Tehnokratt!
Ajaveeb ja taskuhääling

• Home
• RSS

KUKUs laup kell 17-18, kordus esmasp 20-21

internetis alati kui podcast.kolhoos.ee pikali ei ole

• Viimatised

  • kiruvere muinaslaager 12-13 juulil
  • teesid infopoliitika foorumile
  • NOSFERATU ja Kriminaalne Elevant täna Clazzis
  • teeme-ära finish Moosi kandis
  • joel spolsky kasutajaliidese disainist, eesti keeles
  • vinged URId ei muutu kunagi
  • milline GA wordpressi plugin valida?
  • uudis-shmuudis
  • tallinn.ee ettekanne veebis
  • puumenüü vanast tallinn.ee’st 2x aeglasem

• Sahtlid

  • autõs
  • cybercrime
  • langleim
  • meistjameile
  • privaatsus
  • saade
  • sahteldamata asjad
  • tarbija
  • turvalisus

• Arhiiv

  • juuli 2008
  • mai 2008
  • aprill 2008
  • märts 2008
  • jaanuar 2008
  • detsember 2007
  • november 2007
  • oktoober 2007
  • september 2007

• Blogirull

• Adminn

  • Log in
  • WordPress
  • XHTML

AKI konverents: isikuandmete kaitse ja meedia

Järgmisel neljapäeval s.o 31.01.2008 toimub järjekordne isikuandmete kaitse päevale pühendatud konverents (minu eelmise korra ettekanne “Minu andmed on minu omad” vaadatav YouTube’is), sedapuhku teemaks isikuandmete kaitse ja meedia. Kuna ametlik inff jõudis minuni PDFina (konverentsi kava) ja ka AKI veebist pole muud leida siis teen siinkohal kopi-paste, registreerimine ja lisainff konverents@dp.gov.ee:

9.00-9.30 Registreerimine
9.30-9.45 Konverentsi patrooni avasõnad / Justiitsminister Rein Lang
9.45–10.00 Kuidas kaitsta neid, kes ise ennast kaitsta ei saa? Andmekaitse Inspektsiooni peadirektor Urmas Kukk
10.00–10.30 Privacy and the Media - are there any limits for the journalists? / Sloveenia andmekaitse järelevalveasutuse juht ja endine ajakirjanik Nataśa Pirc-Musar
10.30–11.00 Peenike punane joon. Kui avalik huvi ristub isikuandmete kaitsega / Ajakirjanik Tarmo Vahter
11.00–11.30 Kohvipaus
11.30–12.00 Millal on avalik huvi isikuandmete avaldamise eelduseks? / Raidla ja Partnerid vandeadvokaat dr.iur Ants Nõmper
12.00–12.30 Isikuandmed ja ajakirjanduseetika / Rahvusringhäälingu ajakirjanduseetika nõunik Tarmu Tammerk
12.30-13.00 Arutelu paneel
13.00-14.00 Lõuna
14.00-14.30 Meedia ja vanglasüsteem / Viru Vangla direktor Edvard Remsel
14.30-15.00 Vaba ajakirjandus ja vaba inimene – kes kelle tapab? / BNS peatoimetaja ja endine teleajakirjanik Ainar Ruussaar
15.00-15.30 Andmete avaldamine kriminaalmenetluses / Riigi peaprokurör Norman Aas
15.30-16.00 Arutelu paneel ja konverentsi lõppsõnad

Paraku ei mahu sinna alla Lüngad rämpsposti reguleerivas seadusandluses mille üle tahaks kangesti AKIga aru pidada. Kui kohvi- ja lõunapaus välja arvata

kuulu jutud ja küberkrimi

Schneier’i Hacking Power Networks sobib muideks kenasti meie laupse “viirus tühjendas hansapanga kontod” saatega. Nagu ülteb Bruce:

There’s nothing like an vague unsubstantiated rumor to forestall reasoned discussion.

