Archive for the ‘internet’ Category
kradno bitkojny!
Właśnie po raz pierwszy obrabowano serwis na którym miałem bitcoiny. Mogłem stracić nie więcej niż 0.parę btc więc bez dramatu i to że ktoś przełamał zabezpieczenia też nie jest to dla mnie zaskoczeniem w czasach kiedy do ataków służą menu chińskich knajp. Co ciekawe na blockchainie na żywo można było oglądać jakie kwoty kradną atakujący i od razu wiadomo było też że wykorzystali atak oparty na ostatniej dziurze w OpenSSL.
W tym wypadku żeby się przed atakiem obronić i zapobiec stracie pieniędzy wystarczyło mieć włączone dwustopniowe logowanie (two factor authentication), rozwiązanie które polecam przy poważniejszych sprawach. A jeśli dana ważna dla was usługa takowego nie udostępnia, nie należy jej traktować poważnie…
Oprogramowanie do polityki
Jadę pociągiem i powoli trawię trzy artykuły; o technologii w kampaniach prezydenckich w USA, napisanej także na bazie USA propozycji moralnych ram zmiany społecznej i cytatu z Aarona Swartza w klepsydrze napisanej przez Doctorowa, w którym Aaron opisuje swoją (uproszczoną) wizję przejęcia polityki w oparciu o technologię.
Z jednej strony pozostaje nadzieja na ‚wywrotowy’ potencjał technologii zastosowanej do koordynacji wielkich działań społecznych przełamujący twarde powiązanie nakładów i efektów. Z drugiej jest to stawanie przeciwko całemu przemysłowi który właśnie z tego żyje i w stosowne działania i analizy inwestuje ogromny kapitał. Może zadziałać efekt który stworzył swojego czasu potęgę „indymediów”, A może skończyć się źle…
Kolejnym ciekawym tematem były by właśnie działania podejmowane na innych polach. Opisywane w artykułach walki toczą się w ramach mocno zinstytucjonalizowanych reguł których (udowodnione) złamanie jest niezwykle groźne dla łamiącego. W razie prawdziwej zmiany i zagrożenia dla status quo nie ma co na to liczyć – wszystkie chwyty dozwolone. To istotne kiedy trzyma się gdzieś bazę swoich ‚wyborców’; łatwo można chociażby dostarczyć przeciwnikowi gotową listę celów.
Warsztaty
W ciągu ostatniego tygodnia przeprowadziłem 3 warsztaty z podstaw bezpieczeństwa; na warszawskiej Syrenie, krakowskim skłocie którego nazwy nie są pewni jego mieszkańcy oraz na warszawskim Festiwalu Oporu. Jak na razie nie było jeszcze idealnie, ale po każdym kolejnym jestem coraz bliżej wypracowania optymalnego formatu takiego szkolenia dla aktywistów. Mam nadzieję że dwa planowane warsztaty (Białystok i Toruń) pójdą już dużo łatwiej.
Wnioski z ostatnich:
– poziom doświadczenia i wiedzy jest skrajnie różny co nie powinno zaskakiwać ale i nie pomaga
– wszelkie założenia co do wykorzystywanych technologii, protokołów i serwisów są zazwyczaj przynajmniej częściowo błędne
– 2h informatyki, nawet przystępnym językiem i z pewną ilością ilustracji to za dużo, 15 minutowa przerwa to minimum
– ilustracji nigdy za dużo
– przy prezentacji na skłocie też należy mieć przygotowane handouty (aka kserówki); trzeba przygotować rozpiskę z oprogramowaniem
– optymalny format to 2h prezentacja – wprowadzenie z przerwą, a potem osobne install party
Tak przy okazji przypominam o, i polecam podręczniki na bazie których powstała używana przeze mnie prezentacja.
lol polandleaks
W mediach poszła informacja o powstaniu „polskiego wikileaks” w postaci polandleaks.org. Oczywiście dziennikarze nic nie sprawdzają, ani nie skonsultują z nikim kto zna się na temacie, repreintowanej ze szmatławca informacji. Na temat wypowiedział się już niebezpiecznik;
Niestety, w serwisie nic więcej nie znajdziemy o tej “gwarancji pełnej anonimowości”. Jedyny kontakt do redakcji serwisu PolandLeaks prowadzi na darmową skrzynkę pocztową w …Nowej Zelandii. Brak jakichkolwiek kluczy GPG, brak poradników jak w bezpieczny sposób przesłać do serwisu “gorące” dokumenty.
