Kto powinien zareagować na "kartki"?
Idzie (najprawdopodobniej) phishing (albo jakiś inny fraud) podszywający się pod serwis Onet.pl oferujący "kartki" przesyłane do znajomych. Zastanawiam się kto powinien reagować na takie próby oszustwa. Ktoś zadał sobie nieco trudu, by spreparować maila w języku polskim, by przygotować witrynę internetową podszywającą się pod Onet.pl i aby wysłać do ludzi masę spamu. Gdyby ktoś mi chciał kiedyś wysłać wiadomość, to może skorzystać z formularzy na niniejszej stronie. "Kartek", generalnie, nie czytam.
Z pozoru niewinnie wyglądająca wiadomość jest najprawdopodobniej fałszywa. Wiadomość skomponowana jest w html'u i pod linkiem sugerującym, iż prowadzi do serwisu "kartki.onet.pl" ("Wyślij kartke do swoich znajomych!"), w rzeczywistości prowadzi do serwisu www2.kartki.onet.pl.ssl-jan08.com... Domena ssl-jan08.com zarejsetrowana jest na Christiana Jonesa (New York; człowiek ten ma jeszcze 23 inne domeny), ale nr IP (153.19.6.45) wskazuje na Task Academic Computer Network w Gdansku...
Wydawać by się mogło, że nic wielkiego się nie zdarzy, jeśli się kliknie w wiadomość o treści:
Z przyjemnością zawiadamiamy, że w serwisie Kartki Onet.pl czeka przygotowana specjalnie dla Ciebie kartka wysłana przez kartki@onet.pl.
Aby ją zobaczyć kliknij na link
http://www8.kartki.onet.pl/94725533-8573192-6580471.html
A tak to wygląda w oknie Thunderbirda:
Odrobina pozytywnej paranoi wystarczy, chociaż warto sprawdzać dokąd prowadzą linki przesyłane w mailach. Czasem wystarczy najechać myszką na link, by na odpowiednim "pasku" pojawił się prawdziwy adres odesłania...
A pod odnośnikiem spreparowany jest serwis podszywający się (najprawdopodobniej) pod Onet.pl. Tak...
Zastanawiam się jak długo ta strona będzie wisiała w Sieci i czy zareagują na nią jakieś odpowiednie służby...
- Login to post comments
Piotr VaGla Waglowski
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>
No właśnie, a co się
No właśnie, a co się stanie przy próbie pobrania pseudo "Flash Player". Antywirus nic nie wykrywa.
To, że antywirus niczego
To, że antywirus niczego nie wykrywa jeszcze nie świadczy o tym, że paczka jest bezpieczna. Być może oprogramowanie zostało napisane na zamówienie i jego sygnatura nie pokrywa się z bazą wirusową. Być może w końcu ktoś znajdzie czas żeby wrzucić to "coś" w jakiś dezasembler w wirtualizowanym środowisku i sprawdzić co to robi.
Jednego jestem pewien - na pewno się sparzyrz, jeśli to uruchomisz.
Zamiast instalatora flash
Zamiast instalatora flash plaera jest backdoor kaspersky wykrył i zablokował.
Ja mam Avasta i wykrywa tego
Ja mam Avasta i wykrywa tego "Flash Player'a" jako koń trojański więc nie polecam pobierać tego pliku.
Idzie kolejna fala
Tym razem "fałszywy" link prowadzi do domeny www2.kartki.onet.pl.site-ssl.net.
Ja ze swojej strony zrobiłem to, co mogłem, tj. powiadomiłem Onet.pl. Przy okazji dowiedziałem się, że wcześniej celem tego typu praktyki stały się serwisy fotka.pl i inne. Policja została powiadomiona, ale zdaje się, nic z tym nie zrobi. Ludzie są dalej infekowani trojanem. Przynajmniej Onet.pl trzyma rękę na pulsie, ale ma ograniczone możliwości działania (chociaż się stara):
--
[VaGla] Vigilant Android Generated for Logical Assassination
Jak sprawdzić, czy mamy dobrze zainstalowany plugin ?