Kas keegi palun aitaks mul leida Postimehe loo Viiruse riisutud pangaklientide arv võib ulatuda sadadesse pealkirjaväite päritolu? Ajakirjanikult küsimise nipp proovitud, ei andnud tulemust (allikakaitse jne). Hansapanga väitel on “detsembri keskpaigast” alates “nende poole pöördunud” kümme klienti. Kuhu ja mis aja jooksul pöördusid ülejäänud 490?

kuku podcast 2.0

KUKU taskuhäälingu - ja laiemas mõttes kogu kodulehe - uutmise plaaniga on asi niikaugel, et miski funktsionaalne prototüüp http://podcast.pencillin.net toimib st võtab saateid vastu ning tuleb isegi täpitähtede ja saadete kategooriateks liigitamisega toime (Wordpress, mõistagi). Kas kellelgi on ideid funktsionaalsuse osas? Minu kontsept on selline:

• esileht sisaldab blogina kõiki saateid, lisaks praegusele infile on igas postituses saate eeltutvustus ning külaliste nimed (ja tegijate viitsimise korral võivad nad sinna muidugi ka pikema teksti panna pärast saadet, lingid ja shownotes jne)
• esilehel on lihtsalt leitavad lingid kõigi saadete arhiivilehtedele
• esilehel on playlisti-pleier mis mängib kõiki värskemaid saateid
• RSSid on konfitud läbi Feedburneri, lisatakse mh iTunes’i jaoks pildid jne
• lisalehed: kõik saated, saatekava, kontakt
• saate arhiivilehel on viimased n+1 saadet, paremas tulbas saatetutvustus ja playlisti-pleier sellele saatele
• saatekava võiks vahest olla tehtud läbi Google Calendar’i, aga vaja oleks miskit vidinat mis selle pealt “hetkel eetris” genereeriks

Misveel? Ja hetkel on mul väljas ka OGGi versioonid, kas keegi kurvastab kui ma need ära korjan? (tehniliselt jäävad alles, kuna mõeldes vajadusele reklaami-automaagia lisada tahan stuudiost nii ehk naa saada paremat kvaliteeti)

turundusnipp: kuidas müüa 2,5x rohkem

Mul on halb harjumus lugeda läbi manualid, õpetused ja isegi sildid shampoonipudelil - sest kohati leiab sealt midagi kasulikku ja kohati naljakat. Näiteks on meil üks shampoon, mis eestikeelse sildi kohaselt on tehtud peamiselt shokolaadist.

Aga mõnikord võib silti lugedes ka lollimaks jääda. Pesu masinasse pannes lugesin MiniRiski pesugeeli pudelilt vajalikku kogust ja üks eestikeelse kleepsu alt välja paistev soome+rootsikeelne jupp pani mind vastu valgust kogu teksti uurima.

Eestikeelne on selline:

Kork 40ml, doseerimine 3-5kg pesu kohta, pehme/kare vesi
Vähene mustus - 50ml / 100ml
Tugev mustus - 100ml / 140ml

Soome+rootsikeelne:

Korkillinen 80ml, 4-5kg, pehmea/keskikova vesi
Normaali lika - 40ml / 75 ml
Voimakas lika -  80ml / 110ml

Loomulikult on võimalik, et eestlase vähemust pesu vajab rohkem geeli kui soomlase normaalselt must (või siis peetakse paekivipõhises Eestis vett graniidipõhise Soomega võrreldes keskmiselt karedamaks), aga ma sügavalt kahtlen milliliitri kursi kõikumises. (jah, kontrollisin mensuuriga üle, minu pudeli kork on vähemalt 80ml - hoogne valaja paneks sinna geeli isegi 100ml)

Tugev mustus + kare vesi tahaks Eestis 3,5 korgitäit, Soomes 1,4 korgitäit ehk 2,5x rohkem. Ostke, inimesed

Muideks, käsipesu korral soovitab maaletooja Henkel Lativia (sic!) teha nii: “lahusta 1kork 10m liitris vees”.  Kas 80ml tuleb lahustada 10ml vees? või 10 miljonis liitris? või 10 meeter liitris? Kui JMO klikivabriku-blogi kommentaarides arvas, et

“Ja see on vajalik, et tellija oskaks õigeid asju küsida. Bensiinijaamast juba oskavad peaaegu kõik õiget ühikut küsida, keegi ei nõua Statoilist enam sõidutundi, kilokalorit või tonnkilomeetrit… “

