14:34
19/11/2015

Fundacja Panoptykon zwróciła się do nas z opisem ciekawego problemu — wysyłane przez nich wiadomości e-mail są odbijane przez serwery Ministerstwa Gospodarki. Ministerstwo tłumaczy, że to dlatego, iż infrastruktura Fundacji należy do sieci Tor, a rządowy CERT rekomenduję blokadę połączeń z sieci anonimizujących…

Rząd z Torem nie rozmawia!

Fundacji Panoptykon czytelnikom Niebezpiecznika nie trzeba przedstawiać — od lat działa w obszarach ochrony prywatności polskich obywateli. Ciężko jednak prowadzić aktywny dialog z władzą, kiedy wiadomości e-mail członków Fundacji kierowane do rządowych serwerów Ministerstwa Gospodarki są odrzucane:

retry timeout exceeded

Jak nieoficjalnie dowiedział się Panoptykon (wysyłając e-mail do Ministerstwa Gospodarki z innego serwera) :

dopóki infrastruktura Fundacji będzie należała do sieci Tor, to komunikacja będzie blokowana

Oficjalnie, Ministerstwo Gospodarki także potwierdziło tę wiadomość:

MG_blokowanie_TOR_skan_28_09_2015_pdf

Jak można wyczytać z powyższego pisma, Ministerstwo wskazało wytyczne rządowego CERT-u (Raport o stanie bezpieczeństwa cyberprzestrzeni 2014) jako powód wprowadzenia blokady. Poniżej przytaczamy fragment, do którego odwołuje się Ministerstwo:

“dostęp do serwerów pocztowych powinien następować wyłącznie z określonych adresów IP lub z wykorzystaniem rozwiązań VPN oraz powinno się ograniczać możliwość dostępu z niezaufanych komputerów oraz sieci anonimizujących (TOR)”

Panoptykonu zastanawia się jednak, czy MG na pewno dobrze zrozumiało wytyczne. Jak twierdzi w wiadomości do redakcji Niebezpiecznika jeden z członków Panoptykonu: “Logika wskazywałaby, że wytyczne dotyczą korzystania z maili, a nie ich przyjmowania z innych serwerów“. Jednocześnie, fundacja potwierdza, że ich serwer jest elementem sieci Tor, ale działa w niej jako tzw. relay-node, a nie exit-node. Jaka jest różnica?

Relay-nodes poprawiają szybkość i wydajność sieci Tor, bez narażania właściciela węzła na to, że jego adres IP pojawi się jako adres końcowy, któregoś z użytkowników sieci Tor. Relay’e rozgłaszają swoją obecność w sieci Tor i przekazują ruch pomiędzy innymi węzłami sieci. Ich udostępnianie i utrzymywanie nie naraża właściciela na odpowiedzialność prawną ani nawet na kontakt z policją (w przeciwieństwie do operatorów exit-node’ów).

Co na to CERT?

Postanowiliśmy więc zapytać u źródła — czyli w rządowym CERT — jaka jest ich opinia w tej sprawie. Oto pytania, jakie zadaliśmy:

1. Czy w opinii CERT-u konfiguracja serwera pocztowego Ministerstwa Gospodarki, które blokuje połączenia przychodzące z tzw. relay-nodów a nie exit-nodów sieci TOR jest prawidłowa?

2. Czy rządowy CERT rekomenduje blokadę połączeń do serwerów pocztowych także z relay-nodów sieci TOR? Jeśli tak — jakie zagrożenia mogą płynąć z akceptowania połączeń z relay, a nie exit nodów sieci TOR?

A oto odpowiedź jaką otrzymaliśmy od rzecznika prasowego ABW, płk. Macieja Karczyńskiego:

Szanowny Panie Redaktorze!
Rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL zgodnie z Polityką Ochrony Cyberprzestrzeni jest wskazany jako poziom II Krajowego Systemu Reagowania na Incydenty Komputerowe w CRP, tj. reagowanie na incydenty komputerowe.
W ramach swoich kompetencji do jednostek administracji publicznej przekazywane są również wytyczne i zalecenia, które odnoszą się bezpośrednio do kwestii podnoszenia bezpieczeństwa systemów teleinformatycznych.
Przedmiotowe rekomendacje powstają w oparciu o różne czynniki, w tym również doświadczenie z obsługiwanych incydentów z lat poprzednich. Jak zostało ujęte w Raporcie o stanie bezpieczeństwa cyberprzestrzeni RP w roku 2014 r. – dostrzegalny jest w ostatnich latach wyraźny wzrost dynamiki długofalowych ataków bazujących na zaawansowanych narzędziach. Dodatkowo należy przy tym dodać, że do przeprowadzenia ataków powszechnie wykorzystywane są sieci anonimizujące m.in. TOR, które istotnie ograniczają możliwość zidentyfikowania sprawców.
W związku z czym w wyżej wskazanym Raporcie ujęto rekomendacje dotyczące kwestii dostępu do poczty wyłącznie z określonych adresów IP lub z wykorzystaniem rozwiązań VPN czy też dot. wdrożenia dedykowanych maszyn z systemami firewall (w tym także warstwy aplikacji), IDS/IPS. Eliminacja ruchu anonimizowanego (np. TOR, Open-Proxy, Anon-Proxy, Anon-VPN), została ujęta w zaleceniach dotyczących podnoszenia zdolności odpierania ataków DDoS.

Na prośbę o doprecyzowanie, czy rzeczywiście zasadne jest ograniczanie ruchu od węzłów w sieci Tor, które nie są węzłami wyjściowymi, otrzymaliśmy jedynie informacje, że “poprzednia wypowiedź jest obowiązująca“.

Czym dla Ministerstwa Gospodarki jest węzeł Tora?

Nie omieszkaliśmy też odezwać się do samego Ministerstwa Gospodarki. Poprosiliśmy aby administratorzy serwera pocztowego wyjaśnili, w jaki sposób (na warstwie technicznej) następuje “rozpoznanie” węzła TOR i jego blokada.

1. W jaki sposób pracownicy administrujący serwerem pocztowym Ministerstwa Gospodarki określają, czy dane połączenie pochodzi z sieci TOR? Prosimy o odpowiedź techniczną, tj. taką, która wskazuje na algorytm postępowania serwera, wymienia nazwę/adres bazy danych, na podstawie której identyfikowane są przez serwer aktualne węzły sieci TOR lub podanie nazwy narzędzia, które wykonuje tego typu sprawdzenie po stronie Państwa serwera pocztowego.

2. Czy pracownicy administrujący serwerem pocztowym Ministerstwa Gospodarki posiadają informację na temat tego, jaka jest różnica pomiędzy wyjściowym węzłem sieci TOR (tzw. exit-node) a węzłem pośredniczącym (tzw. relay-node)? Jeśli tak, czy mogliby wytłumaczyć tę różnicę czytelnikom Niebezpiecznika?

3. Prosimy o przesłanie listy ataków lub zagrożeń, na jakie narażony może być serwer pocztowy pocztowy Ministerstwa Gospodarki ze strony relay-node (nie exit-node) node’a sieci TOR.

