał obecnie poprawną linię. Można oczywiście podpisywać komentarze przy pomocy PGP. Przynajmniej dopóki Disqus nie odrzuci ich z automatu. ;-)
  • Brak możliwości backupu bloga z komentarzami. Proste rozwiązania do backupu bloga nie zadziałają, a przynajmniej nie w 100%. Nie udało mi się pobrać przy pomocy wget tak, by mój komentarz z linkami był widoczny.
  • Zamknięcie Disqus (albo nawet prosta zmiana typu modny ostatnio paywall) spowoduje, że komentarze na wielu stronach, które IMO w przypadku blogów są istotną częścią strony, bezpowrotnie znikną. Obejściem jest regularne robienie backupu komentarzy przez administratora strony. W XML, Disqus way.

I co w związku z tym? W sumie nic, nie przestałem korzystać z Disqus jako autor bloga (skoro już się pojawił kiedyś), nie zlikwidowałem konta na Disqus. Nawet nie zapowiem, że nic nie skomentuję przy jego pomocy. Ale szanse na użycie przeze mnie tego systemu komentarzy drastycznie spadły. Na pewno (na 99,9%) nie wykorzystam go w kolejnym projekcie. Jak widzę, że wpis jest na blogu z podpiętym Disqus, to generalnie nie komentuję. A ponieważ komentowanie (a przynajmniej jego możliwość) jest dla mnie istotną częścią blogowania, to będzie to uwzględnione przy następnej czystce feedów RSS.

[1] Taki eufemizm, bardziej można by go nazwać monopolistą - Wikipedia podaje badanie wskazujące na 75% udziału na stronach wykorzystujących zewnętrzne (3rd party) systemy komentowania. Aż dziwne, że znaleźli niszę, w końcu Facebook takes it all. Przy czym do tej pory kojarzyłem go raczej na zachodnich blogach, ostatnio patrząc w RSS zwróciłem uwagę i na polskich też się rozpanoszył.

[2] No dobra, nie tak niedawna, bo chodziło o ten wpis (BTW chyba nic nie wynikło, a szkoda) - jak widać prawie pół roku połowiczny szkic tej notki przeleżał...

[3] Będzie czarnowidztwo i paranoizowanie, przynajmniej chwilami. Zostaliście ostrzeżeni.

Nie żyjesz w demokracji

rozieblox

Jakiś czas temu mignął mi nagłówek na Slashdocie o tym, że badania wykazują, że w Stanach Zjednoczonych nie ma demokracji, tylko zamiast niej jest oligarchia. Czyli, pokrótce, nie rządzą przeciętni obywatele, tylko elity ekonomiczne i przedstawiciele zorganizowanych grup zajmujących się daną sprawą. Na dłuższy wpis nie miałem do tej pory czasu za sprawą zadymy w pracy i treningów, ale zagadnienie jest bardzo ciekawe, więc pora nadrobić.

Po pierwsze, nie jest to gdybanie oparte na Głębokim Przekonaniu i argumentami typu to wymyślili producenci gaśnic czy to pomysł lobby producentów żarówek, tylko badania naukowe, z podanymi źródłami i możliwością ich samodzielnej weryfikacji i analizy (na to nie miałem czasu jeszcze). Po drugie, dotyczy USA. U nas może być tylko gorzej, choćby ze względu na inwestycje pozakrajowych grup interesów. Po trzecie, potwierdza to słuszność ruchów libertariańskich, anarchistycznych i samorządowych, które z jednej strony są od siebie ideologicznie dość odległe (niestety; bardzo to na rękę obecnym elitom), z drugiej postulują znacznie bardziej oddolny model, niż to, z czym mamy obecnie.

Na koniec dla przypomnienia wpisy o manipulacji w demokracji, i o niegłosowaniu w wyborach. Polecam też uwadze fakt, że mamy tak genialnie skonstruowaną ordynację, że frekwencja, czy zainteresowanie ludu nie ma już znaczenia w większości przypadków w wyborach. W razie czego elity same do urn pójdą i w wyborach obsłużą się same.

Na wypadek, gdyby rzeczony dokument miał zniknąć lokalna kopia do pobrania.

Wolność w Mozilla Foundation

rozieblox

Albo raczej jej brak. Po tym jak Brendan Eich został CEO Mozilla Foundation, ludzie przekopali jego przeszłość i odkryli, że w roku 2008 dokonał darowizny w wysokości tysiąca dolarów na rzecz poparcia zmiany prawa tak, by małżeństwa osób tej samej płci nie były możliwe w Kalifornii. I zaczęła się nagonka ze strony środowisk LGBT, która zakończyła się ustąpieniem ze stanowiska (prywatnie uważam, że niekoniecznie z własnej nieprzymuszonej woli).