Widzę, że mój poprzedni komentarz nie przeszedł (widocznie za bardzo się cieszyłem z tego, że pierwszy opisałem problem:) ). Jak sprawdzić, czy nasz plugin jest prawidłowy i "chodzi"? Można to sprawdzić na stronie Adobe: - jeżeli wyświetla się umieszczony tam klip flash, to znaczy, że flash jest poprawnie zainstalowany i działa. Piszę o tym u siebie we wpisie "Uwaga na fałszywy plugin flash": Tam można też od razu obejrzeć klip, który wyświetla się przy prawidłowo zainstalowanej najnowszej wersji flasha, jest też (w edicie) informacja, jak odinstalować plugin flash z poziomu Administratora gdy deinstalator odmówi posłuszeństwa.
"Nie poszedł"
"Nie poszedł", gdyż niewiele Pan u siebie napisał, komentarz był mało prawniczy i miałem wrażenie, że jego głównym zadaniem jest reklama Pańskiego serwisu.
Na marginesie - uważam, że flash nie przystaje do koncepcji accessibility. Ale to na marginesie.
--
[VaGla] Vigilant Android Generated for Logical Assassination
Accessibility jest we flashu
W obu przypadkach się Pan myli. W pierwszym ("reklama"), bo nie da się praktycznie napisać wiele więcej dla użytkowników, którzy nie znają się na grzebaniu w plikach, a jednak powinni wiedzieć, że idzie sprawdzić, czy instalacja/wyświetlanie jest poprawne. Zresztą - jeżeli Pan tak uważa, to proszę mój poprzedni komentarz usunąć, a dopisać edita (do komentowanego artykułu) jak sprawdzić czy mamy kontrolkę flash dobrze zainstalowaną. Nawet bez podawania źródła, bo jak sam Pan stwierdził, są tam tylko suche fakty.
W drugim przypadku (accessibility): takie jest niestety widzenie flasha przez laików z powodu niskiej świadomości potrzeby accessibility w świecie programistów flash oraz mała świadomość tych programistów w zakresie tego, że takie narzędzie w języku Action Script jest już dostępne od dwóch wersji flasha - vide: Accessibility Class. No i mija się troszeczkę z sensem łączyć accessibility z czymś, co pierwotnie (i obecnie w wielu wypadkach/większości wypadków/) służy wyłącznie do wizualizacji, nawet nie danych.
Ale tu już nie miejsce na rozwijanie tego. I na pewno nie u mnie na blogu bo jeżeli używam accessibility, to tylko z polecenia klienta - niestety, są to dla klienta dodatkowe koszty, których zazwyczaj nie chce się ponosić :)
Lubię dowiadywać się, że się mylę
Lubię dowiadywać się, że się mylę. Naprawdę. Wymiana poglądów zawsze przynosi coś dobrego. Tak uważam.
--
[VaGla] Vigilant Android Generated for Logical Assassination
"prawne" accessibility
Z prawnego punktu widzenia technologii Flash daleko niestety do dostępności w sensie możliwości wykorzystania.
Otóż specyfikacja formatu SWF jest udostępniana na licencji, która zawiera m.in. następujące postanowienie:
Flash to trochę "obca" religia
Generalnie flash nie jest standardem W3C. Przyglądam się właśnie kilku opracowaniom, których autorzy twierdzą, że Flash wspina się na drodze do dostępności (np. Flash And Accessibility). Być może ja jestem zbytnim purystą (a przynajmniej w warstwie deklaratywnej) i zbyt wiele nadziei pokładam w standardach (neutralnych, otwartych, etc.), no ale trochę to irytujące, że oczekuje się ode mnie, bym zainstalował dodatkową wtyczkę, by zapoznać się z treścią jakiejś strony (bo przecież wielu robi niestety całe strony we Flashu). Poza tym "Flash however, is not device independent as required by the Web Content Accessibility Guidelines". Widać mogę się mylić, jeśli inne nada się znaczenie pojęciu accessibility, niż to, które wydawało mi się do tej pory słuszne. Widać jednak, że coś się dzieje w tym światku:
...I inne. Ferment trwa. Warto zapytać osobe niewidomą, czy może korzystać ze stron przygotowanych we Flashu. Ja parę razy pytałem. Raczej strony te były dla nich niedostępne. Chociaż na niektórych coś mogli odczytać. "Coś" nie oznacza dostępności. Ale przecież mogę się mylić.
