~stef/blog/

(this post has been translated by rhapsodhy to english)

Mostanában előkerül egyre több ember, aki kezdi kapiskálni milyen szerencsétlen kelepcébe került az interneten és valamit tenni akar ez ellen, de nincs szükséges kapacitásuk ehhez és így nem tudják meglépni (pl gmail/facebook elhagyása). De azért mindenképpen akarnak csinálni valamit. Ha mást nem, akkor annak ekvivalensét, hogy nem lehet folyadékot repülőgépen szállítani. Így hetente jelenik meg egy-egy webes, de "katonai szintű" kripto-chat alkalmazás. Vagy valaki előbújik valami lyukból, aki megmenti az emailt. Önjelölt szakértők hada kripto-partikat szervez 5-10 évvel ezelőtti ellenség modellek ellen készült technológiákat tukmálva ismerőseiknek. Ez utóbbiaknak szól leginkább a következő poszt, hogy ez nem partizás, ez nagyon felelősségteljes és esetenként veszélyes móka:

1. a biztonság egy tudatos, gazdasági és többrétegű folyamat,
2. bizonyos ellenfelek jól motiváltak, és több kapacitással rendelkeznek,
3. védekezőként csak veszíthetsz, erre fel kell készülni, minimalizálni kell a támadás értékét és felületét,
4. ismerni kell az ellenfeleket és kapacitásaikat, ennek megfelelően kell védekezni,
5. környezeti/közvetett támadások,
6. nem-technikai vetületek,
7. sok mitigácíós stratégia nagyon macerás a védekezőnek.

Tudatosság, gazdaságosság és többrétegűség: minél jobban ismered és kontrollálod az eszközöd, annál jobban felismered, hogy mikor csinál olyat, amihez nem járultál hozzá. Ha nem értesz hozzá ki vagy neki szolgáltatva. Tudatosan kell a biztonságot folyamatosan értékelni és megfelelő mitigációs stratégiákat alkalmazni. Ez egy gazdasági folyamat is, 1. egyrészt ha nem célzott támadásról van szó, akkor a támadások nagy része kivédhető, ha a te védekezésed marginálisan drágább megtörni, mint az átlagét. 2. A nem célzott támadó is gazdaságos, minimalizálja a költségeket és maximalizálja a hasznot. 2014-ben a PC-s világban még mindig a Windows/Adobe felhasználók a leggazdaságosabb célcsoport. Van olyan becslés [citation welcome], hogy az Apple felhasználok kb. 18%-os piaci részesedéskor válnak hasonlóan zsíros falattá. Innen fakad, hogy a diverzifikálás egy hatékony védekezés, ha egyedi a rendszerünk (és ez sajnos drága), a támadónak is egyedi - azaz drága - támadást kell kifejlesztenie. 3. túlköltekezni sem érdemes, klasszik példa a 30e forintos bicikli lakat, 10e forintos biciklin. A többrétegűség azt jelenti, a mitigációs stratégiákat rétegszerűen alkalmazzuk, ha az egyik védelem besül, a következő újabb akadályt jelent, és fura mód itt már támadási költség növelő hatása lehet a security-by-obscurity-nak, de csak valós mélységi védelemmel kombinálva.

Kapacitások: mivel ez egy gazdasági rendszer is, ezért a védekezésre befektetett energia és a támadásra költött energia egy bizonyos szint után a biztos vereséget jelenti egy megfelelően erőforrás-gazdag ellenféllel szemben. Másképp: egy megfelelően elszánt és "gazdag" támadó ellen nincs védekezés.

Csak veszíthetsz: támadóként van egy sikermetrika, sikerült elérni a célt. Védekezőként, ha jól csinálod a legjobb, amit csinálhatsz, hogy nem veszítesz. Akkor sem lehetsz biztos, hogy ez nem azért van mert nem vetted észre a támadást. Amatőrként profikkal szemben állni, azt valószínűsíti hogy a védelem elbukik (ld. pl. sony). Emiatt minimalizálni kell a várható veszteséget és ugyanígy a nyújtott támadófelületet is. Az egyik leghatékonyabb módja az adatspórolás, azaz minimalizálod az adatok mennyiségét. pl. nem osztasz meg magadról semmit és rendszeresen törlöd a fél évnél régebbi dolgokat a rendszereidről.

Ellenfél ismerete: 1. tudni kell kik az ellenfelek, 2. mik a képességeik, 3. milyen erőforrásokkal rendelkeznek? 4. mik a lehetséges mitigációs stratégiák Nagyon leegyszerűsített ellenfél osztályok a következők: 4c adversary model: citizen, criminal, corporation, country. Ahol a citizen az átlagos felhasználó. A criminal nyilván mindenfele törvényen kívül szervezett és kevésbe szervezett elem. A corporation az lehet akár google/facebook, de pl akár lehet a munkáltatód is, ha pl bluecoat-ozik - talán ez az egyik leggumibb kategória. És az utolsó osztály az állami szintű ellenfél, ez elsősorban más államoknak van, de ugye vannak pl. mindenféle ellenzéki és kisebbségeket képviselő aktivisták, újságírók, whistleblowerek, akik környezete esetenként kiérdemelnek mindenféle figyelmet.

Környezeti/közvetett támadások: egy támadó számára nem csak a célszemély lehet közvetlen célpontja, hanem annak a környezete is. Így az ellenfél ismerete nem csak a saját ellenfél modellre kell alkalmazni, hanem végig kell gondolni például, hogy a kommunikációs partnereim közül van-e olyan akinek az "ellenfél-modellje" esetleg magasabb szintű, mint az enyém, erről az ellenfél osztályról milyen ismereteim vannak? Látható hogy célszemély kiterjedt közösségi hálója ugyanúgy (ld facebook fényképes taggelés, nsa selfie adatbázis) támadási felület mint bármi más, ami a célpont környezetéhez tartozik. A tudatos támadó a leggyengébb láncszemet igyekszik támadni. És ha ez valami ismerős, aki kevésbé tudatosan védekezik, akkor azt.