Jak to ma się do wolności przekonań politycznych, religijnych, moralnych i światopoglądowych? Legalne poparcie legalnych instytucji (nie mówimy tu przecież o jakichś bojówkach), ze środków prywatnych, owocuje atakiem medialnym. W moim odczuciu atakiem z powodu prywatnych przekonań, bo Brendan Eich jasno dał do zrozumienia, że w zakresie Mozilla Foundation nic się nie zmienia i pozostają nadal otwarci na różnych ludzi, niezależnie od rasy, płci, religii i orientacji seksualnej.

Uważam, że działaniom środowisk LGBT blisko w tym momencie do dyskryminacji z powodu przynależności partyjnej, religijnej itd. IMO Mozilla niebezpiecznie zbliża się do stanowiska szanujemy wolność wypowiedzi i przekonań, pod warunkiem, że są to przekonania zgodne z oficjalną linią partii. Ciekawe kiedy wpadną na pomysł wprowadzenia mechanizmów cenzury w ramach obrony wolności wypowiedzi?

W każdym razie Mozilla sporo straciła w moich oczach. O ruchu LGBT nie wspominając.

Blokowanie dostępu do The Pirate Bay bez efektu

rozieblox

Byli tacy, którzy wierzyli i utrzymywali, że blokowanie p2p itp. jest możliwe i faktycznie działa (na przykładzie Szwecji). Wbrew faktom, naginając rzeczywistość do swoich teorii. I wspomagając się ignorancją w interpretacji wykresów ruchu sieciowego. Bywa.

Jakiś czas temu odcinanie od sieci wprowadziła Holandia. I teraz się z tego wycofuje, tj. kolejni ISP przestają blokować. Dlaczego? Ano dlatego, że są badania pokazujące, że blokada nie ma wpływu na zachowania użytkowników. W razie gdyby miało zniknąć lokalny mirror.

Trochę smutne, że do ludzi nie dociera, że informacja to żywioł, nad którym ciężko zapanować. I który każdą blokadę będzie próbował ominąć. Zwykle skutecznie.

Afera Sokołów.

rozieblox

Znajomy napisał na FB Całkiem niezły komentarz tej całej pseudoafery  i podlinkował tekst Tatar a wiarygodność blogerów (dead link). Warto go przeczytać (choć niezupełnie się z nim zgadzam), ale...

Afera jest rzeczywista i ma przynajmniej dwa wymiary:
Ochrony wolności wypowiedzi i próby jej ograniczenia poprzez pozew sądowy. Jeśli przejdzie (i nie mówię o wyroku skazującym), to za moment nie będzie można napisać nic, co krytykuje jakiś koncern lub jego produkt. Bo bloger ma jakby mniejsze zasoby, niż firma. I niekoniecznie chodzi o pieniądze, bardziej o czas. Zresztą zaledwie dzień wcześniej sam Techround zamieścił tekst Manta MID08S - powinni tego zabronić! (dead link), czyli test tableta, który w żaden sposób nie różni się merytorycznie od testu tatara. Parę cytatów:

Gdyby nie konieczność zwrotu sprzętu w stanie nieuszkodzonym, chętnie pograłbym nim we frisbee

Na pierwszy rzut oka widać natomiast, na czym producent oszczędził najbardziej – w tym wypadku Manta wykupiła chyba najtańsze panele LCD dostępne na rynku.

Ten ekran jest po prostu fatalny – podświetlenie jest nierówne jak polskie drogi gminne między Sztumem a Dzierzgoniem, kątów widzenia praktycznie nie ma, bo nawet minimalna zmiana położenia tabletu przekłamuje kolory, a od samego patrzenia w ekran z odległości mniejszej niż 50 cm momentalnie zaczynała mnie boleć głowa. Aby upewnić się co do jakości ekranu, wyświetliłem jednolity obraz w kolorze amarantowym (to taka wersja różowego) – ekran mienił się wszystkimi kolorami tęczy, nie wyłączywszy niebieskiego, a dodatkowo wieloma odcieniami szarości.

Niemniej, z uwagi na naprawdę fatalny ekran, zakup Manty MID08S byłby stratą pieniędzy – jeśli chcecie kupić tablet, to zainwestujcie w Nexusa 7 – droższy o paręset złotych, ale przynajmniej nie zniszczycie sobie oczu i nie będziecie musieli zainwestować w uśmierzające ból duszy środki psychotropowe.

