internet (strona 332 z 335)

Dostawcy bezpiecznej poczty zwijają interes, Kim Dotcom zapowiada, że zajmie ich miejsce
20

Dostawcy bezpiecznej poczty zwijają interes, Kim Dotcom zapowiada, że zajmie ich miejsce

W ostatnim tygodniu dość głośno się zrobiło o decyzji dwóchdostawców poczty elektronicznej, którzy w ostatnich latach uważanibyli za za zaangażowanych obrońców prywatności. Nie mogąc znieśćnacisków ze strony amerykańskich trzyliterowych agencji, tak bardzozainteresowanych treścią wiadomości przesyłanych przez ichużytkowników, zdecydowały się one zakończyć działalność. 8 sierpniaogłosiła to firma Lavabit, z której usług korzystał m.in. słynnywhistleblower, Edward Snowden. Dzień później zrobiła to firmaSilent Circle, ogłaszając wyłączenie usługi Silent Mail. Dlazwolenników prywatności korespondencji nadeszły trudne czasy –przecież kilka dni temu FBI i NSA ogłosiły z dumą przejęciedziałającego jako ukryta usługa Tora systemupoczty Tormail, a operatorzy innych usług, np. Hushmail, znani sądobrze ze swojej skłonności do wydawania „szyfrowanej”poczty swoich użytkowników na każde żądanie służb federalnych.Zostaliśmy więc zdani sami na siebie (i GPG?).Jest jednak szansa na to, że przeciętny internauta, liczący na to,że nikt postronny jego poczty czytać nie będzie, dostanie niebawemnarzędzie, które będzie zarazem łatwe w obsłudze, jak i bezpieczne.Kim Dotcom, człowiek, który Stanom Zjednoczonym nigdy się niekłaniał, poinformował o rozpoczęciu przez jego firmę MEGA prac nadwysoce bezpieczną usługą poczty elektronicznej, wykorzystującąserwery zlokalizowane poza USA i sojusznikami USA. [img=dataencryption]Z przedstawionych przez MEGA informacji wynika, że nowa usługa,stawiając przede wszystkim na silne szyfrowanie, zapewnić ma takżecoś, czego do tej pory szyfrowane usługi poczty zapewnić nie były wstanie. Webowy klient usługi zapewni praktycznie wszystkie znane zinnych klientów możliwości, w tym wyszukiwanie i filtrowaniewiadomości. Oczywiście, ze względu na to, że dane na serwerze będąprzechowywane w postaci zaszyfrowanej, wszystkie te operacje będąwykonywane po stronie klienta. Kim Dotcom podkreślił przy tym, że jego usługi nigdynie przechowywały kluczy deszyfrujących do danych użytkowników inigdy ich przechowywać nie będą. Dzięki przemyślanej architekturzeMEGA nie ma po prostu co wydać służbom wywiadowczym. A jeśli nie będąone ustawały w próbach uzyskania dostępu przez prawne naciski, toserwery MEGA zostaną wyprowadzone poza zasięg jurysdykcji nie tylkoUSA, ale też anglojęzycznych partnerów supermocarstwa.Jednocześnie Vikram Kumar, dyrektor MEGA pochwalił zachowaniewłaścicieli Lavabitu i Silent Circle, porównując je do honorowegosamobójstwa, jakie popełniali samurajowie. Woleli oni honorowo ipublicznie wyłączyć usługi, zamiast dawać się zmuszać sądom i prawomdo naruszania prywatności użytkowników –ocenił Kumar.To nie Kumar jednak jest autoremtej analogii; terminu korporacyjne seppukupierwsi użyli deweloperzy Cryptoclouda.To reakcja na tajne nakazy ze strony NSA, zmuszające firmę dowspółuczestnictwa w szpiegowaniu jej użytkowników. Firma, która złożyślubowanie korporacyjnego seppuku, nie może być do niczego zmuszona:w momencie otrzymania nakazu likwiduje się, unicestwia wszystkie danei uniemożliwia inwigilację przez NSA. W ten sposób twórcy Cryptocloudachcą przypomnieć, że zawsze ma się wybór – wybierającwspółpracę z władzami po prostu pokazuje się, że dobro użytkownikównie jest dobrem najwyższym. Tak właśnie sprawę przedstawił właścicielLavabitu, Ladar Levison, który uzasadnił wyłączenie usługi swojąniechęcią do współuczestniczenia w przestępstwach, których ofiaramisą amerykańscy obywatele. JonCallas z Silent Circle mówił zaś o tym, że widział co siępisze, więc uznał, że Silent Mail najlepiej wyłączyć już teraz.Sam przebywający obecnie w Rosji EdwardSnowden jest sceptykiem co do upowszechnienia się koncepcjikorporacyjnego seppuku. Mogą to zrobić małe firmy, ale raczej nie masię co spodziewać, że Google, Facebook, Microsoft czy Appleogłosiłyby gotowość do zlikwidowania swoich biznesów dlatego, żeadministracja USA zmusza firmy te do współpracy przy inwigilowaniuinternautów. Namawia jednak pracowników internetowych gigantów dozastanowienia się nad moralną stroną swojej działalności –czemu nie bronią interesów użytkowników tak, jak robią to małe firmy?

