ProteGo. Czy samo otwarcie kodu wystarczy, by walczyć z COVID-19 bezpiecznie?

Ministerstwo Cyfryzacji pracuje nad kolejną appką mającą wspomóc walkę z pandemią COVID-19 w Polsce. Dokładnie, by powrót do normalnego życia po zakończeniu okresu „narodowej kwarantanny” był bezpieczny. Zanim przeczytasz resztę tego tekstu zachęcam do przeczytania ogłoszenia na stronie MC.

Bardzo, bardzo, bardzo chwali się otwarcie kodu. Przed laty intensywnie lobbowaliśmy to jako Fundacja Wolnego i Otwartego Oprogramowania (FWiOO). Fajnie, że w końcu się dzieje. Niestety ten fakt, sam z siebie, nie gwarantuje ani bezpieczeństwa, ani zaufania.

Cel aplikacji, jest kontrowersyjny. Z drugiej strony czas pandemii zaczął już przyzwyczajać do bezkompromisowego naruszania naszej prywatności. O ile w Polsce ta inwigilacja nie jest jeszcze jakoś bardzo zaawansowana, to na świecie wprowadzają ją bezpardonowo.

W teorii rozwiązanie nie brzmi źle i ma predyspozycje bycia fair w stosunku do użytkownika. Warunkiem jest, aby rzeczywiście żadne dane identyfikujące nie były przesyłane na serwery. Słabym punktem wszelkich tego typu rozwiązań jest ich dystrybucja za pomocą sklepów takich jak App Store czy Google Play. Wprowadzają one do całego łańcucha pomiędzy kodem w repozytorium na githubie, a użytkownikiem elementy wymagające od nas zaufania do tych, którzy odpowiedzialni są za przygotowanie paczki i umieszczenie jej w sklepach. Musimy im, ich szefom oraz szefom tych szefów zawierzyć, że po zgarnięciu kodu z repo nie dodają nic, co mogłoby dodatkowo zbierać informacje o użytkownikach i przekazywać je do serwerów ministerstwa.

Oczywiście powyższe ma zastosowanie, gdy kod będzie sprawdzony przez niezależnych programistów i specjalistów, a Ci powiedzą, że rzeczywiście realizuje on przedstawione przez autorów założenia w sposób bezpieczny.

Jest kilka metod na zbudowanie takiego zaufania, ale każda z nich wymaga pewnej biegłości technicznej. W pierwszym przypadku po wystawieniu przez ministerstwo appki w sklepach, ktoś pobiera je i generuje ich sumy kontrolne (z uwzględnieniem dodawanych w procesie publikacji sygnatur). Jest to ciąg znaków unikalny dla zawartości danego pliku. Nawet najdrobniejsza jej zmiana skutkuje uzyskaniem zupełnie innej sumy kontrolnej. W drugim kroku osoba taka pobiera kod appki z repozytorium na githubie i samodzielnie buduje go, zgodnie z udostępnioną przez autorów instrukcją, by uzyskać taki sam plik, który umieszczony może być w sklepie i na urządzeniu mobilnym. Jeśli suma kontrolna samodzielnie skompilowanej aplikacji oraz tej pobranej ze sklepu są identyczne, wtedy mamy pewność, że nic po drodze do naszego urządzenia nie zostało do niej dodane.

W drugim przypadku możemy zdać się, na alternatywne sklepy z aplikacjami. Dla Androida jest to FDroid, sklep zawierający tylko aplikacje o otwartym kodzie, w dodatku kompilowane bez elementów śledzących użytkownika (jak tamten moduł facebooka w Kwarantannie Domowej). By za pośrednictwem FDroida udostępnić appkę należy zapewnić powtarzalność jej budowania, ponieważ udostępniane są jedynie aplikacje, które budowane są samodzielnie przez automat, by wykluczyć możliwość działań opisanych wcześniej.

Sam zdecydowałbym się na zostanie użytkownikiem ProteGo tylko pobierając ją właśnie z FDroida.

Drugą częścią kontrowersji tego pomysłu ministerstwa jest potrzeba odpalonego wciąż modułu bluetooth. Wyłączenie zarówno jego, jak i pozostałych czujników (NFC, WiFi, 3/4G), gdy tylko nie są nam potrzebne jest jednym z podstawowych zaleceń bezpiecznego korzystania ze smartfona. Technologia Bluetooth posiada wiele dziur, a nie wszystkie z nich załatać można poprzez aktualizację oprogramowania (firmware), część z nich wymaga wymiany modułu sprzętowego w telefonie na nowszy.

Zdecydowana większość użytkowników smartfonów posługuje się starszymi ich modelami, wrażliwymi na takie zagrożenia. Znikome ich grono jest w stanie samodzielnie dokonać wymiany modułu na nowszy, bez zakupu nowego urządzenia. Zastosowanie ProteGo zgodnie z zamysłem ministerstwa niestety spowoduje, że Polacy będą chodzić po ulicach i siedzieć w swoich domach czy biurach z otwartymi furtkami dla cyberprzestępców w kieszeniach.

Więcej

Czy Twój sklep sprzedaje Ci malware?

W ostatnich dniach w sieci pojawiła się bardzo interesująca lista zawierająca adresy sklepów internetowych zainfekowanych malware. Co to oznacza dla ich klientów? Odwiedziny takiej strony mogą zakończyć się infekcją ich przeglądarki, a w konsekwencji kradzieżą tożsamości lub danych dostępowych do banku itp.

Piszę o tym, bo wśród 5484 [dostęp 2016-10-15] znalazło się aż 48 sklepów z końcówką .PL. Poniżej zamieszczam ich listę:

360-vr.pl
4online.pl
adbutter.pl
alarmprojekt.com.pl
alezabawki.pl
arcteryx.pl
art-pak.pl
bluetek.pl
camery.pl
crwstar.pl
dabrowazkrakowa.pl
desideri.pl
didax.pl
drgiorgini.pl
drzewamodelarstwo.pl
e-klosz.pl
ekademiainwestora.pl
hellyhansen.trekkersport.com.pl
holystuff.pl
icyfra.pl
ideotech.pl
izisfashion.pl
jedzenieturystyczne.pl
kamera-360.pl
kamerynakask.pl
latienne.pl
lazieneczka.pl
llorens.pl
luxbaby.pl
mrrobot.pl
multihurtonline.pl
mysfashion.pl
primamoda.com.pl
radicalwear.pl
reig.pl
sani-tryb.pl
sherpa.pl
sielskibox.pl
sklep.dussi.pl
sklepfc.pl
sportimus.pl
szynaka.pl
techsport.pl
thenorthface.pl
tpzz.pl
trekkersport.com.pl
vr-360.pl
zettaprint.pl

Co zrobić z taką listą?

Jeśli jesteś klientem, któregoś ze sklepów wstrzymaj się z zakupami i odwiedzaniem tej strony, powiadom o sprawie jego właścicieli i przeskanuj swój komputer na przykład za pomocą narzędzia ADWcleaner. Ja ze swojej strony w wolnych chwilach porozsyłam powiadomienia do wymienionych wyżej sklepów.

Jeśli jesteś właścicielem sklepu natychmiast skontaktuj się ze swoim administratorem i usuń malware ze swojej strony. Jeśli po potwierdzeniu usunięcia wyrazisz wolę usunięcia Twojego sklepu z listy proszę o kontakt, w najbliższej wolnej chwili to zrobię.

Czemu publikuję tę listę zanim poinformowałem właścicieli?

Jest to zadanie dość czasochłonne, a dobro i bezpieczeństwo użytkowników jest zdecydowanie najważniejsze. Do podobnego wniosku doszli prowadzący usługę GitLab. To tam znajduje się obecnie aktualizowana lista zainfekowanych sklepów. Początkowo została usunięta z serwisu GitHub oraz GitLab, jednak Ci drudzy po konsultacji telefonicznej z autorem wklejki postanowili ją przywrócić.

Obraz wykorzystany w tekście to Malware Infection autorstwa Blogtrepreneur (CC BY)

Więcej

WordPress przestaje dbać o naszą prywatność

WordPress w ostatnim czasie (wprowadzanie usług takich jak gravatar, hardkodowane odwołania do Google Fonts) przestaje dbać o prywatność użytkowników. Ma to znaczenie w kilku zastosowaniach: np. wśród aktywistów, którzy chcą założyć stronę dotyczącą spraw o które walczą; dotyczy też użytkowników WP z Polski, którzy z tego właśnie względu mają problemy z wyświetlaniem polskich liter na swoich stronach. Zastosowań jest znacznie więcej, wniosek jest jeden: Instancja WordPressa po instalacji nie powinna łączyć się z żadnym serwerem poza swoim hostem.

Więcej