Pomiędzy bitami

Jeśli korzystasz z systemu Debian, to zapewne przywykłeś do wygodnej sytuacji, że aktualizacje zwykle przychodzą w repozytorium security. Jest to wygodne, bo proste apt-get update; apt-get upgrade teoretycznie zapewnia aktualne wersje wszystkich pakietów w systemie, z aktualizacjami bezpieczeństwa. Prawda?

Niestety, nie do końca. Po pierwsze, sama instalacja aktualnych wersji pakietów nie zawsze oznacza, że automatycznie zaczynają być one używane. Pomijając kernel, którego faktyczna aktualizacja wiąże się z rebootem, także inne programy niekoniecznie zaczynają być używane automatycznie w aktualnej wersji po ich instalacji. W określeniu programów do restartu przydatne bywa polecenie checkrestart z pakietu debian-goodies, o którym pisałem w ściągawce z przydatnymi poleceniami dla Linuksa. Ogólnie: próbuje ono podać procesy, których restart jest wymagany ze względu np. na aktualizację bibliotek.

Ale i to nie wszystko. Jest kilka innych rzeczy, które nie aktualizują się, mimo zainstalowanych paczek, które spowodowały ich obecność w systemie:

1. Flash od Adobe. Popularny na desktopach, spaczkowany - w specyficzny sposób - w Debianie w pakiecie flashplugin-nonfree, przy okazji podobno popularny wektor ataku. Aktualność swojej wersji Flasha można sprawdzić na stronie Flash Player check. Jakoś wolę ten sposób od strony Adobe. Aby zaktualizować wersję w systemie należy wydać polecenie:

   update-flashplugin-nonfree --install --verbose

   Oczywiście po powyższym trzeba zrestartować przeglądarki, żeby zmiana była efektywna.
2. Java od Sun. Ze względu na zmianę polityki, niedawno Java od Sun przestała być aktualizowana, również w zakresie aktualizacji bezpieczeństwa w Debianie i Ubuntu. Jeśli nadal korzystasz z niej w systemie, jest spora szansa, że masz starą wersję, o której aktualizację musisz zadbać samodzielnie. Można też zmienić wersję na którąś z wolnych alternatyw.
3. Mikrokod procesora. Jeśli posiadasz procesor Intela, to dostępne są aktualizacje mikrokodu od producenta. Co prawda bez tego też będzie działać, ale może udało się poprawić coś, co zwiększy wydajność? Sama instalacja pakietu microcode.ctlnie wystarczy, by zawsze mieć aktualną wersję zainstalowaną i wykorzystywaną w systemie. Aktualizację obecnego w systemie mikrokodu można wywołać ręcznie poprzez polecenie:

   update-intel-microcode

   Potem można przeładować mikrokod przy pomocy:

   /etc/init.d/microcode.ctl restart

Powyższe aktualne dla Debiana (głównie na desktopie, stąd nic o bazach wirusów, filtrach antyspamowych itp.), zapewne także dla pochodnych typu Ubuntu. Chyba, że tam jest to lepiej rozwiązane?

UPDATE: Przeładować owszem, można, ale jeśli dokonywana jest aktualizacja, to przeładowanie jest automatyczne.

Wygląda, że WPS (włączony domyślnie w wielu routerach) jest w tej chwili porównywalnie słaby, jak WEP. Niezależnie od użytego WPA/WPA2 możliwe jest - przy włączonym WPS - stosunkowo szybkie poznanie hasła do sieci WiFi ofiary, dodatkowo są gotowe narzędzia do tego celu (np. reaver-wps spaczkowany niedawno dla Debiana). Spodziewać się można niebawem aktualizacji firmware'ów dla routerów z dodaniem/wydłużeniem czasu dla funkcji lock down, ale to nie jest rozwiązanie, tylko drobne utrudnienie. Do szczegółów, w tym czasu brute force na WPS odsyłam do krótkiego, ale treściwego pdf ze strony.

Jak sprawdzić, czy sieć obsługuje WPS (czyli czy dana sieć jest podatna)? Najprościej (na Linuksie) przy pomocy wpa_supplicant - Przemek w komentarzach na tej stronie opisał jak, a wygląda, że da się prościej i wystarczy (Debian Squeeze z wicd jako helperem do WiFi):

wpa_cli scan

wpa_cli scan_results | grep WPS

Jeśli okaże się, że mamy włączonego WPS, a go nie potrzebujemy, to wypadałoby zmienić hasło do sieci WiFi oraz poszukać, czy WPS nie da się wyłączyć. Często (zwykle?) się da, przynajmniej na Linksysach.

Test ultrabooka i konkurs to jedno, teraz pora na recenzję testu, czyli co mi się podobało w teście i konkursie, a co nie.

