ProteGo. Czy samo otwarcie kodu wystarczy, by walczyć z COVID-19 bezpiecznie?

Ministerstwo Cyfryzacji pracuje nad kolejną appką mającą wspomóc walkę z pandemią COVID-19 w Polsce. Dokładnie, by powrót do normalnego życia po zakończeniu okresu „narodowej kwarantanny” był bezpieczny. Zanim przeczytasz resztę tego tekstu zachęcam do przeczytania ogłoszenia na stronie MC.

Bardzo, bardzo, bardzo chwali się otwarcie kodu. Przed laty intensywnie lobbowaliśmy to jako Fundacja Wolnego i Otwartego Oprogramowania (FWiOO). Fajnie, że w końcu się dzieje. Niestety ten fakt, sam z siebie, nie gwarantuje ani bezpieczeństwa, ani zaufania.

Cel aplikacji, jest kontrowersyjny. Z drugiej strony czas pandemii zaczął już przyzwyczajać do bezkompromisowego naruszania naszej prywatności. O ile w Polsce ta inwigilacja nie jest jeszcze jakoś bardzo zaawansowana, to na świecie wprowadzają ją bezpardonowo.

W teorii rozwiązanie nie brzmi źle i ma predyspozycje bycia fair w stosunku do użytkownika. Warunkiem jest, aby rzeczywiście żadne dane identyfikujące nie były przesyłane na serwery. Słabym punktem wszelkich tego typu rozwiązań jest ich dystrybucja za pomocą sklepów takich jak App Store czy Google Play. Wprowadzają one do całego łańcucha pomiędzy kodem w repozytorium na githubie, a użytkownikiem elementy wymagające od nas zaufania do tych, którzy odpowiedzialni są za przygotowanie paczki i umieszczenie jej w sklepach. Musimy im, ich szefom oraz szefom tych szefów zawierzyć, że po zgarnięciu kodu z repo nie dodają nic, co mogłoby dodatkowo zbierać informacje o użytkownikach i przekazywać je do serwerów ministerstwa.

Oczywiście powyższe ma zastosowanie, gdy kod będzie sprawdzony przez niezależnych programistów i specjalistów, a Ci powiedzą, że rzeczywiście realizuje on przedstawione przez autorów założenia w sposób bezpieczny.

Jest kilka metod na zbudowanie takiego zaufania, ale każda z nich wymaga pewnej biegłości technicznej. W pierwszym przypadku po wystawieniu przez ministerstwo appki w sklepach, ktoś pobiera je i generuje ich sumy kontrolne (z uwzględnieniem dodawanych w procesie publikacji sygnatur). Jest to ciąg znaków unikalny dla zawartości danego pliku. Nawet najdrobniejsza jej zmiana skutkuje uzyskaniem zupełnie innej sumy kontrolnej. W drugim kroku osoba taka pobiera kod appki z repozytorium na githubie i samodzielnie buduje go, zgodnie z udostępnioną przez autorów instrukcją, by uzyskać taki sam plik, który umieszczony może być w sklepie i na urządzeniu mobilnym. Jeśli suma kontrolna samodzielnie skompilowanej aplikacji oraz tej pobranej ze sklepu są identyczne, wtedy mamy pewność, że nic po drodze do naszego urządzenia nie zostało do niej dodane.

W drugim przypadku możemy zdać się, na alternatywne sklepy z aplikacjami. Dla Androida jest to FDroid, sklep zawierający tylko aplikacje o otwartym kodzie, w dodatku kompilowane bez elementów śledzących użytkownika (jak tamten moduł facebooka w Kwarantannie Domowej). By za pośrednictwem FDroida udostępnić appkę należy zapewnić powtarzalność jej budowania, ponieważ udostępniane są jedynie aplikacje, które budowane są samodzielnie przez automat, by wykluczyć możliwość działań opisanych wcześniej.

Sam zdecydowałbym się na zostanie użytkownikiem ProteGo tylko pobierając ją właśnie z FDroida.

Drugą częścią kontrowersji tego pomysłu ministerstwa jest potrzeba odpalonego wciąż modułu bluetooth. Wyłączenie zarówno jego, jak i pozostałych czujników (NFC, WiFi, 3/4G), gdy tylko nie są nam potrzebne jest jednym z podstawowych zaleceń bezpiecznego korzystania ze smartfona. Technologia Bluetooth posiada wiele dziur, a nie wszystkie z nich załatać można poprzez aktualizację oprogramowania (firmware), część z nich wymaga wymiany modułu sprzętowego w telefonie na nowszy.

Zdecydowana większość użytkowników smartfonów posługuje się starszymi ich modelami, wrażliwymi na takie zagrożenia. Znikome ich grono jest w stanie samodzielnie dokonać wymiany modułu na nowszy, bez zakupu nowego urządzenia. Zastosowanie ProteGo zgodnie z zamysłem ministerstwa niestety spowoduje, że Polacy będą chodzić po ulicach i siedzieć w swoich domach czy biurach z otwartymi furtkami dla cyberprzestępców w kieszeniach.

Więcej

Czy Twój sklep sprzedaje Ci malware?

W ostatnich dniach w sieci pojawiła się bardzo interesująca lista zawierająca adresy sklepów internetowych zainfekowanych malware. Co to oznacza dla ich klientów? Odwiedziny takiej strony mogą zakończyć się infekcją ich przeglądarki, a w konsekwencji kradzieżą tożsamości lub danych dostępowych do banku itp.

Piszę o tym, bo wśród 5484 [dostęp 2016-10-15] znalazło się aż 48 sklepów z końcówką .PL. Poniżej zamieszczam ich listę:

360-vr.pl
4online.pl
adbutter.pl
alarmprojekt.com.pl
alezabawki.pl
arcteryx.pl
art-pak.pl
bluetek.pl
camery.pl
crwstar.pl
dabrowazkrakowa.pl
desideri.pl
didax.pl
drgiorgini.pl
drzewamodelarstwo.pl
e-klosz.pl
ekademiainwestora.pl
hellyhansen.trekkersport.com.pl
holystuff.pl
icyfra.pl
ideotech.pl
izisfashion.pl
jedzenieturystyczne.pl
kamera-360.pl
kamerynakask.pl
latienne.pl
lazieneczka.pl
llorens.pl
luxbaby.pl
mrrobot.pl
multihurtonline.pl
mysfashion.pl
primamoda.com.pl
radicalwear.pl
reig.pl
sani-tryb.pl
sherpa.pl
sielskibox.pl
sklep.dussi.pl
sklepfc.pl
sportimus.pl
szynaka.pl
techsport.pl
thenorthface.pl
tpzz.pl
trekkersport.com.pl
vr-360.pl
zettaprint.pl

Co zrobić z taką listą?

Jeśli jesteś klientem, któregoś ze sklepów wstrzymaj się z zakupami i odwiedzaniem tej strony, powiadom o sprawie jego właścicieli i przeskanuj swój komputer na przykład za pomocą narzędzia ADWcleaner. Ja ze swojej strony w wolnych chwilach porozsyłam powiadomienia do wymienionych wyżej sklepów.

Jeśli jesteś właścicielem sklepu natychmiast skontaktuj się ze swoim administratorem i usuń malware ze swojej strony. Jeśli po potwierdzeniu usunięcia wyrazisz wolę usunięcia Twojego sklepu z listy proszę o kontakt, w najbliższej wolnej chwili to zrobię.

Czemu publikuję tę listę zanim poinformowałem właścicieli?

Jest to zadanie dość czasochłonne, a dobro i bezpieczeństwo użytkowników jest zdecydowanie najważniejsze. Do podobnego wniosku doszli prowadzący usługę GitLab. To tam znajduje się obecnie aktualizowana lista zainfekowanych sklepów. Początkowo została usunięta z serwisu GitHub oraz GitLab, jednak Ci drudzy po konsultacji telefonicznej z autorem wklejki postanowili ją przywrócić.

Obraz wykorzystany w tekście to Malware Infection autorstwa Blogtrepreneur (CC BY)

Więcej

Wywiad w CNN iReport na temat ACTA

Kilka dni temu zostałem przepytany przez Chris Morrow na temat podpisania przez Polskę ACTA 26 stycznia. Mówiłem między innymi o protestach przeciwko naszemu rządowi, który wtedy jeszcze tylko planował podpisać ACTA bez właściwych konsultacji z organizacjami pozarządowymi. Szczególnie tymi walczącymi o prawa i interesy obywateli.

Całej sprawie udało się dostać do polskich mediów dzięki atakom na serwery rządowe organizowanym przez cyberprzestępców nazywających się „Polskie Anonymous” lub „Polskie Podziemie”. Było to dla nas – organizacji pozarządowych słodko-gorzkie. Straciliśmy pozycję do rozmów prowadzonych z rządem. Ataki całkowicie zagłuszyły wszelkie nasze próby ponownego ich podjęcia z politykami. 

Niestety ponieśliśmy klęskę w próbach rozmów z wymienionymi organizacjami w związku z tym podjęliśmy próby kontaktu z zagraniczną organizacją Anonymous. Po kilku godzinach ciężkich rozmów udało nam się opublikować wspólne oświadczenie:

Ataki na strony polskich władz MUSZĄ zostać zaprzestane
——————————————————–
 
Mówiliśmy to już wcześniej i powiemy jeszcze raz. Ataki na strony zarówno Polskiego rządu jak i Unii Europejskiej nie pomagają w walce z ACTA. Jesteśmy w stałym kontakcie z polskimi organizacjami pozarządowymi które poinformowały nas o tym, że ataki niszczą ponad trzy lata ich trudnej współpracy z rządem w tworzeniu prawodawstwa odpowiednio odnoszącego się do internetu i chroniącego podstawowe wolności internautów oraz możliwości negocjacji wstrzymania podpisu Polski pod ACTA. Jeśli potrzebujecie kolejnych dowodów przeczytajcie słowa wygłoszone przez Polskiego premiera Donalda Tuska:
 
  – Nie ustąpimy w żadnym wypadku wobec szantażu – oświadczył premier, odnosząc się do ataków na niektóre strony internetowe administracji państwowej. Szef rządu zapewnił, że jak na razie nie możemy mówić o zagrożeniach dla funkcjonowania państwa. – Nie wyobrażam sobie, aby polski rząd, polski parlament, polski premier ustępował przed kimś, kto mówi: „nie podpisuj, bo inaczej opublikujemy kompromitujące dane o twoich urzędnikach”. Tego typu metody uważam za niedopuszczalne – powiedział Tusk.
 
Poinformował, że sprawdzane są zabezpieczenia stron, które zostały lub mogą zostać zaatakowane. Dodał, że jak na razie nie możemy powiedzieć o zagrożeniu dla funkcjonowania państwa ze względu na ataki na strony internetowe. Według niego są one raczej dokuczliwe i skuteczne propagandowo. – Nie ma żadnego powodu, żeby wzniecać alarm – uspokajał premier.
 
http://wiadomosci.gazeta.pl/wiadomosci/1,114884,11024567,Tusk__Dalem_upowaznienia_ambasador__by_podpisala_ACTA.html
 
Ataki DDOS zwróciły uwagę świata na toczącą się sprawę podpisania ACTA przez Polskę. Teraz tysiące Polaków wyszły na ulicę po to by manifestować swój przeciw. Nadszedł czas by pozwolić działać procesom politycznym i społecznym skierowanym przeciwko ACTA. Wszelkie ataki na strony polskiego rządu jak i Unii Europejskiej powinny zostać wstrzymane. Strony te służą przecież komunikacji krajowych i unijnych władz ze społeczeństwem. Jeśli lubisz DDOSować dla samego DDOSowania prosimy wybierz zamiast tego stronę swojej szkoły/uczelni.
 
Anonymous

Po jego publikacji ataki zarówno na strony naszego rządu, jak i Parlamentu Europejskiego prawie ustały! Nareszcie mieliśmy czas i możliwość by rozpocząć rozmowy z rządem. Następnego dnia poprosiliśmy premiera by nie podpisywał ACTA (nawet ambasada USA domagała się w tej sprawie więcej informacji), ale niestety nie było to wystarczające.

Posłowie Ruchu Palikota w maskach z wizerunkiem Guy’a Fawkesa (Fot. Wojciech Olkuśnik)

O trzeciej w nocy nasz ambasador w Tokio podpisał ACTA, wraz z prawie całą resztą Unii Europejskiej. Cypr, Słowacja, Estonia, Niemcy i Holandia pokazały, że można nie ulegać międzynarodowej presji i działać jak należy. A nam przecież nie chodziło tylko o to, żeby ACTA po prostu odrzucić. Chcieliśmy by dokument został wysłany do Europejskiego Trybunału Sprawiedliwości w celu sprawdzenia zgodności z prawem europejskim. Niestety nasz rząd pozostał głuchy na protesty tysięcy protestujących obywateli i karnie podpisał ACTA.

Co nam jeszcze pozostało i wciąż się dzieje?

Dopiero teraz nasz rząd chce rozpocząć konsultacje, których nie podjął przed podpisaniem ACTA. Wciąż czekamy na kolejne newsy i propozycje spotkań. W międzyczasie zastanawiamy się i dyskutujemy co zrobić jako strona zdradzona przez rząd (organizacje pozarządowe). Przez ostatnie trzy lata w ramach grupy Dialog prowadziliśmy wspólne rozmowy dotyczące prawodawstwa związanego z internetem. Niestety podczas ich trwania ACTA zostało prawie całkowicie pominięte. Temat ten pojawił się zaledwie na kilka minut, pół roku temu…

Póki co jednak musimy skupić się na blokowaniu ratyfikacji acta przez Parlament Europejski. Jeśli chcesz pomóc podpisz tę petycję oraz skontaktuj się ze swoim reprezentantem w PE. Powiedz mu co myślisz na ten temat. Wciąż jeszcze jest szansa na to, żebyśmy wspólnie powstrzymali ACTA.

Więcej

Czy grupa Dialog powinna kontynuować rozmowy?

Wysłuchałem dziś wystąpień Schetyny i Sikorskiego w tvn24 i powiem, że moim zdaniem kontynuowanie rozmów zaczyna się robić bezsensowne. Sikorski niemal wprost zakwestionował sens istnienia takich grup bo „wszystkie ustawy PE/UE są dostępne na ich stronach” – kto chce ten napisze do polskiego rządu i zakwestionuje/zapyta. W jego opinii nie ma wówczas potrzeby prowadzenia oddzielnych rozmów.

Od żadnego przedstawiciela rządu poza Bonim nie usłyszałem odniesienia się do potrzeby rozmów i konsultacji ACTA w szerszym gronie również konsumentów, organizacji broniących praw człowieka. Obaj kompletnie zlewają temat lub zasłaniają się tym co wyżej. Zapytani o kajanie się Boniego odpowiadają, że nie wiedzą o co chodzi i nie widzą potrzeby do żadnych przeprosin.

Więcej