Rowery miejskie – zabezpieczenia.

Rowery miejskie Poznań

Źródło: fot. własna.

Niedawno dowiedziałem się, że znajomy ma konto do wypożyczania rowerów miejskich w Poznaniu. Porozmawialiśmy trochę, ponarzekaliśmy trochę na procedury (np. konieczność posiadania minimum 10 zł na koncie, żeby cokolwiek wypożyczyć) i doszliśmy do momentu, kiedy stwierdziłem, że chętnie bym się przejechał rowerem, choć bez upierdliwego zakładania konta. No i okazało się, że dodatkowo nie da się bez telefonu, bo na telefon jest przysyłany kod do zapięcia. A już miałem nadzieję, że wystarczy PIN do systemu pamiętać, bo przecież chyba jest budka z terminalem…

Co sprowokowało do zastanowienia się nad tematem jakby tu obejść te głupie wymagania. No i wyszło mi, że praktycznie zabezpieczenia są żadne, bo albo zabezpieczenie z kodem jest przywiązane do stacji, albo do roweru (z tego co wiem, to drugi wariant). Czyli każdy, kto wypożyczył dany rower zna do kod do jego zapięcia. Przynajmniej przez jakiś czas (zakładam, że co jakiś czas kody są zmieniane, choć pewnie niezbyt często, bo wygląda to na dość skomplikowaną akcję).

Zresztą na kradzież roweru miejskiego nie trzeba było długo czekać. Jako główne zabezpieczenie w artykule wymieniany jest – słusznie – charakterystyczny wygląd roweru. Zastanawiam się, czy mógłby w takim razie zadziałać system oparty na dobrowolnych opłatach: charakterystyczne rowery, można je wziąć i zostawić w dowolnym miejscu, płatność podobnie jak dotychczas, czyli prepaid. Oczywiście wiem, że coś podobnego było kiedyś w Amsterdamie (tyle, że bez opłat) i wtedy nie wyszło. Teraz można by dorzucić trochę techniki i wyposażyć rower w GPS i modem do przesyłania pozycji (prąd by się znalazł, skoro rower jeździ), żeby można je było odnaleźć, gdy ktoś odstawi w dziwnym miejscu. Tylko czy GPS i modemu nie ukradną? :-/

Historia pewnego spamu.

Dzisiejszy dzień w pracy zaczął się jak zwykle od rzutu oka na maile. Jeden z jak się okazało ciekawszych został w pierwszej chwili zignorowany. Ot, spam jakich wiele. Tyle, że warszawska restauracja i załącznik w PDF. Ale po chwili zaczęły na niego odpowiadać kolejne osoby, więc pojawił się mały WTF w głowie. Pojawiły się też informacje, że lista adresatów jest zbieżna z uczestnikami PLNOG.

Faktycznie, o pomyłce nie mogło być mowy. Rzut oka w źródło ujawnił 470 (sic!) maili w polu To, lista na oko zbieżna z uczestnikami PLNOG. Pojawiła się informacja, że maile może zebrane z wizytówek, ale szybko upadła, bo okazało się, że część ludzi nie dzieliła się wizytówkami, część w ogóle nie dotarła na konferencję… Tak, autor spamu wysłał go do 470 osób, z których pewnie większość zajmuje się zawodowo zwalczaniem spamu i nieźle zna prawo, na dodatek to podając pełną bazę adresów email. Mniej więcej odpowiednik śpiewania Legia, Legia, kur… (polecam obejrzeć, jeśli ktoś nie zna tej wersji ;-)) w obecności grupy kibiców Legii.

