Výpis článků se štítkem internet.

„Soukromí všichni očekáváme, ale nikdo si ho neváží.“

Překvapivě málo nám vadí stále častěji dokazovaé případy sledování našich emailů, zapisování, archivace a analýza našeho pohybu po internetu a úniky osobních dat. Shrňme si to: všechny informace o nás, které má google, youtube, yahoo, microsoft a další velcí hráči jsou i do rukou vládám - nejčastěji vládě USA. Ta si je ukládá a třídí.

„Ale já si tam nic tajného neposílám.“ Nemusíte zrovna posílat plány na konstrukci bomb z autobaterií, pro někoho by jistě byla zajímavá i korespondence s rodinou, osobním bankéřem, výpisy z bankovího účtu, faktury z eshopů nebo dopisy obchodním partnerům. A to, že nikoho nezajímají teď, se můžu snadno změnit, pokud se stanete někým důležitým.

Už teď umíme zašifrovat email tak, aby ho dokázal přečíst jen adresát, rozšířené jsou dvě technologie:

S/MIME

V případě S/MIME vám nějaká autorita - velká bezpečnostní firma, neziskovka nebo např. česká pošta vystaví doklad o tom, že jste vlastníkem emailu - součástí toho dokladu jsou dva klíče (jsou to dlouhá hesla - opravdu dlouhá), Váš email a občas i Vaše jméno a příjmení. Jeden z klíčů je veřejný a druhý je soukromý. Soukromým klíčem můžete podepsat email a pokud má adresát vašeho emailu rozumný program - zobrazí se mu, že správa byla podpesána a autorem zprávy jste skutečně vy, za to se zaručí ta autorita, která certifikát vydala.

Pokud má Váš adresát taky S/MIME, pak pokocí kombinace svého soukromého klíče a jeho veřejného, můžete email zašifrovat tak, že nikdo krom něj si ho prostě nepřečte.

PGP

Druhou možností je PGP, ta vypadá podobně, taky máte dva klíče (soukromý a veřejný), taky můžete podepisovat a nebo rovnou šifrovat, ale za Vaši identitu a neporušenost zprávy se nikdo nezaručí. Klíče si vygenerujete sami přímo v mailovém klientovi a lidem, kterým chcete posílat bezpečné emaily, dáte váš veřený klíč třeba na papírku - oni si ho pak přidají do adresáře veřejných klíčů a budou moct otevírat zašifrované zprávy od Vás.

Zajímaly by Vás články a návody na podobná témata? Já bych o tom rád psal, ale nevím moc jak to uchopit.. :\ Budu rád za konkrétní náměty do komentářů.

Milí, na internet unikl seznam dobrovolných hasičů. Je to trapas, ale není to nic divného. Soubor byl nejspíš příliš velký na odeslání emailem:

A tak se uživatel rozhodl použít sdílecí server... a udělal úplně správně. Jen s jednou malou chybičkou: soubor nezašifroval.

Kudy tedy do toho?

Mě se líbí AxCrypt, jde o program, který se integruje do Windows a pak můžete šifrovat stejně jednoduše, jako děláte archivy (zipy) - přes druhé myšítko.

Jak to tedy mělo být správně?

Uživatel sepíše dokument, chce ho odeslt kolegovi, ale zjistí, že mailu se nechce, tak ho zašifruje, nahraje na uložto, uschovnu, czshare, edisk, minus nebo na web, brnkne nebo pošle smskou heslo a mailem odkaz na soubor. Po stažení soubor odmázne - zbytečné nechat to válet na netu zbytečně dlouho.

Tak by dosáhl poměrně rozumného poměru námaha/bezpečnost, ale samozřejmě pokud někdo pracuje pravidleně z tolika osobními údaji hodilo by se mít stanovená nějaká úpravidla: bezpečnostní politiku, která by stanovila např. širování disku, způsob záloh, jakým způsobem je možné data vydat, pravidla skartace a podobně.

Našel jsem na disku v práci uložený web, který jsem před nedávnem odhackovával :-) Tak o tom napíšu článek:

Začátek

Ozvala se mi kamarádka, že prej jí přišlo upozornění od webhostingu, že je prý něco špatně s jejich reklamou na webu a jestli to nenapraví, tak jí prý vypnou web. A jen tak mimochodem mi povídala, že prej když jde její maminka z googlu, tak se tam nedostane.