… siis intelligentsete moleekulide bisneses pole asi pooltki nii selge. Doseerin nagu jaksan…

uutest viirustest ja muust kah

Neljapäevane pressiteade uut tüüpi viirustest (”troojalased nimedega Limbo ning Sinowal sisenevad kaitsmata arvutitesse kasutaja teadmata ja lisavad sinna koodi, mis annab kontrolli pangakonto üle”) ning sellele järgnenud meediakajastus nagu näiteks Postimehe Uus viirus tühjendas Hansapanga kontod ja Viiruse riisutud pangaklientide arv võib ulatuda sadadesse (oops: Hansapank: arvutiviiruse tõttu kaotas raha kümme klienti) andsid põhjust jällekordselt võtta kokku tundmatuks jääda soovivad andmeturbespetsialistid - sedapuhku Hillar Aarelaid, Renee Trisberg ja Anto Veldre - ning veidi toimuva taustast rääkida. Tänud ka tuntuks saada soovivatele Linnamäele ja Karnaule, me saime tänu nende utoopiate debunkeerimisele huvitava saate.

Sest juhul, kui täiesti uut tüüpi viirused ründavad spetsiaalselt Hansapanka ning suudavad kontodelt kasutajatele märkamatult raha kõrvaldada (kodanikel soovitatakse lausa netipanga-seansi lõpus kontojääki kontrollida) muutes maksekorralduse andmeid… siis on uudisekünnis tõega ületatud ja me võime muuhulgas IDkaarti murtuks lugeda.

AGA. Saate lühidaks kokkuvõtteks võib öelda, et tegu on üsna tavaliste troojalastega (õigem oleks vist öelda ‘nende loomise töövahenditega’) mis juba mõni aasta arenduses olnud ja evolutsiooni käigus mõistagi ka vingemaks muutunud. Teadaolevad ründed on kah üsna harilikud, tõsi paroolide kogumisele on lisandunud interaktiivsus ehk midagi sellelaadset mida ma Pealtnägijale demosin (kasutaja sisestab koodi ning samal ajal logib keegi kusagil mujal sellega sisse). PINkalkulaator on rünnatav (Hansa on aga kohe-kohe muutmas selle kasutusloogikat, st küsides PINi ka makse tegemisel), IDkaart täna veel mitte.

Ja lisaks… Komistame me otsa ka avatud/suletud WiFi teemale: Neeme Korv: miks te ukse lahti jätate? ja Bruce Schneier: My Open Wireless Network, räägime bluetooth-kõrvakomplektide ebaturvalisusest… ja iga külaline räägib oma versiooni sellest, mis võiks tegelikult olla nn pangaviiruste (ja küberrünnete) taga.

Netiversioon on 58 minutit ehk pikem kui eetris olnud saade.

Lae alla ja kuula: [ MP3 26.5MB ] [ OGG 55.0MB ]

õnnelik infokild ja kurikaelte tabamine

Raadiost kuuldud pealkiri “politsei arreteeris armin karu … tütre inese … röövi … kavandajad” tõi mulle meelde hiljuti loetud Time’i loo The Fort Dix Conspiracy terrorirakukeste avastamise metoodikast:

• saadakse “õnnelik infokild” (keegi näeb välismaise välimusega inimest automaatrelvaga, mis pärast osutub küll paintballi-püssiks aga no mis seal vahet, FBI is on the case)
• kodanike juurde sokutatakse “kriminaalpolitseiga seotud isik” (Time’i loos sageli eks-vang)
• kuna alustatud uurimist ei saa raisku lasta, siis varem või hiljem õnnestub sokutatud isikute kaasabil tekitada olukord, mis kvalifitseerub vähemalt kuriteo kavandamiseks

Loomulikult on võimalik, et tegu oli lihtsalt sita pressibriifingu sita kajastusega mis minus eelkirjeldatud seose tekitas ja tegelikult kriminaalse maailma outsource‘ingus saavadki miski põhjaliku tegevusplaani ja ettemaksuta kutid allhanget tellida…

Aga kui ei olnud tegemis PR-tootmisõnnetusega, siis on kaks noort kodanikku korraldanud näitliku õppetunni sellest, kuidas igasugused imetabased eriõigused ei pruugi päris alati oma Põhiseadusest tulenevat tasakaalustatud eesmärki täita.

ps. ilmneb, et mu utopistlik mõttearendus ei ole eriti originaalne, Merlis tõmbab vist sama rohtu ja jõudis ette, kuniks mina ema sünnipäevatorti pugisin

pealtnägija ja küberkriminaalia

Nagu Pealtnägija eelinfost lugeda toimub sedapuhku mitu eksperimenti - tabatakse ühed võõra krediitkaardinumbriga kaupa tellinud noored ning yours truly esineb mõningate kommentaaridega ja proovib toimuvat illustreerida ühe rünnakuga iseenda kui netipanga kasutaja vastu.