Mozilla Persona pozwoli zalogować do witryn przez Gmaila (a Google niczego się nie dowie)

Opracowany przez Mozillę mechanizmPersona Identity Bridge staje się coraz bardziej uniwersalnymnarzędziem poświadczania cyfrowej tożsamości w Sieci. Być może wczasach, gdy inni dostawcy usług tożsamości, tacy jak Facebook czyGoogle, robią co mogą, by zamienić je w narzędzia pozyskiwaniajeszcze większej ilości informacji o użytkowniku, Persona stanie sięjedyną usługą, która pozwalając na łatwe logowanie się do nieznanychwcześniej witryn, będzie jednocześnie chroniła naszą prywatność.Mozilla ogłosiła właśnie, że z Persony skorzystać mogą użytkownicyGmaila, co znacząco powiększa liczbę internautów mających dostęp dotej usługi tożsamości.Działanie Persony powinno stać się jasne dla każdego po obejrzeniuponiższego wideo: w skrócie można powiedzieć, że to zdecentralizowanysystem uwierzytelniania na bazie otwartego protokołu (BrowserID),który jako jedyny identyfikator użytkownika wykorzystuje jego adrese-mail, w pełni integruje się z przeglądarką, i co najważniejsze,niczego nie wyjawia dostawcy tożsamości.[yt=http://www.youtube.com/watch?v=azwP0eHML00]Do tej pory Persona pozwalała na wykorzystanie jedynie adresówpocztowych od Yahoo!, w Polsce niezbyt popularnych. Kolejna wersjaprzynosi obsługę znacznie popularniejszego u nas Gmaila. Nie ma sięjednak co obawiać, że ciekawskie Google dowie się w ten sposób, gdziesię logujemy. Dan Callahan z Mozilli wyjaśnia, że choć użytkownicyGmaila mogą logować się do witryn obsługujących Personę, to Googlenie może śledzić ich działań.[img=identity]Liczba serwisów internetowych, obsługujących logowanie via Personastale rośnie: z badań firmy LoginRadius wynika, że usługa Mozilli zdołała znaleźć się wśród 10najpopularniejszych usług logowania w Sieci, ma obecnie większyudział w rynku niż usługi takich firm jak AOL, MySpace, Foursquare,Hyves, WordPress, LiveJournal, Mixi, MyOpenID, Orange, Verisign iVirgillio. To oczywiście wszystko płotki – jeszcze trochę czasuzajmie dorównanie takim gigantom jak Facebook, Google czy Twitter,ale perspektywy Persona ma bardzo dobre. Instalacja tego systemu logowania we własnym serwisie niejest bowiem trudna, a z obsługą kont pocztowych tak Yahoo! jak iGoogle'a potencjalna baza użytkowników Persony przekracza 700 mln.Jeśli w przyszłości uda się połączyć Mozilli usługę tę z kontamipocztowymi Microsoftu i Yandexa, logować się w ujednolicony,bezpieczny sposób do stron internetowych będzie mogło nawet miliardużytkowników – tyle, co dziś może korzystać z systemu logowaniaFacebooka.

