Mara: mój blog

W tym miesiacu w logach serwera znalazlam zastanawiajaca duzo dziwnych stron, z ktorych podobno przychodzono na moj serwer (tzw. referes). Tego typu dostepy to zazwyczaj jedna podstrona z jednego IP. Takze jedyne odwiedziny z tego adresu. Strony, z ktorych ktos niby odwiedzal moja nie istnieja lub sa spamem i reklamami.

Zaczelam szukac czegos wiecej. Nazywa sie to referer spam, a pojawilo sie, niestety, dosc dawno temu.

Przygladajac sie takim wpisom w logach ciezko na poczatku znalezc wtym wszystkim sens. Logi sa ogladane tylko przez administratora. Jak mialoby to wiec dzialac? Pierwsze nasuwajace sie przypuszczenie jest takie, ze administrator sie zaciekawi i odwiedzi strone. Takich dodatkowych odwiedzin bedzie jednak za malo, zeby oplacalo sie spamowac. Musi byc cos wiecej. I jest -- blogi.

Jak sie okazuje, dosc duzo blogow uzywa skryptow pokazujacych tych, ktorzy sie do tej strony odnosza. Skrypty takie moga dzialac roznie, np. wykorzystujac logi serwera. Referer spam pozwala znalezc sie na tego typu listach. Nie jest to jednak glowny powod. Jest i drugi. Pozycjonowanie w wyszukiwarkach. Jesli do strony odnosi sie wiele innych, to znajdzie sie ona wysoko w rankingu. Nawet jesli odnosniki to spam. Upraszczam tu, bo wyszukiwarki sie przed spamem bronia, ale technika ta dziala dosc dobrze. Spam pomaga wiec umiescic spamujaca strone wysoko w rankingu.

Wyglada na to, ze posiadanie statycznych podstron ma kilka zalet...

Kawa, jesli nie zdrowa, jest minumum nautralna dla zdrowia, jak pokazuja ostatnie badania.

Na stronie BBC znajduje sie ciekawy artykul o badaniu bezpieczenstwa PINow. Dokladniej -- zabezpieczenia ich przed odczytaniem przez niepowolane osoby. Okazuje sie, ze jest to znacznie prostsze niz sie wydawalo. Wystarczy ostre swiatlo.

Przekazywanie PINow czy hasel poczta nie jest nejlepszym pomyslem, bo nie wiadomo do konca w czyich rekach sie te dane znajduja. Na szczescie coraz wiecej bankow pozwala wybrac swoj wlasny pin (i podac droga elektroniczna, z uzyciem szyfrowania).

Wszyscy wiedza, ze kobiet-programistow jest w projektach FLOSS malo. Powody? Skomplikowane. Fundacja Apache uruchomila liste dyskusyjna, ktora ma im pomoc zaczac, jak pisze ZDNet. Jest to trzecia znana mi tego typu inicjatywa, po Debian Women i KDE Women.

Mam mieszane uczucia slyszac o takich listach. Sa w stanie pomoc osobie, ktora nie ma wystarczajaco pewnosci siebie, zeby zaczac uzywac (dosc zlosliwych zazwyczaj) zwyklych list projektow. Jak jest jednak ze skutecznoscia, trudno powiedziec.

Niektorzy sieja panike i sugeruja koniecznosc placenia za uzywanie nazwy Linuksa. Jesli sie jednak poczyta wiecej (np. internetnews), to mozna sie latwo dowiedziec, ze chodzi o oplaty za uzywanie nazwy Linux w nazwach produktow (znak towarowy). Oplaty sa bardzo male i dotycza firm. Swoja droga, wydawalo mi sie oczywiste, ze jesli chce nazwac swoj produkt 'Linux costam', to powinnam to uzgodnic z Linusem.

Kolejnemu komputerowemu (na jedyna sluszna platforme, oczywiscie) wirusowi udalo sie dostac na pierwsze strony (www) popularnych mediow. Pisza o nim (na przyklad BBC). Dlaczego? Dzikie przypuszczenie jest takie, ze dlatego ze robia to inne (dotkniete wirusem).

Co ciekawe, wirus ten nie jest uwazany za specjalnie powazne zagrozenie, patrz analiza SANS.