Täpsemad detailid pärast saadet, seni võib leida taustalugemist laupse Tehnokrati postitusest (ning saadet võib muidugi kah kuulata, sisu paljuski samasuunaline): arvutikaitse ja kuritarkvara (osa saate juurde puutuvaid kommentaare on varasema kolimis-postituse juures).

EDIT2: Postimehes pikem lugu kah: Netis pakutav varastatud info ahvatleb noori kuritegudele

EDIT: nüüd on vist kohane lisada paar sõna tehtud eksprimendi kohta. Nimelt lubasin Rasmusele teemat kommenteerida ja mõtlesin, et peaks nagu tegema midagi peale loba… ehk oleks vaja mingit phishingut, keyloggerit, kuhugi sissemurdmist… Probleemile on kaks lahendust: otsida Google’ist või küsida Tõnu Samuelilt. Paadunud Google’i-fännina küsisin mõistagi kõigepealt Samuelilt mida tema demoks pruugib:

Tõnu Samuel @ Räpina 1/2/08 12:13 PM
ma rohkem rahvale brauseri auke näidanud
brauserist saab clipboardi varastada jms
see ehmatab neid tavaliselt rohkem
Peeter Marvet 1/2/08 12:14 PM
millega sa seda demod, miski veebisait?
Tõnu Samuel @ Räpina 1/2/08 12:14 PM
beef
mul tegelt mitu asja tehtud aga otsi beef xss

Tõesti, bindshell.net/tools/beef sobib demoks kenasti: veebirakendus mis lubab sobilikule lehele javascripti istutada ning siis seda lehte külastavate kodanike ehk zombide tegevust jälgida ja võimalust mööda ka juhtida. Pikema jutu asemel vaadatagu autorite ekraaniviisorit.

Aga kuna ma ei viitsinud clipboardi varastamiseks vajalikku IEd installima hakata, siis jäi silma võimalus näha mida kasutaja tipib. Seega phish, vabalt netis saada olev demo-sploit ja miski sihtmärk… Milleks olgu tähestiku järjekorras esimene pank (mille PIN-kalkulaator mul juhtumisi olemas on).

Firefox’is hanzaneti esilehele Save-as, veidi mudimist Notepad’is (kuna kõik ei salvestunud hästi ning tundus hea mõte lisada teavitus eksperimendist… ning mõistagi väike skript sploidi tarbeks) ja tulemus kuhugi välja. Jah, teles vilksanud pencillin.net on minu domeen, asub makstud hostingus ning neil on isegi mu IDkaarti skänn olemas (kuna nad muidu ei lubanud SSH ligipääsu). Ei, sealt pole enam mõtet BeEF’i otsida

Iseenesest pole see teab mis hull häkk või turvaauk, st otseloomulikult suudab lehel X olev javascript andmeid kuhugi serverisse saata (mh AJAX põhineb sellel), aga sellegipoolest huvitav näha kuidas ühes arvutis tipitud numbrid teises nähtavale ilmuvad. Tegin proovi PIN-kalkulaatoriga ja asi toimis nigu naksti (ainsa probleemina ei edastanud BeEF kasutajatunnuse alguses olevat nulli, aga see on tõenäoliselt kergelt paigatav). Arenduse käigus võiks muidugi kasutajatunnuse ja parooli kenasti märgendatuna edastada ning teisel pool võiks olla skript, mis nendega kohe ka sisse logida üritab…

Ainult et päev pärast eksperimenti - ja enne kui ma neid inffida jõudsin - helistas JP Hansapangast ja teatas, et ta kolleegid olevat avastanud mingi ajakirjandusliku eksperimendi ning ta tahaks (a) teada mis see (b) et see saaks ruttu maha võetud. Ma ei hakka igaks juhuks uurima mis minu tegevuses täpselt neile silma hakkas (vahest mõni lehe salvestamise käigus kaasa tulnud javascript helistas koju?), aga väidetavasti olevat selliste asjade ennetähtaegne avastamine pigem reegel kui erand. Rspct!

