Tag: security

Opublikowane w

Facebookowe blokady

Niedawno Facebook najpierw zablokował wpis CERT Polska dotyczący scamu za pośrednictwem reklam na Facebooku. Potem usuwał posty, które odwoływały się do zablokowanego wpisu. A także blokowano profile, które zamieszczały te posty np. zablokowany został profil Sekuraka.

Bez dwóch zdań wtopa, w dodatku komunikat przy blokadzie strony Sekuraka jest zupełnie od czapy (jakie podszycie się?) i nie tak powinno to wszystko zadziałać, ale… spróbuję pobawić się w adwokata diabła i poszukać jasnych stron. Dla jasności: raczej nie korzystam z FB, od lat.

  • Facebook zna problem oszustw i ma jakieś narzędzie do wykrywania podejrzanych treści. Raczej nie działa ono w reklamach (hrhrhr), przynajmniej nie skutecznie, ale coś jest. Nieoczywiste w porównaniu z innymi platformami.
  • Blokady są automatyczne i szybkie. Zaleta, bo ogranicza zasięgi faktycznych postów z naruszeniami. W przypadku jakiegokolwiek ręcznego blokowania czas byłby wielokrotnie dłuższy.
  • Można odwołać się od decyzji i wygląda, że jest to rozpatrywane szybko i sensownie.
  • Działanie jest konsekwentne, tj. zablokowana została nie tylko pierwotna treść zidentyfikowana jako szkodliwa, ale i późniejsze odniesienia do niej.

Automatyczna klasyfikacja treści nie jest trywialna, szczególnie, jeśli opisują one zabronione rzeczy, w dodatku z przykładami. Zresztą wiadomo, że błędne klasyfikacje, w obie strony, zawsze będą się zdarzały. Nasunął mi się się pomysł whitelistowania profili, bo oczywiste jest, że profile związane z IT security będą pisały o nadużyciach w tym zakresie ale… takie wyjątki musiałyby istnieć dla każdej branży. No i whitelista profili jest niebezpieczna, bo w przypadku włamania i przejęcia dostępu do profilu pozwoliłaby bezkarnie zamieszczać/podbijać szkodliwe treści.

Ciekawe czy Facebook w jakikolwiek sposób odniesie się do tej sytuacji, wprowadzi korekty w mechanizmie blokad? Jeszcze gdyby w reklamach zaczęli walczyć ze scamem choć w połowie skutecznie jak z opisami zagrożeń…

I oczywiście jest to kolejne przypomnienie o zagrożeniach płynących z życia na platformie, nad którą nie ma się kontroli i na której obecność nie zależy od widzimisię jej administratora czy moderatora. Warto zapewnić własny, możliwie niezależny kanał dotarcia do użytkowników (lista mailowa, RSS) i go propagować. Żeby jeszcze tylko ludzie chcieli z niego korzystać…

Opublikowane w

Daft Social – anti social network

Dziś dowiedziałem się o serwisie Daft Social. Przyznaję, że pomysł jest interesujący. Jest to minimalistyczne medium społecznościowe. Czy też antyspołecznościowe. Wielu rzeczy nie ma. Na przykład nie ma możliwości interakcji z treścią. Nie tylko przez innych, ale nawet sam autor nie ma możliwości ani edycji, ani usunięcia zamieszczonego wpisu. Nie ma tytułu, nie ma hashtagów. Nie ma dokładnego czasu zamieszczenia wpisu – jest tylko data. Z rzeczy które są – jest dostępny RSS.

Tworzenie wpisów czy też cała interakcja z platformą także jest minimalistyczna. Wpisy tworzymy poprzez… wysyłanie maili, a cała treść wpisu jest w jego temacie. Body maila nie ma już żadnego znaczenia. Można zamieszczać linki do stron oraz obrazki przez podanie URLi. Nadal w temacie maila.

Niestety, brakuje też security. Jeśli chodzi o zabezpieczenia, to mamy tylko losowego maila, na którego wysłanie powoduje dodanie wpisu. Czyli pojedynczy, stały sekret. Bez możliwości jego zmiany, bez 2FA. Bez możliwości przypomnienia – choć tu podanych jest parę tricków. Bez możliwości ograniczenia, z jakiego adresu email mają być przyjmowane maile.

Mimo wszystko pomysł mi się spodobał. Na tyle, że założyłem konto na Daft Social. Nie wiem jeszcze czy i jak będę korzystał. Póki co planuję wysyłać tam powiadomienia o nowych wpisach na blogu, podobne do tych, które trafiają na Blablera.

