Monday, September 17, 2018

Don’t Drop Dropbox yet!

Το Dropbox είμαι μια εφαρμογή που χρησιμοποιείται σχεδόν καθολικά καθώς προσφέρει την δυνατότητα αποθήκευσης δεδομένων στο νέφος (ή cloud κατά το ελληνικότερο) καθιστώντας τα προσβάσιμα από παντού. Το γεγονός ότι υπήρξε η πρώτη εταιρία που παρείχε την σχετική υπηρεσία δωρεάν και σε ευρεία κλίμακα, την κατέστησε εξαιρετικά δημοφιλή. Επιπρόσθετα, το λογισμικό πελάτη της (dropbox client) λειτουργούσε χωρίς προβλήματα από την αρχή σε όλα τα Λειτουργικά Συστήματα. Ως προς το Linux παρέχεται ικανοποιητική υποστήριξη από την επίσημη εφαρμογή χωρίς να απαιτούνται οι γνωστές και αρκετά χρονοβόρες αναζητήσεις για εναλλακτικές λύσεις, εξωτερικές αλλά και εξωτικές εφαρμογές που έχουν γραφεί από τρίτους καθώς και κάθε άλλου είδους πειραματισμούς.

Παραβλέποντας τα γνωστά θέματα ασφάλειας και ιδιωτικότητας που ισχύουν για κάθε λύση απομακρυσμένης αποθήκευσης δεδομένων, θα μπορούσε κανείς να υποστηρίξει ότι το Dropbox είναι μια πολύ καλή και φιλική προς τους χρήστες υπηρεσία. Άλλωστε μέχρι σήμερα αποτελεί ίσως την πιο δημοφιλή σχετική πλατφόρμα ξεπερνώντας το Google Drive και το Microsoft OneDrive. Ατυχώς, πρόσφατα η Dropbox αποφάσισε να ακυρώσει την υποστήριξη για κάθε σύστημα οργάνωσης αρχείων (filesystem) εκτός από τα κλασσικά NTFS για τα Windows, APFS για Mac και Ext4 για Linux.

Για τους χρήστες των Windows αλλά και του Mac OS X δεν υπάρχει κανένα απολύτως πρόβλημα, αφού αυτό είναι και το στάνταρ σύστημα αρχείων που χρησιμοποιεί το Λειτουργικό Σύστημα τους χωρίς φυσικά να μπορούν να επιλέξουν κάποιο άλλο. Για τους χρήστες του Linux όμως τα πράγματα είναι πολύ πιο πολύπλοκα. Σε ένα σύστημα Linux δεν υπάρχει τίποτα σταθερό και δεδομένο εκτός από το να διαθέτει πυρήνα Linux, καθώς αυτό είναι το μοντέλο ανάπτυξης του. Υπάρχουν διανομές που υποστηρίζουν το Ext4 και πιθανότατα δεν θα έχουν πρόβλημα. Από την άλλη, όσοι χρήστες επιχειρήσουν να κρυπτογραφήσουν τα αρχεία τους με τους με το eCryptFS είναι αυτόματα εκτός προδιαγραφών της Dropbox. Ακόμα χειρότερα δεν θα υπάρχει καμία απολύτως υποστήριξη σε όσους χρησιμοποιούν το εξίσου δημοφιλές και ανερχόμενο BtrFS της Oracle ή κάποιο από τα κλασσικά συστήματα όπως το XFS της SGI που ενδείκνυται για πολύ μεγάλα αρχεία ή το JFS της IBM που έχει μάλιστα αρκετά πλεονεκτήματα σε υπολογιστές με παλιότερους και λιγότερο ισχυρούς επεξεργαστές. Επίσης το ίδιο προβληματική είναι και η κατάσταση με ένα από τα πλέον εξελιγμένα συστήματα αρχείων όπως το ZFS της πάλαι ποτέ κραταιάς Sun.