Niestety, odpowiedź z Ministerstwa Gospodarki, podobnie jak w przypadku ABW, rozminęła się z naszymi pytaniami. Oto ona:

Zgodnie z zaleceniami ABW (CERT-GOV) Ministerstwo Gospodarki blokuje wszystkie adresy należące do sieci TOR bez rozróżniania na exit-node czy relay node.
Lista adresów IP jaką wykorzystujemy jest tworzona pod względem przynależności do sieci TOR, jest to jednak lista dynamicza zawiera ponad 6500 adresów IP i nie jest możliwe ręczne weryfikowanie z osobna każdego adresu w poszukiwaniu exit-node lub zmiany usług świadczonych przez danego hosta.
Serwer pocztowy fundacji Panoptykon nadal należy do tej infrastruktury, dlatego komunikacja jest blokowana.

Czy jest sens blokować połączenia z sieci Tor?

Blokowanie połączeń z sieci Tor wpisuje się w zasadę tzw. “security in depth”. Blokada Tora nie rozwiązuje wszystkich problemów z sieciami anonimizującymi (ich jest przecież znacznie więcej niż tylko Tor), ale jednak trochę utrudnić może życie tym najmniej sprawnym atakującym. Do czego Tor mógłby zostać wykorzystany, jeśli mówimy o atakach na serwery pocztowe?

Dodajmy tylko, że wszystkie poniższe rozważania dotyczą węzłów wyjściowych Tora (exit-nodes) a nie węzłów pośredniczących (relay-nodes) — tych nie ma po co blokować, ponieważ z ich adresów IP nigdy nie wyjdzie użytkownik Tora.
  • Odbiór anonimowo wysłanej poczty. Realizacja tego “ataku” przez sieć Tor jest o tyle kuriozalna, że Tor sam w sobie nie jest siecią pocztową. Atakujący musi więc tak czy inaczej założyć gdzieś skrzynkę i korzystać z niej tylko przez Tora. Co więc mu broni — jeśli Tor jest blokowany — aby założyć skrzynkę na którymś ze znanych portali i stamtąd anonimowo wysłać e-maila?
  • Ataki sieciowe na serwer pocztowy (inne jego usługi). W pierwszej kolejności, inne usługi niż poczta, na serwerze pocztowym powinny zostać wyłączone. To oznacza, że nie będą one osiągalne zarówno z sieci Tor, jak i z innych sieci.
  • Ataki na protokoły pocztowe SMTP/POP3/IMAP. Na początek przypomnijmy i rozróżnijmy — serwer poczty przychodzącej a serwer poczty wychodzącej, to przecież nie to samo. Nie widzimy problemu, aby blokować dostęp do POP3, czy IMAP-a z poziomu sieci Tor. Te usługi nie są bowiem odpowiedzialne za odbiór poczty (z punktu widzenia serwera). Innymi słowy, ktoś może chcieć — i jest to całkiem rozsądne — aby nie było możliwe pobranie (“wychodzenie”) poczty użytkowników do sieci Tor (bo w ten sposób atakujący mogą wytransferowywać dane z przejętych skrzynek pocztowych). Ale to przecież nie oznacza, że należy także blokować możliwość otrzymywania (“przychodzenia”) poczty z sieci Tora. Czy coś nam zatem grozi, jeśli nie zablokujemy dostępu z sieci Tor do serwera poczty przychodzącej? Narażamy się co prawda na ew. atak mailbombingu, bądź inne ataki na protokół SMTP (np. enumerację użytkowników, DoS) — ale spójrzmy prawdzie w oczy — te same ataki można wykonać przez dowolne inne proxy. Innymi słowy, ciężko jest zabezpieczyć usługę, która ma być publicznie dostępna, przed … publicznym dostępem. Trzeba by było realizować podejście “blacklistingu”, a to w bezpieczeństwie IT jest bez sensu (domyślną polityką powinno być DROP ALL, i whitelistowanie zaufanych hostów — tego jednak w przypadku charakterystyki ruchu e-mail zrobić się nie da, jeśli Ministerstwo Gospodarki chce odbierać pocztę nie tylko od kilku zaufanych dostawców).

Podsumowując powyższe, naszym zdaniem, Ministerstwo Gospodarki nie do końca poprawnie (tj. w odpowiednich miejscach i odpowiednim zakresie) wdrożyło blokadę sieci Tora. Ale jak widać, są sytuacje, w których blokowanie dostępu z sieci Tor rzeczywiście może być uzasadnione. Warto tu jednak dodać, że sam fakt blokady powinien być rozważany nie tylko pod kątem technicznym ale również na warstwie społecznej.

O opinię w tym zakresie poprosiliśmy redaktora Marcina Maja z Dziennika Internautów, który od lat zajmuje się problemami prawa dostępu do informacji publicznej oraz komunikacji na linii obywatel-państwo.

W tym przypadku warto poruszyć dwie istotne kwestie – przejrzystość instytucji państwowych oraz jednolitość ich działań.

W kwestii przejrzystości – nie powinno być tak, że e-maile od obywatela trafiają w próżnię, a on nie wie dlaczego. Akurat Fundacja Panoptykon miała możliwość uzyskania informacji o tym, dlaczego ministerstwo nie przyjmuje jej korespondencji. Pamiętajmy jednak, że ministerstwa powinny przyjmować także korespondencję od zwykłych obywateli (np. wnioski o dostęp do informacji publicznej można wysyłać zwykłym e-mailem). Jeśli ministerstwo stosuje jakieś ograniczenia w przyjmowaniu korespondencji e-mail to obywatele powinni o tym wiedzieć. W przeciwnym razie jak potraktować sytuację, gdy ktoś składa wniosek, a ten wniosek nie jest odbierany z powodu polityki ministerstwa? Czy wniosek został złożony? Moim zdaniem tak. Był kiedyś wyrok mówiący o tym, że filtr spamowy nie może być wytłumaczeniem bezczynności urzędu.

W drugiej kwestii zauważmy, że tylko Ministerstwo Gospodarki nie przyjmowało korespondencji od Panoptykonu. To jest odzwierciedleniem głębszego problemu jakim jest brak jednolitej rządowej polityki komunikacji z obywatelami. Problem ten podnoszony jest od lat. Obywatel komunikujący się z rządem powinien wiedzieć, że mówi do jednego organizmu. Powinien wiedzieć jak do niego mówić. Okazuje się, że do każdego ministerstwa trzeba mówić trochę inaczej.

Szersze spojrzenie na tę sprawę od strony społecznej znajdziecie w artykule Marcina Maja w Dzienniku Internautów.

Na koniec dodajmy, że w niektórych krajach sieć Tor wykorzystywana jest do obchodzenia rządowej cenzury (np. Chiny). Jeśli posiadamy użytkowników lub klientów z tamtego rejonu, blokowanie ruchu z sieci Tor może być strzałem w stopę. Nie tylko ze względu na uniemożliwienie im komunikacji, ale również ze względu na potencjalne oskarżenia o cenzurę i postawienie firmy w nie do końca pozytywnym świetle w mediach. Jak realne jest to ostatnie ryzyko? Tak realne, jak ten artykuł, który właśnie czytacie…


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

80 komentarzy

Dodaj komentarz
  1. Typowa zwrotka z urzędów i instytucji państwowych na okrętkę i bardzo ogólnie

  2. czyli rozmowa z łysym o grzebieniach.