Web Storage to już oficjalny standard dla przeglądarek: będzie lepiej, niż z ciasteczkami?

Aplikacje webowe mogą już naprawdę dużo, a w przyszłości będąmogły jeszcze więcej. Tam gdzie do tej pory ich programiści męczylisię z przechowywaniem informacji w ciasteczkach (cookies), będziemożna wreszcie sięgnąć po znacznie bardziej elastyczny mechanizm,działający we wszystkich przeglądarkach. Konsorcjum WWW uznałointerfejs Web Storage – API pozwalające na przechowywanieustrukturyzowanych danych w przeglądarce – za swoją oficjalnąrekomendację. WebStorage, które było pierwotnie elementem oryginalnej specyfikacjiHTML5, to oczywiście nic nowego – na podstawowym poziomiewspierane było już przez Internet Explorera 8, Firefoksa 2, GoogleChrome 4 i Operę 10.50. Wsparcie przyszło szybko, gdyż jak tłumaczyłArthur Barstow, przewodniczący WebApps Working Group, jest towzględnie prosta specyfikacja, zarówno pod względem funkcjonalnościjak i interfejsu. [img=webstorage-opener]Szybkie pojawienie się działających implementacji Web Storagezaowocowało jednak licznymi różnicami pomiędzy przeglądarkami, cozniechęcało programistów serwisów internetowych do jego stosowania –mimo że mechanizm ten był sporym krokiem naprzód w porównaniu dociasteczek. Oferował bogatszy interfejs, możliwość przechowywaniadanych wielu sesji dla tej samej witryny, a przede wszystkim dającydo dyspozycji znacznie więcej miejsca (5-25 MB, w zależności odimplementacji, w porównaniu do około 4 KB dostępnych dla ciasteczek).Teraz można się spodziewać, że po przekształceniu Web Storage woficjalny standard, mechanizm ten zacznie być powszechnie stosowany waplikacjach takich jak webowe klienty poczty, ułatwiając pracęoffline. Każda witryna może poprzez to API utworzyć na dyskuużytkownika własny magazyn danych, przechowywanych jako paryklucz-wartość, w postaci łańcuchów tekstowych, a jednocześniezapewnia dobre mechanizmy bezpieczeństwa, pozwalające na kasowaniedanych po określonym przez użytkownika czasie, tworzenie białych iczarnych list dostępu, a w połączeniu z protokołem TLS, na ochronęprzed nieuprawnionym dostępem przez sfałszowane witryny internetowe.Mimo że Web Storage stało się oficjalną specyfikacją, jegodeweloperzy nie ukończyli jeszcze pracy. Pozostało im jeszczezmniejszenie narzutu przy wykorzystaniu algorytmów wzajemnegowykluczania, chroniącym przed jednoczesnym dostępem do tegosamego zasobu przez różne wątki, jak również ulepszenie zabezpieczeń,które dziś nie chronią danych użytkowników przed nieupoważnionymdostępem do danych przez różne serwisy działające w tej samej domenie(np. foo.wordpress.com i bar.wordpress.com).Warto przypomnieć, że oprócz Web Storage, twórcy aplikacjiprzeglądarkowych mogą wykorzystywać bardziej skomplikowany magazyndanych, IndexedDB,zaproponowany przez Oracle i rozwijany przez ekspertów z Google,Microsoftu i Mozilli. Indexed Database pozwala na przechowaniezarówno prostych wartości, jak i hierarchicznych obiektówJavaScriptu. Do jego ustandaryzowania pozostało niewiele –ostatnia lipcowa edycja specyfikacji ma już status CandidateRecommendation, zapewne więc stanie się oficjalnie rekomendowanymmechanizmem przechowywania złożonych danych, szczególnie że jegojedyny konkurent, wspierany przez Chrome, Safari i Operę standard WebSQL jest praktycznie martwy.