Ciekwe jest to, ze media traktuja wirusy jak katastrofe naturalna (typu trzesienie ziemi). To sie po prostu zdarza i nie mozna sie przed tym chronic. Taki poglad jest oczywiscie nieprawdziwy. Juz zdarzylo mi sie o tym pisac. Podstawowe zasady: uaktualniac system, zainstalowac i skonfigurowac firewalla.

Firefox ma sporo opcji, a czesc z nich nie jest dostepna przez menu. Masz do nich za to dostep po wpisaniu 'about:config' do pola adresu. Pokaze kilka ciekawych ustawien. Wlaczone oznacza sie przez 'true'.

HTTP

network.http.pipelining - pozwala na wiele zadan w jednym polaczeniu. Sprawia, ze przegladarka pracuje szybciej. Niektore serwery niestety tego nie obsluguja (na szczescie to bardzo rzadkie) i moga pojawic sie problemy.

network.http.request.max-start-delay - maksymalny czas do wyslania zadania.

network.http.sendRefererHeader - domyslna wartosc to true. Jesli zmienisz na false, Twoja przegladarka nie bedzie wysylac naglowka HTTP Referer. Mowiac prostym jezykiem, nie bedziesz pokazywac, skad przychodzisz.

Bezpieczenstwo

Mozesz wlaczyc i wylaczyc Jave, SSL2, SSL3, TLS (security.enable_java itd). Bardziej zaawansowani uzytkownicy moga tez powiedziec, ktore szyfry akceptuja, a ktore nie.

Lista opcji jest duzo dluzsza. Masz mieszy innymi te zwiazane z zainstalowanymi rozszerzeniami. Powodzenia!

Xiaoyun Wang jest matematyczka, ktora wraz z zespolem pokazala nowe, szybsze ataki na niektore mechanizmy kryptograficzne. Jej wyniki maja duze znaczenie praktyczne. O nowych wynikach miala opowiedziec na konfernecji w USA, ale nie dostala wizy.

O sprawie przeczytalam w blogu Bruce'a Schneiera. Takie sprawy sie zdarzaja. W tym przypadku jednak pojawil sie ciekawy cytat (jak sie pozniej okazalo, z New York Timesa), ktory mozna strescic tak: to nie jest nadzwyczajne, szczegolnie w przypadku osob zajmujacych sie ,,wrazliwymi'' tematami.

Jaki z tego wniosek? No wlasnie...

Bruce Schneier pisze o tym, ze CIA nie znalazla przekazow steganograficznych w audycjach stacji al-Dzazira. Duzo sie o takiej mozliwosci mowilo pod koniec 2001 roku.

Nie znaczy to, ze steganografii w swiecie nie ma. Nie wiem jak to jest z obrazami, ale wiele metod omojania firewalli to nic innego jak wlasnie steganografia (oparta na protokolach sieciowych).

Mozna obejrzec i przeczytac porownanie osiagniec Google i Yahoo pod wzgledem liczby wynikow. Pomysl wzial sie z oswiadczenia Yahoo o indeksowaniu ponad 20 miliardow stron (Google -- znacznie mniej). Wyniki? Google daje ich wiecej. Pytanie, ktore sa dokladniejsze. A to juz znacznie trudniej zmierzyc.

Internet powstal dzieki staraniom wielu osob niezbyt znanym szerszemu gronu. Kiedy przeglada sie liste RFC pojawia sie na niej wiele nazwisk. Przy najwazniejszych z nich mozna znalezc nazwisko Jona Postela. Byl redaktorem miedzy innymi RFC o IP, TCP i innych waznych protokolach.

W jego tekstach mozna spotkac takze ciekawe fragmenty. Przykladowo w RFC 791:

A name indicates what we seek. An address indicates where it is. A route indicates how we get there.
Nazwa pokazuje, czego szukamy. Adres -- gdzie to jest. Szlak -- jak sie tam dostac.

oraz

In general, an implementation must be conservative in its sending behavior, and liberal in its receiving behavior.
Ogolnie implementacja powinna byc konserwatywna w tym co wysyla, a liberalna w tym co przyjmuje.

Byl pierwszym czlonkiem Intenet Society, autorem lub wspolautorem ponad 200 RFC

Jon Postel zmarl w wieku 55 lat 16 pazdziernika 1998. Zanim wiekszosc z tych, ktorzy teraz sa online miala swoj pierwszy kontakt z Siecia...