  3. Rozumiem, że nieuki pracują w ministerstwie – to w końcu nic nowego, ale w ABW? Do tej pory miałem o nich wyższe mniemanie, ale coś takiego, mylić pojęcia i trwać w błędzie na siłę…

    • Chyba jesteś trochę niesprawiedliwy. ABW (a tak naprawdę GOV CERT) nie nakazuje nigdzie blokowania węzłów TOR-a (rzuć okiem na te rekomendacje). Słusznie zauważa taką potrzebę (i informuje o możliwości), ale nie wskazuje konkretnie, że ministerstwa mają to robić, a w szczególności, że mają blokować także węzły pośredniczące, a nie końcowe. Można oczywiście doprecyzować rekomendację GOV CERT-u, ale zapewne nikt z zespołu GOV CERT nie przewidział, że ktoś może postąpić tak nadgorliwie jak MG — bo taka interpretacja rekomendacji przecież się nikomu normalnemu w głowie nie mieści :)

    • Ten temat już się pojawiał przy blokowaniu tor-a w kontekście wiadomości informujących o podłożeniu ładunku wybuchowego. Przez blokadę TOR-a wiadomość nie dotrze do odbiorcy i może zaistnieć zagrożenie fizyczne.

      Ponadto, przy rozwiązaniach typu appliance (firewall, UTM, DLP w jednym) ruch blokuje się często wg kategorii “ruch anonimowy” lub takich o analogicznych nazwach. Nikt tam nie wnika jakie pule adresowe i jakie kategorie się do tego zaliczają. Producent rozwiązania proponuje skład kategorii.

      Co do obsadzenia stanowisk w takich miejscach – nie wypowiadam się. Znam kilku z jednego resortu i mogliby cię zaskoczyć.

      Pamietaj, że co do zasady, ryba psuje się od głowy…

    • No to CERT GOV jednak trochę niedouczone niestety jest.”Normalny” o urzędnikach – przecież to jak powiedzieć “kryształowo uczciwy” o adminach ToRepublic XD

    • Nie wydaje mi się, żebym był niesprawiedliwy. W końcu to jest “rekomendacja”, czyli zalecenia vel dobre praktyki. Oczywiście nikt nikogo nie zmusza, ale odpowiedź ABW na zasadzie “pocałujcie mnie w pompkę” tylko potwierdza niewiedzę lub celowe (i złośliwe) działanie. Nie jestem w stanie docenić, że takie rozwiązanie jest prostsze, bo to wylewanie dziecka razem z kąpielą… a czasem wystarczy też logicznie pomyśleć…

    • Po przeczytaniu waszych komentarzy jak i autora tego serwisu mogę stwierdzić jednoznacznie iż wykazujecie się Panowie szeroko pojętą ignorancją co do zasadności blokowania IP sieci TOR jako wszystkich. Być może nie ujmując waszej wiedzy niestety wypowiedzi wasze świadczą o braku jakiegokolwiek doświadczenia w przedmiotowym zakresie. Wyprowadzę Was Panowie z błędu. Otóż nie ma najmniejszego znaczenia z jakiego czy jest taki czy inny serwer TOR’owski. Przestępcy wchodzą z każdego z nich bez znaczenia. I gdyby blokować tylko exit-nody to właściwie możemy wyłączyć w ogóle blokowanie. Przy dynamice zmian adresów serwerów TOR staje się wręcz niemożliwe zabezpieczenie przed atakami z tej że sieci. I gdyby ode mnie zależało wydałbym rekomendację na całkowite blokowanie adresów z sieci TOR. Fluktuacja adresów serwerów jest tak duża iż nie da się tego wykonać on-line a pasywnie zbierając dane adresów przez kilka miesięcy. I fakt sam iż każdego dnia jest dostępnych około 6500-7500 serwerów TOR a zmiany adresów w ciągu tylko jednego dnia oscylują w granicach 2000 zmian IP. Taka dynamika tworzy poważny problem przy monitorowaniu tej sieci. Reasumując MG robi bardzo dobrze blokując zawłaszcza iż jest potencjalną ofiarą i na wysokim poziomie zagrożenia przyszłymi atakami a ich niewątpliwie należy się spodziewać. Więc po co ułatwiać jak można w minimalny sposób utrudnić.
      PS. Zanim będziecie obrażać kogoś i nazywać nieukami zdobądźcie podstawową wiedzę w tym zakresie.

    • Piotrze, idąc tokiem myślenia, który proponujesz, to MG powinien blokować mleczarnie. Bo część z przestępców na pewno pije mleko. Z relay’a wyjść ‘na świat’ się nie da. MG też na pewno sam “z palca” węzłów nie blokuje, tylko korzysta z jakiejś bazy — i baza ta, nie rozróżnia exit node’ów od relay’ów. Dlaczego? Ciężko powiedzieć, może metodyka zbierania węzłów jest zła? AFAIR TOR nie ujawnia listy relay’ów, a same exity, więc ktoś, kto tę bazę tworzy musi zbierać relay’e w jakiś inny sposób. I nie masz racji, pisząc, że “przestępcy wchodzą z każdego z nich” — a taka Twoja wypowiedź kwestionuje również stwierdzenie, że posiadasz podstawową wiedzę z tego zakresu.

    • Przeżyłem atak i wiem jak się odbywał. I wiem dokładnie co napisałem. Dziwny zbieg okoliczności że dało się… wiec wygląda na to iż ja mam omamy lub Ty idziesz w zaparte. Co często Tobie się zdarza. :)

    • Ale co się dało? Pokaż logi, może mylnie zinterpretowałeś sytuację. Hosty w trybie realay nie wypuszczają ruchu torowego do intenretu, a jedynie routują ruch pomiędzy jego węzłami. Nie ma wiec możliwości, aby adres takiego komputera był powiązany z “atakami z sieci Tor”.

  4. Dla mnie decyzja jest trochę zrozumiała, na przykład nie muszą się ewakuować jak jakiś gimnazjalista wyśle im przez TORa maila o bombie, bo mail nie nie dotrze :P

    • To nie “decyzja trochę zrozumiała” tylko zwykłe lenistwo.

      Zamiast skonfigurować to odpowiednio, by nie blokować korespondencji od wielu osób (TOR jednak jest w jakimś stopniu obecny w społeczeństwie) to IT poszło na łatwiznę. Zresztą wiele osób używających TORa jest chociaż “bardziej techniczna” od zwykłego Kowalskiego – dzięki temu ministerstwo odsiewa jakiś procent “problematycznych” pytań. Bo to że nie umieją odpowiadać na pytania widać w przykładach na górze – nawet mój pies potrafi zrozumieć co się do niego mówi, tragedia.

  5. Urzędy generalnie mają #$%^&* na e-maile. Tak mają ustawione filtry antyspamowe, że większość e-maili odbija. W wielu adresy podane na stronie do komunikacji są przepełnione lub nieaktualne.

    • To akurat wynika z faktu, że na stronach urzędów publikowane są adresy pracowników. Maile te są obecne we wszystkich możliwych bazach spamowych. Ilość spamu jaka przychodzi jest ogromna, czasem tak duża, że trzeba zaostrzyć reguły żeby zatrzymać nalot wiadomości.