--
[VaGla] Vigilant Android Generated for Logical Assassination
Tak jak napisałem, dziwne
Tak jak napisałem, dziwne jest liczyć na opis w czymś, co pierwotnie służyło do animacji, a następnie - i ciągle - do wizualizacji.
Jednakże do sprawy "patentu EOLas" było prościej - flash sam przeglądał teksty dostępne w pliku fla (nie piszę w kodzie, ponieważ kod as jest tylko częścią pliku fla, która może być zupełnie wyodrębniona, także kod fla a kod swf to odrębne rzeczy), następnie umieszczał znalezione frazy w tagach opisanych jak "tekst użyty w pliku fla" przed każdym modułem. Niestety, nadejście ery osadzania pliku za pomocą modułu w javascript spowodowało, że większość gotowych systemów wyłącznie oczekuje lokalizacji pliku bez podawania opisu. Tak więc doszło do pewnego uwstecznienia...
Flash a standardy
Zasadniczo to bardzo ciekawy i długi problem. Ja myślę, że Adobe po swoich ostatnich ruchach takich jak oddanie formatu PDF do uzyskania standardu ISO możliwe że również po pewnym czasie otworzy specyfikację Flasha i ustanowi go standardem ISO. Wtedy każdy będzie mógł bez problemu napisać odtwarzacza Flash czy może nawet uzyska możliwość wejścia w tworzony standard HTML 5.0 w co jednak wątpię.
Kontrowersyjna jest jednak droga. Jako że PDF po pewnym czasie zyskał taką popularność, że takich ruch był potrzebny to jednak Flash już niekoniecznie musi dojść do takiego punktu.
Jednak myślę że dyskusja na ten temat jest otwarta.
Osobiście wiele przeglądarek typu lynx nie masz szans otworzyć zawartości formatu Flash.
Ciekawy aspektem może być również to, że telewizja publiczna BBC swojego iPlayera oparła o zamkniętą specyfikację Flash. Nie wiem jak to wygląda z punktu prawa Brytyjskiego jednak nie wydaje mi się to zbyt neutralne technologiczne. Bo nie każdy system obsługuje plugin Flasha(przykład *BSD).
Osobiście jestem przeciwnikiem tego zamkniętego formatu.
I prawidłowo, bo wielką
I prawidłowo, bo wielką pomyłką jest grzebanie w swfie, jeżeli nie jest konieczne czytanie każdego znaku. Czy od appletu javy też wymaga Pan, by był czytelny jego kod ?
A czy readery ekranowe czytają stronę w takiej formie: "nawias ostry otwórz, hateemel, nawias ostry zamknij, nawias ostry otwórz, pe, nawias ostry zamknij, nawias ostry otwórz, a, haref równa się, cudzysłów górny, hatetepe, dwukropek, bekslesz, bekslesz, prawo kropka vagla kropka peel, name równa się cudzysłów górny link do vagli cudzysłów górny nawias ostry zamknij".
Osobiście tak zabezpieczam swfy, by nie tylko screenreadery nie miały do tego wstępu. Kiedyż wreszcie - w końcu zgodnie z licencją użytkowania - strony we flashu będzie się postrzegać jako odrębne aplikacje ?