Domena PolandLeaks.org została zakupiona w krakowskim Netarcie i obecnie korzystając z DNS-ów tej firmy wskazuje na adres IP serwera hostowanego także w Netarcie. Właściciel co prawda włączył ochronę danych kontaktowych w bazie WHOIS, ale i tak jesteśmy pełni podziwu dla jego cojones. Realizować “anonimowy” projekt, którego celem jest ujawnianie nieprawidłowości w państwie polskim i hostować go w serwerowni należącej do polskiej firmy, która podlega pod polskie prawo…
Poprawię tylko że darmowa poczta z NZ jest częścią większej usługi pocztowej z USA, od której ktoś najwyraźniej podnajmuje serwery żeby prowadzić darmową pocztę (seems legit). A serwis stoi na joomli, najbardziej dziurawym z popularnych CMSów, bardzo popularnym wśród… „młodych w doświadczeniach” twórców stron.
Ogólnie porażka i amatorszczyzna jeśli nie celowa prowokacja. Wszystko znajduje się na serwerach do których polskie służby mają dowolne dojście, całość stawia amator a serwer (chyba VPS) świeci otwartymi portami jak choinka. Przy zapewnieniach o bezpieczeństwie całość sprawia że twórcy są albo śmieszni albo niebezpieczni – zależnie czy zamkną serwis na dniach i wystawią na sprzedaż wypromowaną domenę czy będą tą szopkę ciągnąć i narażą kogoś z dobrymi intencjami.
Zresztą nie przypisujące sobie „SUPER!!!111jedenjedenjedynaście11!!!! BEZPIECZEŃSTWA” Indymedia zapewniają 100 razy bezpieczniejszą publikację, o czym zresztą ostatnio przekonał się kolejny frajer próbujący wydobyć dane publikujących.
update:
W komentarzach na niebezpieczniku padła instrukcja jak ustalić personalia autora serwisu który (cóż za zaskoczenie) nie był świadomy że adres administratora może być dostępny przez stronę, chociaż błąd już poprawił. Doceniam uprzejmość komentujących na niebezpieczniku i podobnie przez litość nie podam linków do autora ani na allegro ani fotka.pl. Dobra rada na przyszłość to nie mieszać się w poważną tematykę bez poważnych przygotowań; wikileaks było i jest w stanie robić to co robi dzięki ogromnym zasobom eksperckim idącym w infrastrukturę.
Technospołecznicy
Nie mylić z organizatorami zaangażowanych rave-wów.
W czwartek odbyło się kolejne seminarium ZARSu, „Internet, oddolność, lokalność: techno społecznicy”. Tematem przewodnim był właśnie opublikowany raport „Technospołecznicy: nowa era mediów lokalnych”, stworzony przez Michała Danielewicza i Pawła Mazurka z Centrum Cyfrowego.
Raportu jeszcze nie miałem czasu przeczytać więc trochę notatek z prezentacji i rozmowy po niej;
Autorzy badania po kolei wrzucali w googla nazwy miejscowości <20.000 i szukali lokalnych serwisów informacyjnych nie będących strukturami większych projektów medialnych i będących serwisami PRowymi władz lokalnych. W sumie na pareset miast i miejscowości znaleźli niecałe 20 serwisów które spełniały ich kryteria, z tego wywiady przeprowadzili z autorami/autorkami 13 (w tym 3 kobiety z 2 serwisów). To zresztą trochę przerażające, jakoś zakładałem że każda mieścina już taki serwis posiada… Autorzy wytknęli problemy o których do teraz raczej nie myślałem, np. padająca co chwilę sieć (internet i elektryczna) które znacznie ograniczają możliwość wykorzystania tego medium.