Przede wszystkim, fajnie, że konkurs w ogóle miał miejsce - jest szansa na pomacanie sprzętu przed zakupem, zapoznania się na żywo, sprawdzenia, jak sobie Linux radzi (tylko teoretycznie niestety, patrz niżej) itp. I żadna recenzja czy parę minut klikania w sklepie tego nie zastąpią, niestety. Dowiedziałem się, że nadal nie lubię ekranów glare, że klawiatura przy 13,3" to pełen wymiar i może być zupełnie wygodna i że touchpad może być nie tylko używalny, ale nawet wygodny. Co prawda mysz jest wygodniejsza i pewnie na biurku podłączę, ale przy dobrym touchpadzie mogę ją sobie darować przy korzystaniu mobilnym.

Sprawa druga to to, co było podkreślane od początku przez wiele osób - jeden dzień to stanowczo za mało na test. Zwyczajnie mało czasu, żeby dokładnie przeklikać wszystko i poużywać, jeśli pojawią się problemy, żeby je rozwiązać itd. Do tego dochodzi kwestia konieczności poświęcenia jednorazowo sporej ilości czasu, wypadających niespodziewanych rzeczy niezwiązanych z testem itp. Jakby do tego dodać czas na synchronizację danych (żeby móc używać komputera w takich samych warunkach, jak dotychczasowy), to robi się dramat.

Kolejna sprawa - zakres grzebania w sprzęcie i odpowiedzialności. Jak pisałem w komentarzu pod wpisem konkursowym, istnieje coś takiego jak ubezpieczenie od zepsucia sprzętu, poczynając od jego zrzucenia, zalania, aż po naprawę po np. nieudanej aktualizacji BIOSu (to ostatnie kumpel niedawno sprawdzał w praktyce). Zdecydowanie warto wydać parę zł i skorzystać, dając testującym więcej komfortu. Tak samo zmiana systemu operacyjnego w urządzeniu - to tylko komputer, komputery pracują pod różnymi OS. W przypadku tak krótkiego testu co prawda zmiana OS średnio ma sens, ale przy dłuższym teście na pewno warto zezwolić na taką zmianę, a grzebanie w partycjach to wręcz konieczność.

Kolejna kwestia, czyli bezpieczeństwo. Czyli główny powód, dla którego zrezygnowałem z testu smartphone'a. Miałem opory przed podaniem haseł do serwisów na "niepewnym" (czytaj: nie moim) systemie, który na dodatek za moment ode mnie wyjeżdża nie wiadomo dokąd (a weź tu wyczyść dokładnie Windowsa...). Ostatecznie jedynym hasłem, które podałem było to do wifi. Zakładanie testowych kont jest pracochłonne i nadal nie korzystamy z systemu identycznie, jak normalnie. A jeszcze jakbym miał swoje dane skopiować na taki system? W żadnym razie. Możliwość postawienia swojego systemu, wyczyszczenia (wyzerowania) partycji to minimum. Jak rozwiązać sprawę przywrócenia oryginalnego systemu? Prosto: pendrive przywracający domyślny system i bootowanie z USB załatwią sprawę, niezależnie co się stanie z oryginalnym systemem na dysku. Proste, wygodne, bezpieczne i działa.

Organizacyjnie: trochę do życzenia pozostawiała komunikacja dotycząca konkursu. Papiery, które miały przyjechać przed przekazaniem sprzętu, a nie przyjechały (z tego co czytam, nie tylko ja nie dostałem umowy wypożyczenia przed otrzymaniem sprzętu), trochę zamieszania z terminami. Fajnie by było, jakby w przypadku przybycia kuriera ze sprzętem, a bez umowy można się dodzwonić do kogoś i wyjaśnić (no ale ostatecznie nie mój problem, że dostaję komputer bez umowy, prawda?). Fajnie też, żeby kurier przywożąc "upominki na otarcie łez" (dziękuję, zgrabny pendrive o słusznym rozmiarze, przyda się pod linuksowe live'y) i papiery do podpisania (umowa wypożyczenia po oddaniu sprzętu? po co?) zapowiedział wcześniej, co wiezie. Albo ktoś, kto wysyła, żeby zapowiedział. Bo osoba zdatna do odbioru przesyłki może być dostępna, ale nie musi być jednocześnie osobą mogącą podpisać umowę.

