Kraizm

Mapa świata

Źródło: https://commons.wikimedia.org/wiki/File:BlankMap-World6.svg

Wyobraźmy sobie, że ktoś w cywilizowanym świecie otwiera sklep/oferuje usługę i zabrania korzystania z niego ludziom o określonym kolorze skóry. Na przykład salon fryzjerski albo kino, z napisem Murzynów nie obsługujemy. Albo wyznającym określoną religię. Ewentualnie określonej narodowości. Albo w drugą stronę – sklep/usługa tylko dla białych. Albo Nur für Deutsche… Myślicie, że by przeszło? Ja myślę, że zdecydowanie nie.

To może coś mniej oczywistego. Sklep internetowy (albo usługa…) o podobnych ograniczeniach korzystania. Co prawda trochę trudniej weryfikować, ale zawsze można próbować posiłkować się danymi z social media, czyli wymagać logowania przez Facebooka, a jeśli płeć albo kolor skóry właściciela na zdjęciach się nie spodoba, to odmawiamy dostępu do usług. Ewentualnie można wymagać zdjęcia dowodu tożsamości i próbować określić na tej podstawie. Technicznie wykonalne, z rozsądną pewnością. Myślicie, że to by przeszło? Nie jestem już taki pewny, jak w poprzednim przypadku, ale nadal mam wrażenie, że nie.

Natomiast w sieci każdego dnia spotykamy się z dokładnie taką segregacją ludzi na podstawie domniemania kraju, w którym aktualnie przebywają. Chodzi oczywiście o ograniczanie dostępu do kultury/rozrywki (muzyka, film) przy pomocy DRM, czy to za sprawą regionów DVD, czy innych, podobnych technik. Wystarczy wejść na YouTube – część utworów jest w danym kraju niedostępna (Google, don’t be evil…).

Generalnie o ile nie uznajemy segregowania na podstawie płci, rasy, koloru skóry, religii czy narodowości za właściwe, to już segregacja na podstawie (domniemania) kraju przebywania jest raczej akceptowana. Przynajmniej w sieci. Nawet, jeśli nie wynika ona wprost z przepisów obowiązujących w danym kraju. Swoją drogą, prawa sankcjonujące dyskryminację ze względu na religię/narodowość/kolor skóry/płeć też istniały, więc to żaden argument.

Zastanawiałem się, czy już ktoś użył tego określenia, ale szukając po countrism znajduję tylko countrist, o zbliżonym znaczeniu, ale jednak w trochę innym kontekście. Do rozważań na ten temat bezpośrednio skłoniła mnie sytuacja z Netflix, który co prawda otworzył się na różne rynki, ale jednocześnie dołączył do firm wykorzystujących DRM i zapowiedział blokadę proxy/VPN w celu uzyskania dostępu do treści, ale problem jest oczywiście szerszy.

19 grudnia, 201517 kwietnia, 2018

Panoptykon narzeka na ministerstwa i blokowanie Tora

Fundacja Panoptykon po raz kolejny narzeka na blokowanie przez ministerstwa IP, na którym mają uruchomiony węzeł Tor (relay-node). Sytuacja skłoniła mnie do wpisu, bo mam wrażenie, że zachodzi grube niezrozumienie tematu. Z obu stron…

Logo projektu Tor

Źródło: https://media.torproject.org/image/official-images/2011-tor-logo-flat.svg

Czy warto blokować ruch z sieci Tor?

To zależy. Ruch z sieci Tor pozwala na łatwe uzyskanie stosunkowo wysokiej anonimowości w sieci. Z jednej strony jest to wykorzystywane do anonimowej komunikacji przez zwykłych ludzi, z drugiej jest wykorzystywane do nadużyć i wandalizmu. Ze znanych serwisów wymienionych w FAQ – Wikipedia blokuje edycję artykułów z sieci Tor, podobnie Slashdot. Oczywiście takich serwisów jest o wiele więcej. Po prostu stosunek sygnał/szum jest w przypadku sieci Tor wyjątkowo niski.

