Opera Unite w niebezpieczeństwie?

Opera zapowiadała, że to, co wprowadzi postawi Internet z zupełnie innym świetle. Rzeczywiście, dla cyberprzestępców napewno.

Odczułeś to samodzielnie czy ot tak chciałeś coś napisać? Bo równie dobrze można krytykować sobie w ten sposób usługi mailowe za spam i malware, torrenty czy rapidshare, ba nawet cały Internet za piractwo itp. Szczerze wątpię, żeby ten feature przerodził się w masowe piractwo, warezy, czy serwisy z porno. Dlaczego? Bo to wszystko będzie hostowane na czyimś domowym komputerze, za którego zawartość będzie odpowiadać przed prawem, a wszystko i tak będzie przechodzić przez serwery Opery. Zresztą pliki można udostępniać na dziesiątki innych, anonimowych sposobów, a nie jedynie poprzez Unite. No chyba, że ktoś jest tak sprytny, że "chakieruje" z domówki. ;> Daleko takiego nie trzeba będzie szukać.

Ehhh... Jak zwykle newsy o bezpieczeństwie komputerowym przesadzone... Ostrzegają to oni przed wszystkim... Przecież wiadomo, że wszystko może być przyczyną ataku cyberprzestępców... Najbardziej mnie rozwalił text o kontroli botnetu z Unite, jak już wilk powiedział, chciałbym zobaczyć bystrzaka, który zrobiłby z swojego kompa "punkt zrzutu" ^^

Nie wiem czemu wszyscy się podniecają tą operą. Apache już od kilkunastu lat jest bardzo dobrym demonem http i niczego mu nie brakuje (a przynajmniej niczego co by miał httpd opery unite).

Jeżeli wszechobecna gawiedź rajcuje się na widok serwera www wbudowanego w przeglądarkę, a nie próbowała nigdy postawić własnego, to znaczy, że nie ma pojęcia o tym jak on działa. Kolejne pole do popisu chakierów. Kolejny krok do sprowadzenia informatyki do budowania narzędzi z jednym przyciskiem dla deb**i.

Jak to jest, że do tokarki nikt cię nie dopuści bez odpowiedniego kursu tokarza, BHP i przeczytania instrukcji (dla twojego dobra byś się do końca życia nie musiał podcierać łokciem) - a do kompa, gdzie istnieje zagrożenie utraty wszelkiej prywatności, środków na koncie, prywatności korespondencji, współudziału w przestępstwie i setki innych pułapek - dopuszcza się cybernetycznych analfabetów? Nic dziwnego, że to ich potrzeby kształtują rynek. Wyobrażacie sobie tokarkę z jednym przyciskiem która produkuje tylko kulki o jednej średnicy? to już wiecie po co te szkolenia..

Gravisrs, zapewne dlatego, że do jego używania potrzeba wstępnego przygotowania i woli poczytania manów. Fakt, można używać defaultowych ustawień, ale czy trzeba od razu instalować na swoim kompie całe oprogramowanie serwerowe, żeby pokazać znajomym na szybko jedynie zdjęcia z naszej wycieczki lub udostępnić jakieś pliki? Można wrzucić je na jakiś darmowy hosting plików, ale chyba nie chcemy, by potem przez 10 lat krążyły po Internecie. Można także wykupić hosting i samemu sobie zorganizować mini serwis. Można też postawić prywatny serwer FTP na jakimś darmowym narzędziu, ale to już wyższy level wtajemniczenia. Zresztą można też wysłać wszystkim zainteresowanym znajomym te pliki przez email, ale to już utrudnia otwartość. Ja na przykład przez pewien czas używałem wtyczki do Mirandy, która pozwalała wystawiać pliki (ale zrezygnowałem, bo Miranda uwielbiała psikusy i się wysypywała - teraz stoi sobie od niemal roku ekg i ani razu nie padło) lub jednego z wielu kont z httpd. Aczkolwiek wszystko zmierza do symplifikacji i tutaj Unite faktycznie pokazuje swoje zalety.

'' Jak to jest, że do tokarki nikt cię nie dopuści bez odpowiedniego kursu tokarza, BHP i przeczytania instrukcji (dla twojego dobra byś się do końca życia nie musiał podcierać łokciem) - a do kompa, gdzie istnieje zagrożenie utraty wszelkiej prywatności, środków na koncie, prywatności korespondencji, współudziału w przestępstwie i setki innych pułapek - dopuszcza się cybernetycznych analfabetów? Nic dziwnego, że to ich potrzeby kształtują rynek. ''

Dobry tekst warty zacytowania. )

O każdym nowym feature i programie można powiedzieć, że zwiększa niebezpieczeństwo, bo tworzy kolejne potencjalne luki. Ale takie gadanie jest śmiechu warte. Nawet jeśli dzięki OU udział Opery w rynku zwięjszy się dwukrotnie (w co mocno wątpię), to i tak pozostanie niszą, do której nie warto się schylać.

wszystko i tak będzie przechodzić przez serwery Opery

Mała uwaga: przez serwery Opery idzie tylko wtedy, gdy nie da się udostępnić portu przez uPnP. Nie muszą to być zresztą serwery Opery, można serwer i domenę wpiąć do OU własną – odpowiedni tutorial już się pojawił.