Egyéb vetületek: sajnos? a támadások és a mitigációs stratégiák nem mindig technikaik. Gazdasági, oktatási, társadalmi és jogi vetületek is vannak. Sajnos sokan akik leginkább tehetnének valamit, azok ellenérdekeltek. Például jogi szinten várható hogy, mind a hálósemlegességi, mind az adatvédelmi szabályozást el fogják szabotálni az Európa Tanácsban. A lehallgatással kapcsolatban úgy néz ki nem lesz komoly reakció. Az adatmegőrzési irányelv Európai bíróság eltörölte, de lépni még nem léptek a tagállamok. Ezen kívül van a szűkebb jogi vetület - nekünk a törvényen belül kell mozognunk, ez nem minden ellenfélre igaz. És azok akikre ez igaz és lehetőségük van rá folyamatosan tágítják, ami jogszabály-módosításokkal vagy bírósági döntésekkel való legitimációja bizonyos új támadásoknak (ld alkotmánybíróság és a kommentek). Néhány szabályzási javaslat, ami sokat dobna jelenlegi (globális, nem magyar-specifikus) helyzeten:

• általános jogi sérthetetlenség mindenki számára, aki biztonsági lyukakat tár fel, a saját infrastruktúrák hackolásának ösztönzése - nem üldözése, oktatás,
• gyártói felelősség nem-szabad szoftverek esetén (azok gyártó nélkül is javíthatók),
• komoly pénzbeli kártérítések személyes adatokkal való visszaélés esetén,
• minden incidensre nyilvános értesítés és teljes jelentés az incidensről,
• adatvédelmi, hálózatsemlegességi szabályozások bevezetése, adatcsere és adatgyűjtő egyezmények és hasonlók beszüntetése,
• digitális hozadék egy jelentős részét "nem-engedélyköteles" frekvenciaként felszabadítani.

A védekezés macerás: sajnos sok mitigációs stratégia nagyon körülményes a védekezőnek is, így vagy ritkán hajt végre ehhez kapcsolódó tevékenységet, vagy teljesen elhagyja az alkalmazását. Olyan ez mint a fogmosás, nem azért csináljuk, mert úgy élvezzük, hanem azért mert ennek a tevékenységnek a hozadéka nem csak egészségügyi előnyei vannak, hanem a fajfenntartás esélyeit is javítja. Lehet macerás, de vannak dolgok, amiket érdemes alaposan végigcsinálni. Az alaposság fontos, mivel az ördög az implementációs részletekben rejlik (ld openssl pl), és így ez sajnos általában nem triviális. Főleg, ha a rendelkezésre álló eszközök ilyen-olyan okokból még akadályozzák is a triviális használatot.

Egy védekezőnek nyilván az lenne a jó, ha ez az egész pofon egyszerű lenne. A támadó erre a legritkább esetben van tekintettel.

A'tuin Terry Pratchett Discworld világában annak a teknős neve, aki a saját hátán hordja világot, és alatta is végig teknősök vannak ("turtles, all the way down"). Ez jó analógia, arra hogy minden biztosított réteg alatt van meg egy nem-biztosított: a'tuin -> intézményi -> fizikai -> pszichológiai -> böngésző -> OS -> HW -> hálózat -> hálózati OS -> hálózati hw -> tempest sugárzások -> egyéb side-channel -> a'tuin.

A böngészőkre külön kitérek, mert azt mostanában sokan szeretik használni mindenféle snakeoil security megoldás terjesztésére. Ezek a böngészők már rég nem azt szolgálják, hogy böngésszünk weboldalakat. Ezek arra vannak, hogy reklámokat fogyasszunk, online szolgáltatásokat vegyünk. Kiváló példa firefox, akik reklámokat akartak a kezdőlapra, tabokat fényesítettek Snowden óta és DRM-et építenek be a böngészőbe. Ezzel el is jutottunk 7 alapvető ökölszabályhoz, amivel a snakeoil security megoldások 99%-át ki tudjuk szűrni, a legújabb hype snakeoil ha:

1. nem szabad szoftver
2. böngészőben fut
3. telefonon fut
4. nem a felhasználó generálja és kizárólagosan birtokolja a titkosításhoz szükséges titkos kulcsokat
5. nem tartalmaz megalapozott threat modellt.
6. cyber/kiber, katonai, stratégiai, vagy egyéb marketing-szuperlatívuszok használata.
7. figyelmen kivül hagyja a végpontok biztonságának szomorú valóságát.

És akkor befejezésül és gondolatébresztőnek három "költői" kérdés:

1. milyen gyakran frissíted a rendszereid?
2. az emailes jelszavad más weboldalon is használod jelszóként?
3. hány ismerősödnek van gmailes címe, vagy tartod vele facebookon vagy skype-on a kapcsolatot?

Javaslom minden kedves érdeklődőnek bemelegítésnek a https://myshadow.org -ot végigcsinálni és végiggondolni. Aztán jöhet a'tuin. ;)

I wanted to switch to KeepassX to store all my passwords, but I wanted to use GPG to encrypt the passwords. So I came up with pwd.sh. It's a simple shell script that you can bind to your window manager keybindings, and when you invoke it, it uses the current focused window to deduce a key to store the user and the password. For better browsers like Firefox, Chromium, luakit and uzbl this means the currently loaded URLs, for all other windows the current window title. When creating a new password, it is automatically generated only the username is queried. I also wrote a small script that imports all passwords from Firefox into the new format. I'm very happy that now all my passwords isolated from my browsers and they are also protected by my PGP key on my external cryptostick.

When I showed this yesterday in our hackerspace, 2 members immediately installed and started massively improving pwd.sh, thanks asciimoo + potato!

So if you're running linux, like stuff based on the KISS principle, and are a crypto/gpg fetishist you might want to consider trying out this new "keepassx niche-killer" ;)

Check it out: pwd.sh

Az alábbi gondolatok mentén köszöntöttem a Gábor Dénes Főiskola 2012-es évnyitó ünnepségének résztvevőit.

Bruce Schneier az egyik legismertebb kriptográfus szerint

"A hacker olyan személy, aki intellektuális kíváncsiságból, tiszta kreativitásból vagy élvezetből a rendszerek korlátait próbálja felderíteni vagy meghaladni"

- Hacker pl Da Vinci, Nikola Tesla, és nekem egy-két haverom :)

Azonban ők nem csak hackerek, hanem a technológia mesterei, nem pedig egy gyártó v. termék kiszolgáltatottja, ami sajnos inkább jellemző általában. Ezért kötelességünk az embereknek segíteni, hogy ők is ugyanúgy uraljak és értsék a technológiát. Persze ezt nem mindenki veszi jó néven, úgyhogy más kötelességeink is vannak.