Η επίσημη δικαιολογία της Dropbox ότι χρειάζεται να χρησιμοποιεί X-attrs είναι απολύτως έωλη αφού όλα τα σύγχρονα συστήματα αρχείων παρέχουν ανάλογες δυνατότητες. Η πιο απλή και πιθανή λύση είναι ότι η Dropbox θέλει να απαλλαχθεί από το βάρος της υποστήριξης πολλαπλών συστημάτων αρχείων που χρησιμοποιούνται από ένα μικρό αριθμό χρηστών. Εύλογη απόφαση αν εξεταστεί από αμιγώς τεχνοκρατικά κριτήρια, εντελώς παράλογη όμως στο χώρο του Ελεύθερου Λογισμικού / Λογισμικού Ανοικτού Κώδικα (ΕΛ/ΛΑΚ). Στο ΕΛ/ΛΑΚ για τους χρήστες του υπάρχει ένας μόνο βασικός κανόνας, η ελευθερία στην διαχείριση και εξέλιξη του κώδικα και των συστημάτων. Ο μόνος που μπορεί να αποφασίσει τι είναι στάνταρ και τι όχι είναι ο ίδιος ο χρήστης και οι προγραμματιστές και όχι κάποια εταιρία ή οργανισμός που θα προκαθορίσει τι πως και πρέπει να χρησιμοποιείται. Για αυτό και υπάρχουν άλλωστε δεκάδες διαφορετικές διανομές Linux με σημαντικά πλεονεκτήματα και διαφοροποιήσεις μεταξύ τους χωρίς καμία και ποτέ να είναι η “επίσημη” ή “στάνταρ” διανομή Linux. 

Όσοι δεν κατανοούν αυτή τη βασική αρχή δεν πρέπει καν να δραστηριοποιούνται καν σε ότι έχει να κάνει με Ανοικτό Λογισμικό και το Linux. Βοηθήστε τους να το εμπεδώσουν διατυπώνοντας ευγενικά και τεκμηριωμένα την άποψη σας στα σχετικά φόρουμ των χρηστών της Dropbox.

Ο Βασίλης Βλάχος είναι μέλος του ΔΣ του Οργανισμού Ανοικτών Τεχνολογιών. Οι απόψεις που εκφράζονται στο κείμενο αυτό είναι καθαρά προσωπικές

Αναδημοσιεύσει από το την ιστοσελίδα του Οργανισμού Ανοικτών Τεχνολογιών (ΕΕΛΛΑΚ)

Monday, July 16, 2018

Ερευνητική Δημοσιογραφία και Ασφάλεια Επικοινωνιών

Τέλη Ιουνίου η Ελεύθερο Λογισμικό / Λογισμικό Ανοιχτού Κώδικα πρωτίστως μαζί με τον OWASP Greek Chapter οργανώσαμε ένα σεμινάριο για τους δημοσιογράφους που ασχολούνται με την ερευνητική δημοσιογραφία. Η ομάδα που το οργάνωσε περιλάμβανε φυσικά την Δέσποινα Μητροπούλου και την Kyriaki Chantzi και φυσικά πολλούς και πραγματικά αξιολογότατους ερευνητές δημοσιογράφους.

Ασχοληθήκαμε με εργαλεία κρυπτογράφησης και διασφάλισης των επικοινωνιών και πολλά άλλα (tails, veracrypt, gpg, tor κλπ). Πήραμε πολύ θετικά σχόλια, μάλιστα είχαμε προγραμματίσει και δεύτερο γύρο για σήμερα αλλά το πολύ ζεστό αθηναϊκό καλοκαίρι μας έκανε να το ξανασκεφτούμε. 

Δεν πρόκειται όμως σε καμία περίπτωση να το αφήσουμε, θα συνεχίσουμε πολύ δυναμικά το Σεπτέμβριο. Η σωστή δημοσιογραφία είναι βασικός πυλώνας της Δημοκρατίας. Όσο και αν θέλουν ορισμένοι να έχουν πρόσβαση στις πρωτογενείς πηγές και το υλικό των δημοσιογράφων θα πρέπει να καταλάβουν ότι αυτό ΔΕΝ είναι καλή ιδέα. 
 
