Archiwa: dane - Strona 3 z 3 - Pomiędzy bitami

25 listopada, 201017 kwietnia, 2018

Polityka bezpieczeństwa Allegro

Wgląda, że polityka bezpieczeństwa Allegro jest mocno poroniona. Z jednej strony hasła latają sobie plaintekstem (co z tego, że „tylko po serwisie”? pracowników z dostępem „trochę” jest…), z drugiej – nie przyślą (zmienionego) hasła czy URLa do zmiany hasła na podanego wieki temu przy zakładaniu konta maila bo… nie podałem nazwiska panieńskiego matki (dziwnym nie jest – nie było obowiązkowe, to po co im ono?).

Ostatnio jak rozmawialiśmy, to pracownicy Allegro byli tak dowcipni, że do resetu hasła chcieli ksero dowodu osobistego, koniecznie wysłane pocztą (żaden skan, żaden faks). Bardzo śmieszne, bardzo „bezpieczne”, bardzo ekologicznie i bardzo wygodnie. Przecież dane z DO w ogóle nie są wrażliwe. I poczta na pewno nie może ich zgubić. I na 100% trafi na uczciwą i kompetentną osobę w helpdesku. Jasne.

I jak już dostaną list z kserem dowodu, to chcą kod pocztowy i numer telefonu. Nie kojarzę, by mieli mój numer telefonu, więc w weryfikacji im to nie pomoże, ale to szczegół. Startery są po 3 zł i tyle kosztowałoby mnie mocno anonimowe przejęcie cudzego konta, jeśli znałbym hasło do maila i login Allegro, przed czym teoretycznie może zabezpieczać makulaturogenna procedura, którą proponują.

Więcej, usunięcie konta (jak patrzę, to korespondencję nt. przywrócenia konta prowadziłem rok temu, co mi po koncie, którego nie używam? tylko spam dostaję…) też wymaga zalogowania się (którego z braku hasła nie jestem w stanie wykonać).

Z jednej strony utrudnianie życia legalnym i uczciwym użytkownikom i narażanie ich danych (hasła trzymane plaintekstem, żądanie narażania na wyciek danych z DO), a z drugiej mają drugiej strony mają multikonta, choć niby weryfikacja listem itp. Z dyskusji przy wyżej linkowanym wpisie wynika, że hasła plaintekstem są po to, by wyłapywać multikonta. Niesłychanie skuteczny sposób. Nikt teraz nie będzie wiedział co zrobić, żeby mieć kilka kont na Allegro.

I po ostatniej wtopie nie jest wykluczone, że moje hasło już ktoś ma. Jakieś pomysły, z czego (poza GIODO i UOKiK) można ich w tej sytuacji ścignąć? Tak, znudziło mi się i tym razem definitywnie chcę dokończyć sprawę – ich problem, czy chcą mieć klienta, czy nie – ja nie chcę spamu, potencjalnie „wyciekniętego” hasła i braku kontroli nad swoimi danymi.

UPDATE: Teraz chcą skan dokumentu tożsamości. Nadal nie uśmiecha mi się wysyłanie tego otwartym tekstem. Oraz: szybki googiel twierdzi, że i wtedy można było skany wysyłać. Tyle w sprawie kompetencji pracowników na podstawie udzielanych informacji (Nadmienię, że dokumenty przyjmujemy jedynie drogą pocztową. Kopie nadesłane faksem czy też skany przesłane drogą mailową nie są przez nas honorowane)…

UPDATE2: Ostatecznie udało się zamknąć konto na Allegro (korzystając wyłącznie z adresu email, przy pomocy z którego (plus dodatkowe dane) nie chciano zresetować hasła. Z jednej strony odejście od procedury albo luka w niej, z drugiej przejaw zdrowego rozsądku i myślenia (w końcu!): W tej sytuacji proszę o podanie wszystkich danych, na jakie zostało założone konto, tj. imienia i nazwiska, adresu i telefonu oraz oświadczenia, iż decyduje się Pan na zamknięcie konta i usunięcie z niego danych osobowych.

Podałem dane (także telefon sprzed wielu lat, który ewentualnie mogli mieć w systemie) i zamknąłem konto (skoro i tak prawie od dwóch lat nie używałem, to po co mi ono). Czy to koniec? Skądże. Ale o tym w kolejnym wpisie (patrz trackback).

UPDATE 3 Ostatecznie przeprosiłem się z Allegro i znowu mam tam konto. Więcej o motywach powrotu w tym wpisie.

28 października, 201017 kwietnia, 2018

Przygoda z lapkiem – naprawianie filesystemu ReiserFS.

Sytuacja z życia wzięta: jest sobie laptop, który nie bootuje się z USB, ma dysk IDE podzielony na partycje. Po brutalnym wyłączeniu prądu (edukacja techniczna współdomowników poszła w las, niestety – wykazali się nadgorliwością przy wyłączaniu) okazuje się, że / z ReiserFS montuje się w trybie read only. Druga partycja z ext4 jest zdrowa, ale jest czymś w stylu /opt. Skoro nie można uruchomić żadnego systemu live (tzn. z USB, płyty CD nie mam pod ręką), to pozostaje maintaince mode.

Niby żaden problem – istnieją narzędzia do naprawy filesystemów, ale fsck.reiserfs nie należy do najbezpieczniejszych narzędzi, o czym zresztą sam ostrzega (i nie jest to ostrzeżenie nieuzasadnione, kiedyś nadgodziny przez to zaliczałem…). Uruchomienie z opcją –fix-fixable (co za nazwa), pomogło, ale nie do końca – dalej jest read only, a program sugeruje uruchomienie z opcją przebudowania drzewa. Tym razem ostrzeżenie zajmuje cały ekran i wprost sugeruje zrobienie backupu, najlepiej przerzucenie obrazu w bezpieczne miejsce przy pomocy ddrescue. I podają nawet adres, gdzie można uzyskać support, za jedyne 25 dolarów. Cóż, skoro tak, to jednak postaram się uruchomić jakieś liveCD, żeby zrobić porządek (cóż, wypalona płyta może się przydać kiedyś, więc bez dramatu, bo chociaż do niedawna sądziłem, że wszystko już potrafi uruchomić się z USB, to nie do końca tak jest)…

Niestety, okazuje się, że CD-ROM nie jest w pełni sprawny. Albo, że liveCD Squeeze’ego nie działa (bo płytę widzi, początek bootowania zachodzi). Na dodatek na zdrowej partycji jest ok. 7 GB miejsca, a na zepsutej zajęte ponad 8 GB, a sama ma rozmiar kilkudziesięciu GB, więc skopiowanie tam obrazu średnio wchodzi w grę, nawet z kompresją. Na inny system obrazu nie przerzucę, bo jak / jest w read only, to wifi nie działa (kabla nie sprawdzałem, nie chciało mi się podłączać). Może by działało, jakby było wicd-curses zainstalowane, ale nie było, a Xy oczywiście nie wstawały.

Ostatecznie postanawiam podmontować zdrowy filesystem, skopiować na niego tylko najpotrzebniejsze dane (czytaj: katalog domowy) i w najgorszym wypadku, jeśli nie zdoła naprawić, skończy się przekładaniem dysku i reinstalacją systemu.

Pojawia się kolejny problem – skoro / jest w trybie read only, to nie można utworzyć katalogu, by podmontować gdzieś zdrowy filesystem. I to jest ten moment, który mnie na chwilę zawiesił. Rozwiązanie okazało się trywialne – / może być w read only, ale /dev/shm to nie dotyczy. Szybkie mkdir /dev/shm/backup, zamontowanie zdrowej partycji w tym miejscu i już można na spokojnie skopiować wybrane dane.

Kilka minut później uruchomiłem fsck.reiserfs z opcją przebudowania drzewa. Tym razem dał radę. Ale poważnie myślę nad zrobieniem dodatkowej partycji ratunkowej o rozmiarze 1GB, z minimalnym systemem (znaczy łączność, narzędzia do naprawy filesystemów, ddrescue itp.).

20 listopada, 200919 kwietnia, 2018

Biją Tora.

Nie pomyliłem w niedawnym wpisie. Atak na Tora po trudnej do obronienia, bo emocjonalnej linii stał się faktem.

Piękny przykład grania na emocjach mamy tutaj
Szybko zalety TOR dostrzegli różnego rodzaju przestępcy. Jak grzyby po deszczu zaczęły powstawać w jej ramach kolejne fora, z których można się dowiedzieć np. jak samemu skonstruować broń czy ładunek wybuchowy. Bezpieczną przystań znaleźli nekrofile, zoofile i przede wszystkim pedofile. To oni stanowią jedną z największych i najaktywniejszych grup użytkowników (źródło, inne cyctaty również stąd).
Zastanawiam się, w jaki sposób dziennikarz zbadał szyfrowaną transmisję w sieci Tor, w dodatku całą (skoro pisze o większości). Źródła nie podał, więc zapewne dane wyssał z palca, ale krzyczeć mu to nie przeszkadza.

Kolejna bzdura w ww. artykule to:
Zwykle, gdy wchodzimy na jakąś witrynę serwer automatycznie zapisuje dane, po których dość łatwo można nas zidentyfikować. Nasz adres IP, typ naszego komputera, system operacyjny, język – tłumaczy Petras. Sieć TOR łączy się z witrynami w sposób, który uniemożliwia taką identyfikację. Jest więc idealną płaszczyzną komunikacji dla wszystkich, którzy mają coś do ukrycia.
Tak się składa, że Tor zmienia tylko IP, wszelkie inne wymienione dane (o systemie, o przeglądarce, o języku, o „komputerze” – cokolwiek autor miał na myśli w tym miejscu) pozostają niezmienione, przed czym ostrzegają twórcy Tora. Tak samo ostrzegają o tym, by nie polegać na Torze jako systemie do zapewnienia silnej anonimowości. Ale dziennikarz się popisał i gdyby któryś pedofil nie wiedział, że istnieją takie dodatkowe dane, które pozwalają na jego namierzenie, to już wie.

Kolejny kwiatek to:
Na szkoleniach, które organizujemy dla policjantów i prokuratorów, mówimy żeby zwracali uwagę, jak rekwirują komputery, czy jest tam TOR.
Cudownie. Proponuję jeszcze dorzucić do „dokładniejszego klepania” posiadaczy gpg (silne krypto, pod spodem na pewno pedofilia), truecrypt (silne krypto, pod spodem na pewno pedofilia), ssh (silne krypto…) i GG (niby jak te dzieci poznają?!). Z ww. tylko GG nie mam, tor jak najbardziej jest, nic to, że chyba tylko do testów Anonymiksa (którego rozwój utknął, niestety) używam. Znaczy się podejrzany jestem.

No i na koniec:
Ale to wszystko, co na dzisiaj można zrobić – mówi. – Na forum pedofilskim pojawiały się groźby karalne pod moim adresem, ale nawet nie zgłaszałem tego policji, bo nie ma to sensu – mówi Śpiewak. Zdradza jednak, że informatycy pracują nad programem, który pozwoli ujawnić dane użytkowników sieci TOR.
Myślę, że po takim nagłośnieniu elementów charakterystycznych (o paru zapomniano, ale temat ruszony, więc chętni pewnie się dokopią, nawet na tym blogu) będzie to trudniejsze. Z drugiej strony zamiast popisywać się totalną indolencją, policja mogła by się skontaktować z ludźmi, którzy znają się na rzeczy i umieją określić tożsamość osoby, niezależnie od tego, czy używa Tora, czy nie. Pytanie tylko, czy ci ludzie chcieli by współpracować z policją.

Na zakończenie polecam lekturę innego wpisu na ten temat oraz, w ramach relaksu piosenkę Zounds.

If you’ve got something to hide then it must be bad. Proszę natychmiast usunąć firanki, żaluzje, zasłony! Policja sobie przez to nie radzi, a przecież wiadomo, że tylko przestępcy używają zasłon! I proszę zainstalować kamery w domach! Wielki brat patrzy.

UPDATE: Nie tylko tok.fm i Gazeta, teraz jeszcze się Polsat dołączył do nagonki. A może po prostu chodzi o to, że Tor pozwala na genialnie proste ominięcie proponowanej blokady hazardowej? I nic kupować nie trzeba będzie (a inaczej trzeba hosting/proxy za granicą kupić…