A technológia eszköz és infrastruktúra, ami segíthet a céljaink eléréséhez, de nem cél önmagában. Ha a technológia mesterei vagyunk, alkalmazhatjuk azt arra, hogy felülemelkedjünk a best-practice-t alkalmazók szürke tömegéből és ezzel befolyásolhatjuk mindkettőt.

Felelősek vagyunk a technológiáért amit alkotunk. Mint olyan a technológia általában semleges, lehet használni jóra is, rosszra is - (informatika: tömegmegfigyelés vs tudásmegosztás) - korszakváltáskor a rossz nem összekeverendő a régi rendszer haszonélvezőinek elkeseredett propagandájával. Jó példa erre az internet mellett például Gutenberg, aki kivette a tudást a papság kezéből és odaadta a polgárságnak.

Van azonban olyan technológia is, amely összhatását tekintve társadalmilag káros vagy általánosságban emberi alapjogokat sért. Felelősségünk felismerni az ilyen technológiat és azt semlegesítő technológia fejlesztése. (pl. DRM)

Mérnökként kötelességünk a társadalom felé, hogy jellemzően olyan technológiákat biztosítsuk, amelynek a társadalmi hasznossága nagyobb mint a vele okozható kár és/vagy költségek Ha összevetjük például az elektronikus készpénz helyettesítők és az emberek magánélethez való jogát, amennyiben a helyettesítők kiszorítják a készpénz használatát a mindennapokban, a költségek már nincsenek feltétlenül arányban a társadalmi haszonnal.

Walled-garden vs szabad technológia

A technológiának szabadnak kell lennie. Vannak akik úgy gondoljak, hogy a technológiát le lehet szabályozni, hogy csak "jóra" lehet használni. Lehet, de akkor olyan rendszert kapunk, mint az analóg telefonhálózatot, unalmas statikus, nincs benne innováció. Az otthoni internet - és az internet általános elterjedésének az egyik fontos mérföldköve, amikor a amerikai Carterphone döntéssel a modemek felcsatlakozását tettek lehetővé, ezzel felszabadítva az alatta lévő fizikai réteget - az analog telefonhálózatot.

A modemek esetében a központosított rendszerből egy szabad és decentralizált hálózat és olyan innovatív környezet jött létre, amely globális gazdasági hatása letagadhatatlan. A decentralizáció rendkívül fontos több szempontból, az biztosítja a diverzitást, az ellenállóképességet, függetlenséget és a innovációt. Érdemes elgondolkodni például ahogy a bittorrentet tiltják, az IPTV-t meg erőltetni kell. A zárt és szigorú ellenőrzés alatt tartott iphone esetében is inkább a mérsékelten innovatív appok kerülnek jóváhagyásra, azok amelyek a gyártó vagy szövetségesei érdekeit sértik már kevésbé. Az amerikai AOL volt jó példa ilyen zárt kertre, mára mar történelem ez a cég.

A decentralizáció mellett lényeges elem a korlátozó rendszerből egy emergens rendszerbe való váltás. A korlátozó rendszerekkel szemben az emergens rendszereknél általában kevés, megengedő és generatív szabály van. Az ilyen rendszerek azonban időnként kaotikusan viselkednek és előfordulhatnak benne akár "katasztrófák" is (példa erre tőzsdei magasfrekvenciás kereskedők okozta tőzsdei árfolyam zuhanás).

A szerzői jog zseniális hackje a GNU GPL szabad szoftveres licenc. Mivel egy centralizált korlátozó rendszerben (szerzői jog) és azon alapulva alkotott egy újat, amely decentralizál és generatív, 4 egyszerű generatív szabályon alapulva: a szabad szoftvert szabad korlátok nélkül használni, tanulmányozni, módosítani és továbbadni.

Az interneten nincsenek határok, mégis megpróbálják ráerőltetni a helyi törvényeket, az összes ország minden világi és vallási törvényének megfelelni? Az visszatérés lenne az elszigetelt analog világba. Az interneten a tartalom gazdag és széles, mindenki azt fogyaszt amit akar, és ugyanígy el is kerülheti a szennynek érzett tartalmat. Ezt meg kell tanulni, ez médiafogyasztási higénia kérdése.

Befejezésül egy idézet Pekka Himanen és Linus Torvalds The Hacker Ethic könyvéből:

"A hackerek nem értékelik automatikusan többre a szabadidejüket, mint munkaidőt. Mindkettő iránti igény attól függ, hogyan valósul meg. A tartalmas élet szemszögéből az egész munka / szabadidő kettősséget meg kell szüntetni. Amíg különválasztjuk a munkánk és a szabadidőnket, nem is élünk igazán. Ne keressünk értelmet a munkákban vagy a szabadidőnkben, az értelem a tevékenység jellegéből fakad. Szenvedélyből. Társadalmi értékből. Kreativitásból."

Az alábbi szöveg a http://www2.fiu.edu/~mizrachs/hackethic.html magyar nyelvű szintézise, a kiegészítések forrása megtalálható a lábjegyzékben:

"A hackerek nem értékelik automatikusan többre a szabadidejüket, mint munkaidőt. Mindkettő iránti igény attól függ, hogyan valósul meg. A tartalmas élet szemszögéből az egész munka / szabadidő kettősséget meg kell szüntetni. Amíg különválasztjuk a munkánk és a szabadidőnket, nem is élünk igazán. Ne keressünk értelmet a munkákban vagy a szabadidőnkben, az értelem a tevékenység jellegéből fakad. Szenvedélyből. Társadalmi értékből. Kreativitásból."¹

1. rész

A hozzáférési jog: Teljes hozzáférést kell biztosítani a eszközeinkhez és az erőforrásainkhoz. Alapvető küldetésünk az emberek, a technológia és annak használatának és megértése közötti gátjainak eltávolítsa, legyen ez a technológia akármilyen nagy, bonyolult, veszélyes, zárt vagy hatalmas.

Az információ szabadsága:

• korlátozások nélküli (szólásszabadság),
• ellenőrzés nélkül (szellemi monopóliumok),
• kooperatív (nem-rivális jószág),
• elérhető (a terjesztés költsége ~ zéró).

A számítógéppel létrehozhatunk igazat, szépet és javíthatjuk az életet: a hackelés művészeti és kreatív tevékenység, jelképezi az emberiség törekvését a jó, az igaz és a szép felé.

A kommunikációs alapjog: Mindenkinek joga van szabadon kommunikálni és társulni másokkal.

Önvédelem disztópikus jövő ellen: Erkölcsi kötelesség visszaállítani az egyensúlyt, amely lehetővé teszi az egyén számára leküzdeni a nagy, személytelen, erősebb erőket, amelyek ellenőrzik az életüket.

A hackelés növeli a biztonságot: a hackelés egy pozitív tevékenység, mert azt mutatja az embereknek, hogyan javíthatunk a gyenge biztonságon, illetve egyes esetekben segít felismerni és elfogadni, hogy a teljes biztonság drasztikus vagy aránytalan áldozatok nélkül elérhetetlen.

Korlátok leküzdése: a hackelés nem más, mint akadályok megkerülése.

Személyes adatok védelme: Mindenkinek joga van a magánéletének tiszteletben tartásához, ahhoz, hogy a saját magára és családjára vonatkozó információk felett csak ő rendelkezhessen.

2. rész

Érdemek megítélése: Tettek alapján kell ítélni, nem olyan a jellemzők alapján, mint a faj, kor, nem, vagy társadalmi pozíció. Az anonimitás lehetővé teszi, hogy minden ilyen jellemző egy személlyel kapcsolatban titokban maradjon. Az ötleteket, embereket - jellemzők hiányában - az érdemeik alapján kell megítélni.

Bízz, de ellenőrizd! Folyamatosan tesztelni kell a rendszerek integritását és kutatni annak módját, hogy lehet ezeket továbbfejleszteni. Ne hagyd másra karbantartási és kapcsolási rajzokat, értsd meg teljes mértékben azokat a dolgokat, amiket használsz vagy amik hatással vannak rád. Ha ki tudsz használni bizonyos rendszereket (mint például a telefonos hálózatot), ahogy soha nem állt szándékában tervezőknek, annál jobb. Ez segíthet jobb rendszereket teremteni. Az egyik ilyen rendszer, amely folyamatos felülvizsgálatot, tesztelést és módosítást igényelhet, az alkotmányos demokrácia.

Védd a személyes adatokat, használd a közérdekü adatokat²: A transzparencia a gyengék ellenőrzése a hatalmasok felett, a személyes adatok védelme pedig a gyengébb védelme a hatalmasok visszaéléseivel szemben.³

Ne bízz a központosításban: Népszerűsítsd a decentralizációt. Az olyan eszközök, mint a számítógép, lehetőséget adnak a "kisembernek" a nagy szervezetekkel szembeni erőviszony kiegyensúlyozására.

3. rész

Ne légy túlzottan önző: Vedd figyelembe a több hacker érdekeit.

Ne pazarolj: erőforrások nem maradhatnak feleslegesen kihasználatlanul. Pazarlás, hogy távol tartják az embereket rendszerektől, amikor használni lehetne őket üresjárati idő alatt. Ugyanígy pazarlás a felesleges bruteforce vagy DoS támadas.

Ne hagyj nyomot: Ne maradjon nyoma a jelenlétednek, ne hívd fel a figyelmet saját magadra és módszereidre. Legfeljebb inspiráló, hasznos, másokat semmilyen formában nem akadályozó dolgokat hagyj hátra.

Ne kalózkodj nyereségből: kalóz szoftverek értékesítése; (blackhat) hacking haszonszerzés céljából; selling-out

Ne potyázz: önző dolog, mindig csak elvenni és soha nem visszaadni. Ne profitálj huzamosan viszonzás nélkül mások erőfeszítéseiből.

Ne rombolj: A Schumpeteri rombolás kivételével - idegen rendszerek, hardver megsemmisítése, más felhasználóknak ártás, rosszindulatú vandalizmus, adatok visszafordíthatatlan károsítása vagy elpusztítása ellentétes az itt leírt értékekkel és rombolja a közmegítélést.

Ne lopj: információk, szolgáltatások és szoftverek nem képeznek tulajdont, hardver, fizikai tulajdon, pénz, és a pénzügyi szolgáltatások (hitelkártya, digitális készpénz, telefonkártya számok, stb.) azonban igen, így ezek lopása még mindig helytelen.

Ne kérkedj: A hencegés elfogadható zárt körökben, azonban elfogadhatatlan hencegni, provokálni vagy gúnyolni adminisztrátorokat, moderátorokat, bűnüldözési, vagy egyéb hatóságokat, vagy bármely nyilvános fórumon, ahol általában az ilyenek jelen vannak.

Ne kémkedj: adatokba való betekintés, emberek nyomon követése, és a magánszférájukba való behatolás elutasítandó.

Ne köpj: más hackerek bemártása.

Végszó

Ha legközelebb valami nagyokos megint riogat gonosz hackerekkel, akkor jusson eszünkbe, hogy az olyan hackerek nélkül mint Gutenberg, DaVinci, Tesla, Neumann, és egy csomó ismeretlen hacker nélkül nem itt tartanánk, ahol. Az ilyenekből több kell, nem kevesebb.

thx a segédkezőknek! mirroring welcome, megjegyzések mailben.

1. The Hacker Ethic: by Pekka Himanen and Linus Torvalds, ISBN: 037575878X, ebook ISBN: 9780307529589

2. Chaos Computer Club 10 szabálya: http://dasalte.ccc.de/hackerethics?language=en

3. Yochai Benkler, http://twitter.com/wikileaks/statuses/49995193147076608

Gyarmatosítási módszerek, államoknak hadseregeik vannak, cégeknek meg befolyásuk.

"Minden hadviselésnek törvénye, hogy legjobb épségben hagyni az ellenséges országot, elpusztitani, nem már nem olyan jó." - Szun Tzu

...így hadsereg helyett nemzeti érdekek álcája mögül kereskedelmi egyezményekkel terjeszkedtek (banán tarifák, dohány, etc), ez vezetett az olyan egyezményekhez, mint a GATT, TRIPS, a szabadkereskedelmi egyezmények, stb. Ebből lett a WTO és a WIPO nemzetközi szervezet, mivel ezek úgy-ahogy demokratikusan működnek, bekerültek a civil szervezetek és a fejlődő országok (legfőképp Brazília, Kína, India és Oroszország). Így itt a befolyás jelentősen csökkent. megjelent a mezőgazdasagi és természeti erőforrások mellett egy új értékosztály is, a "szellemi monopóliumoké", itt is komoly gyarmatosítás folyik, ennek egyik kedvelt eszköze a kereskedelmi szankciókkal való fenyegetőzés:

• Spanyol leak
• Wikileaks sürgönyök világszerte
• Magyar sürgönyök

Külföldi bejelentők Magyarországon¹

De ez nem elég, így az "információs" társadalomban élen járó és néhány fejlődő csatlós kell mutatóba: Egyesült Államok, Japán, az EU, Dél Korea, Mexico, Svájc, Marokkó, Kanada, Ausztrália, Szingapúr és Új Zéland. Pár éve ezek az országok saját zárt "klubot" hoztak létre, hogy titokban, kereskedelmi egyezménynek álcázva kisajátítsa a világ szellemi értékeit. Banán és kávé tarifák helyett széles körben a magáncélú felhasználást is büntethetővé tennék. Az egyik tárgyalási forduló után készült egy lista azokról akik - szemben a civil társadalommal - hozzáférhettek a tárgyalási dokumentumokhoz, ime egy kivonat:

• International Intellectual Property Alliance
• Time Warner Inc.
• Eli Lilly and Company
• Cisco Systems, Inc.
• Anheuser-Busch Companies, Inc.
• Merck & Co., Inc.
• Biotechnology Industry Organization
• Entertainment Software Association
• CropLife America
• Representing the Thomas G. Faria Corporation
• Recording Industry Association of America
• IBM Corporation
• Intellectual Property Owners Association
• Motion Picture Association of America, Inc.
• Association of American Publishers, Inc.
• General Motors Corporation

Magyar bejelentők belföldi bejelentései¹

A TRIPS egyezményben meghatározott kereskedelmi felhasználással szemben, az ACTA az eredeti céllal - a káros hamisított gyógyszereket, vagy gyenge minőségű kereskedelmi mennyiségű termékeket bűnözői körök forgalomba hozásával - szemben hatástalan. Ellenben fenyegeti a KKV-ket, a generikus gyógyszerek korlátozásával a világ népegészségügyet, a megújuló energiaforrások hasznosítását, a másodlagos utángyártott alkatrész ipart, biotech ipart, stb.

"The Dutch port of Rotterdam is a major transit hub as well as key point of exit and entry for Europe. India says Dutch customs seized at least 19 consignments of drugs in 2008 and 2009, including treatments for blood pressure, cardiological conditions, HIV AIDS, schizophrenia and dementia. French and German customs also seized drugs." - http://www.indiabrazilchamber.org/en/?p=1519

Magyar bejelentők külföldi bejelentései¹

Az egész egyezményt teljes titokban tárgyalták, mindenféle társadalmi konzultáció nélkül, és mindezidáig egyetlen politikus sem vállalta fel nyíltan az ACTA támogatását.

Az USA kivétel az egyezmény kötelező érvényű, így később ha megváltoztatják a saját szellemi monopóliumokra vonatkozó jogrendszerüket, a többi aláíró partner állam versenyhátrányba kerül, mert őket köti az egyezmény. Skizofrén jelenet lehetett, amikor itthon Orbán Viktor a nemzeti függetlenség örzője, a napokban szólította fel a minisztériumot az egyezmény megkötésére.

Egyetlen valódi reményünk maradt, az Európai Parlament. 2009 óta együttdöntési - egyfajta vétó joguk - van. Ez egy új vívmány, és ha nem élnek vele, akkor precedenst teremtenek arra, hogy teljes jelentéktelenségbe süllyedve mostantól minden törvényt nemzetközi egyezmény segítségével erőszakolnak rá, minden demokratikus intézményrendszert mellőzve. Az EP-ben ez az eljárás most van folyamatban, és két dolog van, ami eldöntheti a dolgot:

1. Ha az EP kéri az Európai Bíróság álláspontját az egyezménnyel kapcsolatban.
2. Ha a parlament a végső szavazáson nemet mond az egyezményre

Ha a parlament nem ezt teszi, akkor ez olyan, mintha valaki levágná a frissen átültetett szuper robot lábait.

Ebben az ügyben Magyarország szempontjából Szájer József a kulcsember, hiszen ő a 14 tagú FIDESZ delegáció vezetője - és összesen 22 magyar képviselő van az EP-ben.

Mivel az IMF mellett más fenyegetések is leselkednek országunk függetlenségére, ezért akinek számít az innováció, a demokrácia, a jogállamiság, és a nemzeti függetlenség, az kérem vegye ki a részét az lenti szervezetek kampányaiban, tájékozodjon és kérdezzen rá a felelősségüket elkerülő politikusoktól.

Foundation for Free Information Infrastructures

• http://action.ffii.org/acta/
• http://acta.ffii.org/

European Digital Rights

• Mi teszi az ACTA-t oly vitatottá? Miért érdekes ez az EP képviseloknek?
• http://www.edri.org/edrigram/number10.1/whats-wrong-with-ACTA
• http://www.edri.org/search/node/acta

La Quadrature du Net

• http://www.laquadrature.net/en/ACTA
• http://www.laquadrature.net/en/anti-counterfeiting-trade-agreement-acta

Act-on-Acta

• http://rfc.act-on-acta.eu/access-to-medicine
• http://rfc.act-on-acta.eu/fundamental-rights
• http://en.act-on-acta.eu/Main_Page

korábbi posztok ACTA témában

• Nov 18 2009 ACTA
• Dec 11 2009 acta - nyílt levél az eu-nak
• Jan 19 2010 acta fejlemények
• May 14 2010 acta-brief
• Oct 13 2010 ACTA magyarországi ratifikációja
• Dec 23 2010 ACTA magyarországi ratifikációja válasz
• Jan 26 2011 acta és a jövőnk
• Jan 27 2011 acta - következmények

update

Ma le is mondott az egész cirkusz miatt az EP véleményéért felelős referens:

I want to denounce in the strongest possible manner the entire process that led to the signature of this agreement: no inclusion of civil society organisations, a lack of transparency from the start of the negotiations, repeated postponing of the signature of the text without an explanation being ever given, exclusion of the EU Parliament’s demands that were expressed on several occasions in our assembly. As rapporteur of this text, I have faced never-before-seen manoeuvres from the right wing of this Parliament to impose a rushed calendar before public opinion could be alerted, thus depriving the Parliament of its right to expression and of the tools at its disposal to convey citizens’ legitimate demands. Everyone knows the ACTA agreement is problematic, whether it is its impact on civil liberties, the way it makes Internet access providers liable, its consequences on generic drugs manufacturing, or how little protection it gives to our geographical indications. This agreement might have major consequences on citizens’ lives, and still, everything is being done to prevent the European Parliament from having its say in this matter. That is why today, as I release this report for which I was in charge, I want to send a strong signal and alert the public opinion about this unacceptable situation. I will not take part in this mascarade. - Kader Arif, rapporteur for ACTA in the European Parliament

Lábjegyzetek

1. Grafikonok a Magyar Szabadalmi Hivatal Éves jelentés 2010 (pdf) alapján készültek.

Clicktracking is evil, dnet and endre specified the details of an anonymous URL unshortening service (UUS), anonshort. Basically it resolves HTTP and HTML meta redirects, and cleans out those annoying Urchin Tracker Module URL parameters.

We currently don't provide a web user interface, only a very slim web API. Simply construct an URL by appending the shortened URL to http://anonshort.hsbp.org:8080/?u= and get a resolved URL back. Easiest is in the command line with curl:

curl 'http://anonshort.hsbp.org:8080/?u=<URL>'

the same service is also available for even more privacy as a tor hidden service at:

http://ixzr427vwpmxk3io.onion

using this tor hidden service is similarly easy with curl and torify:

torify curl 'http://ixzr427vwpmxk3io.onion/?u=<URL>'

We do cache the results, but we do so in a way that prohibits even us to deduce the input and output URLs without knowing the input URL. The algo is quite nifty i hope it stands up to scrutiny (check out cache.py).

All resolves are running over tor, the user agents are chosen from a pre-selected set of samples taken in the wild.

There was talk of a web-interface as well, let's see how that evolves.

enjoy it!

i figured code is a mightier sword than mere words. please forgive me for focusing on forging instead of mumbling:

• burnstation2: a tool to educate people that file-sharing can be legal, a fork of pyjama. We needed some software to access Jamendo, pyjama was perfect, together with a touchscreen we have a nice burnstation. (kudos to the original pyjama author(s)!)
• playful swarm simulation - a game for evolutionary pythonistas. Also a product of h.a.c.k. several of us modeled and visualized simple swarm behavior, it's a lot of fun to tweak the config to get the most stable setup. (thx, dnet+asciimooo)
• ksh-scraper: liberating the data of the Hungarian Statistical Office. Our contribution to the Open Government Data Hackday December 2010, using a simple greasemonkey script (install) all statistical data on the Hungarian Statistical Office are also available as CSV downloads (shouts to asciimoo).
• memopol2: i'm contributing to this important project, which gets especially interesting when combined with weurstchen and pippi. (greetz lqdn!)
• django-mongo-annotator: annotator rocks, but didn't support django/mongo out of the box. not anymore!

And some other important projects, which i will address in separate posts:

• omnom (formerly known as tagger, tagr): capitalizing on the faked demise of del.icio.us, an attempt to get it right and free, including snapshoting of bookmarked pages. (live demo) (thx smari)
• weurstchen: the EU legislative machinery is always churning out new law, weurstchen monitors this. (live demo) (thx smari)
• deaddrop: responsible leaking for reckless copycats. anonymous delivery services for everyone else.
• pippi longstrings is alive, automatically importing eur-lex, etherpad and co-ment documents, and allows commenting using annotator. (live demo)

if you like this, please consider flattring me.

I hope these projects make up for not posting here. If not, here: have some shiny distracting movies generated by the swarm simulation: (HD:mp4,SD:ogv) of swarms (greens=algae, white=fish, red=shark):

Download Video: Closed Format: "MP4" Open Format: "Ogg"

Download Video: Closed Format: "MP4" Open Format: "Ogg"

Download Video: Closed Format: "MP4" Open Format: "Ogg"

Download Video: Closed Format: "MP4" Open Format: "Ogg"

Tavaly már többször volt arról szó, hogy különböző csapatok a mobil kommunikáció biztonságán dolgoznak. Az év végi 26c3 kongresszuson a GSM-et védő A5/1 titkosítást 1 perc alatti törését 30e dollárra árazták be. Írt erről a New York Times, az Index, a PET-portál. Ez utóbbi kijelentésével ellentétben, a kapcsolódó szabványok nyilvánosak, és a GSM hívások lehallgatásához elegendő 1 db 1500 dolláros USRP. Egyébként a lehallgatásnak nem kell valós időben történnie, elég a titkosított beszélgetést később visszafejteni... Ami érdekesség ezzel kapcsolatban, hogy a 26c3-on a kapcsolódó workshopot jogi aggályok miatt törölték.

Minderre a telkó ipar reakciója igen gyenge volt, a legtöbb amire futotta:

"A5/3 is a better encryption algorithm and there has been a long-standing proposal to make this the preferred cipher in GSM," he said. "But no network operator with one exception that I'm aware of has started adopting A5/3 so far."

Közben - az imént javasolt - az UMTS-ben használt A5/3 algoritmusban is találtak elméleti törést. Ezt a hírt a PET-portál sajnos félreérti, a related-key támadás csak nagyon nehezen kivitelezhető. Emiatt egyelőre csak elméletinek tekinthető a törés. De egy szólás szerint a törések sosem lesznek rosszabbak... :)

GSM @26c3

A telkó iparnak van még néhány csontváza. Hadd mazsolázzak egy kicsit a 26c3 előadásai között. A telkó hálózatot több irányból lehet támadni:

• a telefonról a signalling stack-et,
• a gsm chip irányából a fizikai hálózatot,
• a telefonokat a hálózat felől.

Ha már a szennyesről beszélgetünk, ne feledkezzünk meg arról az előadásról, ahol az osztrák quintesszenz munkatársa bemutatta, hogy az egyik európai telkós szabványtestületben (ex-?)hírszerzők határozzak meg a "törvényes megfigyelés" interfészét. Ezeket minden gyártó implementálja, mivel enélkül nem exportálhatná pl Iránba a "megoldását". Itthon valószínűleg ugyanezek futnak, csak konfigfájlból defaultból le van tiltva. Vicces, amikor ez a szabványosítási bizottság összeül, előtte írásban vállalják, hogy nem kémkednek és törnek be egymás gépeire... :)

26c3 epilog

És még a végére pár érdekes adat a 26c3-ról:

• 20Gb internet uplink,
• 123TB adatforgalom volt a belső hálón,
• 7500 különböző gép a belső hálón,
• 500 felhasználó a saját GSM hálón,
• összesen 11e üveg Club Mate fogyott,

Érdemes csemegézni az előadások videói között. A hangulatot buherátornál nem tudom jobban visszaadni.

Már felmerült, hogy kellene 27c3 csatornát nyitni. :)

meghozták az egyik projektemhez a gumstix overo fire beágyazott fejlesztőkészletet. Mit tud?

• Texas Instruments' OMAP 3530 with an MPU Subsystem featuring a 600-MHz ARM Cortex™-A8 Core, NEON™ SIMD Coprocessor, DSP and OpenGL ES 2.0
• 256/256MB RAM/Flash
• IEEE 802.11b/g +Bluetooth™ v2.0 +EDR
• microSD adapter
• oprendszer: linux, fejlesztőkörnyezet: openembedded.

Igen, ez a sok cucc, mind rajta van azon a kis kütyün az öngyujtó mellett.

Mint említettem, linux fut rajta. Ezen a képen egy kiegészítő board segítségével a géphez egy touch LCD-t kötöttem. Ha lenne mini-USB konverterem, még billentyüzetet is tudnék hozzá csatolni és komplett gép lenne. :)

Teljesértékü gépről csak akkor beszélhetünk, ha van rajta passziánsz. :)

Valójában egy teljes - inyencek, tessék megkapaszkodni - enlightenment 17 környezet fut rajta, komplett Gnome támogatással.

Meg firefox...

Rendes firefox, nem valami lebutitott böngésző, amit megszoktunk az okostelefonokon. Simán fut minden javascript, még a googlemaps is. \o/

Mindenesetre az alapboard wifijével és bluetoothjával fogok sokat játszani a közeljövőben, csak figyeljétek a github accountomat. :) Két dolgot hiányolok az egészből, egy jó aksit és a gsm/umts támogatást utóbbi kivánság talán csak egy újabb év várakozást igényel. :)

Ahogy elnézem ez a kis kütyü egy teljesértékü gép, hogy a kernelből mennyi a nem-szabad bináris blob, még nem sikerült kiderítenem.

[update: fixed typos]

Harald Welte megjelentette a HAR-on végzett GSM kisérlet eredményeit. A leglényegesebb eredmény szerintem az RRLP protokol problematikája:

Many modern smartphones with GPS receiver are rumoured to have support of the RRLP protocol. According to its specification, RRLP enables the netwokr (or anyone claiming to be the network) to obtain the current GPS fix of the MS without any form of authentication. The operators of the test network consider this a dagnerous feature of GSM networks and were intereted in determining if this protocol is actually implemented in real-world MS. Therefore, OpenBSC was extended to send a RRLP position request message every time a dedicated channel was established, e.g. at location update, mo/mt sms and mo/mt voice call establishment time. Implementation of this feature was only finished on the last day of the test, explaining the relatively little number of successful (and unsuccessful) RRLP requests. Result: RRLP is not just a theoretical feature specified in the GSM/3GPP specs. It is implemented by numerous high-end smartphones. There is no authentication of the network. There is no notification of the user. There is no way for the user to disable this [mis]feature. Impact: Public debate about this feature is needed. Operators probably need to consider working on a policiy for using this feature in their privacy policy.

Az RRLP protokol segítségével a hálózat-operátor pontosan le tudja kérdezni a készülékek pozicióját. A hálózat maga viszont nincs védve, így minimális befektetéssel, szinte bárki igen pontos nyomkövetést tud alkalmazni. Félelmetes.

Ez a projekt igen figyelemre méltó, Ákos gén-módosított e-coli bacikat tenyészt. Amikor megvilágítja a bacikat ultraibolya fénnyel, a génmódosítás hatására bacik visszavilágítanak. Egy 3d nyomtató segítségével ezután az e-coli törzset tintaként használja és különböző ábrákat rajzol velük. Az egészet tudományos alapossággal kutatási naplószerű blogban dokumentálja.

A dolog legszebb része, hogy magát az életet használja mondanivalójának kifejezésére. Az élet pedig kegyetlen, hol a környezeti viszonyok nem stimmelnek, az Ars Electronican pedig ellenséges vírus támadta meg a "tintát". Emiatt aztán, eddig egyetlen alkalommal sikerült kiállításon "villantania" (erről pont nincs sehol post, se kép). Az alapanyag érzékenysége csak még izgalmasabbá teszi a projektet. Ha egyszer sikerül ezt a munkáját kiállítania, annak az értéke az előzőek tudatában jelentősen megnő.

go green bacteria, GO! :)

Hobbitfalván felpezsdült az élet. Összegyűltek a környékbeli kalandozók és szinte ugyanazon a héten a megyeőrség beszállítói is megtartották éves zsibvásárukat.

Kezdjük a vásárral, itt a legújabb varázslatokat lehetett kipróbálni. Varázsenergiát nem spórolva a kapuőrség tagjai a vásár minden látogatóját egy talizmánnal látták el. Így vásár területén található látnokoktól meg lehetett tudni, hol tartózkodnak egyes vásárlók. Egy próbaképpen megkérdezett látnok szerint az egyik ismertebb beszállító a vásártér közepén lelhető fel. Valójában a keresett látogató éppen beszédet mondott az egyik külső sátorban. Egyébiránt is úgy tűnt, hogy a beszállítók inkább az illuzionista irányt követhetik, hiszen az igen erős kapuőrséget az ügyetlenebbek is könnyedén meg tudták kerülni és mindenféle ellenőrzés nélkül el tudtak vegyülni az igen sűrű tömegben. Az vásár nem múlta felül a várakozásokat, leginkább arról szólt, melyik kovács mekkora kardot és pajzsot tud készíteni.

A kalandozók összejövetele érdesebb volt, ők a gólyavárban gyűltek össze. Fele annyian sem voltak, mint a beszállítók. Talán éppen ezért hasonlított a hangulat egy - hajnali késdobálással megspékelt - kiválóan sikerült vidám kocsmázásra. A felsorakoztatott fegyverarzenál jóval kifinomultabb volt. Itt is az volt a lényeg, kinek nagyobb a kardja és ki forgatja ügyesebben, ha kell akár élő - és időnként igen látványos - bemutató segítségével. Arról kevés szó esett, mire is jó ez a sok a kard. Kivételként kell értékelni a látnoki mágia ellen szerveződő kerekasztalt és a szabad kódexmásolást gyakorlók első lajstromát elkészítő tudósembert.

Arról senki nem beszélt, hogy szomszédaink milyen hősies harcot vívnak Mordor seregei ellen. Lehet, hogy ilyen beszédtémákkal felhívjuk magunkra a sötét erők figyelmét. Ám amikor a Megye határában sikoltoznak a lidércek, akkor már mindegy lesz, mekkora a kard.

A HAR egyik legnagyobb húzása a GSM hálózat volt. Több éve ki vagyok téve a telekommunikáció iparának, de ennél izgalmasabbat nem nagyon láttam még :) A német CCC és Harald Welte vásároltak ebayen pár Siemens MicroBTS 11-est (és tovább is árusítják), megírták hozzá a telkós szabványok alapján a szoftvert, a HAR szervezői pedig szereztek egy tesztlicencet a HAR idejére.

A GSM hálózatot biztonsági szempontból is górcső alá vették, a forgalmat lehallgatni némi spec hardver (kb 1000EUR) segítségével nem nehéz. Sőt a pár éve már egyszer beígért GSM titkosítás feltöréséhez szükséges táblázatokat is elkezdték újragenerálni.

Miért izgalmas ez?

• közösségi GSM, akár olyan helyeken is, ahol a szolgáltatóknak nem éri meg már szolgáltatni.
• a GSM zárt technológia volt eddig, gyakorlatilag a "security-through-obscurity" hibát követték el a tervezők. Ha figyelembe vesszük, hogy különböző (versenyhez köthető) okokból a telekommunikációs szabványok igen bonyolultak, már most lehet sejteni, hogy mennyi hibára lehet számítani.
• a telkó szolgáltatók hajszát indítanak a saját piacaik védelmében, meg leszünk vádolva (talán még le is terroristáznak), hogy veszélyeztetjük nemzetek kommunikációs infrastruktúráját (céges profit nem egyenlő a nemzetbiztonsággal). Ha pár ITs srác meg tudja csinálni pár euró befektetéssel, akkor a szervezett bűnözés és más rosszindulatú szereplők számára ez már rég lehetőség.

Alábbiakban a kapcsolódó előadások:

• OpenBSC - Running your own GSM network (videó)
• Airprobe - Monitoring GSM traffic with USRP (videó)
• Cracking A5 GSM encryption (videó) segítségre van szükségük, ha van pár elfekvő xilinx fpgad, akkor segítsd a számitási munkákat.

Utána kéne nézne, nem lehetne egy ilyet állandóra telepíteni Budapestre, tökéletesen mutatna egy helyi hackerspaceben... :)

HAR-ról lesz még beszámoló.

The Cult of Done Manifesto - Bre Pettis, Kio Stark

1. There are three states of being. Not knowing, action and completion.
2. Accept that everything is a draft. It helps to get it done.
3. There is no editing stage.
4. Pretending you know what you're doing is almost the same as knowing what you are doing, so just accept that you know what you're doing even if you don't and do it.
5. Banish procrastination. If you wait more than a week to get an idea done, abandon it.
6. The point of being done is not to finish but to get other things done.
7. Once you're done you can throw it away.
8. Laugh at perfection. It's boring and keeps you from being done.
9. People without dirty hands are wrong. Doing something makes you right.
10. Failure counts as done. So do mistakes.
11. Destruction is a variant of done.
12. If you have an idea and publish it on the internet, that counts as a ghost of done.
13. Done is the engine of more.

Állítolag 20 perc alatt készült az egész :)

ez a post már nagyon régóta érik. firefox létminimum:

• noscript: a web sokkal jobb így, néha kell csak kivételt engedélyezni.
• torbutton: az elérhető legjobb anonimitás érdekében. (kell hozzá persze egy tor proxy is)
• foxy proxy: ha laptoppal különböző helyeken különböző proxykat kell használni naponta váltogatva...
• useragent switcher: nem mindenki érdemli meg a teljes igazságot... :)

• tabmix plus: sokkal jobb tab kezelés. A tab melletti üres helyre duplaklikk és új tab nyílik. Ugyanoda ctrl-klikk újra megnyitja a legutóbb bezárt ablakot, igény szerint tud gesture-öket is.
• firebug: leggyakrabban flashvideok letöltésére használom (net panel). De a fejlesztésben is nélkülözhetetlen. Egyszer egy online javascript strip poker játékban firebuggal gyorsítottam fel a játékot... :)
• hidemenubar: nem kell mindig a felső menüsor, elég ha az ALT megnyomására ugrik elő..
• download statusbar: szörnyü a beépített download ablak. Ez elűzi a statusbarba, érdemes azt is átkapcsolni mini üzemmódra.
• greasemonkey: gyakran látogatott weboldalak testreszabása. a google képkeresőben a találatokra nálam direktben a kép jön be, nem a google-féle karácsonyfa oldal.
• scrapbook: az olyan oldalakra, amik pár év múlva már nincsenek a neten, nekünk azonban jól jön később is.
• it's all text: ha hosszabb anyagokat irok, akkor szeretem a saját szerkesztőmben tenni. A firefox textarea widgetje nekem egy kicsit a notepad keserü ízét idézi.