      Poza tym, może nie w tym przypadku, ale konfiguracja serwerów pocztowych po obu stronach pozostawia wiele do życzenia.

    • W większości jednak po prostu nie czytają/nie reagują na nic, jeśli nie jest to awaria.

  6. Wg mnie urzędy “końcowe” zadziałały prawidłowo, wytyczne nie są doprecyzowane. Z tego co zrozumiałem, to posiadają listę IP zgłoszonych jako działające w sieci TOR i wg tej regułki filtrują. Nie dociekają czy to relay czy exit, bo wystarczy, że host ‘dotknął’ tabu-TORa (wrogiego TORa?). Być może zakładają, że z relay bardzo szybko (lub na krótko?) można zostać exit, co oczywiście znacząco podważa zaufanie do hosta. Jasne i skuteczne zasady filtrowania.

    To chyba dość typowy problem bezpieczeństwa, że w niektórych regułach cierpią cywile, ale jeśli istotniejsze jest bezpieczeństwo, a cywili jest garstka..

  7. …a właśnie że potrafią odpowiadać na pytania-samym sposobem odpowiedzi przyznali się do błędów :-) a poza tym, co to za pytania “teoretyków” kiedy tam takie praktikery…

  8. Takie mamy ministerstwo. Co robić? Jak żyć?

  9. Mysle, ze sprawa sie rozbija o to, ze admin serwera użył jakiegoś DNSBL zawierająca listę wszystkiego co związane z Torem zamiast tylko exit-Node.

  10. >Relay’e
    Tam nie powinno być apostrofu.

  11. Niestety trzeba się nastawić, że będzie raczej gorzej. Spodziewajcie się, że niedługo będą takie artykuły o np. dostępach do banków…

    • Są już Banki, które cichcem monitorują 100% ruchu z exit noda pod kątem nietypowych operacji. Zaraz po pierwszym zalogowaniu na rachunek z adresu dowolnego zadeklarowanego exit noda IPS odpowiednio reaguje na kolejne poczynania.

  12. Jak dla mnie, to jest takie wypięcie się na Panoptykon – urządzacie sobie torowisko żebyśmy nie mogli ludzi podsłuchiwać i identyfikować, to jesteśmy na was obrażeni i nie odzywamy się do was. A jakby się ktoś czepiał, to mamy podkładkę że CERT, że ABW i wogóle… A gdyby jeszcze ktoś głębiej pytał to mu tak odpowiemy, że wyjaśnienie niby jest (bo bez odpowiedzi zapytanie pozostać nie może), ale w sumie to jednak go nie ma.

    PS A czy Panoptykon ma te relay-e na tych samych maszynach/adresach co swój serwer pocztowy? Czy poszli po bandzie i zbanowali ich całą przestrzeń adresową?

    • Mamy je na tej samej maszynie/IP-ku. Co ciekawe, tylko MinGosp postanowił użyć takiego blokowania. W pozostałych ministerstwach zdarza nam się jedynie od czasu do czasu wpaść do spamu.

    • Nie na Panoptykon ale na społeczeństwo w ogólności. Gdzie w ustawie o informacji publicznej jest napisane, że można ignorować maile bo się nadawca albo jego serwer nie podoba?

      A fundacja powinna, po udokumentowaniu wysłania takiego maila, pozwać o bezczynność. Maile są odrzucane bez podstawy prawnej (zalecenia CERT/ABW/papieża nie stoją ponad ustawami).

    • @koleszka: udokumentowane wysłanie, jak piszesz, polega na odebraniu co najmniej potwierdzenia dostarczenia – a jeszcze lepiej potwierdzeniu odczytania. A takiego nie było i nie będzie jeśli nadawca jest zablokowany. Więc nie ma co się ciskać.

      I ustawa o dostępie do informacji publicznej nie ma zastosowania w zderzeniu z ustawą / rozporządzeniem o bezpieczeństwie informacji i wymogów systemów informatycznych etc.

  13. W urzędach pracuje niedouczone lamerstwo. Gdyby rzeczywiście znali to, czym się zajmują znaleźli by pracę za kilka razy większe wynagrodzenie. Autorytet urzędu pozwala im nawet na blokowanie całych puli adresów i odpowiedź “to proszę wysłać wiadomość z innego emajla”.

  14. Idąc torem myślenia ministerstwa, trzeba także blokować listy tradycyjne — przecież one wszystkie są anonimowe! :D

  15. Blokada Exit Nodes Tora rozwiązuje 90% problemów i blokuje 99,9(9)% dzieci neo. Amen

    • Mega uproszczenie, nie spodziewałbym się, żeby było poparte wnikliwą obserwacją. Ale nawet gdyby przyznać Ci rację – od urzędów powinniśmy oczekiwać więcej. Możliwość skomunikowania się znimi jest podstawowa, żeby mieć nad ich poczynaniami jakąkolwiek kontrolę.

  16. Pytanie dla bardziej obeznanych w temacie: Czy węzły relay-node mogą posłużyć do deanonimizacji? Według mojej wiedzy Najważniejsze do tego celu jest posiadanie kontroli nad węzłami wejściowymi i wyjściowymi/
    Zastanawiam się nad taką sytuacją:
    1.Służby masowo uruchamiają węzły wejściowe,wyjściowe i pośredniczące w sieci TOR.
    2.Jako że służby są sponsorowane z naszych pieniążków uruchamiają dużo węzłów.
    3.Służby dodają do węzłów skrypt wysyłający określone pakiety, które pomagają w deanonimizacji.
    Cały post jest czystym rozważaniem,nie znam się za bardzo na TOR i poproszę żeby ktoś ogarnięty to skwitował wg swojej wiedzy.

  17. Jest to mozliwe ale do tego potrzeba miec przynajmniej polowe nodeow w calej sieci.

    • Sądząc po tym jak tor chodził 5 lat temu a jak szybko zapieprza teraz stwierdzam że spokojnie już ponad połowę nodów mają.

  18. Ale się ubawilem tym sloganem o korzystaniu z tora przez ucisnionych z Chin. Tydzień temu wróciłem z Pekinu po rocznym stypendium. Nigdy nie udało mi się skutecznie skorzystać z tora, wszystko wycinaja na laczach. Ludzie do ominięcia cenzury używają płatnych vpnow tych mniej popularnych. Nie powtarzające juz tych miejskich legend o torze w Chinach, już lepiej o jednorozcach

  19. 10 śledzi!!! Muszą śledzić, kto, gdzie i kiedy.

  20. Fundacji Panoptykon która jest sponsorowana przez Sorosa. Szczegół, ale nie zapominajmy o tym.

    • Racja, nie należy o tym zapominać. Dla zainteresowanych – tutaj możecie się zapoznać z raportami finansowania: https://panoptykon.org/organizacja

      Your point being?

    • @czesiek

      Soros to nie jest świetlana postać. Na tym poprzestańmy, żeby redakcja nie wycięła za politykę.

    • Rozumiem, sam mam czasami wątpliwości co do historii/motywacji Gorge-a Sorosa. Nie znam gościa na tyle dobrze, żeby go ocenić. Zasada ograniczonego zaufania to dobry nawyk nie tylko w ITsec.