Siłę serwisów lokalnych zgrabnie ujmują w trzech „i”:
• informacje:
∘ digitalizacja informacji analogowych
∘ mashup informacji z innych lokalnych źródeł (elektrownie, stan powodziowy, policja it)
• interakcja
• integracja
Co więcej serwisy stają się żywymi archiwami lokalnymi (niektóre mają już >10 letnią historię) i zazwyczaj sytuacja konfliktu z władzą lokalną. Do konfliktu zresztą często mniej lub bardziej świadomie zdają się dążyć, pozwala im się zdefiniować (brzmi insurekcjonistycznie ;P). Zresztą wśród przykładów pojawił włodarz obalony po 20 latach, to dość istotne w świetle problemów z tego typu władzą lokalną które często wypływają w dyskusjach u mnie na wydziale.
Wydaję mi się że paneliści trochę nie docenili natury konfliktów jakie wokół takich serwisów mogą wybuchać uznając konflikty w sądzie (opisywane przez Dorotę Głowacką z obserwatorium wolności mediów HFPC) za ich ‚najwyższą’ formę. Osobiście podejrzewam, i to samo zasugerowała już po spotkaniu osoba chcą taki serwis założyć, że finał większości takich konfliktów może być bliższy sztachetom niż ławom sądowym.
Główne potrzeby to według autorów raportu;
• szkolenia: warsztaty dziennikarskie i prawne
• szkolenia projektowanie, administracja, usability
• wymiana doświadczeń i dobrych praktyk
• wsparcie materialne, granty dla twórców stron
• stworzenie praktycznego poradnika dla osób które chciały by założyć lokalny portal w swojej miejscowości
• działanie skierowane do samorządów, promowanie współpracy
Problemy techniczne zresztą mogą bezpośrednio łączyć się z prawnymi, wydaje mi się że sporej części problemów prawnych autorzy serwisów mogli by uniknąć hostując swoje serwisy w stanach, zapewne parę zabezpieczeń zbliżonych do tych jakie wykształciły indymedia też było by na miejscu…
A kontynuując tą myśl to nad czym teraz się zastanawiam to czy jakimś rozwiązaniem takich serwisów, obniżeniem jednak wysokiego progu wejściowego do prowadzenia serwisu itd nie był by model radykalnej lokalizacji indymediów. Teoretycznie było by to możliwe po zrealizowaniu mitycznej już ‚rewitalizacji’ i pewnym dostosowaniu – stworzeniu możliwości prowadzenia hiperlokalnych serwisów informacyjnych… Myślę że jest tu spory potencjał na oddolne projekty społeczne, podczas gdy targetowane na ten ‚rynek’ rozwiązania komercyjne już padły.
btw w następnym numerze polityki Bendyk o hackathonach i prospołecznym hackowaniu (≠whitehatyzm!).
Zaproszenie last minute
Miałem dodać, miałem dodać i oczywiście zapomniałem że mam bloga….
Zapraszamy na spotkanie z Edwinem Bendykiem, autorem książki „Bunt Sieci”. Spotkanie poprowadzi Jacek Żakowski, w dyskusji wezmą także udział prof. Anna Giza-Poleszczuk (socjolog) oraz Harcesz (haker i aktywista).
instalacja balsamiq na ubuntu 11.10
Mam absurdalny backlog tematów na posty i todo zbliżające się do podobnych wartości, tymczasem zamiast posta instrukcja którą zaraz musiał bym pewnie przesyłać paru osobom;
Do obinowego zlecenia od WKS potrzebne są nam mockupy więc zainstalowałem i prowadzę rozpoznanie walką programu Balsamiq. Wrażenia bardzo pozytywne, ale proces instalacji może być upierdliwy.