Są też inne, poważniejsze powody do blokowania. O ile sieć Tor ma raczej słabą przepustowość i nie nadaje się do ataków wolumetrycznych, to zdecydowanie ułatwia łatwe, anonimowe ataki na aplikację, SQLi itp. Czyli raj dla script kiddies. I dokładnie taki jest oficjalny powód podany przez rzecznika ABW cytowany na Niebezpieczniku.

Jak blokować ruch z sieci Tor?

Autorzy projektu Tor podkreślają, że wezły sieci Tor mają indywidualne polityki, ale.. Patrząc z punktu widzenia administratora serwisu docelowego i ekonomii działania: sieć Tor to jakieś ułamki promila ruchu, w dodatku często ruchu niepożądanego. Jeśli ktoś zdecyduje się już blokować ruch z sieci Tor, to raczej nie będzie bawił się w polityki poszczególnych węzłów, tylko zablokuje wszystkie. Czy to na poszczególnych maszynach, czy to na centralnym firewallu, czy wręcz null-route’ując na routerach ruch kierowany do węzłów Tor (co uniemożliwi komunikację TCP). Ostatnia metoda jest i prosta w implementacji, i prosta w utrzymaniu (centralne miejsce do zarządzania), i wydajna.

Z których węzłów ruch blokować?

Tu jest pies pogrzebany. Fundacja Panoptykon nie prowadzi exit node, czyli nie przekazuje ruchu z sieci Tor do „normalnego internetu”. Niestety, oficjalne narzędzia udostępniane przez projekt Tor IMO nie są zbyt przyjazne administratorom (szczególnie tym, którzy są mniej świadomi zasad działania Tora lub którzy nie mają czasu). Blokowanie wszystkich węzłów Tora widziałem spotkałem, zarówno jako użytkownik końcowy (tak, relay node w domu, ruch z normalnego IP i komunikat o niewpuszczaniu z sieci Tor w serwisie), jak i administrator. Przede wszystkim brakuje oficjalnej listy węzłów wyjściowych łatwej do przetwarzania, czyli zawierającej same IP. Przypominam, że pisałem we wpisie o blokowaniu węzłów Tor, że udostępniam taką listę. Tylko exit nodes, tylko adresy IP.

Podsumowując, obie strony są winne:

Dziwią mnie żale ze strony Panoptykonu, gdy sytuacja jest typowa i opisana w FAQ Tora:

You might also find that your Tor relay’s IP is blocked from accessing some Internet sites/services. This might happen regardless of your exit policy, because some groups don’t seem to know or care that Tor has exit policies. (If you have a spare IP not used for other activities, you might consider running your Tor relay on it.)

Jak widać, projekt Tor zaleca prowadzenie węzłów na oddzielnych IP, nieużywanych do innych usług. Tak, wiem, sekcja dotyczy węzłów wyjściowych, ale idę o zakład, że pomysłodawca/admin w Panoptykonie nie czytał. Poza tym, zdrowy rozsądek zaleca analizę możliwych konsekwencji przed uruchomieniem usługi i stosowanie oddzielnych IP w tym przypadku.

Dziwi mnie też implementacja blokowania Tora na rządowych serwerach, wskazująca na niezrozumienie tematu. Oczywiście nie mam złudzeń co do korzystania przez nich np. z mojej listy (sam bym tego na ich miejscu nie zrobił), ale samodzielna implementacja to nie rocket science… Plus, niezrozumienie tematu może prowadzić do fałszywego poczucia bezpieczeństwa – tak naprawdę nie sposób zablokować 100% ruchu z sieci Tor, przynajmniej nie w oparciu o adresy IP.

9 kwietnia, 201517 kwietnia, 2018

Diaspora* w użyciu

Patrzyłem na projekt Diaspora* od dłuższego czasu i cały czas uważałem, że nie jest skończony i gotowy. Opis instalacji na Debianie przyprawia lekko o ból głowy, znajomi nie bardzo korzystają… Ale po zniknięciu plum.me (nadal niewyjaśnionym, wygląda jakby wyparowały wszystkie zabawki A. jednocześnie) powstała pustka, więc stwierdziłem, że spróbuję.

Źródło: https://en.wikipedia.org/wiki/Diaspora_%28social_network%29

Nie stawiałem swojej instancji Diaspory, tylko skorzystałem z porównywarki podów Diaspory i wybrałem diasp.eu – ma sporo użytkowników, jest SSL, bardzo dobry uptime, stoi w Niemczech. Pierwsze wrażenie: ten klon Facebooka nawet działa! I są jacyś ludzie! Można normalnie korzystać z hashtagów (obserwować je) i po chwili okazało się, że znalazłem polskich znajomych z netu. Całych dwóch, ale zawsze.

Posty zamieszczane na Diasporze formatuje się przy pomocy Markdown – nie jestem fanem, ale jest prosty i można przywyknąć, szczególnie, że jest prosta ściągawka dostępna od ręki. Możliwości bardzo podobne do HTML, tylko bardziej dla ludzi. Załączanie obrazków czy video działa. Są hashtagi.

Są też – znane z FB – ignorowanie użytkowników, zgłaszanie postów, możliwość ustawienia avatara, wiadomości prywatne i ankiety. Można przypisywać użytkowników do grup oraz tworzyć własne grupy. Można zintegrować Diasporę z Twitterem, Facebookiem, Tumblr czy WordPressem. Nie testowałem, ale zdaje się (opis potwierdza), że chodzi o to, że robimy wpis na Diasporze i mamy możliwość jednoczesnego wysłania go na (wybrane?) serwisy. Jest możliwość eksportu zdjęć i treści.

Wszystko to oczywiście oparte o wolne oprogramowanie, z możliwością postawienia na własnym serwerze, szyfrowane (SSL), odporne na cenzurę wielkich portali i niezależne od nich (nie ma śledzenia, profilowania, reklam). Itd., itp. 😉

Dodatkowo w Diasporze jest funkcja, która może zastąpić bloga (w minimalnym wymiarze). I nie jestem pewien, czy do tego Diaspora* nie nadaje się najlepiej. Mianowicie posty oznaczone jako publiczne dostępne są w formie strony WWW z wygenerowanym kanałem RSS. Czyli tak naprawdę blog, gdzie komentować mogą wyłącznie zalogowani.

Wady Diaspory:

Brak API. Nie żartuję, projekt open source, mocno programistyczny i póki co nie ma API. Ewidentny strzał w stopę, bo bez API słabo da się zrobić sensowne klienty (zwł. mobilne).
Niezbyt intuicyjny interfejs. Bardzo subiektywne, niby jest ładnie i standardowo, ale jak raz mi mignął link do kanału RSS z publicznymi wpisami, to potem się go naszukałem… Chwilowe i szybko mija.
Soft niby działa i jest good enough, ale używając czuć, że nie jest w 100% skończony i doszlifowany. Niekrytyczne.
Mała popularność. Trochę samonapędzająca się wada, ale nie mogłem pominąć…
Brak edycji wpisu po zamieszczeniu. Oczywiście można usunąć i dodać jeszcze raz, ale trochę overkill, jeśli chodzi tylko o usuwanie literówek.

Wygląda, że Diaspora zastąpi mi plum.me, bo możliwości większe, a nie wszystko nadaje się na bloga/Twittera/FB. Kiedyś przedstawiano – przynajmniej takie miałem wrażenie – Diasporę jako nadchodzącą wielką wolną alternatywę dla FB. IMO nic z tych rzeczy – zwykły serwis i social network, trochę mniej dopracowany, trochę bardziej wolny. Jest łatwa, więc IMO warto spróbować.

UPDATE: Dodany brak edycji w wadach.