      Nie zmienia to jednak faktu, że OSF pomaga nam działać. Z mojej strony mogę Cię zapewnić, że nie muszę uzgadniać z Sorosem co robię na moim serwerze i co mogę pisać na panoptykon.org/Niebezpieczniku. <;

  21. To ja się z innej strony zapytam – jaka jest podstawa prawna do blokowania ruchu z wybranych adresów IP przez urzędy? Czy przypadkiem takie działanie nie koliduje z obowiązkiem zapewnienia dostępności serwisów ministerialnych? To tak jakby ministerstwo powiedziało, że nie wpuszcza petentów z długimi włosami (albo łysych) bo gdzieś ktoś zrobił taką rekomendację. Przecież to jest jawna dyskryminacja! Jakby Panoptykon miał jaja to by poszli z tym do sądu.

    • Można to porównać do: Ministerstwo nie wpuszcza ludzi w maskach i kominiarkach.
      Pasuje?

    • Raczej do: Ministerstwo nie wpuszcza ludzi, którzy po godzinach pracy handlują kominiarkami.

    • No ale Piotrze… sam przyznasz że bardzo nieprofesjonalne jest umieszczanie “zabawek” typu tor-node / tor-relay na tym samym serwerze co poczta…
      Troche obciach taki…

    • Ale w jakim RFC jest napisane, ze na serwerze pocztowym ma nie być _nic_ poza MTA?

    • > bardzo nieprofesjonalne jest umieszczanie “zabawek” typu tor-node / tor-relay na tym samym serwerze co poczta…

      Wiesz, masz rację. Chyba, że jest się organizacją strażniczą, w której misję wpisuje się pilnowanie, żeby takie blokowanie nie miało miejsca. <:

      Nudge nudge, wink wink. Know what I mean? (;

    • @Piotr: W żadnym RFC nie ma – wiem to tak samo dobrze jak Ty.
      I nie mówię że sam nie mam podobnie – bo mam (ale nic związanego z TOR). Ale gdy na moim serwerze został wykryty false-positive plik.exe i sklasyfikowany jako malware+trojan, i nagle jakieś RBLe mnie zaczęły blokować (oraz automatyczne info w n6 o tym samym) to ja miałem problem a nie oni – po prostu sam prosiłem się o kłopot uruchamiając mirror na tym samym serwerze co poczta. Tak bywa.
      To było… nieprofesjonalne? Niemądre? Krótkowzroczne? Jakkolwiek tego nie określimy wyjdzie na to, że mogłem pomyśleć że tak może być – nie pomyślałem i miałem problem. Bo kogo mam obwiniać? Automaty z całego świata które heurystycznie uznały że zachodzi prawdopodobieństwo szkodliwego pliku?

      @czesiek: Ale ja nawet nie napisałem że TOR jest zły i należy go blokować czy wyblokować wszędzie.
      Natomiast rozumiem politykę bezpieczeństwa urzędu i rozumiem zasady na jakich się ona opiera. Podejrzewam że jest problem z uzyskaniem listy aktualnych adresów tor-exit-nodów w formacie zjadliwym dla IDS. Lub traktuje się relaye na równi z exitami – bo prościej i skuteczniej.
      Przykro mi, ale gdybym opiekował się infrastrukturą informacyjną państwa narażoną na ataki – a takimi są strony i serwisy ministerstw (i nie chodzi tylko o dane, także o wizerunek) – to dla TORa zostawiłbym tylko filtrowany GET na :80 i :443 ;) ;) ;) Sorry – pretensje kieruj do tych, którzy wykonywali ataki przez TORa i z narzędzia dla hackerów zrobili narzędzie dla scriptkiddie.

      Inna sprawa – poruszona gdzieś wyżej przez kogoś że “mail o bombie by nie doszedł” – doszedłby, bo junobomber nie wysyła chyba maila ze swojego komputera (z MTA na localhost) prosto do MTA ministerstwa – tylko i tak korzysta z jakiegoś anomail etc. A anomail nie jest ani relayem ani exitem TORa. Więc nietrafiony argument.

  22. MAC też kiedyś wspominał o blokowaniu TOR-a
    http://www.cert.gov.pl/cer/wiadomosci/wiadomosci-ogolne/514,dok.html

    Podstawą blokowania mogą być:
    * Krajowe Ramy Interoperacyjności
    * Ustawa o ochronie danych osobowych

  23. Przepraszam, co to jest to w prawym górnym rogu pisma DKS? Chodzi mi o to “Polska” i jakieś dziwne kropki. I ile pieniędzy ktoś dostał za zamieszczenie tego zbędnego pseudologo na oficjalnych pismach rządowych?

  24. @Ninja: to latawiec na ktorym kraj ucieka nam na papierze bez-wartosciowym…

  25. Artykuł do o niczym. Naprawdę nie macie gdzie szukać sensacji. To, że Internet jest publiczny nie oznacza, że admin konkretnego serwera pocztowego czy też innego nie może zablokować sobie ruchu od dowolnej organizacji/węzła AS do własnej sieci. To są sieci prywatne podłączone w sieci publicznej i mogą z byle powodu sobie filtrować ruch ingress. Wyjątkiem są tylko pośrednicy, np. ISP. Wszelkie węzły końcowe są prywatne. W tym przypadku prywatne oznacza, że należą do konkretnej organizacji (ABW, CBŚ, jednostki rządowe), a nie osoby (jednego admina). Niech się Panoptykon pożali na pl.internet.polip to go od razu splonkują i naprostują. Ja się cieszę, że blokują więcej. Lepiej blokować niż być open-relay ;) I nie wszystkim musi się to podobać. Wolnoć Tomku w swoim domku.

    • Artykuł o niczym byłby gdyby dotyczył twojej albo mojej firmy. Ale dotyczy ministerstwa ktore ma psi obowiązek służyć każdemu, a nie robić selekcji na wejściu jak bramkarz na dyskotece. “W tech butach nie wejdziesz!”

    • Nie ma mowy o żadnym open relay. Warto zaznaczyć, że domyślna konfiguracja Tor-a (i nasza też) nie przepuszcza ruchu SMTP. Problemem nie były maile pochodzące/mogące pochodzić z sieci anonimizującej, lecz fakt uruchomienia na tej samej maszynie/IP-ku oprogramowania, które wspiera działanie sieci Tor (relaya) i serwera pocztowego.

      IMO nawet, gdyby Tor puszczał ruch SMTP takie blokowanie nie powinno mieć miejsca, bo chcę móc anonimowo przekazywać informacje do ministerstw, tak samo jak chciałbym (dalej) mieć możliwość napisania anonimowej skargi listem tradycyjnym. Disclaimer: ten akapit to moja prywatna opinia – może, ale nie musi być zgodna z opinią Fundacji Panoptykon.

  26. Zgadzam się z jtr – administrator ministerstwa nie ma obowiązku dostosowywać komfiguracji do nadawcy – jeżeli z jakiegoś powodu chce blokować hosty z sieci TOR to może to robić – nie reguluje tego ustawa. Kilka lat temu wielu admiów podnosiło raban że np. gazeta oodrzuca połączenia SMTP w przypadku braku rekordu SPF – teraz weryfikacja SPF jest standardem.
    Odwracając pytanie – dlaczego admin panaoptykon nie skonfiguruje swojego systemu SMTP porządnie – wiadomości SMTP powinny być wysyłane z IP o możliwie dobrej reputacji, i adres nie powinien być współdzielony z usługami które tą reputację mogą obniżać. Inaczej sam się prosi o kłopoty i może być blokowany nie tylko przez ministerstwo ale również innych odbiorców.