Začal jsem tedy řešit reklamy a všechno vypadalo jako obvykle... hmm, tak kde je potíž.. Tak jsem začal obecnou kontrolou.. obvykle začínám od .htaccess, protože to je první soubor na řadě poté, když uživatel přijde na web.

Našel jsem tam prapodivný kód, (který už nemám), který uživatele, co přišli z googlu, yahoo, asku a dalších vyhledávačů posílal zpět :-) Prostě lidi, kteří si vyhledali web na googlu odpálkoval zpátky. ($$$) A odtušil jsem že je něco špatně.

Záloha

I nakažený web je lepší než žádný web, takže jsem začal stahovat komplet web přes FTPS na můj počítač. Trvalo to velmi dlouho… hmm :-\ Ok zkontroloval jsem soubory, instalaci Wordpressu už celkem znám a soubory jako san.php nebo che.php nemaj v hlavním adresáři co dělat, ale vzhledem k tomu, že tyhle soubory kyžtak přepíšu, nechal jsem je zatím tam a hledal pročpak stahování tak trvá.

Proč to tak trvalo? V jedné složce bylo nacpaných 1700 php souborů… malých webovek, které zobrazovaly kombinace 400 pornofotek z další složky webu mé kamarádky. Někdo zkrátka použil její web jako multihosting pro celou řadu pornostránek!

Takže pro shrnutí: Kdo si chctěl vyhledat její web, měl smůlu, místo toho její stránky fungovaly jako 1600 malých webů s klíčovými slovy jako "free harde porno movie" "europe under age porn" "father and little daughter porn" ... zajímalo by mě, jak by se český zákon stavěl k vině/nevině kdyby tam bylo něco prudce nelegálního.. (autorská práva se přeci jen zatím u porna moc neřeší).

To ale není vešchno.

Virus také vložil do všech stránek reklamu na jakési kasíno, která vedla na web, který mi okamžitě zakázal můj antivir :-) Takže i nakažení počítačů čtenářů webu => hrozilo, že se pejkařský web dostane na černé listiny prohlížečů.

Pro zajímavost, k nakažení všech článků stačil 35 řádkový skriptík, který si zjistil heslo k DB, jméno tabulky a končil:

UPDATE $tb
    SET post_content = CONCAT(
       post_content,
       '".base64_decode('PGEgaHJlZj0iaHR0cD...aWE8L2E+')."'
       )"

Base64_decode je levný trik jak skrýt obsah... ve skutečosti se pod ním skrývá odkaz na "Online Casino Australia".

To ale ještě není všechno.

Dneska. když jsem si znovu zběžně prohlížel soubory toho nakaženého webu jsem v něm našel zip archiv "london.zip" :D a v něm můj antivir našel 2 viry.. :) takže zvědavý nezvaný čtenář, si mohl i odnést něco napamátku :-)

To ale ještě není všechno.

Už mě napadá jen poslední věc, které bych se na internetu nechtěl účastnit a to je rozesílání spamu… ano i to! Na jedné adrese kamarádčina webu se objevil mazaný formulář na rozesílání spamu… stačilo aby se na něj kdokoli připojil a mohl odeslat hromadu mailů pod falečnými adresami, u kterých ale bylo možno dohledat odkud přišly => ano ano, web mohl spandout i do spamových blacklistů…

Spamerovi se nakonec ještě objevila veselá hláška:

Jak to dopadlo?

Web jsem přemazal, přeinstaloval, změnili jsme hesla. Zjistil jsem že hackovací robot přišel nejspíše přes zákeřný nebo neaktualizovaný doplněk Wordpressu. Odkazy z článků si odstranila kamarádka sama.

Jak se tomu vyhnout?

• Nenasazovat WP tam, kde není třeba.
• Instalovat jen pluginy, které jsou nezbytné.
• Pluginy a šablony, které nepoužíváte vymazat, ne jen deaktivovat.
• Pravidelně aktualizovat úplně všechno (Wordpress, doplňky i šablony).
• Sledovat svůj web a divné věci zkoumat.
• Sehnat si hosting s pravidleným zálohováním (s bezplatnou obnovou), vrátit se o dva dny zpět je obvykle snazší než čistit nakažený web.