W czerwcu pisalam o mozliwym KDE 3.5 i o wydaniu QT 4. Obecnie wyglada na to, ze portowanie KDE na QT 4 nie idzie zbyt szybko (nie ma jeszcze planu wydania), a wersja KDE 3.5 jest juz zapowiadana oficjalnie. Plan wydania 3.5 wspomina o wersji finalnej mniej wiecej w koncu pazdziernika. Ja uwazam, ze nieco pozniej, pewnie w polowie listopada. tak to wyglada, jesli przejrzy sie liste nowych wlasciwosci. Liczba tych do wykonania jest wieksza od tych zrobionych. Swoja droga jest tam kilka ciekawostek: pare nowych programow (np. KGeography) i wlaczenie SuperKaramby do kdeutils.

RFC to, przynajmniej w czesci, dokumenty opisujace standardy uzywane w Internecie, takie jak IP, TCP, IRC, DNS i tak dalej. Wsrod tysiecy jest tez kilka bardzo zabawnych. Znalazlam wlasnie kolejny, wiec podziele sie (obecna) lista moich ulubionych.

Numer jeden to, bezdyskusyjnie RFC 1149 o tytule IP over Avian Carriers (czyli: IP za pomoca nosnikow lotnicznych). Sam tekst jest krotki i pozostalby pewnie bez odzewu gdyby nie implementacja. Warte obejrzenia sa szczegolnie zdjecia.

Numer drugi to kontynuacja poprzedniego (tym razem niestety bez realizacji praktycznej), czyli RFC 2549 IP over Avian Carriers with Quality of Service (IP za pomoca nosnikow lotniczych z jakoscia obslugi).

Moj Trzeci ulubiony tekst to RFC 3514 The Security Flag in the IPv4 Header (Flaga bezpieczenstwa w naglowku IP wersji 4). Tytul nie jest specjalnie interesujacy. Za to w srodku... Powiem tylko, ze odwoluje sie do niego mowiac o tzw. ''evil bit'' czyli bicie zla.

Niektore media zaczely ostatnio pisac o WiMax opisujac ta technologie jako rozwiazanie wszystkich problemow z szerokopasmowym Internetem. Tak nie jest. Lacznosc bezprzewodowa potrzebuje czestotliwosci, na ktorych by miala dzialac, a do wlasnego uzytku nie jest tego znou az tak duzo. Poza tym, czym szybsza transmisja, tym wiecej pasma sie zuzywa. Niektorzy dzinnikarze zapominaja o tym prostym fakcie :)

Techworld porusza problem, ale skupia sie na technologiach, ktore moga sie pojawic i na nowych zakresach czestotliwosci, ktore mialyby wykorzystywac.

Kiedy trafilam na strone z petycja przeciwko pomyslowi dyrektywy nakazujacej zbieranie informacji o wykonywanych polaczeniach czy wysylanych emailach w pierwszej chwili myslalam, ze to jakis zart. Jak sie okazalo, niestety nim nie jest.

Pokazala sie kolejna grupa, ktora nie zauwaza latwosci uzycia wysokiej jakosci kryptografii i jej wysokiej dostepnosci. Jakiekolwiek regulacje i rejestracje nie szkodza przestepcom (kttorzy umieja szyfrowac), a niewinnym ludziom, ktorych chca miec po protu nieco prywatnosci.

W zeszlym tygodniu i na poczatku tego pewna sprawa byla dosc glosna w swiatku swiazanym z bezpieczenstwem. Sporo o calej sprawie (wraz z odnosnikami) mozna poczeczytac w blogu Bruce'a Schneiera: wiadomosc o prezentacji i pozniejsze informacje.

Jesli poczyta sie o tym troche, sprawa wydaje sie bardzo prosta. Znalazl blad w oprogramowaniu Cisco. Zawiadomil ich, pojawila sie poprawka. Po paru miesiacach jego firma chciala, zeby wyglosil prezentacje o tym bledzie. Nic nadzwyczajnego, prawda? Krotko przed prezentacja sprawy sie skomplikowaly. Skonczylo sie odejsciem z pracy, awantura i pozwem ze strony Cisco.

Dlaczego? Nie mam pojecia. Blad poprawiony. Faktem jest, ze nie wszyscy uaktualniaja tego typu sprzet, bo to powoduje klopoty. Czy jest to wystarczajacy powod, zeby wstrzymywac publikacje? Ja tak nie sadze. Niektorzy widocznie sa innego zdania. Albo maja inne powody.