FBI triumfuje: największy hosting sieci Tor przejęty, tysiące użytkowników zdemaskowanych?

Trzeba przyznać, że amerykańskie agencje o trzyliterowych skrótachpotrafią ostro grać. W zeszłym tygodniu podczas konferencji BlackHat, jeden z prelegentów, generał Keith Alexander z NSA zostałzmuszony przez zgromadzonych hakerów do odpowiadania na bardzonieprzyjemne pytania, w rodzaju kłamałeś przed komisją Kongresu,dlaczego ludzie mieliby sądzić, że teraz też nie kłamiesz,a nawet zachęcany do czytania konstytucji Stanów Zjednoczonych. Terazorgany ścigania supermocarstwa pokazały, że incydent z EdwardemSnowdenem wcale nie oznacza ich całkowitej bezsilności wcyberprzestrzeni, wymierzając miażdżący cios w jedną znajpopularniejszych sieci anonimizujących, Tora.W ostatni piątek irlandzkapolicja, realizując wystawiony przez władze USA nakaz, aresztowała28-letniego Erika Eoina Marquesa, oskarżonego o to, że byłnajwiększym na świecie pomocnikiem w dystrybucji dziecięcejpornografii –jak określił to zeznający przedirlandzkim sądem agent FBI. Aresztowanie Marquesa, właściciela firmyHost Ultra Ltd, uważanego za założyciela usługi hostingowej FreedomHosting, zbiegło się w czasie ze zniknięciem z Tora dziesiątekukrytych serwisów, w tym systemu anonimowej poczty Tormail i systemubitcoinowych płatności Onionbank.[img=tor-opener]Freedom Hosting, usługa niemająca nic wspólnego z samymi twórcami sieci Tor, oferowałazainteresowanym hosting ukrytych usług Tora, pozwalając uruchamiaćwitryny, które nie byłyby w żaden sposób dostępne z zewnętrznegoInternetu (chyba że przez specjalne bramki). Działające w ten sposóbserwisy były praktycznie nie do namierzenia ani co do ichinternetowego adresu, ani fizycznej lokalizacji. Nic więc dziwnego,że z Freedom Hosting stał się usługą hostingową chętnie wybieranąprzez zawierające nielegalne treści, czy oferujące nielegalne usługiwitryny. Z czasem stał się też obiektem zainteresowania jednej zfrakcji Anonymous (lub jak niektórzy sugerują, podszywających się podAnonymous agentów organów ścigania), którzy próbowali zlikwidowaćdziałające na Freedom Hosting serwisy za pomocą wyprowadzanychpoprzez sieć Tor ataków DDoS. Teraz Marques oczekuje naekstradycję do USA, zaś społeczność użytkowników siecianonimizujących zastanawia się, co dalej. Złamane zostały nie tylkozabezpieczenia Freedom Hosting (choć znów, pojawiają się informacje,że założyciela Freedom Hosting namierzono śledząc transfery pieniędzyz Rosji do Rumunii, gdzie znajdować się miały kolokowane serwery tejusługi hostingowej), ale też być może zdemaskowano samychużytkowników Tora.Okazuje się bowiem, że organyścigania wykorzystały nieznany wcześniej exploit 0-day w Firefoksie17 i późniejszych dla Windows, aby namierzyć osoby odwiedzającehostowane na Freedom Hosting witryny. Umieszczono w nich złośliwykod, który przez pływającą ramkę iframe uruchamiał skryptpozwalający na nawiązanie połączenia po HTTP z zewnętrznym serwerem iprzesłanie na niego unikatowego identyfikatora. Oczywiście nie jestto nic przełomowego – o zagrożeniach tego typu wiadomo jużprzynajmniej od opublikowaniapracy Trawling for Tor Hidden Services: Detection,Measurement, Deanonymization Aleksa Birjukowa i Iwana Pustogarowa, ale nigdy dotąd nie udało sięzrealizować takiego ataku na taką skalę – Firefox 17 ESR(Extended Support) jest wykorzystywany w oficjalnym pakiecie TorBundle, udostępnianym przez organizację The Tor Project Inc.Sami deweloperzy Tora przyznają,że nie wiedzą niczego więcej, niż to, co można było dowiedzieć się zpublicznie dostępnych źródeł. Poinformowali, że analizują błąd wFirefoksie 17 i w miarę możliwości będą próbowali go załatać. NSA iFBI nie przestawiły jeszcze żadnego oficjalnego komunikatu, ale możnaspodziewać się, że w ich kwaterach świętują – zlikwidowalinajwiększą usługę hostingową Tora, aresztując zarazem jej twórcę (aniewykluczone, że i przejmując komunikację odbywającą się przezpocztę TorMail). Z drugiej strony – wiadomo, że natura nieznosi próżni, i wcześniej czy później pojawi się następca FreedomHosting. O rozpoczęciu prac nad anonimową chmurą OnionCloud poinformowała właśnie organizacja OpenWatch, przekonana, żezautomatyzowana, zdecentralizowana platforma hostingowa jest jedynymsposobem na rozwijanie bezpiecznych usług w sieci Tor.