Pewnie jakby konkursy tego typu się powtarzały, to się warunki dotrą i będzie lepiej. Na co - w nadchodzącym roku - liczę. ;-)

Każdy medal ma dwie strony. To, że popieram prawo do anonimowości i wolności wypowiedzi nie znaczy, że nie rozumiem osób, które z różnych względów chciałyby ograniczyć dostępu do swojej sieci czy swojego serwisu użytkownikom sieci Tor. Poza tym, w znacznej mierze bawię się Torem, żeby lepiej poznać z czym wiążą się różne, zwłaszcza administracyjne aspekty sieci na sieci.

Sieć Tor z założenia ma sprzyjać anonimowości i omijaniu cenzury, a jak to wygląda w praktyce? Moim zdaniem, ma wiele słabości, chwilami sprawia po prostu broken by design. Ostatnio słychać było, o skompromitowaniu sieci Tor. Na blogu projektu Tor pojawiło się sprostowanie, wytykające błędy ale nie znaczy to, że różne słabości zupełnie nie istnieją.

Podstawową, znaną i opisaną w FAQ, słabością projektu, wynikającą z założeń projektowych jest, moim zdaniem, fakt, że publicznie dostępna, a przynajmniej trywialna do uzyskania jest lista wszystkich węzłów wyjściowych (exit node) i pośredniczących (relay node) Tora. Znacznie trudniej uzyskać listę bridge nodes, czyli węzłów służących wyłącznie do przyjęcia pierwszego połączenia od użytkownika, ale nie jest ona tak naprawdę potrzebna, by któryś duży gracz przeciwko Torowi mógł zaszkodzić sieci.

Niejawność bridge nodes wynikała z założeń projektu i z założenia miała służyć do tego, aby żaden ISP/kraj nie mógł w prosty sposób pozbawić swoich użytkowników możliwości połączenia z siecią Tor. I to zadanie spełnia przyzwoicie. Użytkownicy nadal mają możliwość uzyskania częściowych danych o bridge nodes z listy i podania ich ręcznie w swoim kliencie Tor, co w połączeniu ze zmiennymi IP bridge nodes bardzo utrudnia (o ile nie eliminuje) możliwości całkowitego zablokowania łączności z siecią Tor. Przynajmniej zablokowania opartego tylko o blokadę IP, nie analizę ruchu, ale to jakby zupełnie inny temat i skala trudności.

Natomiast mając listę węzłów końcowych, można je zablokować na wejściu do sieci czy dostępie do serwisu. Istnieją nawet serwisy, które zapewniają - mniej lub bardziej aktualne - gotowce. Ten serwis na przykład udostępnia aktualizowaną co godzinę blacklistę opartą na DNS z podziałem na węzły wychodzące i zwykłe.

Ale nie jest to jedyna metoda walki serwisów czy ISP z Torem. W praktyce mało kto, przynajmniej w naszym kraju, udostępnia węzeł wychodzący. Przyczyna jest prosta - dość szybko może skończyć się to (i kończy, nie mówię z własnego doświadczenia, ale słyszałem z pierwszej ręki o takich przypadkach) wizytą policji z powodu nadużyć z danego IP. Węzeł pośredniczący, o ile nie ma uruchomionej tzw. ukrytej usługi (hidden service) nie przechowuje ani nie udostępnia żadnych danych, więc jego uruchomienie w domu nie pociąga za sobą żadnych problemów (poza zużyciem części pasma).

Przynajmniej teoretycznie. W praktyce bowiem serwery serwisów nie lubiących Tora mogą sprawdzać nie tylko, czy użytkownik nie łączy się z IP na którym uruchomiony jest węzeł wychodzący, ale także czy połączenie nie jest z IP na którym uruchomiony jest węzeł pośredniczący i... także odmawiać dostępu. Przykładem jest choćby powyższy serwis z listami. Łącząc się z IP, na którym uruchomiony jest relay node zobaczymy:

Forbidden - TOR Node / Anonymous Proxy I'm sorry, but I really don't see why anyone would need to use a TOR node or Anonymous Proxy server to look at my site. So i'm afraid you can't look. Stop running TOR / using an anonymous proxy and you can view my site.

Przy względnie częstej aktualizacji listy węzłów (choćby wspomniana godzina), rozwiązanie takie praktycznie nie generuje skutków ubocznych dla serwisu, który ją wykorzystuje i minimalizuje ryzyko false positives, nawet przy zmiennym IP węzłów. Zakładając oczywiście, że lista jest prawidłowa i kompletna.

Zresztą, sami twórcy projektu Tor dają o to, żeby administratorzy którzy muszą blokować węzły wyjściowe Tora, mogli robić to w prosty sposób. Banowanie użytkowników sieci Tor także ma swój wpis w FAQ. Uprzykrzanie życia właścicielom relay nodes to już raczej otwarta wojna, której chcą uniknąć.