Držím nám palce, ať je zase dlouho klid!

Tento článek píšu mimo pořadník, abych si setřepal úvahy a poinformoval zájemce o tom co dělám a o čem přemýšlím.

Už delší dobu si vymýšlím nějaký internetový projekt, který by mě něco naučil, na kterém bych se vyřádil a vyrealizoval (pěkné slovo, že?) a zároveň by měl nějakou tu přidanou hodnotu, ať už finanční či dobročinnou. Mezi různě kvalitními a reálnými nápady jsem aktuálně vybral jeden (zbytek čeká v řadě), podrobnosti si nechám pro sebe, řešíme ho zatím v užším kroužku, důležité teď je co kvůli tomu nastalo.

Projekt je v zásadě velká webovka, kde se bude (v ideálním případě) scházet spousta lidí a budovat velké množství dat - textů - informací, můžete ho chápat jako velké fórum nebo malou wikipedii (dost malou). Aby takový projekt mohl být vystavený na internetu, musí, stejně jako každý jiný web, mít zařízený hosting -> místo na speciálně nastaveném počítači, který je maximálně spolehlivě připojen na nějakou rychlou linku. A o tom to bude :-) Jak jsem na to šel?

Předpoklady

• Webu se bude dařit a poroste do krásy, můžu očekávat třeba i 1000 návštěvníků denně a většina tam bude klikat déle. Zároveň bude vznikat hromada textů, které bude třeba ukládat do databáze.
• Docela zásadní je možnost, aby si uživatel nastavil nějakou možnost upozorňování mailem na změnu témat, která ho zajímají. Můžu tedy očekávat hromady mailů.
• Nejsem si 100% jistý, že je to reálný nápad a že si mi zadaří, takže počáteční investice nesmí být velká a nebo alespoň nesmí být hloupá a po skončení projektu nevyužitelná.

Možnosti

Našinec, který si chce udělat vlastní web (myslím udělat web, ne např. psát blog) má v zásadě 4 možnosti:

• Webohosting
• VPS
• Vlastní server
• Cloud

Webhosting je nejčastější i tenhle web je na běžném sdíleném webhostingu, spočívá v tom, že vám nějaká firma pronajme kastlík na jejich serveru v rámci nějakého programu: coolminiweb - 1web 50MB 2maily PHP a jedna DB. Nakonec tedy běží třeba několik set malých webíků na jednom stroji. Výhody jsou jasné: cena a snadnost. Nevýhody se projeví později, jde hlavně o "hloupá" omezení (počet DB, počet nasměrovaných domén na jeden prostor, počet mailů...), na některá z nich jsem dokonce narazil i já se svými pár weby.. pro Projekt by byly někerá nezkousnutelná, navíc vyšší nároky na stroj by zpomalovaly ostatní weby, takže by nás poskytovatel brzo zavřel :-) Cena hostingu se hýbe.. já aktuálně platím kolem 150 Kč měsíčně dohromady za weby jandaniel.cz, jtl.cz, locomaja.cz a pár dalších.

Vlastní server, zkrátka bych si koupil počítač, celý ho nastavil a pronajal si místo v nějakém datovém centru, kde je rychlé připojení, hlídání, klimatizace atd. To stojí cca 800 Kč na měsíc. Investice do počítače by byla samozřejmě taky významná. Výhodou je naprostá kontrola nad strojem: jede to pomalu, pořídím SSD. Potřebuju prostor, 1TB je levný... atd. Nevýhodou je, že když se něco rozbije, musím to koupit (nebo mít nachystané) dojít do serverovny a vyměnit to. Zkrátka moc drahé a náročné... někdy až budu bohatší :D

Cloud (čti klaud - mráček) je takové moderní souhrné označení toho, že máte webovky někde, kde se platí za spotřebované prostředky, tzn. měl bych spodní mez a když by začli chodit lidi mohl bych si ji snadno zvyšovat do závratných výšin -to je realizováno tak, že web je ve skutečnosti rozložený v nějaké obrovské síti počítačů, v cloudu. Výhoda je zároveň pro mě nevýhodou... jak mám sakra vědět kolik dotazů do DB budu mít (ok šlo by to odhadnout), ale kolik bodíků zamestnání procesoru, inodů... uff Zkrátka dost špatně se odhaduje nějaká cena, mohl bych snadno skončit tak, že by se Projektu ještě nedařilo, ale náklady na pronájem cloudu by byly už moc vysoké.