Jesli rozumiesz cala sprawe i mozesz mi wszystko sensownie wytlumaczyc, z checia wyslucham/przeczytam.

Poki co, materialy: tekst prezentacji i zdjecia, wywiad opublikowany przez Wired. Przeczytaj, obejrzyj i zdecyduj samodzielnie.

Po plotkach o tym, ze Apple uzywa techniki podobnej do DRM w ich sprzecie demonstracyjnym (o czym pisalam niedawno) pojawil sie z kolei artykul mowiacy ze to tylko plotki.

Zajmujac sie tylko cytatami (z anonimowego zrodla) wcale nie jest jasne, czy takiego ukladu nie ma. Wszystko co umiem znalezc to ,,not DRM or TCPA protected'' (czyli: nie chronione przez DRM czy TCPA). To znaczy, ze jesli zastosowana technika nazywa sie inaczej, to wszystko jest w porzadku.

Jedna z bardziej interesujacych kwestii jest to, ze uklady maja sprawiac, ze klauzula o nieujawnianiu informacji bedzie zachowana. Widac wysoki poziom zaufania do osob, ktorym wysylane sa te probne ukladay..

Brak oficjalnego stanowiska Apple'a. Moga byc ku temu rozne powody. Najbardziej (?) zwariowany, ktory przychodzi mi do glowy jest taki, ze to sondaz majacy sprawdzic jak klienci beda reagowac na tego typu uklady. Sondaz moze pomoc zdecydowac, czy wykorzystac cos takiego w finalnej wersji, czy nie.

Idea podaje (jak pisze hacking.pl), ze srednio 40 uzytkownikow dziennie blokuje numery IMEI skradzionych telefonow. Wyglada na to, ze blokowanie zaczyna sie robic powszechniejsze (ciekawe jaki procent skradzionych telefonow jest blokowanych).

Biorac pod uwage ze statystyka u pozostalych operatorow wyglada zapewne podobnie, blokowanych numerow dziennie byloby ponad 100. To oznacza ponad 100 telefonow kradzionych dziennie. Przy cyzm przeciez nie wszyyscy zglaszaja czy blokuja...

Slashdot pisze o tym, ze zestaw dla programistow Apple na platforme Intel wykrorzystuje DRM. Jest to szeroko komentowane, lacznie z sugestia przesiadki na Linuksa.

Nie wiem, co ten uklad bedzie robil. Brak szczegolow. Zalozmy najgorszy wariant -- blokowanie wszystkiego, tak ze swoje dokumenty, muzyke itd mozna odtwarzac tylko na autoryzowanym sprzecie. Co to znaczy w praktyce? Dla mnie tylko tyle, ze cala technologia zostanie rozpracowana (ang. reverse engineering) jak tylko ktos, kto ma wystarczajaco duzo umiejetnosci i czasu, sie tym zirytuje. To oznacza raczej miesiac niz dwa.

Fakt, ktory wiele osob probuje ignorowac, to to, ze zaden system ochrony nie bedzie dzialal dobrze, jesli uzytkownik ma fizyczny i nieograniczony dostep do komputera. Szczegolnie jesli moze dowolnie filtrowac to co przychodzi do i wychodzi z komputera. Oba te warunki sa spelnione dla zwyklego domowego komputera. Upadek zabezpieczenie jest wtedy tylko kwestia czasu. Cala sprawe spowolnic (ale nie zatrzymac) moze prawo nie pozwalajace na reverse engineering. Sa kraje, w ktorych reverse engineering w celu zapewnienia kompatybilnosci jest calkowicie legalny. Z tego co wiem, tak jest w Polsce. Mozliwe, ze gdzieniegdzie jest legalny niezaleznie od zastosowania. Jesli w Twoim kraju nie jest, to niczemu to nie przeszkadza. Po prostu odbedzie sie to gdzie indziej. Mamy piekne przyklady jak podobne ograniczenia okazywaly sie bez sensu: kodowanie DVD czy rozwoj szyfrowania w warunkach restrykcyjnych przepisow eksportowych w USA.

Nie jest tak, zebym uwazala, ze DRM nie jest niebezpieczny. Wrecz przeciwnie. Tyle tylko, ze takie techniki nie dzialaja. Wiele firm juz sie o tym przekonalo. Jak widac, nauka na cudzych bledach nei ejst popularna.