Skoro o otwartej wojnie mowa, gdyby jakieś państwo chciało unieruchomić sieć Tor, to obok blokowania bridge nodes może sięgnąć po (D)DoS (w sumie wystarczy zwykły flood) na - niekoniecznie szybkie - węzły pośredniczące. Węzły wyjściowe często są na dedykowanych maszynach i łączach, pośredniczące (tylko pośredniczące, każdy wyjściowy jest jednocześnie pośredniczącym) - niekoniecznie. Zresztą ponownie - istnieje strona podająca status sieci Tor, a na niej szczegółowe informacje o węzłach - rola, tzw. flagi, system, ilość przesyłanego ruchu... Zapewne można na jej podstawie szacować, jakie zasoby potrzebne są do przeprowadzenia ataku.

Przy okazji takie spostrzeżenie - ludzie z projektu Tor naprawdę wydają się skupieni na etyczny zastosowaniach i zapewnieniu anonimowości i wolności ludziom, którzy naprawdę tego potrzebują. I mocno liczą, że administratorzy serwisów to zrozumieją i nie będą w Torze widzieć wyłącznie narzędzia abuserów. W ciągu kilkudziesięciominutowej rozmowy, która się wywiązała na IRC przy okazji wspomnienia na temat tworzenia tego wpisu zostałem odesłany do paru prac naukowych (nie czytałem jeszcze, bo niezupełnie ten temat, podlinkowane poniżej). Atak totalny na tak szczytne przedsięwzięcie chyba nie bardzo mieści im się w głowie, natomiast zaprzątnięci są zapewnieniem anonimowości użytkownikom i pracują nad ulepszeniem możliwości łatwego i pewnego rozdzielenia węzłów wyjściowych od pośredniczących dla tych, którzy muszą blokować dostęp z sieci Tor.

Stąd moje wrażenie o broken by design może być przesadzone lub zwyczajnie mylne - zwyczajnie nie do tego i nie przy takich zastosowaniach było to projektowane... Generalnie Tor ma warstwy - z pozoru wygląda na bardzo prosty twór, ale im dalej się wgłębiać, tym ciekawsze nowe rzeczy się pojawiają. Przyznam, że sam nie grokuję Tora w pełni, stąd ten wpis, będący poniekąd próbą uporządkowania paru faktów.

Linki (które kiedyś mam nadzieję przeczytam, niekoniecznie o Torze):

• Ogólny zbiór prac nt. anonimowości: Selected Papers in Anonimity
• http://isis.poly.edu/~csaw_research/Eugene%20Vasserman.pdf
• http://hatswitch.org/~nikita/papers/phd-thesis.pdf
• http://petsymposium.org/2006/preproc/preproc_11.pdf
• http://research.microsoft.com/en-us/um/people/gdane/papers/bridge.pdf
• Prezentacja nt. ataku na sieć Tor http://www.flickr.com/photos/35149312@N05/6304649995/in/photostream/

Nie tak dawno operator Play rozpoczął kampanię Testuj smarfona. W skrócie jest to tak, że sprzedajemy swoje dane, wyrażamy zgodę na otrzymywanie reklam na podany email i przez podany numer telefonu, a w zamian dostajemy na 14 dni smartfona Huawei od zabawy i kartę SIM od Play (na zawsze). Teoretycznie sprawa idealna dla mnie (podać spamowy numer telefonu i email, za free pobawić się dłuższy czas Androidem, do którego od dawna się przymierzam, ale nie mogę przekonać), ale w praktyce jak pomyślę, że dostałbym wychuchany i wymacany przez większą liczbę obcych ludzi telefon, to jakoś mnie chęć na testowanie odchodzi. Tym bardziej, że stracę czas na ustawienie wszystkiego pod siebie tylko po to, by zaraz zaorać, żeby mniej lub bardziej prywatne dane nie wyciekły.

No właśnie, tu sedno. Telefon przychodzi (i odchodzi) z kartą pamięci. AFAIK Android sam z siebie zapisuje tam dane z prywatnymi informacjami. A dodatkowo pewnie trafią tam choćby mniej lub bardziej prywatne zdjęcia. Zastanawiam się, ilu użytkowników w ogóle wyczyści ustawienia. Optymistycznie: 30%. Pomijam fakt, że zwykłe usunięcie plików czy sformatowanie karty niewiele pomoże - dowolny program do odzyskiwania plików (będąc linuksiarzem czytaj: photorec) pozwoli odzyskać większość z nich. Nie wiem, co robi Android przy formatowaniu karty/przywracaniu do ustawień domyślnych, ale nie sądzę, by robił pełne zerowanie.

A może ktoś, kto uczestniczy w programie i dostał po kimś telefon bawił się już pod tym kątem?