Αν και τίποτα δεν είναι απόλυτα ασφαλές υπάρχουν αρκετές λύσεις ανοικτού λογισμικού που θα αποθαρρύνουν τους περισσότερους επίδοξους "ωτακουστές". Η κρυπτογραφία είναι ένα μικρό αλλά βασικό υποστύλωμα της δημοκρατίας όταν μπορεί να διασφαλίσει την ιδιωτικότητα και την εμπιστευτικότητα στις επικοινωνίες μας.



Monday, July 2, 2018

Προκλήσεις Ασφάλειας και Κυβερνοασφάλειας


Σήμερα είμαι απίστευτα κουρασμένος αλλά και χαρούμενος γιατί συμμετείχα στο εξαιρετικό πάνελ Ημερίδα "Προκλήσεις Ασφάλειας και Κυβερνοασφάλειας" που έστησε και συντόνισε άψογα ο φίλος και συνάδελφος Periklis Chatzimisios στον πολύ ωραίο χώρο του συνεδριακού κέντρου της Τράπεζας Πειραιώς στα Λαδάδικα (πολύ μου αρέσει αυτή η περιοχή τελικά).
Οφείλω να ομολογήσω ότι έμεινα ενθουσιασμένος με την εισήγηση της Eva Kaili Τοποθετήθηκε άψογα τόσο σε τεχνολογικό επίπεδο για το blockchain απαντώντας σε βαριές τεχνικές ερωτήσεις, όσο και στα γενικότερα θέματα έρευνας και τεχνογνωσίας που μας απασχόλησαν.

Συζητήσαμε λίγο και την δική μου εισήγηση για το αν οι στοχευμένες κυβερνοεπιθέσεις από τρίτες χώρες εναντίων πολιτικών φορέων και προσώπων αποτελούν απειλή κατά του πολιτεύματος. Τα στοιχεία που παρουσίασα δυστυχώς επιβεβαίωσε με περισσότερες έγκυρες πληροφορίες ο μεθοδικός Athanassios Kosmopoulos.

Ο φίλοςThanos Kakarountas ανέδειξε το πρόβλημα του hardware security και ο Christos Ilioudis μας έδειξε γιατί τελικά η κυβερνοασφάλεια δεν είναι πάντα εύκολη για τις μικρές επιχειρήσεις, κάτι το οποίο συχνά μας διαφεύγει.

Ο Leandros Maglaras με τηλεδιάσκεψη από την Αθήνα μας έδωσε πολλά ενδιαφέροντα στοιχεία για τις εξελίξεις σε εθνικό επίπεδο. Τέλος ο φίλος από την Ελεύθερο Λογισμικό / Λογισμικό Ανοιχτού Κώδικα Panagiotis Kranidiotis άναψε φωτιές με το γνωστό θέμα open source & security.

Εξαιρετική ημερίδα. Και αν κουραστήκαμε και λίγο παραπάνω άξιζε. Την όμορφη Θεσσαλονίκη δεν πρόλαβα να δω καθόλου αλλά είμαι σίγουρος ότι όλο και κάτι ωραίο θα διοργανώσουν σύντομα τα παιδιά εκεί.

Friday, June 29, 2018

Άσκηση για την αντιμετώπιση Ασύμμετρων Απειλών

Την Τετάρτη 20 Ιουνίου συμμετείχα σε μια εξαιρετικά ενδιαφέρουσα άσκηση για την αντιμετώπιση ασύμμετρων απειλών. Μου ζητήθηκε από τους διοργανωτές και με πολλή χαρά ανταποκρίθηκα καλύπτοντας το κομμάτι των κυβερνοεπιθέσεων. Εξαιρετικά ενδιαφέρουσα εμπειρία για εμένα και ελπίζω για όσους το παρακολούθησαν. Η ολιστική αντιμετώπιση όλων των απειλών νομίζω ότι πραγματικά είναι σωστός τρόπος προσέγγισης του πιεστικού προβλήματος της Ασφάλειας για τους Ευρωπαίους Πολίτες. Ευχαριστώ θερμά για την πρόσκληση - πρόκληση. 