najpierw instalacja adobe air
wget http://airdownload.adobe.com/air/lin/download/2.6/AdobeAIRInstaller.bin
miałem problemy z instalacją (aplikacja 32bitowa, pracuje na 64bitowym systemie), rozwiązanie zostało już opublikowane na askubuntu
locate libgnome-keyring.so
wersje mogą się różnić, aktualnie przy domyślnym setupie sprawę załatwi;
sudo ln -s /usr/lib/x86_64-linux-gnu/libgnome-keyring.so.0 /usr/lib/libgnome-keyring.so.0
sudo ln -s /usr/lib/x86_64-linux-gnu/libgnome-keyring.so.0.2.0 /usr/lib/libgnome-keyring.so.0.2.0
w razie brakujących bibliotek;
sudo apt-get install ia32-libs
getlibs program/potrzebne biblioteki
teraz powinna zadziałać instalacja
sudo ./AdobeAIRInstaller.bin
z archiwum balsamiqa zasysamy najnowszy build, w tej chwili jest to MockupsForDesktop64bit2.1.9.deb
wget http://builds.balsamiq.com/archives/mockups-desktop/MockupsForDesktop64bit2.1.9.deb
sudo dpkg -i MockupsForDesktop64bit2.1.9.deb
po instalacji można usunąć zbędne linki;
sudo rm /usr/lib/libgnome-keyring.so.0
sudo rm /usr/lib/libgnome-keyring.so.0.2.0
DigiNotar
Zmotywowany twittem ioerorra zdecydowanie radzę usunąć certyfikaty firmy DigiNotar z zaufanych certyfikatów. Według the register i paru innych stron w sieci krążą fałszywe certyfikaty googla wypuszczone przez diginotar tak więc trzeba się ich pozbyć. Nie chodzi tu tylko o bezpieczeństwo połączeń z googlem ale też potencjalnie jakąkolwiek inną stroną z którą chcemy się bezpieczniej komunikować – nie wiadomo czy to jedyne fałszywki sygnowane przez to authority.
Teoretycznie najnowsze aktualizacje firefoxa i chrome powinny wystarczyć ale dla pewności wolałem zablokować wszelkie certyfikaty wystawione przez tą firmę.
W firefoxie żeby usunąć certyfikat trzeba chwile poklikać;
edycja (menu) -> ustawienia (menu) -> zaawansowane (zakładka) -> wyświetl certyfikaty (przycisk) -> organy certyfikacji (zakładka) -> znajdujemy i zaznaczamy wpis diginotar -> usuń lub przestań ufać (przycisk, ok)
Poniżej to samo w 3 trochę bardziej treściwych zrzutach ekranu :]
Gdyby kogoś zastanawiał nagły radykalny wzrost aktywności na blogu – szykuje się do ‚kampanii wrześniowej’.
update:
Artykuł na slashdocie wspomina że firma pomimo zewnętrznego audytu nie zauważyła że certyfikat na który zwrócono im uwagę (googla czy jeszcze inny?) dalej jest poza ich kontrolą. Nie widzę żadnego powodu żeby zaufać im że nie dotyczy to większej ilości certyfikatów.
update (2011.09.01):
W zupełnie niespodziewanym zwrocie akcji diginotar przyznało że może jednak ukradziono im nie kilkanaście ale jakieś 200 certyfikatów…
„Hackers may have obtained more than 200 digital certificates from a Dutch company after breaking into its network, including ones for Mozilla, Yahoo and the Tor project — a considerably higher number than DigiNotar has acknowledged earlier this week when it said ‚several dozen’ certificates had been acquired by attackers.
Tymczasem aktualne wersje firefoxa, chroma a zaraz też systemu debian powinny być bezpieczne.
David Lyon
Jakoś to przegapiłem ale na stronie panoptykonu pojawiło się niedawno wykonane przez Kamila nagranie ze spotkania z Davidem Lyonem które odbyło niecały miesiąc temu. Warto obejrzeć i zapoznać się z krytyką postępującego nadzoru z perspektywy nie ‚prywatnościowej’ ale społecznej czy może wolnościowej. Lyon i zespół badawczy z którym pracuje rozwijają ciekawą krytykę tego jak nadzór kształtuje nasze życie w sferach o których często nawet byśmy nie pomyśleli.