Moraal? Kuigi Swen (kelle seisukohtadega ma üldjoontes nõustun) on laupset saadet / postitust kommenteerides pidanud vajalikuks rõhutada IDkaardi rünnatavust… siis ma väidan, et kui kaardi-ja-PINide-loovutamine kõrvale jätta ei piisa selle saavutamiseks minusuguse keskmise kasutaja küsimusest Tõnule (või Swenile) ja 15-minutilisest häkist.

kanada kopirait

Kanada Best Buy on viitsepresidendi isikus võtnud väga tugeva postitsiooni plaanitava DMCA vastu ja kasutajate/klientide kaitseks The Vancouver Sun’i arvamusrubriigis: Copyright quagmire - Canada needs to update its laws for the digital age, but the wrong choices can lead to higher prices and more litigation.

Michael Geist võtab asja kenasti 5 punkti peale kokku:

1. No private copying levy
2. No multiple payments to collectives for the same transaction
3. Protection from DRM rather than protection for DRM
4. Flexible fair dealing
5. No lawsuits for private, non-commercial activities

Eesti mõttes Best Buy oleks mis?

arvutikaitse ja kuritarkvara

Mart Parve ja Anto Veldre olid tänasteks stuudiokülalisteks, sest tekkis tahtmine rääkida kuritarkvara arengutest ja arvutikaitse.ee/loos (loositingimuste digiallkirjastajate vahel läheb jagamisele 30k reis, mõned 20k maksvad Delli läpakad ja hulk mobiilofone) promo sobis kenasti sinna kõrva. EDIT: vt ka kommentaare eelmise postituse juures

Aga kuna saates sai mainitud ka mitut kirjatükki mis on küll mu del.icio.us’i söötest läbi jooksnud ning RSSi-tellijatele teada ent laiema üldsuse eest varjul… siis olgu need siinkohal ära toodud.

• cio.com: Who’s Stealing Your Passwords? Global Hackers Create a New Online Crime Economy (kokku kolm osa, jätkulink artikli all, vaata ka illustreerivaid ekraanilaske ja videot)
• Studying Malicious Websites and the Underground Economy on the Chinese Web (PDF 18lk)
• zdnet: Cracking open the cybercrime economy
• Washington Post & Brian Krebs: Shadowy Russian Firm Seen as Conduit for Cybercrime, Taking on the Russian Business Network, Mapping the Russian Business Network (ja vt ka blogiRussian Business Network (RBN))
• Krebsi blogi võiks muideks täies mahus lugemislisti panna. Lehes on muidugi üldloetavam tekst, aga ka blogi ei peaks enam-vähem keskmisele arvutikasutajale hull olema. Ahjah, lehest veel aastakokkuvõte Cyber Crime 2.0
• Sealt jäi muideks silma järjekordne turva-jama — nimelt kurivaralised Flash-reklaamid, seejuures isegi tuntud kohtades nagu MySpace ja Excite. Täpsemalt vt Sandi Hardmeier.

Teate, neid linke võiks ma siia veel ja veel ja veel tuua. Lugege vähemalt Cyber Crime 2.0 ja Cracking open the cybercrime economy läbi, peaks ülevaate kätte saama…

• Viimne veerg

  Mina olen Peeter Marvet (pets@tehnokratt.net) ja see on minu üldotstarbeline ajaveeb. Muud minuga seotud veebilehed:
  Marveti prepressikoolitused
  Prepressi-ajaveeb
  altex marketingi ajaveeb
  eesti.ee/TOM arendus
  
  
  
  
• 
  

  www.flickr.com
  

  This is a Flickr badge showing public photos and videos from petskratt. Make your own badge here.

  ISSN 1406-8761
  
  
  
  
  
  

  XML & arhiivindus

  Mis see on? 
  Uus audioarhiiv (vana)
  podcast.kolhoos.ee
  tv.tehnokratt.net

  Muud tarvilikku

  oldversion.com
  whatismyip.com
  tomshardware.com
  dnsstuff.com
  bootdisk.com