 

Thursday, June 21, 2018

Περιοδεία GDPR/ΓΚΠΔ

Περιοδεία στη Θεσσαλία για τον ΓΚΠΔ. Η ημερίδα στην Λάρισα είχε μεγάλη επιτυχία και μας ζητήθηκε να την επαναλάβουμε στις γειτονικές και ιδιαίτερα αγαπητές πόλεις των Τρικάλων και της Καρδίτσας. Πράγματι το καταφέραμε και αυτό πάρα την γνωστή ζέστη του Θεσσαλικού Κάμπου το απόγευμα. Χρήσιμες και εποικοδομητικές και οι δύο εκδηλώσεις με εύστοχες ερωτήσεις από το κοινό και πολλή συζήτηση. Εξαιρετική και η παρουσία των νομικών που είχαν από ότι αποδείχθηκε στιβαρό τεχνολογικό υπόβαθρο. Γενικά νομίζω ότι πήγε καλά. Χαίρομαι ιδιαίτερα που μπόρεσα να εκπροσωπήσω την ΕΜηΠΕΕ σε ένα τόσο σημαντικό θέμα. Ειδικά για τα Τρίκαλα, αν βρεθείτε να πάτε στο μουσείο Τσιτσάνη που έγινε η εκδήλωση. Καταπληκτικός χώρος, γεμάτος μουσική, τέχνη και πολιτισμό. Αξίζει το κόπο!






 

Monday, May 28, 2018

Πανόπτης 2018

Συμμετείχα για 10 ή 11 φορά στην εθνική άσκηση κυβερνοπολέμου "Πανόπτης". Πρακτικά συμμετέχω από την πρώτη φορά που διοργανώθηκε και αισθάνομαι ευγνώμων στους ανθρώπους που μου έδωσαν την ευκαιρία αυτή. Κοιτώντας πίσω βλέπω και το πως περνάνε χρόνια. Ήμουν ακόμα μεταπτυχιακός φοιτητής, υποψήφιος διδάκτορας όταν συμμετείχα για πρώτη φορά σε αυτή την καταπληκτική εμπειρία. Δέκα χρόνια μετά προσπαθώ να συντονίσω και να κατευθύνω τους δικούς μου φοιτητές. Από οποιαδήποτε όμως θέση, ο Πανόπτης είναι μια φοβερή εκπαιδευτική ευκαιρία και μια από τις καλύτερες στιγμές των Ενόπλων Δυνάμεων σε καιρό ειρήνης. Και του χρόνου! 

Update: Η Καθημερινή της Κυριακής κάλυψε με πολύ ωραίο τρόπο την άσκηση και την συμμετοχή μας σε αυτό το άρθρο.  



Αντιγράφω άλλη μια σύντομη αλλά πολύ ουσιαστική περιγραφή της άσκησης από το έγκυρο militaire.gr  