Jedno czego mi zabrakło to odpowiedzi na pytanie jakie są efekty nadzoru na wielką skalę – ciekaw jestem wpływu na psychologię społeczną w skali miasta albo państwa, jednak najwyraźniej jest to na razie zbyt trudne do określenia.
Swoją drogą dzięki uprzejmości dziewczyn z panoptykonu i w ramach prezentu urodzinowego od K. przed wykładem zjedliśmy wspólny obiad z prelegentem. Prestiż.
(wersja z tłumaczeniem na stronie panoptykonu)
Ostatnio (ze 2 miesiące temu? :P) przygotowywałem też napisy-tłumaczenie do starszego wywiadu przeprowadzonego z Lyonem odnośnie nadzoru;
Napisy nie wyglądają idealnie ale są niezłym przykładem amatorskiego authoringu na szybko używając opensourca. Napisy dostałem zsynchronizowane ale nie rozbite na linie, żeby je trochę pociąć użyłem Gaupola. Tłumaczenie jest zrobione dosłownie w związku z czym może nie opuszczono tekstu ale za to ciężej go zmieścić. Normalnie w takich sytuacjach opieram się na optymalnych, transmisyjnych standardach channel4 – opublikowali swój zestaw wytycznych dla subtitlingu/napisów. W skrócie maks 2 linijki po 34-38 znaków fontem 28 z cieniem. W tym wypadku była to jednak raczej próba wciśnięcia całości z mniejszym naciskiem na estetykę…
Do ‚wypalenia’ napisów na video używam avidemux który jest świetny i bardzo prostym programem do podstawowej edycji video (chociaż warto zaznaczyć że nie jest to NLE). W szczegóły konfiguracji nie będę wnikał, jest sporo tutoriali i można to samemu wymyślić bawiąc się nim przez chwilę.
Ewakuacja z EveryDNS
Jeśli ktoś jeszcze nie zdążył uciec z everydns najszybsze możliwe wyjście to skrypt migracyjny udostępniony przez cloudflare. Udostępniony przez nich bookmarklet pozwala na zaimportowanie wszystkich wpisów z konta na everydns do ich dość ciekawej usługi, z której można je eksportować do standardowego pliku BIND chociaż dopiero po pełnej konfiguracji i po jednej domenie na raz.
Cloudflare kreuje się na przykład preferowanego przeze mnie modelu biznesowego – zdobywania klientów jakością usługi i uszanowania własności danych, odwrotnie do dyndns.
I o ile nie trudno pogardzać dyndns który kupił i zniszczył wspaniałą usługę jaką był everydns, a obecnie próbuje wymusić haracz za migrację domen na ich system jednocześnie starając się uniemożliwić ich cywilizowane wyprowadzenie z ich „usługi”, to cloudflare też zdążyłem się zawieść… Serwis chwali się możliwością eksportu domen jednak możliwe jest to tylko po skonfigurowaniu/zapunktowaniu każdej domeny na ich usługę i nie ma możliwości masowego eksportu wszystkich domen.
Z everydnsa musiałem wynieść 1k rekordów w około setce domen, skonfigurowanie ich na cloudflare jest z pewnością mniej czasochłonne niż ręczne przeniesienie na inny dns, ale też upewnili się że mało komu będzie się chciało ruszać dalej. Dane niby są dostępne ale nie w nazbyt wygodny sposób, napewno nie umożliwiający wykorzystanie ich jako tylko pośrednika pomiędzy everydns a jakąś inną usługą.
No chyba że ktoś ma czas hacknąć ich skrypt tak żeby generował bindy albo stworzyć stosowny skrypt do ewakuacji z ich usługi ;]
Skrypt/bookmarklet nie działał mi pod firefoxem ale bez problemu poszedł na chromium.
Opcja generowania bindów znajduje się tutaj; CloudFlare.com > My websites > Settings (rozwijane menu koło poszczególnych *skonfigurowanych* domen) > DNS settings > „Export your DNS zone file”.
Zostały 3 dni do końca everydns, szkoda.
harce 