Bitcoin będzie coraz mniej anonimowy, coraz bardziej kontrolowany przez władze?

Dla niektórych użytkowników Bitcoina, to co dzieje się obecnie ztą kryptograficzną walutą nie wygląda za dobrze. Z jednej strony mamycoraz bardziej kontrolowane przez władze giełdy i kantory,pozwalające na powiązanie bitcoinowych adresów z realnymitożsamościami, z drugiej strony deweloperzy przygotowują nowefunkcjonalności dla Bitcoina, które pozwolą internetowym sprzedawcomna wymaganie płatności od swoich klientów, finalizowanych za pomocącyfrowych certyfikatów i przechowujących metadane o nabywcy i jegotransakcji. Zaniepokojeni stawiają pytanie: czy w przyszłości Bitcoinnie stanie się kompletnym wynaturzeniem oryginalnej wizji –całkowicie przejrzystym systeme płatności z kilkoma punktamikontroli, pozostającymi w rękach władz i finansjery? Dwóch autorów, ukrywających się pod pseudonimami Sid Angeles orazEric Gonzalez, opublikowało artykuł pt. Bitcoin 2: Freedom of Transaction, który opisuje to, cozdaniem autorów najbardziej dziś zagraża najpopularniejszej zkryptograficznych walut, i sugeruje zastosowanie radykalnej terapii.Konieczne miałoby być stworzenie forka tej waluty, który będzie nietylko alternatywą dla Bitcoina, ale z czasem przejmie większość jegoużytkowników. [img=bitcoin-opener]Dzisiaj oczywiście alternatyw dla Bitcoina nie brakuje –coraz większe znaczenie w światku kryptowalut ma Litecoin,interesujący jest także PPCoin – jednak żadna z tych walut nierozwiązuje problemów opisywanych przez Angelesa i Gonzaleza, wszczególności ukrywania tożsamości użytkowników. Bitcoin 2 miałbywięc pozbyć się wszystkich elementów zagrażających anonimowości, ajednocześnie zapewnić częściowe wsparcie dla protokołu Zerocoin,pozwalającego na całkowicie anonimowe transakcje, których nieodnotowywano by w łańcuchu bloków.To zagrożenie dla anonimowości autorzy artykułu widzą właśnie wmechanizmie Bitcoin Payment Messages. Większość państw wymaga dziś odsprzedawców wystawiania rachunków za sprzedawane towary –zaniedbanie tego obowiązku jest często traktowane jako przestępstwokarno-skarbowe. Gdy płatności realizowane przez sieć Bitcoinumożliwią wystawianie takich rachunków, to z czasem zaczną ichwymagać wszyscy sprzedawcy. W połączeniu z coraz bardziejrestrykcyjnymi zasadami sprzedaży bitcoinów na giełdach i wkantorach, wymuszających potwierdzenie tożsamości klientawymieniającego w nich klasyczne waluty, ustalenie realnej tożsamościużytkowników Bitcoina staje się