Opublikowane w

Ubuntu – płatne bezpieczeństwo

Ubuntu LTS kojarzy się nam z dystrybucją stabilną i bezpieczną, prawda? Otóż niezupełnie tak jest. Bowiem nie wszystkie pakiety w Ubuntu LTS (np. 20.04 LTS czy 22.04 LTS) otrzymują aktualizacje bezpieczeństwa. Przynajmniej nie za darmo. Od strony technicznej, które pakiety otrzymują aktualizacje (main), a które niekoniecznie (universe) przeczytacie w artykule na nfsec.pl, podobnie jak o genezie szumu wokół Ubuntu i repozytorium ESM (Expanded Security Maintenance).

Zarys sytuacji

Zamiast na stronie technicznej, skupię się na stronie etycznej i prawnej. Sytuacja wygląda bowiem na dość skomplikowaną. Tytułem wprowadzenia niezbędny skrót. Ubuntu w ramach Ubuntu Pro daje między innymi dostęp do repozytorium ESM, które zawiera łatki bezpieczeństwa do tych pakietów z repozytorium universe, do których zostały one przygotowane przez opłaconych przez Ubuntu maintainterów, zamiast przez maintainerów ze społeczności. Osoby fizyczne (personal) mogą bezpłatnie korzystać z Ubuntu Pro na maksymalnie 5 systemach. Natomiast firmy (enterprise) powinny zapłacić za dostęp, albo… nie korzystać z załatanych pakietów. Jest jeszcze trzecia kategoria – edukacja (education, research, and academia). Też powinni kupić, ale dostaną zniżkę w niejawnej wysokości.

Abonament na bezpieczeństwo

Mam mocno mieszane uczucia w stosunku do tego podejścia. Z jednej strony nie ulega wątpliwości, że maintainerzy, którzy wykonali na zlecenie pracę, której nikt nie chciał podjąć się za darmo, powinni otrzymać wynagrodzenie. Z drugiej strony, jest to podcinanie gałęzi, na której się siedzi i z której Ubuntu wyrasta. Bowiem maintainterzy społeczności mogą dojść do wniosku, że nie ma sensu robić za darmo tego, za co inni otrzymują wynagrodzenie. To z czasem może przełożyć się na gorsze wsparcie wolnego oprogramowania, w szczególności dystrybucji opartych o pakiety deb.

Kolejny aspekt to pewnego rodzaju szantaż w stosunku do użytkowników. Niby system i oprogramowanie są za darmo, ale jak chcesz mieć bezpiecznie, to zapłać… Płatne bezpieczeństwo to skomplikowane zagadnienie. Co powiecie na abonament na ABS, poduszki powietrzne czy pasy bezpieczeństwa w aucie? Albo jeszcze lepiej: hamulce w wersji zwykłej i pro, te drugie zapewniające krótszą drogę hamowania? I wszystko to rzecz jasna w formie abonamentu, czyli wszędzie jest zamontowane, ale trzeba zapłacić, by było aktywne.

Opłata za udostępnianie

No i ostatnia sprawa – czy Ubuntu może w ogóle brać pieniądze za udostępnianie oprogramowania na wolnych licencjach? Ograniczę się do licencji GPL. Zarówno wersja druga, jak i trzecia GPL wprost mówi, że akt udostępnienia oprogramowania może być zarówno darmowy, jak i płatny. Czyli Ubuntu może żądać wynagrodzenia za udostępnienie oprogramowania.

Jednak jednocześnie GPL zabrania zmiany licencji[1], a licencjonobiorca nabywa wszystkie prawa. W szczególności prawo do dalszej dystrybucji. Czyli czy dowolna osoba może skorzystać z Ubuntu Pro w wersji personal, pobrać z repozytorium ESM pakiety lub kod źródłowy i udostępnić je na swoim serwerze każdemu chętnemu? IANAL, ale wygląda na to, że tak. Przynajmniej te pakiety/patche wydane na licencji GPL.

O sprawie zaczęło się robić głośno dopiero teraz i sam jestem ciekaw, czy jakoś bardziej się to rozwinie i jak się ostatecznie skończy. Trzeba pamiętać, że Ubuntu Pro to znacznie więcej, niż tylko dostęp do załatanych pakietów z repozytorium universe w ramach ESM. To także możliwość aktualizacji kernela bez konieczności restartu systemu, support 24/7. Być może lepszą strategią dla Canonical byłoby udostępnienie patchy społeczności za darmo? Tym bardziej, że z prawnego punktu widzenia raczej są na przegranej pozycji, przynajmniej w kontekście licencji GPL.

[1] Pomijam tu przypadki oprogramowania wydawanego równolegle na kilku licencjach. Wówczas można wybrać, którą licencję się wybrało i modyfikować tylko kod na tej wybranej, dystrybuując go zgodnie z jej – i tylko jej – postanowieniami.