W każdym razie warto pomyśleć trochę o bezpieczeństwie i swojej prywatności i zaorać kartę przed oddaniem telefonu. Pod Linuksem najprościej skorzystać ze shred, albo zwykłe dd if=/dev/zero of=/dev/sdX (gdzie sdX to oczywiście urządzenie pod jakim system widzi czytnik z kartą).

Z mniej inwazyjnych, prostszych i działających na wszystkich systemach metod: telefon można podłączyć do komputera w takim trybie, że karta jest widziana jako urządzenie pamięci masowej. Wtedy wystarczy skasować dane i nagrać jakieś śmieci do pełnej pojemności (np. jakieś mp3). Następnie wystarczy bezpiecznie odłączyć urządzenie i ew. jeszcze raz skasować mp3 (tylko je będzie w stanie odzyskać potencjalny ciekawski).

Ciekawe, czy w wewnętrznej pamięci też coś zostaje po przywróceniu telefonu do ustawień fabrycznych (dane z karty nie są przy tym usuwane!) i na ile skomplikowane jest dobranie się do tych danych...

Gdyby kogoś bardziej interesowała recenzja samego telefonu, to swoje wrażenia z Testuj smartfona opisał tutaj Jakub Rusinek (niestety po angielsku).

UPDATE: Zaktualizowane o parę informacji od osoby, która ma smarfona na testach.

Ostatnie wydarzenia coraz bardziej skłaniają mnie do - paranoicznego, przyznaję - wniosku, że żadne dane, niezależnie od tego jak zabezpieczane, nie są bezpieczne i prędzej czy później nastąpi ich ujawnienie. O ile tylko komuś będzie zależało.

Na początek - hasła. Niektóre portale, jak Allegro, trzymają hasła otwartym tekstem. Niezależnie od podjętych środków bezpieczeństwa, przy takim podejściu wyciek tych haseł jest IMHO kwestią czasu.

Wiele nie zmienia trzymanie skrótów (hashy) haseł. Ostatnio - poza małymi wyciekami polskimi typu JP - wyciekły hashe haseł z Gawkera i niesolone hashe haseł z FSF. To drugie jest wielką porażką, bo mówimy o środowisku z - teoretycznie - wysoką świadomością dotyczącą bezpieczeństwa i spraw technicznych, a tymczasem korzystano z najsłabszej funkcji skrótu i w najgorszym wydaniu. Powinno być najlepiej, było najgorzej. Klasyczne szewc bez butów chodzi.

Zresztą, pomału można zacząć stawiać znak równości między wyciekiem hashy haseł (zwł. niesolonych), a wyciekiem samych haseł - crackery MD5 są coraz szybsze. Co prawda to tylko benchmark, ale najnowsza wersja crackera whitepixel, który podobno jest chyba obecnie najszybszy, sprawdza 33 miliardy (nie miliony, miliardy) kombinacji na sekundę (dla pojedynczego hasha). Na potężnym, co prawda (4 dwurdzeniowe GPU; 1,2 kW poboru prądu przy obciążeniu, 2700 USD w tej chwili), ale pojedynczym komputerze PC.

Inne funkcje skrótu też nie są wiele lepsze. SHA1 to wg tego benchmarku w tym momencie 390 milionów kombinacji na sekundę, oczywiście na pojedynczej maszynie. A przecież bez problemu można mieć tych maszyn więcej, i to za niewielkie pieniądze.

Ale nie tylko haseł się to tyczy. Dane, które nie powinny ujrzeć światła dziennego wyciekły z "wewnętrznego", rządowego systemu. Oczywiście mowa o wikileaksowym Cablegate. Swoją drogą ciekawe, jak długo w tych okolicznościach w stanie nieujawnionym pozostanie polisa Wikileaks?

Głośno też było o rzekomym backdoorze w OpenBSD, a konkretniej IPSEC, który miało zamieścić FBI 10 lat temu (celowo nie linkuję, AFAIK rozeszło się po kościach i backdoora nie było, ale nie śledziłem). Co nie jest takie niemożliwe, bo korzystając z różnych "dziwnych" właściwości matematyki, da się zmusić algorytm szyfrujący, by "wyciekał" klucze. W mało zauważalny sposób - na przykład 128 bajt zaszyfrowanej wiadomości, przexorowany przez arbitralny klucz, będzie ujawniał klucz, którym była szyfrowana cała wiadomość. Albo coś na podobnej zasadzie - sky - i wiedza matematyczna - is the limit.