coraz łatwiejsze. Wystarczyanalizować przepływy środków pomiędzy kontami, aż dotarłoby się doźródłowego konta na giełdzie, powiązanego z realną tożsamością. Jakpodkreślają Angeles i Gonzalez, takie oprogramowanie do analizymechanizmów prania pieniędzy jest szeroko wykorzystywane dziś wbankach, i jego dostosowanie do Bitcoina nie byłoby trudne. Co gorsza, w przyszłości może dojść do sytuacji, w którejsprzedawcom zakazano by akceptowania transakcji, w których tożsamośćklienta nie byłaby wystarczająco pewna. Wówczas to „oczyszczone”bitcoiny (czyli przepuszczone przez mikser czy pralnię), byłybypraktycznie bezwartościowe – nikt nie chciałby ich przyjąć.Innym problemem, którą pomysłodawcy forka Bitcoina chcielibyrozwiązać, jest rosnący rozmiar łańcucha bloków. Ich zdaniem z czasemcoraz mniej osób będzie przez to używało pełnych klientówkryptowaluty, bo nikomu nie będzie chciało się pobierać całejhistorii transakcji. To doprowadzi do dalszej centralizacji Bitcoina,a w rezultacie wzmocni kontrolę władz i instytucji finansowych. Abytemu zaradzić, Angeles i Gonzalez proponują rezygnację zprzechowywania całej historii transakcji – w momencie dodaniado łańcucha nowego bloku, kasowany byłby najstarszy z bloków. W tensposób łańcuch miałby zawsze stałą długość, a wszystkie bitcoinyprzechowywane w transakcjach w tych starych blokach byłyby uwalnianei rozdawane w systemie loteryjnym.Deweloperzy „oficjalnego” Bitcoina tymi pomysłami, cozrozumiałe, zachwyceni nie są. Jeff Garzik próbuje strywializowaćprzesłanie artykułu, określając go jako projekt kolejnegoaltcoina, próbującegopodpiąc się pod markę Bitcoin.Jest też przekonany, że mechanizmy anonimizujące są zbędne, zaś tymco cenne w Bitcoinie jest właśnie przejrzystość – możliwośćzapewnienia przez firmy całkowicie otwartej, kryptograficzniepotwierdzonej księgowości.Sami autorzy nie są zbytoptymistyczni co do szans utworzenia takiego forka. Sami nie mająmożliwości zająć się implementacją tych pomysłów, uważają, że zczasem ich artykuł zostanie zapomniany, a Bitcoin przekształci sięzgodnie z ich przewidywaniami – w kompletnie przejrzysty iuregulowany system internetowych płatności. Jak zaś podkreślają,przejrzystość to obosieczne ostrze. Przejrzystość w tworzeniupieniędzy i ich podaży jest czymś bardzo dobrym. Przejrzystość wkwestii tego, kto ile jest komu winien, lub kto jak wydał swojepieniądze, to wielkie zło.

Google walczy o neutralność Sieci (chyba, że chodzi o neutralność w jego własnej sieci)