    • Racja.

  27. Wg. mnie, bardzo złym pomysłem jest stawianie serwera pocztowego (generalnie każdego użytkowego w którym zachodzi logowanie lub są przechowywane dane) na tej samej maszynie co relay-node czy exit-node TOR.
    To jest zła praktyka i wg mnie problem Panoptykona.

    • Na tej samej maszynie co exit node to tak, ale relay? Dlaczego?

    • vide https://niebezpiecznik.pl/post/ministerstwo-gospodarki-blokuje-e-maile-od-fundacji-panoptykon-bo-sa-wezlem-tor-a/#comment-576028

      Bo blokowanie naszych maili z powodu samego faktu uruchomienia oprogramowania anonimizującego wydaje mi się absurdem. Bo będę starał się i pracował na to, żebyś mógł uruchamiać dowolne oprogramowanie na swojej maszynie i dalej wysyłać maile, o ile nie ma *racjonalnych* powodów ku temu, żeby Cię zablokować. W tym przypadku, moim zdaniem, takich powodów nie było.

    • @czesiek: [o, jeszcze tutaj]: ja też jestem za tym, żebym miał możliwość uruchamiania na swojej maszynie tego czego sobie zażyczę.
      Natomiast, nad czym ubolewam, Twoja troska legła w gruzach już dawno. Ponieważ chciałbym Ci przypomnieć że jesteśmy na celowniku “złych praktyk” za każdym razem jak uruchomimy coś na swoim komputerze na porcie 135-139, 445, 1080, 1088, 1111, 5000, 6666, itd. i wchodzimy z tym w internet.
      Prawda? Otóż prawda. Lubię być złośliwy – ale tym razem retoryczne pytanie BEZ złośliwości (natomiast ze smutną satysfakcją “argumentu”) – z tym też masz zamiar walczyć – żebym miał tam prawo sobie stawiać co chce? Czy może zgodzimy się że dla “mniejszego zła” zostawmy ten syf generalnie zablokowany jak jest. Hm?

    • @BloodMan: Odpowiem tutaj na oba wątki.

      > Natomiast rozumiem politykę bezpieczeństwa urzędu i rozumiem zasady na jakich się ona opiera. Podejrzewam że jest problem z uzyskaniem listy aktualnych adresów tor-exit-nodów w formacie zjadliwym dla IDS.

      Ja też rozumiem. Ale się na nimi nie zgadzam.

      Brak rozróżnienia na exit-node i relay, jest bardzo istotny mimo, że może wydawać się szczegółem. Listy tylko exit-nodes są dostępne ( https://www.dan.me.uk/dnsbl , https://www.torproject.org/projects/tordnsel.html.en ), więc to nie wydaje się być niemożliwe. Nie zakładam złej woli ministerstwa, ale wymagam pewnego poziomu dopracowania od infry instytucji publicznych (a przynajmniej, żeby nie psuli tego co działa). Brak tego dopracowania powoduje, że moja wolność wspierania projektu Tor (lub szerzej, odpalania oprogramowania, które *nie jest szkodliwe*) jest ograniczana. A dla mnie to ważna wolność.

      > Lub traktuje się relaye na równi z exitami – bo prościej i skuteczniej.

      Prościej – jak widać niekoniecznie (powyższe linki). Skutecznej – wait, what!?

      > zostawiłbym tylko filtrowany GET na :80 i :443 ;) ;) ;)

      Czyli wysyłać formularzy już też nie mogę… Kurcze, to szkoda.

      Uproszczenia są fajne, bo pozwalają nam ogarnąć skomplikowaną rzeczywistość. Ale zbytnie upraszczanie nie jest dobrym nawykiem, bo czasem prowadzi do absurdów.

      > Sorry – pretensje kieruj do tych, którzy wykonywali ataki przez TORa i z narzędzia dla hackerów zrobili narzędzie dla scriptkiddie.

      Rozumiem. Jeszcze raz chciałbym podkreślić, że wykonywanie ataków za pośrednictwem Tor z non-exit relay-a jest niemożliwe. I że na naszym serwerze działa non-exit relay sieci Tor.

      I poboczny apel: nie nazywajmy przestępców hakerami, bo to prowadzi do nieporozumień. Jestem hakerem i godzi to w dobre imię społeczności, którą reprezentuję. Zapraszam do Warszawskiego Hakerspejsu na piwo/mate, chętnie wyjaśnię różnicę.

      > Twoja troska legła w gruzach już dawno.

      Nie jestem takim pesymistą, dlatego robię to co robię. I wiesz co? To ciężka i mozolna praca, ale widać efekty.

      > Czy może zgodzimy się że dla “mniejszego zła” zostawmy ten syf generalnie zablokowany jak jest. Hm?

      “ten syf” = sieć Tor? Non-exit relay-e? Czy pocztę organizacji pozarządowych? Nie wiem o czym mówisz, więc trudno mi się rzeczowo odnieść, ale wydaje mi się, że znów wrzucasz gruszki, truskawki i pomarańcze do jednego worka.

      BTW, zaproszenie do https://hackerspace.pl otwarte dla wszystkich. (:

    • > nie nazywajmy przestępców hakerami

      BTW, BloodMan użył tego słowa dobrze. Może nie do końca jasno to napisałem.

    • Pisząc “ten cały syf” miałem na myśli m.in. wymienione porty (netbios, backdoory i spółka) które są, generalnie rzecz biorąc, blokowane na firewallach “na wszelki wypadek”.

      “I poboczny apel: nie nazywajmy przestępców hakerami, bo to prowadzi do nieporozumień. Jestem hakerem i godzi to w dobre imię społeczności, którą reprezentuję.”
      Jak już zauważyłeś (później) – nie nazywam. Chyba też jestem hackerem, i też zawsze się źle czuję gdy czytam/słyszę o “hakerach” w mediach które w ogóle nie rozumieją tego słowa. Zapewniam że ja rozumiem. Ale taki urząd właśnie broni się przed script-kiddie, haxorami, hackerami, ddoserami i całą masą ludzi którzy chcieliby coś więcej od ich serwerów (i nawet nie wnikam czy w dobrej wierze – np. cele edukacyjne – czy nie). I słusznie uznano że skoro ataki wykonywane są głównie z sieci TOR (i innych anonimizerów) to wypadałoby to wyblokować. No i wyblokowali po całości.

      Prywatnie się z Wami zgadzam – powiem więcej – gdyby nie konsekwencje to sam polatałbym po ich serwerach, w celach poznawczych z TORa, jak po Messerschmicie. Ale “służbowo” (jako admin i BOFH) nie zgadzam się – a dodatkowo znajac kiepściznę protokołów poczty to bym blokował jak oni (argument o nieprzepuszczonym porcie 25 z defaultu ignoruję – tam samo jak różnicę pomiędzy relay/exit – idzie to zmienić paroma kliknięciami). Więc stoje murem za ichnim CERTem. Sorry.