Nie wiem czemu wszyscy się podniecają tą operą. Apache już od kilkunastu lat jest bardzo dobrym demonem http i niczego mu nie brakuje (a przynajmniej niczego co by miał httpd opery unite).

Lohl. Znów mi się przypomina ten stary dowcip o rolniku: pokazują w TV łyżworolki jako świetny wynalazek, on tak patrzy i mówi „a dyć pogjeło jich, gupki, przecie trachtorym sie lepij łorze”.

O każdym nowym feature i programie można powiedzieć, że zwiększa niebezpieczeństwo, bo tworzy kolejne potencjalne luki.

Racja, ale liczy się wielkość zagrożenia, popularność, łatwość użycia, możliwości i trudność wykrycia ataku.

W przypadku Unite łatwość użycia i możliwości są duże a i popularność niemała w stosunku np klientów torrenta których jest wiele rodzajów a Opera jedna.

Najbardziej łakomym kąskiem dla cyberprzestępców będzie fakt że Unite będzie używana przez całą rzeszę ludzi nie mających pojęcia o bezpieczeństwie serwerów - a takim serwerem stanie się ich komputer.

Ile istnieje aplikacji prostych w obsłudze, popularnych, dostępnych dla każdego za darmo, otwierających dostęp do komputera inicjowany z zewnątrz, omijający zabezpieczenia typu firewall, nat ... ? Ja znam jedną.

Ja znam kilka. I to owiele bardziej rozpowszechnionych niż Opera.

Akurat obstawiam, że popularność Opery jest śladowa w porównaniu np. do µTorrenta, czy Azureusa.

Operą też można ściągać torrenty

Macie rację, program tan jest dość mało popularny. Lecz używają go osoby raczej obyte z komputerami.

Moja mama też jest obyta z komputerem a używa IE Tak poważniej to nie chodzi o obycie, ale o świadomość zagrożenia płynącego z korzystania z takiego oprogramowania i umiejętność jego minimalizacji przez użytkownika.

OU na rynku za wiele nie poszaleje, gdyż jest to nisza. Od dawna na runku jest masa LAMP-ów, WAMP-ów i tym podobnych a ludzkość ma się dobrze. Pamiętajcie też, że niektórzy mają awersję do Opery...

Ja znam kilka. I to owiele bardziej rozpowszechnionych niż Opera.

Akurat obstawiam, że popularność Opery jest śladowa w porównaniu np. do µTorrenta, czy Azureusa.

uTorrent jak i Azureus nie pozwala na inicjowanie połączenia z zewnątrz poprzez NAT

Kiedyś pobierałem OO.org będąc za NAT (a nawet za dwoma kolejnymi NAT-ami) z wykorzystaniem Azureusa i poszło, przynajmniej pod Linuksem

w46 chyba chodziło o połączenia w drugą stronę. Ty za natem, a ktoś do Ciebie się łączy...

Dokładnie.

Chodzi mi o inicjowanie połączenia gdzieś z sieci do komputera stojącego za NATem. Bez serwera pośredniczącego nie jest to możliwe (bez synchronicznych działań z dwóch łączonych stron). Taki serwer zapewnia Opera dzięki czemu pomija się zabezpieczenie jakie stanowi NAT... i nie tylko.

O ile pamiętam, upload też wtedy u mnie działał. To dość dziwne, bo mam w sieci dwa routery - jeden, że tak powiem, profesjonalny i dedykowany, i drugi, czyli router WiFi. O ile pierwszy był pewnie odpowiednio skonfigurowany, w drugim w ustawieniach dot. bezpieczeństwa nie grzebałem. Kto wie, może domyślnie dawał pozwolenie na takie połączenia? Ja tego nie wiem Zresztą, nie wykłócam się, bo się nie znam

Postaram się jaśniej napisać o co mi dokładnie chodzi...

Swą niepewność w stosunku do Opery Unite opieram na następującym scenariuszu ataku (jednym z wielu możliwych):

- użytkownik udostępnia cały dysk

- ustawia proste hasło

- bot przeszukujący zasoby sieci trafia na adres dostępowy do komputera użytkownika

- bot próbuje przełamać hasło przy użyciu haseł które są popularne

- uzyskuje dostęp do komputera użytkownika, kradnie hasła, dane osobowe itd używając do kolejnych ataków np. na pocztę itd

Ataku takiego można dokonać pomimo posiadania przez użytkownika firewalla, NAT, antywirusa, antyspamu, anty... itd które to programy pozornie gwarantują bezpieczeństwo.

A nasz biedny użytkownik chciał tylko udostępnić mp3ki paru znajomym, że miał je porozrzucane gdzie popadnie udostępnił cały dysk.

Czy taki atak był by możliwy w przypadku innego popularnego i prostego w obsłudze programu ? Wątpię.