Punkt widzenia zależy od punktu siedzenia – ta życiowamądrość potwierdza się właśnie w wypadku Google'a, które jeszczekilka lat temu uznawane było za jednego z czempionów neutralnościSieci, czyli zasady, zgodnie z którą dostawcy Internetu powinnitraktować wszystkich użytkowników, usługi, platformy, protokoły czywitryny jednakowo, bez szczególnych preferencji czy nieuzasadnionychtechnicznie ograniczeń. Teraz jednak, gdy internetowy gigant sam został dostawcą Internetu, oferując w kilku amerykańskich miastachsymetryczne, gigabitowe łącza internetowe w ramach usługi GoogleFiber, okazuje się, że neutralność Sieci już nie jest taka fajna.Na polskich internautach, cieszących się, jeśli szerokopasmowełącze oznaczają asymetryczne 30 Mbit/s, parametry Google Fiber mogąrobić wrażenie. Za 70 dolarów miesięcznie (120 dolarów z usługątelewizyjną), abonent otrzymuje symetryczne łącze 1 Gbit/s,terabajtowe konto w Dysku Google, tablet Nexus 7, nagrywarkę DVR iopcjonalnie Chromebooka za 250 dolarów. W regulaminie świadczeniausługi znaleźć można jednak klauzulę, odbierającą sporo atrakcyjnościgoogle'owej ofercie. Mountain View zakazuje uruchamiania na łączuGoogle Fiber jakiegokolwiek rodzaju serwera, chyba że użytkownikotrzyma na to od firmy pisemną zgodę.[img=netneutrality-opener]Klauzula ta nie spodobała się pewnemu mieszkańcowi Kansas, któryuznał, że narusza ona postanowienie Federalnej Komisji Komunikacji (FCC), zgodnie z którym dostawcyszerokopasmowego Internetu nie mogą blokować zgodnych z prawemtreści, aplikacji, usług i nieszkodliwych urządzeń.W 2012 roku złożył on więc do FCC skargę, zwracając się o zbadanietreści google'owego regulaminu, tak bardzo niepasującego do tego, cokilka lat wcześniej Google głosiło podczas debaty z Verizonem nadneutralnością Sieci. FCC zajęło się skargą i nakazało Mountain View ustosunkować się dozarzutów, co firma niezwłocznie uczyniła. Odpowiedź jednakinternaucie z Kansas się raczej nie spodoba – Google utrzymuje,że zakaz uruchamiania serwerów przez użytkowników Google Fiber nie manic wspólnego z zakazanym dyskryminowaniem zgodnych z prawem usług,lecz jest elementem dozwolonego przez FCC racjonalnego zarządzaniasiecią. Praktyki takie sąuznawane za racjonalne wtedy,gdy służą osiągnięciu uzasadnionych celów z zakresu zarządzaniasiecią, biorących pod uwagę architekturę sieci i technologię dostępudo niej. W wypadku Google Fiber zakaz stosowania serwerów służyć mabezpieczeństwu i uniknięciu przeciążenia sieci.Problem jednak w tym, że pojęcie„serwera” jest bardzo szerokie – regulamin nietylko zakazuje podłączania do Google Fiber wielkich serwerów webowychi prowadzenia w ten sposób firmy hostingowej, ale też takiegooprogramowania jak zdalna konsola zarządzania dysku sieciowego,serwer gry (np. Minecrafta) czy konkurencyjne dla Dysku Googleoprogramowanie ownCloud. W związku z tymi wątpliwościami,przedstawiciele Google'a ogłosili, że nie będą się przejmowali takimidrobiazgami, ale i tak pewien niesmak pozostaje – przecieżdokładnie to samo, co dziś gigant z Mountain View robi, robiliwcześniej krytykowani przez niego dostawcy Internetu – nietylko w Stanach Zjednoczonych, ale praktycznie na całym świecie. Odczempiona neutralności Sieci można byłoby oczekiwać czegoś innego.
Mozilla i BlackBerry zawarły sojusz na rzecz zwiększenia bezpieczeństwa Sieci i przeglądarek
1

Mozilla i BlackBerry zawarły sojusz na rzecz zwiększenia bezpieczeństwa Sieci i przeglądarek