I raczej nie wierzę w to, żeby programista - czy użytkownik, który zwykle nie ma wielkiej wiedzy matematycznej/kryptograficznej, był w stanie coś takiego zauważyć. Przykład tego widać było przy dziurze w OpenSSL w Debianie. Efekt był dość spektakularny - do każdego konta umożliwiającego logowanie SSH po kluczach można się było dostać przy - IIRC - maksimum 65 tys. prób (bo tylko tyle różnych kluczy było generowanych). Na dowolnym systemie. O ile tylko klucz publiczny użytkownika był generowany na podatnym Debianie.

Niedowiarkom przykład ciekawych właściwości matematycznych można łatwo i zrozumiale zaprezentować na przykładzie listy 18 ulubionych filmów. Oto test (przetłumaczyłem na polski, z wyjtkiem tytułów, polecam IMDB):

Zrób test i dowiedz się, jaki film jest twoim ulubionym. Ten prosty matematyczny quiz przewiduje, który z 18 filmów spodoba ci się najbardziej. Nie pytaj w jaki sposób, ale to działa!

• Wybierz cyfrę z zakresu 1-9.
• Pomnóż ją przez 3.
• Do wyniku dodaj 3.
• Otrzymany wynik ponownie pomnóż przez 3.
• Zsumuj obie cyfry otrzymanej liczby. Wynik to numer twojego przewidzianego ulubionego film na poniższej liście:

Lista filmów:

1. Gone With The Wind
2. E.T.
3. Blazing Saddles
4. Star Wars
5. Forrest Gump
6. The Good, The Bad, and the Ugly
7. Jaws
8. Grease
9. The Joy of Anal Sex With A sheep
10. Casablanca
11. Jurassic Park
12. Shrek
13. Pirates of the Caribbean
14. Titanic
15. Raiders Of The Lost Ark
16. Home Alone
17. Mrs. Doubtfire
18. Toy Story

W zasadzie koniec mijającego roku widzę trochę na zasadzie do kogóż to włamano się dzisiaj? I to tylko patrząc na najgłośniejsze i ujawnione sprawy i dziury (taki wariant minimum dla administratora - trochę wypada się w security orientować)...

Korzystając z okazji - bo to ostatni wpis, życzę wszystkim użytkownikom komputerów (ze specjalnym uwzględnieniem adminów) w nadchodzącym Nowym Roku mniej dziur bezpieczeństwa i awarii.

UPDATE: Paranoje dotyczące postępującej szybkości łamania hashy studzi ten wpis o przechowywaniu haseł. Polecam.

Wgląda, że polityka bezpieczeństwa Allegro jest mocno poroniona. Z jednej strony hasła latają sobie plaintekstem (co z tego, że "tylko po serwisie"? pracowników z dostępem "trochę" jest...), z drugiej - nie przyślą (zmienionego) hasła czy URLa do zmiany hasła na podanego wieki temu przy zakładaniu konta maila bo... nie podałem nazwiska panieńskiego matki (dziwnym nie jest - nie było obowiązkowe, to po co im ono?).

Ostatnio jak rozmawialiśmy, to pracownicy Allegro byli tak dowcipni, że do resetu hasła chcieli ksero dowodu osobistego, koniecznie wysłane pocztą (żaden skan, żaden faks). Bardzo śmieszne, bardzo "bezpieczne", bardzo ekologicznie i bardzo wygodnie. Przecież dane z DO w ogóle nie są wrażliwe. I poczta na pewno nie może ich zgubić. I na 100% trafi na uczciwą i kompetentną osobę w helpdesku. Jasne.

I jak już dostaną list z kserem dowodu, to chcą kod pocztowy i numer telefonu. Nie kojarzę, by mieli mój numer telefonu, więc w weryfikacji im to nie pomoże, ale to szczegół. Startery są po 3 zł i tyle kosztowałoby mnie mocno anonimowe przejęcie cudzego konta, jeśli znałbym hasło do maila i login Allegro, przed czym teoretycznie może zabezpieczać makulaturogenna procedura, którą proponują.

Więcej, usunięcie konta (jak patrzę, to korespondencję nt. przywrócenia konta prowadziłem rok temu, co mi po koncie, którego nie używam? tylko spam dostaję...) też wymaga zalogowania się (którego z braku hasła nie jestem w stanie wykonać).

Z jednej strony utrudnianie życia legalnym i uczciwym użytkownikom i narażanie ich danych (hasła trzymane plaintekstem, żądanie narażania na wyciek danych z DO), a z drugiej mają drugiej strony mają multikonta, choć niby weryfikacja listem itp. Z dyskusji przy wyżej linkowanym wpisie wynika, że hasła plaintekstem są po to, by wyłapywać multikonta. Niesłychanie skuteczny sposób. Nikt teraz nie będzie wiedział co zrobić, żeby mieć kilka kont na Allegro.

I po ostatniej wtopie nie jest wykluczone, że moje hasło już ktoś ma. Jakieś pomysły, z czego (poza GIODO i UOKiK) można ich w tej sytuacji ścignąć? Tak, znudziło mi się i tym razem definitywnie chcę dokończyć sprawę - ich problem, czy chcą mieć klienta, czy nie - ja nie chcę spamu, potencjalnie "wyciekniętego" hasła i braku kontroli nad swoimi danymi.

UPDATE: Teraz chcą skan dokumentu tożsamości. Nadal nie uśmiecha mi się wysyłanie tego otwartym tekstem. Oraz: szybki googiel twierdzi, że i wtedy można było skany wysyłać. Tyle w sprawie kompetencji pracowników na podstawie udzielanych informacji (Nadmienię, że dokumenty przyjmujemy jedynie drogą pocztową. Kopie nadesłane faksem czy też skany przesłane drogą mailową nie są przez nas honorowane)...

UPDATE2: Ostatecznie udało się zamknąć konto na Allegro (korzystając wyłącznie z adresu email, przy pomocy z którego (plus dodatkowe dane) nie chciano zresetować hasła. Z jednej strony odejście od procedury albo luka w niej, z drugiej przejaw zdrowego rozsądku i myślenia (w końcu!): W tej sytuacji proszę o podanie wszystkich danych, na jakie zostało założone konto, tj. imienia i nazwiska, adresu i telefonu oraz oświadczenia, iż decyduje się Pan na zamknięcie konta i usunięcie z niego danych osobowych.

Podałem dane (także telefon sprzed wielu lat, który ewentualnie mogli mieć w systemie) i zamknąłem konto (skoro i tak prawie od dwóch lat nie używałem, to po co mi ono). Czy to koniec? Skądże. Ale o tym w kolejnym wpisie (patrz trackback).

Temat (nie)unikatowych numerów kont pojawił się w tej dyskusji nt. tokenów, a szerzej opisany jest w tym wpisie, ile cyfr potrzeba, by numer rachunku bankowego był unikatowy. Przyznam, że nie miałem zielonego pojęcia nt. algorytmu weryfikacji numeru IBAN, ale na chłopski rozum kolizje zdarzą się wszędzie. Stwierdziłem, że najlepsza metoda nauki to napisać skrypt do sprawdzania. Oczywiście w Perlu. Przy okazji wyszło mi, że Perl średnio sobie radzi z dużymi liczbami, a Python dobrze, ale dzięki temu znalazłem pięknego gotowca w postaci modułu do sprawdzania poprawności numeru IBAN.

Pierwsze, co rzuca się w oczy, to fakt, że tak naprawdę numer IBAN jest zamieniany na liczbę, a czy jest poprawny określane jest tylko na podstawie jednego testu - jeśli reszta z dzielenia tej dużej cyfry przez 97 wynosi 1, to numer jest poprawny.

Chwila zabawy programem i okazuje się, że dla 3 brakujących cyfr w dowolnym miejscu rachunku można wygenerować ok. 10 kolizji. Pewnie ma to coś wspólnego z faktem, że 97 jest liczbą pierwszą, a samo 97 mieści się w każdym tysiącu właśnie 10-11 razy, ale tutaj już by się matematyk przydał i zasady podzielności przez 97 (hasło do Google cechy podzielności przez 97 nic sensownego nie znalazło niestety).

Inna szansa, że nasze PL na początku numeru (które wraz z następującymi po nim dwiema cyframi jest przesuwane na koniec i zamieniane na liczby patrz algorytm weryfikacji numeru IBAN) jest na tyle pechowe, że powoduje taką przykrą przypadłość. Ale to łatwo sprawdzić - dzięki użyciu ogólnej biblioteki skrypcik do bruteforce'owania numerów IBAN powinien działać dla wszystkich krajów.

Póki co konkluzja jest taka, że aby numer był unikatowy, to trzeba podać wszystkie cyfry. Przy dobrym wietrze może się zdarzyć, że 1 można opuścić.

PS. Nie cierpię słowa unikalny. Dla mnie oznacza ono możliwy do uniknięcia. Zamiast niego możnaby używać słowa unikatowy. Niestety SJP traktuje je jako synonimy.

Dziś przeczytałem wpis na Niebezpieczniku o backdoorze w switchach. I z jednej strony ewidentny fail, a z drugiej błąd niezupełnie (czy też: nie tylko) tu leży...

• Jaki administrator zostawia dostęp po SNMP włączony (niestety, sporo administratorów nie widzi w tym nic złego, zwłaszcza jeśli tylko RO jest)?
• Jaki producent sprzętu ma w defaulcie włączone SNMP (niestety, wielu vendorów domyślnie włącza SNMP z domyślnymi community)?
• Kto daje nieograniczony dostęp ze świata do klasy zarządzania swoich urządzeń?
• Poznanie MAC mimo wszystko nie jest trywialne. Trzeba mieć dostęp albo po warstwie drugiej (ew. do odczytu tablicy ARP urządzenia, które ma dostęp po L2 do switcha), albo do wspomnianego SNMP.

Jasne, ludzie się mylą. Jasne, kwestię hasła serwisowego (padło pytanie, czy inne sprzęty mają coś takiego - chyba każdy sprzęt sieciowy ma możliwość przynajmniej resetu hasła przy podłączeniu się RSem, sporo ma hasła serwisowe - mam nadzieję, że tylko po RS dostępne). Jasne, taki zdalny backdoor nie powinien mieć miejsca. Ale czy to naprawdę dramat?

PS. Dziś spotkałem się z opinią (na szczęście od nikogo ode mnie z firmy), że trzymanie dokumentów firmy (nie najtajniejsze tajemnice, ale nie dane dostępne na publicznym WWW) na Google Docs to nic złego. W porównaniu z tym backdoor w switchu, którego można zneutralizować/zminimalizować to IMO pikuś.

Ponieważ na Blipie ciężko przekazać całą myśl spójnie, to jeszcze raz poruszę kwestię, którą już kiedyś poruszałem, czyli jak nie głosować w wyborach.

Czemu ktoś miałby nie głosować? Powodów jest wiele. Weźmy taki brak przekonania co do kandydata. Iść aby iść, kiedy ma się do tego tak luźny stosunek, że można rzucać kostką/monetą i na tej podstawie skreślać zdecydowanie nie warto. Bez sensu przysparza się w takim przypadku pracy komisjom, zużywa się więcej kart i napędza się to wszystko. Takie typowo konsumpcyjne i bezrefleksyjne podejście jak dla mnie.

Oczywiście, głosowanie przeciw kandydatowi też jest powodem do głosowania, ale z głosowaniem przeciw mamy raczej do czynienia w drugiej turze. Nieoddanie głosu w pierwszej też wpływa na wynik, zwłaszcza może wpłynąć na to, czy będzie druga tura, ale zakładam, że czytają ludzie myślący i mający tego świadomość, a nie tylko podniecający się TV.

Kiedy jeszcze nie warto głosować? Padł argument, że zawsze znajdzie się kandydat z którym mamy "najbardziej zbieżne" poglądy. No nie zawsze, moim zdaniem, ale nawet jeśli, to niekoniecznie "największa zbieżność" jest wystarczającą motywacją do tego, żeby telepać się kilkaset km. Zaświadczenia do głosowania to świetna sprawa, ale tylko w teorii. W praktyce, jeśli pracuje się w innym mieście, to załatwienie zaświadczenia to przejazd tych kilkuset km w dzień powszedni. W praktyce - koszt przejazdu to zawsze będzie i dzień urlopu (urzędnicy państwowi mają wyborców - a w zasadzie petentów ogólnie - w dupie i nawet w głupią jedną czy dwie soboty w miesiącu urzędy nie są czynne, choćby nawet w skróconych godzinach). Szczególnie przy takich niespodziewanych wyborach upierdliwe, bo przy planowanych można po prostu wcześniej pomyśleć i wziąć zaświadczenie z wyprzedzeniem.

Dlatego nie ma się co dziwić niegłosującym.

A w ogóle, jeśli prawdą jest to, co wyczytałem w gazecie niedawno, że obywatele polscy mieszkający na stałe za granicą mogą głosować w dowolnym obwodzie, za okazaniem stosownego zaświadczenia, to mamy do czynienia ze sporą dziurą bezpieczeństwa. Przecież takie osoby niezupełnie nielegalnie mogą głosować w różnych komisjach. I pewnie nikt tego nie sprawdza (a może ktoś był w wyżej niż pojedynczy obwód wyborczy w hierarchii i wie, jak jak to wygląda na wyższych szczeblach, czy dane dopisanych osób są jakoś sprawdzane pod kątem dublowania się na szczeblu wojewódzkim/krajowym)?

PS. Dla jasności - akurat będę jechał te kilkaset km, m. in. po to, by zagłosować (znaczy termin wyjazdu przesunął się od dzień). Ale tylko dlatego, że - wyjątkowo - jakiś kandydat został upatrzony, którego popieram trochę bardziej. W przeciwnym wypadku z czystym sumieniem bym nie poszedł głosować.

PS2. Uprasza się o nieagitowanie w komciach. Szczególnie, że jest ta parodia ciszy wyborczej. Ale i tak zostaną uznane za spam (patrz zasady).