W odpowiedzi na cenzurę

Kilka dni temu miały miejsce głośne dość zajęcia przez agencje amerykańskiego rządu kilkudziesięciu domen, pod pretekstem akcji zwalczającej naruszania praw autorskich i handlu podróbkami. Nie była to pierwsza akcja, w której rząd amerykański, zamiast przejmować się jurysdykcją, zasadnością itp. po prostu wykorzystał fakt, że system nazw domenowych (DNS) zarządzany jest centralnie przez jedną instytucję na świecie (ICANN), na dodatek amerykańską i zamiast bawić się z wyrokami, likwidacją hostów i serwerów, bo prostu przejął domenę przekierowując ją na swój serwer z ładnym obrazkiem.

Oczywiście, kontrowersje budzi zarówno kwestia zasadności takich działań – na jakich podstawach wytypowano domeny, czy ich skuteczności – serwisy wciąż działają i dostępne są bezpośrednio poprzez adres IP, czy też inne, nie zajęte jeszcze domeny. Co gorsza, skoro można przejmować domeny na podstawie samych podejrzeń, to co stoi na przeszkodzie, aby użyć tego mechanizmu do cenzurowania treści, jak choćby takich, które pojawiają się w serwisie Wikileaks?

Oczywiście, to działanie połowiczne, nastawione na doraźny zysk i przeszkodzenie mniej umiejętnym użytkownikom internetu. Co gorsza, mają one szanse na powodzenie jedynie w sytuacji istnienia scentralizowanego systemu nazw domen. Sam fakt, że jest on pod kontrolą instytucji amerykańskiej dodatkowo ułatwia sprawę, ale to nie jest największa wada tego systemu.

W odpowiedzi na takie działania, z pewnością nie ostatnie, rozpoczęto prace na alternatywnym, rozproszonym systemem nazw domen – dot-p2p.org – oparty o zasadę P2P, czyli wymiany informacji o nazwach pomiędzy komputerami uczestniczącymi w systemie bez pośrednictwa systemu centralnego przy pomocy protokołu podobnego do bittorrent. Czy system powstanie i będzie działał, to się okaże, ale obserwując działania rządu USA i nowe cenzorskie prawo tamże uchwalane, ma duże szanse na powodzenie w walce z cenzurą. Na razie rząd wygrywa potyczki, ale jeszcze nie wygrał wojny z wolnością słowa w internecie.

  • To tak nie jest do końca z ta kontrolą DNS. ICANN rzeczywiście jest amerykański i może to być źródłem pewnych kłopotów. Wystarczy jednak zrobić dwie rzeczy:
    – postawić własny serwer DNS (proste) tak by sam poszukiwał domen z pominięciem ICANN (trochę trudniejsze)
    – zmusić userów do udziału w takim projekcie (trudne).

    DNS ze swojej natury jest systemem rozproszonym. Tak jak cały internet. ICANN gwarantuje tylko, że każda domena może być w razie czego odnaleziona na ich serwerach. Zazwyczaj domena jest znacznie wcześniej odszukiwana czy to w systemie użytkownika (dns-cache), czy to providera, czy serwerze dns hostingu. Zresztą najlepiej obrazuje to atak przez „zatrucie dns”, czyli podłożenie innej lokalizacji niż oryginalna.
    Sam pomysł dot-p2p nie jest czymś niezwykłym. Jest mówiąc delikatnie wymyślaniem koła od nowa. Wystarczyło by na bazie obecnego systemu DNS postawić odpowiednie „farmy DNS”, które były by konkurencją dla ICANN. A tak tworzymy nowy standard, który będzie żył własnym życiem pozbawionym perspektyw na wybicie się.

  • spindritf

    > ICANN gwarantuje tylko, że każda domena może być w
    > razie czego odnaleziona na ich serwerach.

    ICANN przede wszystkim gwarantuje, że każda domena może zostać odnaleziona tylko raz i będzie, z grubsza, wszędzie zawierać to samo.

  • Problem w tym, że mimo rozproszenia serwerów DNS jest to hierarchia, w której (w określonych przypadkach) każdy element musi być aktywny, aż po ostatni element – serwer root. Zabraknie któregoś elementu i system przestaje działać. Zmodyfikujemy wpis w roocie – pozostałe, rozproszone serwery muszą ten fakt zaakceptować.

    Każdy użytkownik może mieć własny „serwer” DNS – plik hosts doskonale do tego służy i jest bardzo łatwy w „postawieniu”. Niestety, bardzo niewygodny w praktyce.

  • spindritf

    > Zmodyfikujemy wpis w roocie – pozostałe,
    > rozproszone serwery muszą ten fakt
    > zaakceptować.

    Nie, nie muszą. Wszelkie informacje z systemu DNS dostajesz tylko, jeśli o nie poprosisz. Siła obecnego roota tkwi w tym, że praktycznie wszyscy z niego korzystają.

    > Każdy użytkownik może mieć własny
    > „serwer” DNS – plik hosts

    Każdy użytkownik może mieć własny serwer z prawdziwego zdarzenia, przekazujący wybrane zapytania do innej hierarchii serwerów niż ta podległa ICANN-owi. Pomysł z plikiem hosts powstał, bo rozprowadzanie takiego pliku jest łatwe do rozproszenia.

  • Niezależnie czy to nasz lokalny serwer DNS czy serwer naszego dostawcy (czy nawet Google), mus on korzystać z hierachii i ostatecznie z root serwera. Z paru powodów: choćby aby zapełnić swoją bazę nazw, która z przyczyn technicznych będzie zawsze niepełna, oraz aby uaktualnić swoje wpisy, bo adresy IP przypisane domenom jednak się zmieniają.

    Posiadanie własnego serwer DNS nie zapewniłoby, że miałbym obecnie dostęp do serwera do niedawna dostępnego przez zajętą domenę torrent-finder.com. Nigdy nie korzystałem z tej domeny, więc własny serwer DNS nic by nie pomógł – musiałby przepytać serwery wyżej w hierachii.

  • Ahk4iePaiv8u

    …albo odpytać jakieś gugle o to jaki adres IP miała tamta domena. Postawienie własnego DNS czy wykorzystanie pliku hosts ( taki plik znajduje się w każdym z obecnie używanych systemów z windows włacznie ), to nie jest szczególny problem, ale nie tu jest pies pogrzebany. Zerknę sobie na ten system dot-p2p, ciekawym jak tam jest rozwiązana kwestia aktualizacji stref na co dalszych elementach nieautorytatywnych stref cache’ujących..
    Należy zdawać sobie sprawę, że cały internet, z DNSem na czele, mailami, stronami www i tak dalej, całe funkcjonowanie tej sieci, jest zbudowane na technologiach z przynajmniej 30-letnim rodowodem z małych sieci akademickich. Na ich podstawie nadbudowano niepoliczalną ilość unowocześnień i rozszerzeń, ale podstawy całego systemu w zasadzie nie uległy zmianie, przyglądając się nieco bliżej można znaleźć różne „smaczki”, zaszłości, nie uległa szczególnym zmianom struktura protokołów typu challenge-response, konstrukcja zamiany adresów IP na nazwy i z powrotem, cała koncepcja wymiany poczty oparta na protokole SMTP czy ESMTP.
    Jako ciekawostkę podaję, że Francuzi, znani ze swoich narodowych ambicji, wywalczyli sobie że przynajmniej jeden z rootserwerów DNS obsługujący domeny „fr” znajduje się u nich – stąd mają możliwość wymuszenia swoich reguł na chętnych do rejestracji. Reguł w rodzaju owej ustawy nakazującej strony www francuskich firm publikować obowiązkowo w języku francuskim plus ewentualnie w innych językach (za niedotrzymanie grożą jakieś kary) nadto np. robią problemy w rejestrowaniu domen w .fr firmom spoza Francji, preferowanym przez zarządcę podejściem jest zarejestrowanie jakiejś firmy we Francji, urzędowo, która może sobie wtedy taką domenę wykupić. Generalnie nie są to jakieś odsetkowo zauważalne akcje, ale coś z tym francuskim internetem tam jest na rzeczy.
    W każdym razie, o ile pojmuję, że z biegiem czasu wszyscy ( w tym co młodsi informatycy ) zdążyli się przyzwyczaić, że internet, ikonka na pulpicie, email, icq, gugle, torrenty z filmami i multiplayer po prostu działają, ale podstawy koncepcyjne całego tego interesu pękają w szwach. Są rozwijane inicjatywy typu 10Gb+ ethernet, IPv6, coś tam się generalnie w temacie dzieje, ale to i tak czubek góry lodowej w stosunku do potrzeb. I stąd zapominalscy dziwią się niezmiernie, jak nagle się okazuje, że jakiś ICANN czy inna cholera może wziąć i wyłączyć kawałek internetu… a tu niespodzianka 🙂
    Pozdrawiam śpiących 🙂

  • @Ahk4iePaiv8u, racja z tymi niskopoziomowymi podstawami.

    Niestety komputery dostały się w ręce ludzi nieodpowiedzialnych, którzy najpierw popsują, a potem płaczą, że „nie działa jak klikłem”. Ech… szkoda, że starego MCP trzeba było wyłączyć. Szkoda…

  • Pytanie podstawowe, jak z bezpieczeństwem w dot-p2p? Kto mi zagwarantuje ze trafiam pod wlasciwy adres IP? Wchodziłbyś na stronę swojego banku korzystając z tego systemu dns, wiedząc, że w tej sieci jest xxx zawirusowanych komputerów które zwracają fałszywe adresy ip do własnych podstawionych stron bankowych, które przejmują twoje hasło?

  • Ahk4iePaiv8u

    Z innych ciekawostek – DNS jest skonstruowany w ten sposób, że dla danej domeny przynajmniej jeden serwer obsługujący tę domenę jest „primary” a pozostałe ( secondary i kolejne ) są teoretycznie „zapasowe”. Zostało to zaprojektowane w ten sposób dlatego, żeby na wypadek padu serwera primary – odpowiedzi na zapytania udzielał na podstawie w miarę aktualnej kopii strefy któryś z serwerów „zapasowych”. Rozwój internetu jednocześnie, i nienasycone paszcze dostawców spowodowały, że obecnie zapytania od serwerów pośredniczących oraz komputerów końcowych (stacji roboczych) są wysyłane niejako losowo do rożnych serwerów dns ze zbioru obsługującego daną domenę. W efekcie jeżeli dowolny ( primary czy secondary czy którykolwiek ) dns danej domeny „pada” część zapytań i tak szlag trafia – „zapasowość” serwerów zapasowych diabli wzięli.
    Albo coś innego – jedną z przyczyn istnienia spamu, i to w tak dużej ilości, jest konstrukcja protokołu SMTP nie zawierającego praktycznie żadnych funkcji weryfikacji czy serwer użyty do wysłania maila przez nadawcę X ma cokolwiek wspólnego z domeną nadawcy. Oczywiście na ten problem również wymyślono jakieś obejścia typu SPF ( oparty zresztą na DNS ), ale te obejścia z kolei mają swoje wady, no i jest jak jest.
    Jeszcze innym zagadnieniem jest kwestia „autorytarności” zapytań DNS, na które wymyślono różne rozszerzenia szyfrujące i autoryzujące, mało gdzie stosowane.
    Kolejnym przykładem jest konstrukcja challenge-response w kontekście szyfrowania typu SSL, a konkretnie kwestia przekazywania nazwy domeny wewnątrz szyfrowanego tunelu – ogólnie mówiąc jest to problem znany z bajki o wilku i trzech koźlątkach pozostałych w domu, sprawdzających czy za zamkniętymi na klucz drzwiami jest mama-koza, czy wilk nawołujący mamusinym głosem o otwarcie drzwi. Na to z kolei wymyślono specjalne rozszerzenie protokołu SSL, tzw. Server Name Indication, dość grzecznie obsługiwane przez wiele co nowszych przeglądarek, ale raczej olewane przez dostawców i wystawców certyfikatów.
    Przykłady można mnożyć bez końca, tak samo jak „niespodzianka” z DNS działa łańcuch certyfikacji ( root certyfikaty ze zbioru RootCA są dystrybuowane jako „aktualizacje krytyczne” w większości systemów operacyjnych ). Tak tak, żółte słoneczko certyfikatu na stronie banku też może zostać wyłączone przez parę amerykańskich firm – jak w naszym totolotku, kaseta zawiera 48 kolejno ponumerowanych kul, następuje zwolnienie blokady..

    Ale co tam, na razie działa, cieszmy się, póki możemy 😉

  • Ahk4iePaiv8u

    @Cezary co ty się przejmujesz hasłem, które, ewentualnie, w jakimś tam bardzo szczególnym przypadku przejęcia DNS, rootca, wygenerowania fałszywek, MOŻE ewentualnie zostać przejęte. Sorry za protekcjonalizm, ale, że tak powiem, kochaniutki, twoja komunikacja z twoim bankiem albo ze sklepem czy serwisem aukcyjnym w którym kupujesz dla dziewczyny różową bieliznę z futerkiem, w 99,9% przypadków jest szyfrowana w JEDNĄ stronę. Innymi słowy, twoje hasło jest szyfrowane, owszem, no, ogólnie to co TY wysyłasz do banku, jest szyfrowane certyfikatem jaki twoja przeglądarka pobrała ze strony banku. Ale stan twojego konta, kochasiu, czyli odpowiedź serwera banku zawierająca „9999999.43gr, ewentualnie treść zamówienia „różowe majtusie sztuk jeden piórko w kolorze żółtym” już sobie leci do ciebie światłowodem i każdy sobie to może przeczytać. Cudów nie ma – JEDEN certyfikat, JEDEN klucz = JEDEN kierunek. Welcome to Public Key Infrastructure.
    PS. Należy zwrócić honor, przynajmniej wstępnie, bankowi Nordea, na dzisiejszy stan mojej wiedzy oni tam w porozumieniu z Unizeto umożliwiają swoim klientom wykupienie i używanie certyfikatu klienckiego, i pełne szyfrowanie w obu kierunkach. Ale jeszcze nie badałem dokładnie, nie wiem ile to warte, na stronach nordei są niestety wyłącznie ogólne informacje.

    Załączam link, nie wiem czy przeczytacie bo tam zdaje się jest dostęp na abonament, ale kto ma to przeczyta 🙂

    http://www.computerworld.pl/artykuly/362069/Etyka.informatyka.html

    Przeklejam fragmencik
    „Proszę spojrzeć na największe systemy w Polsce i na świecie, i na małe firmy, które je reanimują powykonawczo, proszę spojrzeć na wykresy rosnących kosztów i przekroczonych budżetów, na ustawy o podpisie elektronicznym i afery z wyciekami danych.Proszę spojrzeć na miliony użytkowników bankowości online, którym wciska się bajki o szyfrowaniu i bezpieczeństwie, kolorowe żółte słoneczka certyfikatów, chociaż w komunikacji typu SSL z bankiem używany jest JEDEN klucz.. Albo na multimedialne telefony i pluginy do MTA w praktyce przechowujące kopię całej poczty na serwerze w UK („nieno, my, producent, absolutnie nie mamy do niej dostępu”). Sądzi Pan, że koncerny IT – dostawcy tych systemów myślą o etyce, a klienci o potrzebach w zakresie IT? Niestarannie skonfigurowane porty? Niezałatane kluczowe serwery? Raportowanie? Analizy? IT w monitoringu platform wiertniczych? 😀 Producent dawno zarobił swoje, dostawca i wdrożeniowiec dawno zarobił swoje, jak przez parę minut cos nie działa i tak główni zainteresowani albo się nie zorientują, albo zostaną ułagodzeni demagogią, albo zamiast kliknąć – zadzwonią, lub zamiast zadzwonić – przejdą się kawałek korytarzem – albo przekleją sobie supertajne dane na gadu-gadu lub skopiują na pena. Gigantyczna odpowiedzialność? Gwałtowna śmierć rynkowa? Przecież i tak nikt nic nie straci, firma została ubezpieczona od upadłości, depozyty gwarantuje BFG, a inwestycja i tak była finansowana z bezzwrotnej dotacji unijnej :)”

    pozdrawiam 🙂

  • Ahk4iePaiv8u

    A teraz wszyscy czytelnicy grzecznie łapią za telefony i dzwonią do swojego bankofonu z pytaniem „Jak to? Czy to prawda, że?”
    Odpuśćcie sobie, zatrzymajcie darmowe minuty, parę razy dzwoniłem, wysyłałem maile, itp. standardowa odpowiedź to coś w stylu
    „Nasze strony są zabezpieczone certyfikatem, wszystko jest super, proszę się nie martwić, Verisign, Thawte, Valicert, Equinox, wszystko w najlepszym porządku, dbamy i zabezpieczamy”. W przypadku bardziej czepliwych odpowiedź zostanie udzielona za dwa lata z dopuszczalnym spóźnieniem dwa miesiące.
    Jak to się mawiało w jednej z firm w których pracowałem jak jeszcze się zajmowałem security ( parafraza nazwy jednego z RootCA) – walić certa 😉 Że zacytuję historyczny tekst pewnego trenera legendarnego trenera piłkarskiego – „Flaga na maszt, pierwszy sekretarz na trybuny, kiełbasy do góry i jedziemy frajerów” 😉
    Oszczędzę wam kwiatów z praktyki stosowania „ustawy o podpisie elektronicznym” 😉

  • Ahk4iePaiv8u

    .. i to by było na tyle, jeżeli chodzi o rzeczywisty stan rzeczy, „cenzury” Amerykanów itp. 🙂 Od czasu do czasu nie potrafię sobie odmówić pewnej satysfakcji z wylania komuś na głowę kubła lodowatej wody 😉

  • Ahk4iePaiv8u

    @Cezary – konkludując, w miarę zadowalający poziom bezpieczeństwa od strony technicznej gwarantuje ci komplet sześciu zasad wymienionych tutaj:

    http://en.wikipedia.org/wiki/Security_testing

    W skrócie mowiąc, nie wystarczy że druga strona zautoryzuje się do ciebie, jeszcze tamta strona musi wymagać, niejako dla twojego dobra, odpowiedniego poziomu autoryzacji „od ciebie”, i jeszcze paru rzeczy. Jak ktoś będzie chciał przejąć twoje hasło do banku, nie będzie konstruował fałszywych serwerów, tylko zagada twoją mamę, za przeproszeniem, i wepnie keyloggera pomiędzy twój komputer a klawiaturę. Albo wyłapie z powietrza, albo zrobi zdjęcie przez okno w dużym zbliżeniu. Podobno jakieś szajbusy robią takie akcje w akademikach, nie śledzę tego od lat. Ale zachowanie tych sześciu zasad spowoduje, że tak proste triki jak wpięcie keyloggera czy wysłanie ci w mailu backdoora będą bezużyteczne. No ale czy warto? To upierdliwe jest, a statystyka, w tym przypadku, jest po twojej stronie.
    Nie ma co wpadać w paranoję, no chyba, że handlujesz głowicami nuklearnymi i nie chcesz żeby cię złapali.. ale jakoś nie podejrzewam? 🙂

  • Hmm, z mojej skromnej znajomości protokołu SSL (czy TLS) wynika, że komunikacja jest szyfrowana w obie strony szyfrem symetrycznym ustalanym na czas sesji i przekazywanym do serwera (aby obie strony go znały) w postaci zaszyfrowanej niesymetrycznie kluczem publicznym serwera (tylko serwer może go odczytać).

    W ten sposób zarówno hasło dostępu do banku, jak i odpowiedź banku o stanie konta są zaszyfrowane.

  • Ahk4iePaiv8u

    Różnice pomiędzy SSL a TLS to pominę.
    Ale, na logikę – prześledź dokładnie.
    Zakładamy, że komunikacja jest szyfrowana w obie strony. Jednocześnie wiemy, że strona endusera, przeglądarki, nie generuje „ad hoc” jakichś tymczasowych kluczy o mocy kluczy kryptograficznych, serwer nie wie na 100% że ty to jesteś ty. Wie ewentualnie, że ty to jest ten sam ty, co przed chwilą , jak wpisywał hasło. Ale sam początek – jak z bajki o wilku i koźlątkach. Koźlątka muszą uwierzyć że to mama, albo mama musi udowodnić koźlątkom że to ona, bo inaczej nie otworzą drzwi. Gdzieś tam musi być pewna „dziura” umożliwiająca „przechwycenie” i podfałszowanie/podsłuchanie informacji.
    Oczywiście można sytuację nieco skomplikować ( uprościć ) i skonstruować to w ten sposób jak toaleta na żetony w McDonalds – żeby wejść musisz wrzucić żeton, który przynajmniej w teorii jest trudniej podrobić, niż nie musieć go podrabiać wcale.
    Niezależnie od wszystkiego – uznaje się, że rzeczywiste bezpieczeństwo zapewnia ów komplet – po naszemu to juz nie pamietam jak to sie po kolei nazywa, a nie chcę przekłamać – uwierzytelnianie, autoryzacja, poufność, niepodważalność, niezaprzeczalność, wiarygodność, o ile pamiętam.
    Ech. A poza tym, w tych unizetach różnych co to je ustawa jako „kwalifikowane” określa też różne rzeczy się dzieją..

  • Chyba się kompletnie nie zrozumieliśmy. SSL nie ma tu nic do rzeczy. Mówię o zwykłej podstawionej stronie z formularzem logowania w którym możemy przejąć hasło. Tzw. phishing.

    A pytanie brzmiało, jaką gwarancję mam ze dot-p2p zwraca mi prawdziwy adres ip? (z tego co wiem na tym polega dns, wysyłamy nazwę domeny i zwracany jest nam adres ip serwera). Jeżeli komputer każdego przeciętnego użytkownika internetu będzie służył jako serwer dns, to przecież znamy statystykę zawirusowania komputerów zwykłych użytkowników. Także nie potrzeba wielkiej wyobraźni by już teraz zobaczyć specjalne trojany napisane w celu hackowania systemu dns dot-p2p, wpisujemy se tu nasza-klasa.pl a zamiast tego wędrujemy do jakiejś rosyjskiej zawirusowanej strony, no i kaput.

  • Ahk4iePaiv8u

    Jak mówię, zerknę sobie, z zawodowej ciekawości na to dot-p2p, chociaż od paru lat zajmuję się ciekawszymi sprawami, ukłon w stronę autora za skierowanie 🙂
    A co do oryginalnego pytania Cezarego ( tu już spekuluję ) może trzeba by użyć tejże statystyki co jest po naszej stronie, jeżeli taka odpowiedź z informacją ma te ileś procent , od iluś tam peerów.. ot, trzeba zajrzeć do książki 🙂 Zajrzę, nie omieszkam 🙂

  • Ahk4iePaiv8u
  • Ahk4iePaiv8u

    BTW zapytania do pliku hosts de facto idą przez lokalny stos nss ( name service switch, baza o nazwie „hosts”, tj takiej nazwie jak nazwa domyślnego pliku ), więc oczywiście nie musi to być konkretnie plik, do którego wpisujemy nazwy i adresy – może to być w praktyce dowolny rodzaj zbioru, obsługiwany przez implementację NSS jaką w danym momencie wykorzystujemy. Standardowo jest to „file dns” , czyli najpierw sprawdzamy w pliku a następnie w dns. Ale równie dobrze może to być, powiedzmy, „ldap files dns” lub „sql files dns”, albo wręcz samo „dns” i tak dalej..

  • Ahk4iePaiv8u

    Ogólnie mówiąc, żeby można było powiedzieć że jest „bezpiecznie”, po prostu obydwie strony musi to obchodzić. A w praktyce wygląda to tak, że albo jednej stronie to zwisa bo i tak nie wie o co dokładnie chodzi a pin zapisuje na karcie do bankomatu, albo, co gorsza, obydwu stronom to zwisa – tej z kartą j.w. a bankowi zależy tylko na tym, żeby klient myślał, że jest dobrze, i statystyka była zbyt zatrważająca. W efekcie, w większości przypadków, jak sądzę, żadnej ze stron nie obchodzi to w stopniu wystarczającym, gdyby było inaczej wszyscy pędzilibyśmy już do nordei 😉
    No ale żeby zamknąć temat nawiązując do meritum – sprawowanie faktycznej kontroli nad internetem przez znacznie mniejszą grupę „uprawnionych”, w sensie możliwości dzielenia i rządzenia wedle swoich widzimisię nie jest tak dalekie od prawdy jak mogłoby się wydawać, a „wolność” w tym przypadku w dużym stopniu złudna – co było do wykazana. Gdzieś ostatnio znalazłem artykuł o administratorze w Kalifornii co się wściekł i zablokował Arnoldowi i jego urzędasom cały urzędniczy, komputerowy majdan 🙂
    To było zabawne 🙂

  • Ahk4iePaiv8u

    Owe zasady gwarantują absolutne, bezwzględne równouprawnienie stron. Tzn nikt nikogo nie jest w stanie oszukać i nie istnieje przypadek, w którym odpowiedzialność na nikogo nie spada. Paradoksalnie okazuje się, że żadna ze stron mimo wzajemnych zapewnień o szacunku nie jest zainteresowana tak naprawdę takim układem. Bank jest zainteresowany na tyle, żeby klient był zadowolony, a klient jest zainteresowany na tyle, na ile nie musi nic szczególnego robić ani nic szczególnego wiedzieć, oraz w razie czego ma furtkę ignorancji na jaką może się powołać twierdząc, że on nie wie, i to nie on wysłał..

  • Ahk4iePaiv8u

    Skuszę się jeszcze na jedną z moich ulubionych analogii, cokolwiek off topic – istnieje problem opisywany przeze mnie jako problem „pilota do TV”. Mianowicie dana strona przystępująca do jakiejkolwiek umowy, deklaruje, że zgadza się na wszystko, pod warunkiem, jednym, jedynym, ale niepodważalnym, mianowicie takim, że owo „wszystko” zostanie zredukowane do postaci pilota do TV, zawierającego raptem parę (zwykle najbardziej wytartych ) przycisków ciszej-głośniej, następnyprogram-poprzedniprogram, oraz on/off. Innymi słowy w przypadku eskalacji konfliktu, jedna strona deklaruje, że aby cokolwiek miało dla niej sens, musi być zwolniona z odpowiedzialności od myślenia w jakimkolwiek stopniu. „Don’t make me think”, mówi. A w takim „układzie”, nie ma się co oszukiwać, nigdy do niczego nie dojdziemy 🙂
    Da się tu wklejać obrazki bezpośrednio w komentarze? Sądząc z opisu składni – nie 🙂
    https://thebsreport.files.wordpress.com/2009/12/remote_control.jpg

  • spindritf

    Ahk4iePaiv8u, przestań rozsiewać tę dezinformację. Nie masz pojęcia o czym piszesz.

    > Chyba się kompletnie nie zrozumieliśmy.
    > SSL nie ma tu nic do rzeczy. Mówię o
    > zwykłej podstawionej stronie z
    > formularzem logowania w którym możemy
    > przejąć hasło. Tzw. phishing.

    Dokładnie temu ma przeciwdziałać cała infrastruktura PKI i urzędy certyfikacji. Twoja przeglądarka weryfikuje czy serwer, z którym się połączyła, dysponuje odpowiednim kluczem podpisanym przez znany urząd certyfikacji, co mocno uprawdopodabnia, że rzeczywiście należy do organizacji, której nazwa wyświetla się w pasku adresu.

    > jaką gwarancję mam ze dot-p2p zwraca
    > mi prawdziwy adres ip?

    Taką samą jak teraz — żadnej.

  • > Dokładnie temu ma przeciwdziałać cała infrastruktura PKI
    > …

    Jako, że przeciętny Kowalski udając się na stronę internetową swojego w banku nie wpisuje pełnego adresu „https”, a jedynie np. „inteligo.pl”, w przykładzie przeze mnie podanym na myśli miałem właśnie taki scenariusz oraz dodatkowo liczyłem na roztargnienie Kowalskiego i nie zauważeniu przez niego brakującej kłódki oraz literki „s” w pasku adresu przeglądarki. Mam nadzieję, że to sprawę wyjaśnia i nie będziemy więcej wracać do protokołu ssl i certyfikatów bo nie o to chodziło w moim poście.

    > Taką samą jak teraz — żadnej.

    A to ciekawe, bo zdarzyło mi się raz czy dwa w ostatniej dekadzie wejść na prawidłową stronę korzystając z aktualnych rozwiązań dns. Czuję się bezpieczniej wiedząc, że komputer „Kowalskiego” nie służy za serwer dns, któremu miałbym zaufać.

  • Czucie się bezpieczniej nie ma nic wspólnego z prawdziwym bezpieczeństwem. Obecny system DNSów także może być ofiarą ataków. To, że ufamy naszemu DNSowi (w moim przypadku to DNSy TPSA), nie oznacza, że są bezpieczne.

    To, że alternatywny system będzie opierał się na komputerach „kowalskich”, nie oznacza, że będzie od razu niebezpieczny – kwestia w szczegółach protokołu.

  • To wiki na dot-p2p zostało założone dopiero tydzień temu, także dopiero to raczkuje, brak jeszcze szczegółowych informacji. Jedno jest pewne, taki system będzie wymagał wykonania przynajmniej kilku połączeń w celu weryfikacji danych, także wydajnościowo będzie słabiej w porównaniu do aktualnych rozwiązań.

  • spindritf

    > dodatkowo liczyłem na roztargnienie
    > Kowalskiego i nie zauważeniu przez
    > niego brakującej kłódki oraz literki
    > „s” w pasku adresu przeglądarki.
    > Mam nadzieję, że to sprawę wyjaśnia
    > i nie będziemy więcej wracać do
    > protokołu ssl i certyfikatów bo nie
    > o to chodziło w moim poście.

    Jeśli podasz przypadkowej stronie, na którą akurat zdarzyło Ci się wejść, swoje hasło bez żadnej weryfikacji, to właściciel przypadkowej strony będzie znał Twoje hasło. To jest oczywiste.

    Obecny system DNS w żadnym razie nie gwarantuje, że, wpisując „inteligo.pl”, trafisz na stronę prowadzoną przez PKO BP. Nawet DNSSEC tego nie gwarantuje, bo ruch można przechwycić na wiele różnych sposobów, nie tylko spoofując odpowiedzi serwera DNS.

    Więc musimy wrócić do certyfikatów, bo to w tej chwili, przy wszystkich jej wadach, jedyna naprawdę dobra metoda sprawdzenia czy rzeczywiście połączyłeś się ze stroną, z którą chciałeś się połączyć.

    Poza tym, ten system wyraźnie jest projektowany jako dodatek do ICANN-owego roota, więc nie wiem, czemu miałby być wykorzystywany do rozwiązywania nazw domen banków np.

    > Czuję się bezpieczniej wiedząc, że
    > komputer „Kowalskiego” nie służy za
    > serwer dns, któremu miałbym zaufać.

    A dzieci czują się bezpieczniej, jak zaciągną kołdrę pod brodę. http://en.wikipedia.org/wiki/DNS_cache_poisoning

  • Nie wiem skąd te uprzedzenia do kołdry, ale ja dziś zaciągnąłem się na całą głowę, grzejniki miały awarię, wyszedłem z tego bez szwanku, cały i zdrowy, bez kataru czy chrypki, także dobrze zaciągnięta kołdra zdziałała swoje, jest dobrym zabezpieczeniem na dzisiejsze mroźne dni i nie jest to tylko odczucie, ale już stwierdzony fakt.

  • spindritf

    Ktoś płaci za Twoje porady dotyczące bezpieczeństwa? Niesamowite.

  • Obyło się bez cytowania wikipedii tym razem?
    Przecieram oczy i wciąż nie mogę uwierzyć.
    Niewiarygodne.

  • Marcin Gryszkalis

    @Ahk4iePaiv8u, nie siej dezinformacji, doczytaj troszkę po piszesz nieprawdę i siejesz FUD.

    W efekcie jeżeli dowolny ( primary czy secondary czy którykolwiek ) dns danej domeny „pada” część zapytań i tak szlag trafia

    Nieprawda – RFC1034, 5.3.3

    w kontekście szyfrowania typu SSL, a konkretnie kwestia przekazywania nazwy domeny wewnątrz szyfrowanego tunelu (…) wymyślono specjalne rozszerzenie protokołu SSL, tzw. Server Name Indication, dość grzecznie obsługiwane przez wiele co nowszych przeglądarek, ale raczej olewane przez dostawców i wystawców certyfikatów.

    Pomylone tematy – sposób wystawienia certyfikatu nie ma związku z użyciem SNI – wymagane jest tylko wsparcie po stronie przeglądarki i serwera. SNI rozwiązuje problem kilku certyfikatów na jednym adresie IP i robi to dobrze (a nie jest uzywane, bo MSIE na Windows XP tego nie wspiera).

    JEDEN klucz = JEDEN kierunek

    Tutaj to już brak mi słów… RFC4346, 4.7.4

    nie wystarczy że druga strona zautoryzuje się do ciebie, jeszcze tamta strona musi wymagać (…) odpowiedniego poziomu autoryzacji „od ciebie” (…) Jak ktoś będzie chciał przejąć twoje hasło do banku (…) [to] wepnie keyloggera pomiędzy twój komputer a klawiaturę.

    Po pierwsze mówisz nie o autoryzacji tylko o uwierzytelnianiu (dość istotna różnica, autoryzacja następuje dopiero później). Po drugie hasło jest metodą uwierzytelniania. Po trzecie – jeśli ktoś ma fizyczny dostęp do komputera, żeby podłączyć keyloggera to może też zabrać twój certyfikat. Po czwarte istotne operacje na koncie (przelewy) są praktycznie we wszystkich bankach potwierdzane dwuskładnikowo (hasła jednorazowe, tokeny, kody sms).

    uznaje się, że rzeczywiste bezpieczeństwo zapewnia ów komplet – po naszemu to juz nie pamietam (…) a nie chcę przekłamać

    Jak nie pamiętasz to sprawdź. Link i lista, o której wspomniałeś dotyczy jedynie testów bezpieczeństwa. A to o czym piszesz znajdziesz raczej pod http://en.wikipedia.org/wiki/Information_security

  • Ahk4iePaiv8u

    Ech. Zgoda – jest wymiana kluczy generowanych ad hoc, liczb pseudolosowych, mówiąc ściśle. Ale przekładając to na język wilka i koźlątek, oznacza to, że mamusią jest ten kto koźlątkom przez dziurkę przetknie kluczyk, żeby mogły drzwi otworzyć od środka. A jak wilk capnie mamę kozę i przyjdzie z kluczykiem, to i tak wyjdzie jak zwykle.
    Co do DNS, to proponuję prosty test, RFC to się fajnie czyta, ale jak się zarządza na codzien paroma tysiącami domen, i się ma trzy albo więcej DNS’ów i jeden akurat padnie, to ciężko jest wytłumaczyć klientowi, że jego strona wprawdzie nie działa, ale działa, bo jest tak jak w RFC a w RFC jest dobrze, czyli jest dobrze, mimo że nie działa.
    Co do autoryzacji i uwierzytelniania, to przeca nie napisałem że to to samo. A że swego czasu przeszedłem już etap osobistej krucjaty wtykania ludziom do głów, że po naszemu „autentykacja” to się nazywa uwierzytelnianie, i autoryzacja to jest co innego, a także że jest różnica pomiędzy „babcia ukradła” i „babcię okradli”, to bym się nie czepiał..
    i tak dalej i tak dalej.. wiecie, czemu porzuciłem security? Bo któregoś dnia się zorientowałem, że całe to pieprzenie, to się sprowadza do zamykania i „odmykania” portów, poczułem się jak paranoik, i dałem sobie spokoj..
    Pracowałem wtedy w pewnej dużej instytucji finansowej w Warszawie, i przyszedł do nas na zlecenie taki gość, osoba znana w ówczesnym „środowisku”, no i jakoś tak zacząłem z nim rozmowę, wymieniliśmy ze dwa zdania, i on do mnie w którymś momencie tak – „oho, kolejny maniak security”.. i tak sobie to przemyślałem potem, dałem spokój, i zająłem się ciekawszymi rzeczami, polecam 🙂
    A kontynuując wątek, to „po rozmowie z przedstawicielami kongresu” amazon jednak zrezygnował z udzielania usługi wikileaks..

  • Marcin Gryszkalis

    @Ahk4iePaiv8u

    Nie wiem jak działają koźlątka, wiem jak działają systemy operacyjne, serwery, stosy tcp/ip, kompilatory itd.

    Zobacz sobie kod res_send.c (glibc, moduł resolv) i pokaż mi gdzie tam jest napisane, żeby nie sprawdzać drugiego serwera kiedy pierwszy nie odpowiedział. W zależności od opcji (stałe RES_ROTATE i RES_BLAST) zapytania wysyłane są „w kółko” (do wszystkich serwerów i to nie raz), albo do wszystkich na raz.

    Owszem – jeśli administrator sknocił sprawę i jeden z serwerów autorytatywnych odpowiada co innego niż drugi (ale formalnie odpowiada a nie milczy) – to wtedy masz problem, ale to nie jest problem specyfikacji czy implementacji.

    Reszta bez komentarza.

  • Ahk4iePaiv8u

    i tak oto po raz kolejny zło i występek musiało ustąpić przed atomową siłą .. przedstawicieli kongresu..

    http://www.pcworld.pl/news/364675/Wikileaks.org.zamkniete.sa.juz.nowe.adresy.html

    „Najpierw Amazon usunął Wikileaks ze swoich serwerów, a teraz dostawca DNS zdecydował się odciąć organizację od nazwy domeny. Wikileaks nazywa to „morderstwem” i przenosi się do Szwajcarii.”

  • Ahk4iePaiv8u

    http://blog.gwiazdowski.pl/index.php?subcontent=1&id=873

    Serwis PayPal, który obsługuje przelewy internetowe, zamroził konto Wikieaks i przestał księgować na nim nadchodzące darowizny, co stawia WikiLeaks w obliczu bankructwa. Zarządzający PayPal oświadczył, że podjęto taką decyzję ze względu na zaangażowanie WikiLeaks w „nielegalne działania” i „dystrybucję materiałów”, których nie jest właścicielem.