"Από 22 έως 25 Μαΐου 2018 πραγματοποιήθηκε η Εθνική Διακλαδική Άσκηση Κυβερνοάμυνας “ΠΑΝΟΠΤΗΣ 2018”, υπό το συντονισμό του ΓΕΕΘΑ.
Στην άσκηση συμμετείχε προσωπικό από τις Ένοπλες Δυνάμεις και τα Σώματα Ασφαλείας, καθώς και φορείς του δημόσιου και του ιδιωτικού τομέα και της ακαδημαϊκής κοινότητας.
Περισσότεροι από 200 συμμετέχοντες από 25 φορείς από όλη τη χώρα ασκήθηκαν στην αντιμετώπιση διαφόρων περιστατικών κυβερνοασφάλειας, καλύπτοντας τόσο μεμονωμένα συμβάντα όσο και περιστατικά ευρύτερης έκτασης που απαιτούσαν συντονισμένη ανταπόκριση σε πολλαπλά επίπεδα.
Τα επεισόδια κάλυψαν πλειάδα αντικειμένων κυβερνοάμυνας, όπως ανάλυση ιομορφικού λογισμικού, ψηφιακή διερεύνηση πειστηρίων σε διαφορετικά λειτουργικά συστήματα Η/Υ και έξυπνων κινητών τηλεφώνων, έλεγχο ευπαθειών εφαρμογών διαδικτύου και ιστού και εντοπισμό και ανάλυση παραβίασης δικτυακής υποδομής."




Tuesday, May 22, 2018

GDPR στο TEE Κεντρικής και Δυτικής Θεσσαλίας

Μια ιδιαίτερα επιτυχημένη ημερίδα διοργάνωσε το ΤΕΕ Κ&Δ Θεσσαλίας με σκοπό την ενημέρωση των μελών του για τον Γενικό Κανονισμό Προστασίας Δεδομένων. Πολλά και σημαντικά ακούστηκαν. Θεώρησα ωστόσο απαραίτητο να τονίσω ότι είναι η εποχή που επιτήδειοι μυρίστηκαν ψαχνό και προσπαθούν να τρομοκρατήσουν τον κόσμο για να αποσπάσουν εύκολα και γρήγορα λεφτά. 

Υπάρχουν πολλοί εξαιρετικοί επαγγελματίες που έχουν γνώσεις από ασφάλειες Π.Σ. Θα τους ξεχωρίσετε από τους αλεξιπτωτιστές ρωτώντας όλους τους υποψήφιους συνεργάτες σας τέσσερις απλές ερωτήσεις:
  1. Πόσα χρόνια προϋπηρεσία έχουν στην Ασφάλεια Π.Σ;
  2. Με ποιες εταιρίες, φορείς, οργανισμούς κλπ έχουν συνεργαστεί για την υλοποίηση έργων Ασφάλειας ΠΣ;
  3. Σε ποια έργα Ασφάλειας ΠΣ έχουν συμμετάσχει;
  4. Ποια ακριβώς είναι η εξειδίκευση τους στο αντικείμενο (σύνταξη πολιτικής ασφάλειας, έλεγχος παρείσφρησης κλπ)
Ο ΓΚΠΔ δεν είναι τιμωρία, είναι ευκαιρία να βελτιωθεί όχι μόνο η ασφάλεια του οργανισμού σας αλλά και οι διαδικασίες του γενικότερα.  Επίσης ο ΓΚΠΔ δεν είναι προϊόν, δεν τον αγοράζετε και καθαρίσατε, ούτε ξυπνάτε ένα πρωί και είστε GDPR compliant. Είναι μια συνεχής διαδικασία που υλοποιείται βήμα βήμα με λογικό κόστος χωρίς υπερβολές. Χρειάζεστε προφανώς ένα νομικό με γνώσεις δικαίου πληροφορικής, ένα ειδικό ασφάλειας πληροφορικών συστημάτων και φυσικά κάποιο ανώτερο στέλεχος της επιχείρησης σας που θα συνεργαστούν όλοι μαζί για εντοπίσουν και καταγράψουν τις αλλαγές που πρέπει να γίνουν και τα μέτρα που πρέπει να εφαρμοστούν. Τόσο απλά! Α και πολλές λύσεις είναι διαθέσιμες σε Ανοικτό Λογισμικό / Λογισμικό Ανοικτού Κώδικα. 

Δείτε και το ρεπορτάζ της ΕΡΤ εδώ



 

Don’t Drop Dropbox yet!