Proszę zajrzeć do specyfikacji podlinkowanej przeze mnie klasy. Jest tam wyraźnie naipsane, jak jej użyć, i jak sprawdzić, czy sytem ma zainstalowany zewnętrzny czytnik ekranowy. I bynajmniej, nie służy ona do tego, by w kodzie były czytelne opisy, ale służy do tego, by Pański czytnik odezał się po użyciu tabulatora (tak! działa, a jakże! wystarczy jeden przycisk by zadziałało przechodzenie po przyciskach we flashu za pomocą tabulatora!) taką treścią, jaka została zdefiniowana w polu accessibility.
PS. Wysyłam drugi raz, bo dostałem przed chwilą info "podałeś nieprawidłowe rozwiązanie zadania"
licencja specyfikacji SWF
Chodziło mi o wskazanie następującej kwestii:
Strony pisane w HTMLu można oglądać pod dowolną przeglądarką, między innymi dlatego, że każdy może napisać program zdolny do zrozumienia HTMLa. Inna sprawa, że różne przeglądarki są w różnym stopniu zgodne ze standardem...
Natomiast aby skorzystać ze strony we Flashu muszę zawrzeć umowę z konkretnym podmiotem - producentem odtwarzacza Flash, na narzuconych przez niego warunkach. Konkurencja na rynku odtwarzaczy Flash praktycznie nie istnieje, bo twórcy alternatywnych odtwarzaczy (gnash, swfdec) nie mogą korzystać ze specyfikacji SWF z uwagi na powołane wyżej postanowienie licencji tej specyfikacji, tylko muszą uciekać się do wątpliwych prawnie technik inżynierii wstecznej.
HTML to nie program!
Proszę nie nazywać tworzenia strony www programem. To jest tylko i wyłącznie skrypt, który jest odczytywany przez program, czyli przeglądarkę internetową - która po swojemu interpretuje kod - czasami mniej zgodnie, czasami bardziej zgodnie z zasadami w3c.
I tu różnica. O ile html można wziąć i przepisać po swojemu, to już w przypadku swfa jest potrzebna dekompilacja.
Z racji ścisłości: nie jest to program w stricte tego słowa znaczeniu, ponieważ do działania i tak potrzebuje wirtualnej maszyny (czyli pluginu zainstalowanego w systemie, uruchamianego przez (pod kontrolą) odpowiednią przeglądarkę, jednakże jest on kompletnie niezależny od przeglądarki - vide: prezentacje *.exe.
No i oczywiście czym innym jest "odtwarzacz flash", a czym innym "plugin/kontrolka flash". Biorąc to ściślej: w internecie są tysiące odtwarzaczy flash, a program do odczytu formatu flv i swf dla danej przeglądarki - jeden.
SWF jest rodzajem dll - biblioteki odpalanej zdalnie. Nie widzę problemu - w kwestii poszanowania praw autorskich autor(posiadacz praw do) programu(biblioteki do programu, jakim jest plugin flash) miał prawo określi takie a nie inne warunki jego rozpowszechniania i użytkowania i tyle.
A programów do tworzenia swfów jest tyle, że nic tylko poszukać. Oczywiście polityka producenta i właściciela praw formatu jest taka, by udostępniać tylko wcześniejsze wersje jako publiczne. Znów dzięki polityce w zakresie pluginu mamy spójny i jednorodny format swf, a nie tysiąc mniej lub bardziej kompatybilnych (i stabilnych) wersji.
programem jest przeglądarka WWW
Nie nazwałem strony WWW programem. Nazwałem programem przeglądarkę WWW (np. Internet Explorer, Firefox). Chodziło mi o to, że każdy może skorzystać ze specyfikacji HTML (XHTML) nie tylko po to, aby zrobić stronę WWW, ale też po to aby napisać program, który taką stronę wyświetli.
Nie chodzi o rozstrzyganie czy programem są pliki SWF lub HTML. Powtarzam: chodziło mi o wskazanie, że o ile możliwość napisania programu do odtwarzania (wyświetlania użytkownikowi) plików HTML ma każdy, to pisanie takich programów do analogicznej obsługi SWF jest zakazane w licencji specyfikacji SWF.
