WPS prawie tak słaby jak WEP.

Wygląda, że WPS (włączony domyślnie w wielu routerach) jest w tej chwili porównywalnie słaby, jak WEP. Niezależnie od użytego WPA/WPA2 możliwe jest – przy włączonym WPS – stosunkowo szybkie poznanie hasła do sieci WiFi ofiary, dodatkowo są gotowe narzędzia do tego celu (np. reaver-wps spaczkowany niedawno dla Debiana). Spodziewać się można niebawem aktualizacji firmware’ów dla routerów z dodaniem/wydłużeniem czasu dla funkcji lock down, ale to nie jest rozwiązanie, tylko drobne utrudnienie. Do szczegółów, w tym czasu brute force na WPS odsyłam do krótkiego, ale treściwego pdf ze strony.

Jak sprawdzić, czy sieć obsługuje WPS (czyli czy dana sieć jest podatna)? Najprościej (na Linuksie) przy pomocy wpa_supplicantPrzemek w komentarzach na tej stronie opisał jak, a wygląda, że da się prościej i wystarczy (Debian Squeeze z wicd jako helperem do WiFi):

wpa_cli scan
wpa_cli scan_results | grep WPS

Jeśli okaże się, że mamy włączonego WPS, a go nie potrzebujemy, to wypadałoby zmienić hasło do sieci WiFi oraz poszukać, czy WPS nie da się wyłączyć. Często (zwykle?) się da, przynajmniej na Linksysach.

UKE zaszalało.

Na szczęście nie biorę bezpośrednio udziału w wypełnianiu dokumentów do Systemu Informacyjnego o Infrastrukturze Szerokopasmowej (SIIS), ale pewnych rzeczy nawet z boku nie sposób nie zauważyć. Jak wszystko w kraju, inwentaryzacja jest robiona na ostatnią chwilę, zarówno od strony ISP, jak i UKE. I akurat ISP, którzy się nie pospieszyli, tym razem wygrali. Co jest źle?

Niejasne przepisy – fajnie, że można zadać pytanie (i dostać odpowiedź), fajnie, że było spotkanie, ale czemu nie jest po prostu czarno na białym, w sposób nie budzący wątpliwości napisane? Do tego dochodzą kwiatki w niektórych miejscach typu dane w formacie XLS zgodnym z generowanym przez Weryfikator (Weryfikator to program pomocniczy). IMO formatu danych w dokumentach urzędowych nie powinien określać program, szczególnie arkusz kalkulacyjny, szczególnie … Jasne, to tylko instrukcja i być może gdzieś jest normalny opis.

Zmiany zasad w trakcie gry –  czyli czemu nie warto się spieszyć. Jak można zauważyć, spotkanie na którym doprecyzowano/zmieniono interpretacje, miało miejsce już po publikacji dokumentów. Jeśli któryś ISP się pospieszył, spora szansa, że niepotrzebnie wykonał pracę. Podobnie zmieniła się wersja Weryfikatora (tak, tego, co gdzieniegdzie definiuje format).

Nieznany faktyczny cel inwentaryzacji – w sumie nie ma co pisać, spekulacji jak zostaną wykorzystane bardzo szczegółowe przecież dane jest sporo, informacji oficjalnej (poza „góra kazała”) nie ma… Brak grokowania problemu nie ułatwia czytania dokumentów i sensownego ich wypełniania… Oficjalna wersja, do czego posłużą dane jest tu, ale jak na to, co tam piszą, dane są stanowczo zbyt szczegółowe. Do wersji oficjalnej wystarczyłby zasięg usługi (OK, nieco problematyczny w przypadku sieci bezprzewodowych) i maksymalna oferowana na danym rejonie prędkość (OK, też problematyczna w przypadku Wi-Fi i *DSL).

Naprawdę nie można było opublikować dokumentów wcześniej, dać miesiąca czy dwóch na zgłoszenie uwag (mailowo), na ich podstawie przygotować wersje finalne i instrukcje i dopiero wtedy publikować? Spotkania, jak opisane wyżej są pewnie wygodne, ale bardzo zasobochłonne, zwłaszcza dla mniejszych ISP. Zresztą spotkanie w trakcie okresu na zgłaszanie uwag też spokojnie mogłoby się odbyć, a po nim mogłaby powstać kolejna wersja dokumentów. Czyli wersja wstępna -> czas na uwagi -> spotkanie -> wersja z poprawkami -> czas na uwagi -> wersja finalna.

Póki co, efekt jest taki, że na grupie pl.internet.polip czyli poświęconej problemom Internetu polskiego i światowego, ostatnio pisze się głównie o UKE. Znamienne. Ale nie dziwi – nawet mając 70-90% danych w wewnętrznym systemie i tak dobrych kilka osobodni zostanie poświęconych na przygotowanie raportu… 😉

Egipt.

Nie będę pisał o (dramatycznej) sytuacji politycznej Egiptu (celowo mirror, źródło oryginalne działa, ale…), skupię się tylko na aspekcie technicznym i przekazywaniu informacji. Po pierwsze, jak wiadomo, został odcięty cały dostęp Egiptu do Internetu. Z tego co wiadomo, na poziomie sesji BGP, bez wpływu na linie tranzytowe. Wygaszanie wygląda na zaplanowane, z upewnianiem się co do braku wpływu na zagranicznych operatorów. Wygląda, że dążą do tego, aby ukryć to, co dzieje się wewnątrz kraju, bez dawania powodów krajom zewnętrznym do angażowania się.

Dodatkowo, wyłączone zostały najpierw SMSy, a potem sieci komórkowe. W takiej sytuacji wszelkie tunelowania są bezużyteczne. Odcięcie na poziomie BGP oznacza, że TOR nic nie pomoże. Przez chwilę, nie znając dokładnie sytuacji, liczyłem, że wewnętrznie Internet działa z jakimś proxy dla zapytań DNS, co umożliwiłoby tunelowanie w zapytaniach DNS, ale nie.

Okazało się, że z działających rzeczy zostały tylko stare technologie: modemy dial-up (linie analogowe i wyjścia za granicę nie zostały odcięte, przynajmniej nie wszystkie) i ham radio. Pojawiły się oczywiście problemy z retransmisją odebranych sygnałów – poczynając od tego, że ktoś nie bardzo ma możliwość, bo jest w pracy, przez brak sprzętu lub możliwości (internet domowy w USA to jakaś pocięta parodia). Część transmisji była odbieranych alfabetem Morse’a, część głosowo. W przypadku odbieranych Morsem pojawiał się problem dekodowania (mało kto zna, jeszcze mniej zna płynnie). Istnieją automaty do tego, ale płatne i podobno słabo radzące sobie z zaszumionym sygnałem.

Większość ww. rzeczy robią ochotnicy, czasami z pomocą ISP, którzy zapewniają dostęp wdzwaniany. Z kolei TV, które są masowo dostępne, pokazują informacje tendencyjnie, często przeinaczając.

Podsumowując: mimo obecnej techniki (a może właśnie przez nią), szanse na wolne, nieocenzurowane przekazywanie informacji są niewielkie, jeśli rząd zechce coś wyciszyć. Na organizowanie niezależnej łączności jest za późno, gdy jest ona potrzebna – możliwości są niewielkie.