Coraz więcej oprogramowania uruchamianego przez przeglądarkę,coraz więcej potrafiące przeglądarki – i coraz więcejzłośliwego kodu, wykorzystującego luki w webowym oprogramowaniu doatakowania użytkowników. Tak to wygląda w Anno Domini 2013, a jakamoże być przyszłość? Mozilla chce, by te dwa pierwsze aspektywspółczesnego software'owego pejzażu nie prowadziły z konieczności dotrzeciego. W sojuszu z BlackBerry zamierza więc zaangażować się wrozwój narzędzia o nazwie Peach, fuzzera do wyszukiwania lukbezpieczeństwa w przeglądarkach. Producent Firefoksa przy okazjiprzedstawił też projekt o nazwie Minion, narzędzie mające przynieśćodmienne podejście do kwesti automatycznych testów aplikacjiwebowych.Fuzzery to narzędzia doautomatycznego lub półautomatycznego testowania oprogramowania,pozwalające na wprowadzanie do programu losowo generowanych,niepoprawnych, niezgodnych z oczekiwanym typem danych, a następnieobserwowanie jego zachowania, w oczekiwaniu na awarię, któraujawniłaby błędy w kodzie. W połączeniu z debuggerami, fuzzery są wstanie wykryć wycieki pamięci – dla dużych aplikacji jedne znajgroźniejszych podatności.[img=peach-opener]Stworzony w 2004 roku Peach jest jednym z najbardziej znanych narzędzi tego typu, dostępnym już(dzięki frameworkowi Mono) nie tylko na Windows, ale też na OS-a X iLinuksa. Michael Coates, dyrektor bezpieczeństwa w Mozilli twierdzi,że już od jakiegoś czasu narzędzie to jest wykorzystywane w Mozillido fuzzingu obsługi wielu elementów HTML5, w tym formatów audio iwideo, interfejsów programowania takich jak WebGL czy WebAudio, czyprotokołów takich jak WebRTC. Uzyskane wyniki pozwalają lepiejzabezpieczyć zarówno Firefoksa jak i mobilny system operacyjnyFirefox OS.Już niebawem to opensource'owenarzędzie ma pomóc w kompleksowym testowaniu zabezpieczeńprzeglądarek. Do prac nad rozwojem Peacha Mozilla przystąpiła wtandemie z niespodziewanym partnerem – firmą Blackberry, któraod lat korzystać ma z rozwijanych przez niezależnych programistówfuzzerów, jako uzupełnienia własnego zestawu narzędzi do prowadzeniabadań nad lukami w oprogramowaniu. Bezpieczeństwo towyzwanie dla całej branży, problem którego nie można rozwiązać wpróżni, dlatego właśnie badacze Mozilli i BlackBerry pracują razemnad nowymi i innowacyjnymi narzedziami do wykrywania zagrożeń dlaprzeglądarek – wyjaśniłAdrian Stone, dyrektor bezpieczeństwa w BlackBerry.[img=Fuzzing-for-Bugs]Mozilla przedstawiła teżnarzędzieMinion, które pozwolić ma każdemu programiście, nawet niemającemu specjalistycznej wiedzy z zakresu bezpieczeństwa IT, naprzetestowanie aplikacji pod kątem występujących w nim luk. Pozwalaono na integrację zautomatyzowanych testów witryn i aplikacji,przynosząc rozsądne domyślne ustawienia i już teraz wykorzystywanejest wewnętrznie przez deweloperów, testerów i specjalistów odbezpieczeństwa. Udostępniona wersja nosi numer 0.3, a prace nadkolejnymi funkcjonalnościami wciąż trwają – kolejne wersjeprzynieść mają m.in. weryfikację własności witryn, precyzyjnąkontrolę dostępu, raportowanie, podłączanie wtyczek do usług innychplatform Security-as-a-Service czy śledzenie historii bezpieczeństwaprojektu.W ten sposób, jak wyjaśniaCoates, Mozilla chce zarówno uczynić Sieć jeszcze bezpieczniejszą,jak i chronić użytkowników Firefoksa. Starania te, jak pokazujewspółpraca z BlackBerry, nie ograniczają się tylko do własnychproduktów, co jest godnym pochwały, choć niestety rzadkim w tejbranży zjawiskiem.