Innymi słowy zadałem pytanie: co mam zrobić, jeżeli chcę obejrzeć stronę zrobioną we Flashu, a nie chcę zawierać umowy licencyjnej z producentem Adobe Flash Player?
W przypadku stron zrobionych w HTML mam wybór pomiędzy przeglądarkami WWW (mogę zawierać umowy z dowolnie wybranym podmiotem). Podobnego wyboru pomiędzy Flash-pluginami nie ma (gnash i swfdec niestety nie osiągają porównywalnego poziomu użyteczności, a licencja specyfikacji SWF istotnie się do tego przyczynia).
W dalszej dyskusji proponuję wyraźnie odróżnić:
Nie taki Flash ładny jak się renderuje
Właśnie, jeżeli mówimy o accessibility pod względem dostępności dla osób niepełnosprawnych to wiąże się to z dodatkowym wysiłkiem. Dodatkowy wysiłek przy programowaniu wiąże się bezpośrednio z dodatkowym czasem potrzebnym na programowanie, a to wpływa na konkretny spadek zysków w PLN na godzinę. Poprawnie napisany HTML jest dostępny bez żadnych dodatkowych zabiegów (można łatwo odnaleźć akapity, linki, nagłówki oraz inne elementy związane ze strukturą dokumentu). W poprawnie napisanym Flashu nie zawsze da się to zrobić. Można zatem napisać, że dokumenty w technologii Flash w ogólności nie są dostępne (ale w szczególności mogą takie być).
Przykład poprawnego osadzenia appletu, jeżeli każdy kto osadzi jednego dużego SWF'a zamieści wewnątrz tagu osadzającego wszystkie istotne treści wraz z markupem, to nie mam nic przeciwko (zawartość tagów object też jest wyświetlana gdy nie ma możliwości wyświetlenia osadzonego obiektu). Ew. można wkleić link do wersji HTML. Tu dochodzi accesibility pod względem prawnym. Np. BIP czy strona jakiegoś urzędu musi być dostępna dla wszystkich obywateli, a nie dla obywateli, którzy wyrazili zgodę na EULA od Adobe.
Czytają, skanują, parsują, tworzą strukturę dokumentu i przekazują do silnika odczytującego na głos, który decyduje (na podstawie struktury dokumentu i wejścia z klawiatury) jaką treść podać na głośnik.
I to jest właśnie sedno sprawy, Flash jako technologia służy do opisywania grafiki wektorowej (w tym animowanej) i nie mam nic przeciwko umieszczaniu banera czy innej animki właśnie we Flashu. Ale mam naprawdę dość używania Flasha zamiast HTML'a przy opisywaniu tekstu "bo się płynnie przewija a w tle latają ptaszki", albo menu. Stosujmy HTML do tekstu, OGG/MPEG do wideo i audio, a Flasha do ozdobników z zamiennikami wewnątrz tagu bez gwarancji ich wyświetlenia.
Do tego dochodzi dostępność, o której pisał Ksiewi. Nie mogę używać na mojej komórce menu we flashu i to nie dlatego, że ma za słaby procesor, czy za mało pamięci, a dlatego, że Adobe nie raczyło napisać playera na taką platformę i co więcej zabrania pisania odtwarzaczy przez innych.
Obawiam się, że bańka zwana Flashem za kilka lat pryśnie. Po tym jak większość przeglądarek zacznie obsługiwać SVG (Opera obsługuje SVG 1.1 Tiny, Firefox ma wersje testowe - może coś się zmieni po wymianie silnika, w nowych Motorolach znajdują się odtwarzacze SVG, każdy może napisać swój czytnik).
HTML to nie skrytp
Jedna uwaga.