Oczywiście winny jest nieświadomy użytkownik a nie aplikacja jednak istotne jest ryzyko i prawdopodobieństwo takiego wykorzystania. Najsłabszym ogniwem jest zawsze człowiek i trzeba to mieć na uwadze przy szacowaniu ryzyka.

Cóż, idiotów nie brakuje. Niektórzy trzymają PIN na karteczce obok karty w portfelu, hasła na stickerach na monitorze lub mają jedno, uniwersalne hasło do wszystkiego. Takie osoby są same sobie tylko winne. Sądzę jednak, że autorzy serwisów przewidzieli takie rodzynki i udostępnianie katalogów systemowych, użytkownika i głównego jest odrzucane, oraz iż wszelkie próby połączeń są logowane.

1) Podobne zagrożenie istnieje chyba tak samo, jak ktoś postawi sobie serwer ftp, prawda? Owszem, możesz argumentować, że ftp to stawiają tylko ludzie, którzy wiedzą, co robię (choć to nie powinien być argument). Ale analogiczne zagrożenie ma miejsce w przypadku wielu programów P2P, czy nawet głupiego współdzielenia plików wbudowanego w Windows.

Zagrożenie istnieje w samej koncepcji współdzielenie plików, a nie w poszczególnym produkcie. Zatem mówienie o „niebezpieczeństwie ze strony Opery Unite” jest wprowadzaniem w błąd.

2) Koderzy i developerzy Opery nie są idiotami i z pewnością zdają sobie doskonale sprawę z zagrożeń i konieczności wprowadzenia pewnych zabezpieczeń przed głupotą użytkownków. Poza tym Opera 10 jest jeszcze w wersji testowej i w wersji pełnej może się jeszcze wiele zmienić.

O niebezpieczeństwie dla OU będzie można mówić, gdy znajdą się luki w zabezpieczeniach, pojawią eksploity, etc. Na szczęście akurat Opera ma wyjątkowo dobrą opinię w kwestii bezpieczeństwa, nie sądzę, żeby coś się radykalnie zmieniło w tej materii. Jak już to na lepsze: O10 będzie się wreszcie sama aktualizować.

1) Podobne zagrożenie istnieje chyba tak samo, jak ktoś postawi sobie serwer ftp, prawda?

Nie. ftp zwykle jest blokowany przez firewalle oraz nie przepuszczany przez nat-y

Poza tym Opera 10 jest jeszcze w wersji testowej i w wersji pełnej może się jeszcze wiele zmienić.

Niestety tylko na systemach w których użytkownik przeglądarki ma uprawnienia administratora - czyli windows.

Niestety tylko na systemach w których użytkownik przeglądarki ma uprawnienia administratora - czyli windows.

nie uogólniał bym. Jakoś nie widzę problemu aby tak ustawić system, żeby użytkownik przeglądarki nie miał uprawnień admina. W linuksie mogę system tak ustawić, żeby użytkownik przeglądarki miał uprawnienia admina. Wniosek z tego taki jak zawsze - to nie wina systemu/aplikacji, lecz użytkownika.

Wina jest producenta przeglądarki 

Powinien zbudować usługę która będzie pracowała niezależnie od przeglądarki i zajmowała się aktualizacją - to jedyna wygodna i zarazem bezpieczna metoda

Wina jest producenta przeglądarki 

A ja powtarzam ponownie, że jak ktoś chce udostępnić cały dysk lub uruchomić cracka z keyloggerem, to tylko jego sprawa i odpowiedzialność. Poza tym ta usługa nie jest domyślnie włączona i to użytkownik musi świadomie coś zepsuć, by potem płakać.

Powinien zbudować usługę która będzie pracowała niezależnie od przeglądarki i zajmowała się aktualizacją - to jedyna wygodna i zarazem bezpieczna metoda

Co to da takie wydzielenie zważywszy na kontekst wygodności i bezpieczeństwa? W necie są programiki, które regularnie potrafią sprawdzić czy jest nowsza wersja aplikacji dodanej do ich listy. Ostatnio "bawiłem" się też ciekawym Secunia Personal Software Inspector. Poza tym Opera i tak od dawna sama sprawdzała czy są nowe aktualizacje i wyświetlała okienko przy starcie.

PS. Czy mi się wydaje czy zniknął tutaj przynajmniej jeden post?

uTorrent jak i Azureus nie pozwala na inicjowanie połączenia z zewnątrz poprzez NAT

I tu, o ile wiem, mylisz się. Nie wiem jak Azureus, ale µTorrent otwiera porty poprzez uPnP, dokładnie tak jak Opera Unite. I nieprawda, że nie pozwala na inicjowanie połączeń z zewnątrz - wprawdzie może się bez tego obyć, ale domyślnie właśnie chodzi o to, żeby inni pobierający łączyli się z twoim komputerem, na którym chodzi klient torrenta. Jeśli połączenia przychodzące są zablokowane, to spada prędkość pobierania, a w skrajnym przypadku pobieranie staje się niemożliwe.