      Dalej: Wszystko co napisałeś ma sens i z wieloma sprawami się zgadzam – ale pragnę zauważyć że nie przyjmowanie poczty ze źródła które znalazło się na czarnej liście nie implikuje jednocześnie braku możliwości skontaktowania się petenta (lub instytucji) z urzędem.

      Wszystko ma swoje granice – a pisanie o odblokowanie relaya TOR to tak jak proszenie o wpuszczanie ludzi w kominiarkach na stadion – przecież oni są obywatelami RP i kupili nawet bilet – i też nic złego nie zrobili (chyba nie zrobili i/lub jeszcze nie zrobili).

      Całą sprawe myśle że można określić wojenką na “kto ma większego” – urząd z błogosławieństwem CERTu czy organizacja pozarządowa.

    • > Prywatnie się z Wami zgadzam (…). Ale “służbowo” (jako admin i BOFH) nie zgadzam się

      Czy mogę jakoś pomóc? (:

      > argument o nieprzepuszczonym porcie 25 z defaultu ignoruję – tam samo jak różnicę pomiędzy relay/exit – idzie to zmienić paroma kliknięciami

      Ależ podobnie paroma kliknięciami każdy z komputerów może stać się przekaźnikiem sieci Tor. Tak samo jak open relayem poczty (serwerem pozwalającym wysyłać pocztę bez autoryzacji). Czy to znaczy, że powinniśmy wpuszczać tylko pocztę z aspmx.l.google.com i mx[1-4].hotmail.com? Może tak. Ja uważam, że nie.

      > nie przyjmowanie poczty ze źródła które znalazło się na czarnej liście nie implikuje jednocześnie braku możliwości skontaktowania się petenta (lub instytucji) z urzędem.

      On a lighter note: https://youtu.be/1EBfxjSFAxQ?t=1m54s Całą sprawe myśle że można określić wojenką na “kto ma większego” – urząd z błogosławieństwem CERTu czy organizacja pozarządowa.

      A mnie chodzi o wysłanie do instytucji publicznych jasnego sygnału, że taka sytuacja nie jest ok. I że jeżeli muszą blokować, to z głową (przy założeniu, że to niedopatrzenie). I że jeżeli chcą blokować/utrudniać ruch sieci anonimizujących, to jestem temu przeciwny (gdyby się okazało, że to działanie celowe).

    • Miało być: (…)

      On a lighter note: https://youtu.be/1EBfxjSFAxQ?t=1m54s

      > Całą sprawe myśle że można określić wojenką na “kto ma większego” – urząd z błogosławieństwem CERTu czy organizacja pozarządowa.

      (…)

    • @czesiek: “Czy mogę jakoś pomóc? (:”

      Oczywiście! Na początek Win10. Zbiera dane, szpieguje i wszystko leci do zaprzyjaźnionego kraju któremu na każdym kroku robimy laske z połykiem a oni mają nas głęboko w dołku – co widać po wiele mówiącej mapce http://i65.tinypic.com/hvqjdj.jpg
      Zresztą nieważna ta polityka. Szpieguje obywateli RP i EU. Inni mnie nie obchodzą. Chcę definitywnego i “raz na zawsze” mechanizmu wyłączenia każdego objawu przesyłania informacji w tym telemetrii – tak aby żadna aktualizacja “przez przypadek” go nie włączyła. Dacie rade? I to o wiele poważniejszy problem niż TOR

      …bo jak nasze wojsko będzie zamawiało swój supertajny lotniskowiec za pierdyliard tajnych złotych i w trakcie pisania pokwitowania wzięcia w łape wywali się office – to wszystko łącznie ze zrzutem pamięci poleci do Redmond i do NSA/CIA w ramach poprawy jakości produktu. ;)
      Będzie tylko wstyd że nasi biorą tak mało! ;)
      ;)

    • @BloodMan

      > Oczywiście! Na początek Win10. Zbiera dane, szpieguje i wszystko leci do zaprzyjaźnionego kraju któremu na każdym kroku robimy laske z połykiem a oni mają nas głęboko w dołku (…) Szpieguje obywateli RP i EU. Inni mnie nie obchodzą.

      Zgadzam się tak bardzo. Na marginesie – problem jest szerszy o dotyczy wszelkiej maści własnościowego oprogramowania, którego działania nie jesteśmy w stanie zweryfikować – dlatego praktyką kryptologów od wielu dekad jest jawność algorytmów. Choć przyznaję, że oprogramowanie wielkich producentów, takich jak Microsoft i Apple jest łakomym kąskiem dla amerykańskiego rządu w dużo większym stopniu niż mniej popularne programy własnościowe.

      Nasz tekst, który pojawił sie niedługo po ujawnieniu szpiegowania w Win10: https://panoptykon.org/wiadomosc/zdradliwe-systemy-operacyjne

      > Chcę definitywnego i “raz na zawsze” mechanizmu wyłączenia każdego objawu przesyłania informacji w tym telemetrii – tak aby żadna aktualizacja “przez przypadek” go nie włączyła.

      Niestety problem jest ekosystemowy. Trudno wymagać otworzenia kodu czy niezależnych audytów bezpieczeństwa od prywatnej firmy, zwłaszcza olbrzymiej i amerykańskiej. A na poziomie technicznym niewiele jesteśmy w stanie zrobić, jeśli funkcjonalności szpiegujące są zaszyte w samym systemie operacyjnym – wtedy de facto nie mamy kontroli nad naszym sprzętem, więc wszelkie rozwiązania software-owe są walką z wiatrakami. Jedynym skutecznym sposobem jaki widzę są oddolne kampanie ekonomiczne, np. bojkot oprogramowania, które nie szanuje naszego bezpieczeństwa i prywatności. Do czego zachęcam. Wiem, że nie zawsze jest to łatwe, bo oprogramowanie własnościowe jest standardem w niektórych dziedzinach biznesu, ale ja (i wielu moich znajomych, w tym pracujących jako devopsy/sysadmini/programiści w dużych firmach i korpach) jestem przykładem, że się da. I oferuję pomoc, zapraszam po CryptoParty ( http://cryptoparty.pl ) lub na Otwarte Czwartki do Warszawskiego Hackerspace ( https://hackerspace.pl ).

      > Dacie rade?

      Sami nie, ale jak pomożesz to jest szansa, że się uda. (;

      > I to o wiele poważniejszy problem niż TOR

      Dla Ciebie tak. Dla innych nie, bo ten konkretny problem mogą mieć już rozwiązany. Lub z innego powodu. Dla mnie równie ważne. Na szczęście możemy mieć różne priorytety. (:

    • @BloodMan

      Lub poza Warszawą, ruch hakerski rośnie w siłę, w większości HS-ów można uzyskać wsparcie dot. Wolnego Oprogramowania. https://wiki.hackerspaces.org/Poland

  28. Moze mi ktos powiedziec co to za dziwna praktyka stawiania czegokolwiek (a juz w ogole elementow TORa, nie wazne czy exit czy relay) na tym samym adresie co MTA?

    Cala “sprawa” to cos jakby plakac, ze urzad nie przyjmuje maili bo host zrodlowy jest w pierdyliardzie RBLi. Albo, ze urzad nie przyjmuje maili bo mu sie drastycznie rekord SPF hosta nadawcy nie zgadza. Albo, ze urzad nie przyjmuje maili bo host zrodlowy to open relay.