Być może sprawa rozeszłaby się po kościach, bo podejście było od suchego „nie wyrażałem zgody na przetwarzanie danych, proszę o usunięcie z listy” po humorystyczne komentarze ale autor spamu postanowił się pogrążyć i zamieścił szybkie „przeprosiny”, którymi dolał oliwy do ognia. Otóż obwieścił on, że przeprasza, a pracownik, który pobrał bazę z forum został już zwolniony. Przypominam, że napisała to osoba wysyłająca maila, a przynajmniej podpisana pod nim. Po około 90 minutach od początkowego spamu. Oczywiście wszyscy „uwierzyli” w tak szybkie działanie i „wyciągnięcie wniosków” (szczególnie, że znów poszło do wszystkich z jawnym To ;-)), parę osób zainteresowało się, cóż to za forum, gdzie takie wesołe bazy są zamieszczane… Ups numer jeden.

W międzyczasie zareagował – w przeciwieństwie do spamera przytomnie i sensownie – organizator konferencji, który po chwili zamieścił uczciwą (i jak widzę aktualizowaną) informację na stronie. Wyszło na jaw (nie wnikam jak, w każdym razie szybko, ale jak się organizuje konferencje dla bezpieczników i sieciowców, to się ma kontakty), że baza została prawdopodobnie wykradziona. Ups numer dwa.

Finał jest taki, że aktualne obwieszczenie w sprawie wycieku bazy maili głosi:

Z pewnością zostaną wyciągnęte konsekwencje wobec sprawcy, a sprawa została skierowana do prokuratury.

Z niecierpliwością czekam na finał, pewnie nie tylko ja… Z tego co rozmawiałem ze znajomymi, i co widać było w wątku, większość osób miała po prostu niezły ubaw, ale spamer chyba wolałby gołym zadem na gnieździe szerszeni usiąść, niż wysłać tego maila. Oraz, odnośnie reagowania na wtopę i zarządzania sytuacją kryzysową: w przeprosinach nie warto kłamać.

Taki wpis związany ze spamem, który ostatnio zaprząta moją głowę i zamiast podsumowania PLNOG, o którym z braku czasu nie napiszę tym razem nic więcej, poza tym, że było fajnie, ciekawie i jak zwykle cieszę się, że byłem.

Java-package z powrotem w Debianie.

Jakiś czas temu Sun zmienił politykę dotyczącą wydawania swojej wersji Javy, w wyniku czego wyleciała ona zarówno z Ubuntu, jak i Debiana. Użytkownicy zostali z niezaktualizowanymi wersjami, więc obie dystrybucje skierowały swoje zainteresowanie w stronę OpenJDK, która teoretycznie ma zapewnić wystarczającą funkcjonalność. Więcej o sprawie można poczytać tu w przypadku Debiana, oraz tu w przypadku Ubuntu. Ten drugi link zawiera instrukcję co zrobić, żeby mieć bezpieczny system, czyli opis migracji do OpenJDK na Ubuntu (IIRC dokładnie to samo należy zrobić w przypadku Debiana).

Fajnie, że jest wolne rozwiązanie, fajnie, że pewnie projekt OpenJDK dostanie niezłego kopa, jeśli chodzi o rozwój, ale jednak nie wszystkim w tej chwili wystarcza OpenJDK, które jest wolniejsze i… nie zawsze działa poprawnie (ja miałem problem z appletami VNC, które przydają się przy administracji sprzętem, zwłaszcza w przypadku rozwiązań typu KVM…). Wybór był trojaki: instalacja ręczna Javy od Sun, stara, dziurawa wersja albo niedziałanie aplikacji.

Pierwszy wybór jest męczący, jeśli ktoś lubi mieć wszystko w systemie spaczkowane (ja lubię), pozostałe dwa są niezbyt dopuszczalne w praktyce… Cieszy mnie więc reaktywacja projektu java-package (aktualnie dostępny w unstable, jeśli wszytko pójdzie dobrze, będzie we Wheezy), czyli prymitywnego skądinąd narzędzia pozwalającego na zrobienie w prosty sposób pakietu deb z Javą od Sun. Sam fakt spaczkowania oczywiście nie wpływa na działanie w żaden sposób, ale na pewno ułatwi utrzymanie porządku w systemach poprzez włącznie Javy od Sun do systemu zarządzania pakietami, wrzucenie do swojego repozytorium pakietów itp.