Jak to nie są środki zwiększające ekspresję wyrazu, bezpodstawne spekulacje, opieranie się na subiektywnych opiniach (na podstawie pojedynczego egzemplarza), to nie wiem, co jest. Bo jakoś wątpię, by autor znał rynek ekranów LCD, zniszczył sobie oczy czy inwestował po teście w psychotropy. Jedyna różnica, to fakt, że w przypadku tabletu test był zamówiony.

Drugi wymiar afery to temat dodatków do żywności, ich ilości i stopnia zmieniania właściwości tejże żywności. Rozpisywać się nie będę, bo się nie znam. Platyna pisze nieco więcej w temacie i warto przeczytać (znowu nie do końca się zgadzam, ale jako punkt wyjścia i równoważenie całkiem OK), a stworzone monstrum widać na filmie z testem.

Obejrzałem cały film z testem tatara i test (raczej "test")  jest idiotyczny, szczególnie moment wyboru przez psa. A koleś jest IMO żałosny z tym "sama chemia", egzaltacją i ewidentnym łaknięciem atencji. Ale jego prawo. Przy czym fakty są takie, że uczciwie pokazał, co z czym porównuje. Dziwne są też właściwości tatara z Sokołowa - choć w nietypowym zastosowaniu, co jednak autor podkreśla. Test na niepsucie - łatwy do wybronienia: data minimalnej przydatności do spożycia, ewidentne korzyści z niepsucia się mięsa. Inna sprawa, że Sokołów chyba z ilością "polepszaczy" przesadził.

Wracając do meritum - Sokołów ma oczywiście prawo pozwać blogera do sądu, zamiast sprostować sprawę w sieci. Bo mogą nie mieć życzenia utrzymywania działu PR zajmującego się Internetem, za to mieć życzenie utrzymywania działu prawnego. Tylko mam wrażenie, że przy kwocie 150 tys. zł nie chodzi o odszkodowanie za realnie poniesione szkody, tylko o zamknięcie ust potencjalnym naśladowcom, krytykującym produkty firmy. I jakoś nie dziwi mnie, że w tej sytuacji środowiska sieciowe protestują. Ich prawo i naturalne działanie.

PS Mam wrażenie - być może mylne - że Sokołów totalnie nie rozumie sieci. Ciekawe jaki byłby płacz, jakby anonimowi dorwali się do listy środków chemicznych kupowanych przez Sokołów i opublikowali ją (wraz z ilością).

PS2 Film, o który poszło:

UPDATE: Wygląda, że sprawa się zakończyła i rozeszło się po kościach:

Blogger na Facebooku napisał:

Moim celem nie było uderzanie w jakąkolwiek markę ale zwrócenie uwagi na problem z którym każdy kto ma pojęcie o gotowaniu się prędzej czy później zetknie. Żeby nie było że nie potrafię przyznać się do błędu, przepraszam grupę Sokołów, chyba rzeczywiście trochę przegiąłem. A jeśli jeszcze kogoś to uraziło to sorry. Przyznaję czasem mnie ponosi w moich komentarzach, ale taki właśnie jestem i pewnie się już nie zmienię. Liczę że na tym wszystkim uda się zbudować jeszcze coś pozytywnego i wyciągnąć dla nas wszystkich jakąś naukę na przyszłość.

Natomiast Sokołów, również na Facebooku, odpowiedział:

Przyjmujemy przeprosiny i w związku z tym zdecydowaliśmy się wycofać pozew wobec Pana osoby. Być może rozwiązanie, którego użyliśmy było niewspółmierne, jednak uważamy, że powinno się reagować w sytuacji nieobiektywnej oceny produktów, dobrego imienia firmy, jej pracowników i dostawców, za których pracodawca jest odpowiedzialny. Szanujemy wolność wypowiedzi oraz możliwość dyskusji na temat produktów i usług. Dbając jednak o takie wartości jak obiektywizm i odpowiedzialność zamierzamy rozpocząć otwartą dyskusję z udziałem ekspertów, blogerów, vlogerów oraz organizacji branżowych.

To ja w tonie powyższych wypowiedzi skomentuję całą sprawę: Chyba jestem trochę zawiedziony. Być może można było coś pozytywnego na przyszłość uzyskać z tej afery, a tak rozeszło się po kościach. Ale dbając o obiektywizm aktualizuję wpis, żeby nie było.

© Pomiędzy bitami
Blox.pl najciekawsze blogi w sieci