Język html to nie skrypt. Jest to język znaczników, chodź (moim zdaniem błędnie) słownik PWN podaje, że jest jest język programowania. Natomiast za Wikipedią (HTML, XML) jest to właśnie język znaczników:
Html, XHTML.
Inna sprawa, że jeśli spojrzymy na stronę WWW można śmiało powiedzieć to całe WWW to nie tylko HTML a m.in JavaScript a nawet Java czy właśnie HTML. W tym wypadku można już śmiało mówić o języku programowania Oczywiście, że to są języki skryptowe ale jak najbardziej programowania! I tak właśnie mówi Wikipedia (Javascript)
Są to aplikacje uruchamiane po stronie klienta, ale mają ścisłe powiązanie ze stroną WWW (są jej integralną częścią!).
No i ostatnia ważna rzecz. Język znaczników HTML w rozbudowanych stronach WWW (jak np. strona VaGli) jest generowany przez aplikację napisaną w języku programowania (PHP). I efekt pracy takiej aplikacji jest rozbudowany serwis WWW.
A jako ciekawostki to spójrzcie na aplikacje Webowe (bo tak można to nazwać) Google. Jestem pełen podziwu. http://docs.google.com/
Tak więc dzisiaj nie można strony WWW zdegradować stricte do kodu HTML.
Flash nie jest w pełni dostępny
Proszę nie szarżować z opiniami dot. dostępnego Flash'a. Co z tego, że od wersji 6 posiada odpowiedni interfejs, skoro żeby móc z niego skorzystać niewidomy MUSI posługiwać się przeglądarką Internet Explorer i czytnikiem JAWS, bądź Window-Eyes. A to ze względu na zastosowana technologię Microsoft Active Accessibility (MSAA).
Użytkownicy innych konfiguracji nie mają możliwości skorzystania z tego interfejsu.
Dostępność to nie tylko niewidomi. Niedowidzący nie powiększy sobie tekstu, osoba korzystająca z klawiatury najczęściej w ogóle nie będzie w stanie obsłużyć animacji itd. itd.
Jeśli dorzucić do całości kwestię potworkowatych metod osadzania elementów flash po wyroku sądu dot. "patentu na osadzanie", które potrafią zepsuć nawet dostęp do wspomnianego interfejsu - mamy pełen obraz.
Pomijam już kwestię świadomości po stronie programisty. Bo o ile wytwór stronopodobny sklecony przez domorosłego webmastera ma szansę choć częściowo być czytelny o tyle technologia Flash wymaga już wymiernych i świadomych działań by zapewnić choć te namiastkę o której pisałem na początku.
Flash jest potrzebny i jest silnym narzędziem. Dla pełnej dostępności trzeba jednak zawsze pamiętać o alternatywie HTMLowej.
Jak to kto powinien zareagować? JA ;)
Od kiedy istnieją wirusy pocztowe i inne tego typu syfy rozsyłane mailem, osobami, które na takie rzeczy reagowały, zawsze byli i powinni być administratorzy serwerów pocztowych.
Ja jeszcze przed świętami dostałem od mojego nadrzędnego operatora ostrzeżenie o tym syfie, z podaniem charakterystycznych cech maila niezbędnych do napisania regułki filtrującej, dopisałem odpowiednią regułkę na serwerze (przy czym z logów okazało się, że i tak antyspamy wycinały już 90% tego świństwa) i mam spokój - moi użytkownicy już tego nie dostają... Każdy admin powinien zrobić to samo. Od tego (między innymi) jest i za to mu płacą.
Tak się reagowało zawsze i dla mnie jako admina to jest reakcja wzorcowa i wystarczająca, innej nie potrzeba. Prawnicy może i niech się zastanawiają nad reakcją w sensie prawnym, ale to tylko ich problem... ;) Na wojnie - a czymże innym jest walka ze spamem, phishingiem i innymi tego typu syfami? - liczy się przede wszystkim bezpośrednia akcja obronna ;), a nie dociekania, kto, jak i dlaczego...