No a poslední co zbylo je VPS. VPS - virtuální privátní server vypadá zhruba tak, že někde někdo má svůj server (ten o dva odstavce výš), ale ten má mazaně softwarově rozdělený na více virtuálních počítačů, takže ve skutečnosti je to mašina např. s osmi procesory, ale já si můžu pronajmout virtuální mašinu, která má nárok jen na jeden procesor, 1/10 disku a 1/6 pamětí. A na tomhle viruálním serveru je úplně obyčejný operační systém do kterého je možné nasypat ten specialní software a nastavit si to podle svého. Takže lidi sdílí jednu mašinku, ale každej si to svoje dělá odděleně - to je samozřejmě výhodné cenově, ale i šetrnější nižší spotřebou elektřiny: jeden velký rozdělený na 10 má nižší spoetřebu než 10 malých počítačů.

Takže VPS!

Konsolidace webů

Zároveň s potřebou nového hostingu pro Projekt, jsem se znovu zamyslel nad současnou webovou situací: mám ve správě cca 4 domény, na nich cca 6 různých malých webů a platím tak 200 měsíčně za všechno. Na Projekt bych mohl koupit horší virtuální stroj (který by ale pro Projekt stačil) za 240 měsíčně nebo lepší VPS za 300 měsíčně. Tak jsem si řekl, že pořídím dražší a postupně tam šoupnu nejen Projekt, ale i můj malý web, portfolio, jtl.cz a pár dalších věcí co mám v plánu, to má sice vyšší nároky na správné nastavení toho serveru, ale pak to budu mít na jednom místě a všechno stejně krásně neomezené :-)

Přejte mi štěstí.

//BTW: furt na vás myslím s tím šifrováním i vařením :-)

Většina mých kamarádů má nějaké webovky nebo online galerii, skoro všichni mají svoje profily na FB nebo g+ nebo linkedIn…

Hodně z toho je hostované: blog na bloggeru, web na pise.cz, galerie na rajčeti nebo picasawebu… ti se tak trochu nechávají vláčet provozovateli, majiteli, mají prostor na webu půjčený a doufaj, že množství reklam nebo nepříjemností nepřeteče.

Ale někteří z nás si dali tu práci a udělali si vlastní webovky, třeba v něčem horší, třeba za trochu peněz. V čem ale vlastní web vyniká je kontrola, možnost ovládnout ho. (viz Výhody vlastní domény)

Já nemám rád reklamy na cizí firmy (obzvlášť když jezdí, blikají nebo hrají), Paroubka a Fischera, captcha obrázky a jezdící text a tak tu ani jedno z toho nemám.

Nemám rád google +1 tlačidlo (dneska jsem zkoumal ten bordel, co to zanese na webovku je aby to vykreslilo čudlík a málem jsem plakal) a tak ho tady zkrátka nemám.

Milí odkaz - ano tak jednoduchá věc jako je odkaz - to je to důležité na webu a pak to, co na ten web přinesete sami, vaše fotky, básniky, kód, eseje, ne lajkovací čudlíky, sledovací javascripty, fonty z googlu…

Pokud děláte firemní stránky a celý výkonný výbor vaší akciovky se rozhodl, že nezbytně potřebuje google +1 čudlík, tak jim ho tam dejte, proč bysme ale měli kryplit svoje vlastní stránky? Opravdu je google plus čudl taková konkurenční výhoda, abysme si zpomalili web a nechali své čtenáře i sebe sledovat?

Nedávno jsem četl web R. M. Stallmana, významného programátora (možná nejdůležitějšího) a vůbec mi nevadilo, že není nastylovaný (nebude to proto, že by to RMS nezvlád :D )

Ano ano, je to takový výkřik, podle ankety z FB připravuju článek o jednoduchém šifrování a úvodu do vaření s danem :D Každopádně: zamyslete se nad tím proč a co máte na webu a komu tím prospějete.