Czy ma to w ogole wplyw na zwykle komputery? Wydawaloby sie, ze nie. Jesli chodzi o wplyw bezposredni, moze to byc nawet prawda. Posrednio to zupelnie inna sprawa. Komputery zawieraja wiele elementow wykorzystywanych takze w urzadzeniach zbudowanych z Linuksem. To moze oznaczac dostepnosc sterownikow, albo co najmniej specyfikacji. Widac golym okiem, ze nowy uzytkownik Linuksa ma coraz mniej problemow ze znalezieniem sterownikow do swojego sprzetu. Sa oczywiscie inne przyczyny, ale istnienie duzej liczby 'ukrytych' Linuksow gra tu swoja role.

Z drugiej strony mamy dyrektywe IP Criminal Measures. Ma podobno przeciwdzialac terroryzmowi (tylko jaki jest zwiazek naruszen wlasnosci intelektualnej z terroryzmem?) przez wprowadzenie odpowiedzialnosci karnej za 'naruszenia wlasnosci intelekualnej na skale komercyjna'. Cokolwiek to by mialo znaczyc. Wg. FFII bardzo wiele elementow jest niejasnych.

Niezaleznie od zawartosci wydania stabilnego, wiekszosc zwyklych uzytkownikow (nie administratorzy serwerow) bedzie teraz wybierac wydanie lenny/sid.

Zostalo jednak niedawno ujawnione, ze dane o odwiedzanych stronach mozna kupic (takze tu). To dotyczylo rynku amerykanskiego, ale nie wydaje mi sie zeby w UE wygladalo to znaczaco inaczej.

Niespodzianka? Raczej nie. Co wiecej, takie sprawy nie sa raczej uregulowane prawnie, a i umowa miedzy uzytkownikiem a dostawca zazwyczaj nic o tym nie mowi.

Takie pozyskiwanie informacji o tym, co robia uzytkownicy, jest bardzo logiczne. Systemy oparte o konkretne strony beda znacznie mniej skuteczne, bo za pomoca Adblocka i podobnych narzedzi znaczna czesc z nich mozna oszukac. Zapytania, ktore pochodza bezposrednio z komputera uzytkownika to zupelnie inna sprawa i bardzo dobre zrodlo do analiz.

I tu dochodzimy do retencji danych. Na pierwszy rzut oka nie wyglada na powiazany z tematem. Jesli jednak przyjrzec sie blizej to czym sa dane zbierane jak nie zapisem tego, co w postaci nieco przetworzonej mozna sprzedac jako statystyki? Obawa o uzycie skladowanych danych nie wydaje sie bezpodstawna. Retencja oznacza wielkie zbiory danych na stalych nosnikach, ktore mozna zanalizowac znacznie mniejszymi kosztami niz teraz (odpada skladowanie!). To z kolei oznacza bardziej interesujace statystyki, ktore powinny sie dobrze sprzedawac. Za zgoda uzyttkownikow lub bez. Legalnie lub nie. Biorac pod uwage ogrom skladowanych danych (w Polsce rzadowy projekt mowi o 5 latach przy maksimum w UE wynoszacym 2 lata), jest prawie pewnym ze dane beda wyciekac.

Czy uzytkownicy powinni byc informowani, ze informacje o stronach, ktore odwiedzaja (i nie tylko) sa zbierane i przetwarzane? Jest dla mnie jasnym, ze tak. To informowanie nie powinno budzic zadnych watpliwosci.

A co uzytkownik zrobi z ta wiedza? Jedyna metoda ochrony jest szyfrowanie. A strony udostepniajace szyfrowanie to niewielki procent (za wyjatkiem bankow i instytucji finansowych). Co wiecej, nie jest trudno znalezc witryne, do ktorej haslo jest transmitowane bez jakichkolwiek zabezpieczen, a zdarza sie nawet ze bezposrednio w tresci zapytania. Uzywanie tylko stron zapewniajacych chocby podstawowe bezpieczenstwo to prawdziwe wyzwanie. Kazda nieszyfrowana akcja (wiekszosc przegladania WWW, chat, IM, e-mail itd) przemierza Siec jawnym tekstem. Moze byc przechwycona w dowolnym miejscu, nie ma sie kontroli nad tym, do jakich celow te dane posluza. Czy zdajemy sobie z tego sprawe?

A teraz? Jobs pisze przeciwko DRM (en). To oczywiscie spotyka sie z krytyka (en) koncernow muzycznych (en). Pytanie o sensownosc DRM pojawilo sie jednak w miejscach, gdzie do tej pory nie wystepowalo. To z cala pewnoscia nazywam pozytywem.

Ze spraw bardziej technicznych glosne staly sie metody uzyskiwania kluczy HD DVD i Blu-ray. Na tym przykladzie dobrze widac slabosc dystrybucji kluczy w tych systemach. Te, ktore wyciekly, moga byc teoretycznie zablokowane, ale co jesli stanie sie tak z kluczem popularnego sprzetu? Czy producent zaryzykuje niezadowolenie milionow (to calkiem mozliwe) uzytkownikow i koniecznosc zmiany w kazdym egzemplarzu co najmniej fragmentu oprogramowania (wykonywane zapewne w serwisie)? Warto tez porownac czas i koszty poswiecone na opracowanie tych zabezpieczen z czasem i kosztami potrzebnymi do ich zlamania. Nasuwa sie pytanie, czy nie mozna ich bylo wykorzystac lepiej w innych celach.