    Krotko mowiac – jak szanowny Panoptykoapopapnykon ma wackowo skonfigurowany host z MTA to niech maja pretensje do siebie. A prawda taka, ze z TORa idzie od khem syfnego ruchu i serio zwykle sensownej jest wyciac to wszystko wphizdu zamiast sie szarpac.

    BTW. mimo dziwnie wymijajacej odpowiedzi panowie z naszego CERTu to bardzo lepskie chlopaki. Nie znecajcie sie nad nimi, ze nie chcialo im sie tlumaczyc takich glupot…

    • Wskaż przepis jakiejkolwiek ustawy, pozwalający urzędowi nie przyjmować maili bo mu się nie podoba nadawca, jego serwer czy pogoda za oknem.

  29. To nie jest krytyka Fundacji ale pewnie maja kilka systemow maili jak gmail, outlook, etc.
    niewiele to kosztuje zmienic nadawce!

  30. i bardzo dobrze. tez blokuje tora na wszystkich serwerach.

    • Podaj IP, to ja cię zablokuje na moich.

  31. Do wszystkich popierających na zasadzie “ja też blokuję” albo “Panoptykon ma głupie pomysły”: 1) Ministerstwo nie jest osobą prywatną; 2) Panoptykon, znając realia, powinienbył unikać stawiania TORa i serwera pocztowego na jednym adresie — to prawda. Ale przede wszystkim nie takie powinny te realia być i właśnie z tym fundacja próbuje walczyć. Smutnym jest, że niektórzy już tak przywykli do absurdu, że nie tylko go akceptują, ale wręcz zaciekle bronią, naskakując na kogoś, kto stara się go zmienić. I to osoby, które są ignorantami — bo trudno nazwać inaczej wiarę w to, że z węzła Tora przyjdzie spam.

    Hej, pobudka! Dochodzi do sytuacji, gdy instytucja państwowa blokuje podstawowe prawo obywatela i, co gorsza, robi to w oparciu o przesłanki czysto ideologiczne!

    Bo tak, to jest kwestia światopoglądowa. Panoptykon ma tam tylko relaye, nie exit nody, więc ich serwery w ogóle nie stanowią zagrożenia. Zatem ochrona systemów Ministerstwa nie może być w żadnym przypadku uzasadnieniem dla zablokowania poczty od Panoptykonu. Ba, nawet gdyby były tam węzły wyjściowe, to domyślna konfiguracja Tora blokuje port 25. Czyli także w tej sytuacji odrzucanie poczty to błąd. Urzędnicza samowolka zmieszana z ignorancją i tyle.

    Na dokładkę połączona z błędną implementacją zaleceń bezpieczeństwa. Raport CERTu mówi o dostępie do usług (w tym poczty), ewidentnie w sensie dostępu przez uprawnionego użytkownika danego systemu (tj. pracownika instytucji). Trudno bowiem oczekiwać, że poczta będzie przyjmowana tylko z określonych adresów IP lub tylko via VPN. W tym kontekście blokada Tora ma jak najbardziej sens. Ale Ministerstwo zrozumiało to na opak.

    Podsumowując: instytucja państwowa łamie wasze prawa, robi to na podstawie ideologicznego widzi mi się, opłacani z waszych podatków ludzie są jawnie ignorantami, wdrożenie zaleceń bezpieczeństwa przez Ministerstwo jest błędnie wykonane (ktoś też wziął za to pieniądze z podatków), a wy temu przyklaskujecie; Panoptykon się do tego przyczepił… i to on jest niedobry. Ręce opadają.

    • W pełni popieram. Obywatel ma prawo zgłaszać swoje wnioski czy uwagi. I urząd ma obowiązek takie zgłoszenia przyjąć – o ile serwer nie jest na liście spamerów. A ten nie jest. A co jeszcze na tym serwerze działa (niech to nawet będzie Tor czy Metal Gear), to nie ich sprawa!

  32. Są ministerstwa, które codziennie aktualizują listę węzłów wyjściowych do swoich serwisów i je blokują (konkretne porty ) – nawet skrypt był podawany zdaję się na niebezpieczniku.
    Z tym, że .. wolałbym zamknąć kanał przerzutowy broni dla terrorystów niż zwalczać ich samych już uzbrojonych. To tak dla analogii.

    Za dużo piany o nic – ale ja jestem utopijny idealista – się nie znam.

    P.S.
    Kawa mi się skończyła :-/

  33. Cud to nie jest, sporo stron panswowych blokuje tor-a.

  34. @Mrk
    “Lebskie chlopaki” stosuja sie do wytycznych EU ktora promuje uzywanie tora (bez jaj).

  35. TOR jest legalny (w przeciwienstwie do SPAM) i w tym wzgledzie blokowanie go przez instytucje panstwowe wydaje sie nielegalne w kontekscie SMTP.

  36. Aby czytelnikowi-laikowi uświadomić sytuację, może dobrze zastosować bardzo proste porównanie.
    Ze światopoglądowego punktu widzenia urzędników, węzeł pośredniczący TOR-a jest zły, bo nie lubią tych, którzy chcą anonimowo przesyłać do nich wiadomości, a mogą to zrobić także poprzez sieć TOR. To nic, że z węzła pśredniczącego nie wychodzą żadne dane – dla nich, każdy, kto ma taki węzeł, czyli pomaga tym, którzy pragną anonimowości, kwalifikuje się do ignorowania (blokowania możliwości nadawania poczty do Min. Gosp.), a jak się rozkręcą, to może nawet do ukarania.
    Problem w tym, że:
    -sieć TOR jest jak nóż kuchenny,
    -węzeł pośredniczący TOR jest jak kamień szlifierski albo ostrzarka do noży,
    -Fundacja Panoptykon jest jak Twoja Matka, która ostrzy nóż.
    Ona chce Ci ukroić chleba, ale wg ministerstwa – na pewno pomaga kanibalom, więc nie będą z tą niegrzeczną kobietą w ogóle rozmawiali – ale tylko w kuchni (emailem), bo w pokoju na kanapie (pismem papierowym) – to co innego! No i to tylko jedno ministerstwo czuje się zagrożone tym, że kobieta ma nóż w szufladzie, i to naostrzony, bo pozostałe są całkowicie bezpieczne, albo zupełnie nieświadome.
    Takie rozwielokrotnienie jaźni stanu, lub prywatne folwarki “Panów Informatyków”.

    Jest to objaw połączenia niewiedzy, niekonsekwencji, braku doboru adekwatnych środków ochrony albo hipokryzji. Ewentualnie niestety wszystkiego naraz. A, no i ignorancję oczywiście zignorowałem, jak zwykle… :/

    A z drugiej strony – ludzie, to są sprawy wagi państwowej! Im nie wolno interpretować sobie takich rzeczy wg. własnego widzimisię – jak takie mają (niejasne) wytyczne rządowego CERTu, to tymi, którzy ich nie wdrożyli – niech się prokuratura zajmie! Albo niech wszystko sobie całkiem zablokują i na spokojnie się zamkną w pokoiku i przemyślą, i coś ustalą…

Odpowiadasz na komentarz j_kubik

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: