Panoptykon narzeka na ministerstwa i blokowanie Tora

Fundacja Panoptykon po raz kolejny narzeka na blokowanie przez ministerstwa IP, na którym mają uruchomiony węzeł Tor (relay-node). Sytuacja skłoniła mnie do wpisu, bo mam wrażenie, że zachodzi grube niezrozumienie tematu. Z obu stron…

Logo projektu Tor

Źródło: https://media.torproject.org/image/official-images/2011-tor-logo-flat.svg

Czy warto blokować ruch z sieci Tor?

To zależy. Ruch z sieci Tor pozwala na łatwe uzyskanie stosunkowo wysokiej anonimowości w sieci. Z jednej strony jest to wykorzystywane do anonimowej komunikacji przez zwykłych ludzi, z drugiej jest wykorzystywane do nadużyć i wandalizmu. Ze znanych serwisów wymienionych w FAQ – Wikipedia blokuje edycję artykułów z sieci Tor, podobnie Slashdot. Oczywiście takich serwisów jest o wiele więcej. Po prostu stosunek sygnał/szum jest w przypadku sieci Tor wyjątkowo niski.

Są też inne, poważniejsze powody do blokowania. O ile sieć Tor ma raczej słabą przepustowość i nie nadaje się do ataków wolumetrycznych, to zdecydowanie ułatwia łatwe, anonimowe ataki na aplikację, SQLi itp. Czyli raj dla script kiddies. I dokładnie taki jest oficjalny powód podany przez rzecznika ABW cytowany na Niebezpieczniku.

Jak blokować ruch z sieci Tor?

Autorzy projektu Tor podkreślają, że wezły sieci Tor mają indywidualne polityki, ale.. Patrząc z punktu widzenia administratora serwisu docelowego i ekonomii działania: sieć Tor to jakieś ułamki promila ruchu, w dodatku często ruchu niepożądanego. Jeśli ktoś zdecyduje się już blokować ruch z sieci Tor, to raczej nie będzie bawił się w polityki poszczególnych węzłów, tylko zablokuje wszystkie. Czy to na poszczególnych maszynach, czy to na centralnym firewallu, czy wręcz null-route’ując na routerach ruch kierowany do węzłów Tor (co uniemożliwi komunikację TCP). Ostatnia metoda jest i prosta w implementacji, i prosta w utrzymaniu (centralne miejsce do zarządzania), i wydajna.

Z których węzłów ruch blokować?

Tu jest pies pogrzebany. Fundacja Panoptykon nie prowadzi exit node, czyli nie przekazuje ruchu z sieci Tor do „normalnego internetu”. Niestety, oficjalne narzędzia udostępniane przez projekt Tor IMO nie są zbyt przyjazne administratorom (szczególnie tym, którzy są mniej świadomi zasad działania Tora lub którzy nie mają czasu). Blokowanie wszystkich węzłów Tora widziałem spotkałem, zarówno jako użytkownik końcowy (tak, relay node w domu, ruch z normalnego IP i komunikat o niewpuszczaniu z sieci Tor w serwisie), jak i administrator. Przede wszystkim brakuje oficjalnej listy węzłów wyjściowych łatwej do przetwarzania, czyli zawierającej same IP. Przypominam, że pisałem we wpisie o blokowaniu węzłów Tor, że udostępniam taką listę. Tylko exit nodes, tylko adresy IP.

Podsumowując, obie strony są winne:

Dziwią mnie żale ze strony Panoptykonu, gdy sytuacja jest typowa i opisana w FAQ Tora:

You might also find that your Tor relay’s IP is blocked from accessing some Internet sites/services. This might happen regardless of your exit policy, because some groups don’t seem to know or care that Tor has exit policies. (If you have a spare IP not used for other activities, you might consider running your Tor relay on it.)

Jak widać, projekt Tor zaleca prowadzenie węzłów na oddzielnych IP, nieużywanych do innych usług. Tak, wiem, sekcja dotyczy węzłów wyjściowych, ale idę o zakład, że pomysłodawca/admin w Panoptykonie nie czytał. Poza tym, zdrowy rozsądek zaleca analizę możliwych konsekwencji przed uruchomieniem usługi i stosowanie oddzielnych IP w tym przypadku.

Dziwi mnie też implementacja blokowania Tora na rządowych serwerach, wskazująca na niezrozumienie tematu. Oczywiście nie mam złudzeń co do korzystania przez nich np. z mojej listy (sam bym tego na ich miejscu nie zrobił), ale samodzielna implementacja to nie rocket science… Plus, niezrozumienie tematu może prowadzić do fałszywego poczucia bezpieczeństwa – tak naprawdę nie sposób zablokować 100% ruchu z sieci Tor, przynajmniej nie w oparciu o adresy IP.

9 kwietnia, 201517 kwietnia, 2018

Diaspora* w użyciu

Patrzyłem na projekt Diaspora* od dłuższego czasu i cały czas uważałem, że nie jest skończony i gotowy. Opis instalacji na Debianie przyprawia lekko o ból głowy, znajomi nie bardzo korzystają… Ale po zniknięciu plum.me (nadal niewyjaśnionym, wygląda jakby wyparowały wszystkie zabawki A. jednocześnie) powstała pustka, więc stwierdziłem, że spróbuję.

Źródło: https://en.wikipedia.org/wiki/Diaspora_%28social_network%29

Nie stawiałem swojej instancji Diaspory, tylko skorzystałem z porównywarki podów Diaspory i wybrałem diasp.eu – ma sporo użytkowników, jest SSL, bardzo dobry uptime, stoi w Niemczech. Pierwsze wrażenie: ten klon Facebooka nawet działa! I są jacyś ludzie! Można normalnie korzystać z hashtagów (obserwować je) i po chwili okazało się, że znalazłem polskich znajomych z netu. Całych dwóch, ale zawsze.

Posty zamieszczane na Diasporze formatuje się przy pomocy Markdown – nie jestem fanem, ale jest prosty i można przywyknąć, szczególnie, że jest prosta ściągawka dostępna od ręki. Możliwości bardzo podobne do HTML, tylko bardziej dla ludzi. Załączanie obrazków czy video działa. Są hashtagi.

Są też – znane z FB – ignorowanie użytkowników, zgłaszanie postów, możliwość ustawienia avatara, wiadomości prywatne i ankiety. Można przypisywać użytkowników do grup oraz tworzyć własne grupy. Można zintegrować Diasporę z Twitterem, Facebookiem, Tumblr czy WordPressem. Nie testowałem, ale zdaje się (opis potwierdza), że chodzi o to, że robimy wpis na Diasporze i mamy możliwość jednoczesnego wysłania go na (wybrane?) serwisy. Jest możliwość eksportu zdjęć i treści.

Wszystko to oczywiście oparte o wolne oprogramowanie, z możliwością postawienia na własnym serwerze, szyfrowane (SSL), odporne na cenzurę wielkich portali i niezależne od nich (nie ma śledzenia, profilowania, reklam). Itd., itp. 😉

Dodatkowo w Diasporze jest funkcja, która może zastąpić bloga (w minimalnym wymiarze). I nie jestem pewien, czy do tego Diaspora* nie nadaje się najlepiej. Mianowicie posty oznaczone jako publiczne dostępne są w formie strony WWW z wygenerowanym kanałem RSS. Czyli tak naprawdę blog, gdzie komentować mogą wyłącznie zalogowani.

Wady Diaspory:

Brak API. Nie żartuję, projekt open source, mocno programistyczny i póki co nie ma API. Ewidentny strzał w stopę, bo bez API słabo da się zrobić sensowne klienty (zwł. mobilne).
Niezbyt intuicyjny interfejs. Bardzo subiektywne, niby jest ładnie i standardowo, ale jak raz mi mignął link do kanału RSS z publicznymi wpisami, to potem się go naszukałem… Chwilowe i szybko mija.
Soft niby działa i jest good enough, ale używając czuć, że nie jest w 100% skończony i doszlifowany. Niekrytyczne.
Mała popularność. Trochę samonapędzająca się wada, ale nie mogłem pominąć…
Brak edycji wpisu po zamieszczeniu. Oczywiście można usunąć i dodać jeszcze raz, ale trochę overkill, jeśli chodzi tylko o usuwanie literówek.

Wygląda, że Diaspora zastąpi mi plum.me, bo możliwości większe, a nie wszystko nadaje się na bloga/Twittera/FB. Kiedyś przedstawiano – przynajmniej takie miałem wrażenie – Diasporę jako nadchodzącą wielką wolną alternatywę dla FB. IMO nic z tych rzeczy – zwykły serwis i social network, trochę mniej dopracowany, trochę bardziej wolny. Jest łatwa, więc IMO warto spróbować.

UPDATE: Dodany brak edycji w wadach.

27 lutego, 201517 kwietnia, 2018

Monitoring w pracy

Nadzór w pracy istnieje od zawsze. Jakby nie było, jest to jedna z funkcji kadry kierowniczej. Zastanawiałem się ostatnio, jak to wygląda obecnie, co się zmieniło. O tym, że coraz więcej zakładów ma zamontowane kamery powszechnie wiadomo. Zresztą rejestratory video staniały i spowszedniały na tyle, że spora część znajomych ma je zamontowane w samochodach czy na rowerach. Opinie na ich temat w miejscach pracy są różne, część pracowników jest (była?) zdecydowanie niechętna, ale IMO tak naprawdę wszystko zależy, jak są wykorzystywane i umieszczone. Pracuję w miejscu, gdzie są kamery i raz mi osobiście jako pracownikowi się przydały.

Sprawa trywialna, coś z laptopem i dyskiem było. Kumpel przyniósł czyjegoś służbowego lapka, ja wyjąłem z niego dysk, podłączyłem do kieszeni, IIRC zrobiłem diagnostykę, wkręciłem dysk z powrotem, oddaję lapka. No i przychodzi kumpel, pokazuje zdjętą zaślepkę, pusto, i pyta „a gdzie dysk?”. Szukamy. Tak całkiem pewien, że go wsadziłem z powrotem to nie byłem, bo raczej odruchowo działałem, więc sprawdzam biurko, szuflady. Jak się tak rozglądam, to jestem coraz bardziej przekonany, że włożyłem z powrotem. Kumpel upiera się, że dostał ode mnie, otworzył i było pusto. Zgrzyt.

No to wzięliśmy nagranie z rejestratora. I widać jak wyjmuję, podłączam do kieszeni, wkładam z powrotem, przykręcam. Kumpel obraca lapka tak, jak jest na kamerze i pokazuje pustą dziurę po lewej. Patrzymy w monitor, wkręcam po prawej. WTF? Patrzymy na lapka i w śmiech. Ano tak, laptop był 17″ i miał dwa sloty na dysk, ale to zupełnie nie przyszło nam do głowy.

Tak czy inaczej, nagrania z kamer są dość dokładne (no dobrze, zależy od kamery i ustawień jeszcze), ale raczej trudno je analizować automatycznie. Forma strawna dla komputera to raczej osoba, timestamp, określenie miejsca. Oczywiście da się zrobić, bo pozycjonować można choćby smartfona (i aktywnie, przy pomocy aplikacji na smartfonie, i pasywnie, z wifi), no ale nie każdy pracownik w zakładzie musi mieć smartfona, włączonego, z wifi itd.

Niedawno dostałem namiar na stronę https://www.autoid.pl/ czyli dostawcy systemów do automatycznego… praktycznie wszystkiego – identyfikacji osób, przedmiotów, pojazdów itp. i dostałem odpowiedź na moje pytanie, jak można w sposób łatwo przetwarzalny komputerowo monitorować miejsce przebywania pracownika w firmie. Technologia opiera się na RDIF, które mogą służyć nie tylko do jako karty dostępu do drzwi (de facto standard w firmach, kto nie ma karty?), ale w wersji „dalekiego zasięgu” (do 12 m) mogą być odczytywane bez przykładania do czytnika. Wygląda na prostsze i tańsze od smartfona u pracownika, prawda?

Producent podpowiada nawet sposoby umieszczenia – zaszycie w ubraniu roboczym, oraz jako karta. No i w tym momencie można automatycznie sprawdzić… wszystko. Na przykład to, czy dany pracownik pracuje na swoim stanowisku, czy siedzi i flirtuje z sekretarką. Z których pomieszczeń korzysta. Albo jak często wychodzi do toalety.

Uczucia, podobnie jak w przypadku kamer mam mieszane. Oczywiście wyobrażam sobie nadużycia ze strony pracodawcy z wykorzystaniem tego typu technologii, ale… nie dajmy się zwariować. Równie dobrze może wykorzystywać tego typu rozwiązania do optymalizacji rozmieszczenia narzędzi/pomieszczeń… Tworzący prawo będą mieli kolejny trudny orzech do zgryzienia.

Czyli klasyczne: narzędzia nie determinują wykorzystania. Pozostało życzyć wszystkim normalnych AKA ludzkich pracodawców, którzy rozsądnie korzystają z narzędzi. I pracowników, których nie trzeba kontrolować na każdym kroku.