Pojawil sie takze system operacyjny z wbudowanym DRMem. Wplyw tego na komfort uzywania bedzie sledzony przez wiele osob, a na razie recenzje w tej kwestii sa raczej negatywne.

Z drugiej strony rynek muzyki (i nie tylko) nie-DRM ma sie calkiem niezle. Czy to chodzi o ksiazki (zob. np. Baens (en)), czy o muzyke (zob. np. Jamendo), to rozwiazania istnieja i znajda je ci, ktorzy zechca poszukac.

Dlaczego wiec tytul ,,DRM: kilka lat wczesniej''? Ano dlatego, ze sprawa DRM nie jest rozstrzygnieta, wahadlo wydaje sie znajdowac sie gdzies po srodku. Tyle tylko, ze za kilka lat (mysle ze 2-3) bedzie juz po rozstrzygnieciu. Jak bedzie ono wygladac? Wydaje mi sie, ze jakis rodzaj DRM przetrwa, ale dla niektorych zastosowan, nie w powszechnym uzytku. Ta pozytywna prognoza koncze...]]> http://ksiezyc.net/blogpl/archives/2006/12/31/T19_53_42/ 2006-12-31T19:53:42+01:00 Mara Bezpieczenstwo Wired pisze o kolejnym ataku wykorzystujacym opoznienie zegara.Jest to inny sposob wykorzystania tego, o czym juz kiedys pisalam. Tym razem uzyte jest opoznienie zegara spowodowane przez nieznaczne podgrzewanie sie komputera przy duzym obciazeniu.

Nie wydaje mi sie, zeby ten atak byl uzyteczny w praktyce przeciwko serwerom o srednim lub wiekszym obciazeniu lub takie, na ktorych dziala wiecej uslug. Tam opoznienie powinno sie pojawiac w odpowiedzi na dzialanie wszystkich uzytkownikow. Z drugiej strony, jako jeden z wielu testow, taki atak moze byc przydatny.

Warto zauwazyc za to, ze prezentowanych jest coraz wiecej atakow na systemy kryptograficzne, ktore nie atakuja ich bezposrednio. Przykladami moga byc tutaj ataki czasowe, ataki wykorzystujace pamiec cache itd. To ciekawe zjawisko, ale ma calkiem logiczne przyczyny: taki atak stosunkowo latwo przeprowadzic i trudno sie przed nim obronic. I, co moze wazniejsze, wykorzystuje sie wlasciwosci, ktore nie byly brane pod uwage podczas projektowania systemu albo protokolu kryptograficznego.

Sadze, ze takich atakow bedzie coraz wiecej. Zapewne pojawia sie tez zupelnie nowe techniki. A ktora okaze sie najskuteczniejsza w praktyce, to sie jeszcze okaze.

Wyglada na to, ze cala sprawa to w wiekszosci zart (niezbyt udany). Warto w zwiazku z ta sprawa pomyslec jednak, co by sie stalo, gdyby cos takiego rzeczywiscie mialo miejsce z dowolna popularna aplikacja. Warto, nawet jesli mialoby sie okazac, ze nie trzeba podejmowac zadnych specjalnych akcji.

Jest to ciekawa opinia, jedna z niewielu opinii na tak wysokim szczeblu, ktore wskazuja na konflikt miedzy retencja a prawem do prywatnosci.

Nie jestem optymistka jesli chodzi o ta sprawe. Sadze, ze retencja pojawi sie, byc moze tylko inna metoda (wraz z towarzyszacym jej wzrostem popularnosci i znaczenia anonimowym sieciom i nowym rozwiazaniom sluzacym zapewnianiu anonimowosci). Niemieckie watpliwosci wydaja sie jednak byc warte sledzenia.

Paszporty biometryczne sa (przynajmniej w Europie) praktycznie pewne. Jest sporo otwartych pytan i watpliwosci, szczegolnie jesli chodzi o przechowywane dane, metody dostepu do nich itd.

Na polskim podworku, dla przykladu, takie paszporty beda wydawane juz od 28 sierpnia (tego roku). Coz mozna dowiedziec sie na temat sposobu zapisywania w nich danych? Odpowiednie rozporzadzenie jest tak ogolne, ze mozna sie z niego dowiedziec ze 'dane sa na chipie'. Nie ma ani slowa o bezpieczenstwie tych danych. Chcialabym wiedziec, co najmniej, czy te dane sa szyfrowane i jak sa chronione przed niepowolanym dostepem. Oprocz tego, w regulacjach nie znalazlam nic na temat sposobu przechowywania tych danych w systemach informatycznych (zalozenie o istnieniu bazy danych ma mocne podstawy) i tego, kto ma do nich dostep. A bardziej ogolnie... co jest przechowywane? Ironiczne jest to, ze ministerstwo na swojej stronie twierdzi, ze takie paszporty wprowadzono dla ochrony przed kradzieza tozsamosci.

W ostatnim czasie sledzilam tez sporo dyskusji dotyczacych biezacych wydarzen. W nich, ale takze wczesniejszych, dotyczacych prywatnosci i bezpieczenstwa, widac bardzo wyraznie zasadnicza roznice pogladow. Wiele osob jest gotowych oddac znaczna czesc swojej prywatnosci, zeby uzyskac bezpieczenstwo (a moze tylko jego iluzje?). Co wiecej, nie jest czyms niezwyklym opinia podobna do: 'jesli nie jestes terrorysta, to dlaczego masz cos przeciwko temu, zeby policja czytala twoje emaile?'.