Sunday, September 22, 2013

Επανάληψη της ιστορίας, επανάληψη των λαθών και ο Αδαμάντιος Κοραής

Κάποιοι υποστηρίζουν οτι η ιστορία επαναλαμβάνεται. Εγώ είμαι απο αυτούς που πιστεύουν οτι τα μεγάλα λάθη είναι αυτά που επαναλαμβάνονται και δημιουργούν τα ίδια μοτίβα, κάνοντας τους άλλους να νομίζουν οτι η ιστορία επαναλαμβάνεται. Αυτό είναι ίσως μια βαρυσήμαντη δήλωση και πρέπει κάπως να τεκμηριωθεί.

Στις 18 Σεπτεμβρίου του 2013, η δολοφονία του Πέτρου Φύσσα έφερε στο μυαλό τα γεγονότα του 1963. Πέρα απο τη Α. Γρηγορόπουλο (06/12/2008) και τους 4 νεκρούς της Μαρφίν το (05/05/2010), 50 χρόνια πριν, ο Γρηγόρης Λαμπράκης θα αφήσει την τελευταία του πνοή ύστερα απο δολοφονικό χτήπημα παρακρατικών οργανώσεων, οδηγώντας σε πτώση την κυβέρνηση του Κ. Καραμανλή. Δεν είναι μόνο η τραγική ομοιότητα του κινήτρου και του τρόπου με τον οποίο δολοφονήθηκαν τα δύο αυτά άτομα. Αξειοσημείωτη είναι και η ομοιότητα μεταξύ των καταστάσεων που βίωσε η Ελλάδα πέντε δεκαετίες πριν και αυτών που συμβαίνουν σήμερα. Η οικονομική αδυναμία της χώρας, η αποτυχία των παλαιών και σημερινών κυβερνήσεων να κατανείμουν ένα εισόδημα στο λαό πυροδότησε τα άκρα, με ολέθριες συνέπειες για πολλές γενιές ανθρώπων και για την ίδια την Ελλάδα. Η χούντα των συνταγματαρχών δεν είναι βέβαια απόλυτα όμοια με τον κατάπτυστο νεοναζιστικό χαρακτήρα του μορφώματος της Χρυσής Αυγής. Ούτε και με τον ακροαριστερό/αντιεξουσιαστικό χώρο που έκαψε ανθρώπους ζωντανούς (Marfin 5/5/2010) και καταστρέφει ανενόχλητος περιουσίες  Η Δημοκρατία αποκαταστάθηκε, και ο φυλακισμένος ανακριτής της υπόθεσης Λαμπράκη, Χρήστος Σατζερτάκης έγινε Πρόεδρος της το 1985. Τα βασικά και τραγικά λάθη όμως παρέμειναν και θα εξηγήσω ποια είναι αυτά τα λάθη στις επόμενες παραγράφους. Η Δικαιοσύνη καταδίκασε στελέχη της Marfin για έλλειχη κανονισμών πυρασφάλειας, δεν έκανε όμως τίποτα για αυτούς που έβαλαν τη φωτιά και σκότωσαν εργαζόμενους ανθρώπους. Ο φασισμός δεν έχει χρώμα, κόμμα, εθνικότητα. Έχει μόνο τρόπο, και είναι σαφώς ο τρόπος που κάνει το φασίστα, η βία, ο τραμπουκισμός, είτε αυτός ανήκει στον ακροδεξιό, είτε στην άλλη άκρη του φάσματος.

Ο Ουμπέρτο Έκο έγραψε το "η Μυστηριώδη Φλόγα της Βασίλισσας Λοάνα". Πέρα απο τη σαγηνευτική περιγραφή του πως λειτουργεί στην πράξη η ανθρώπινη μνήμη, περιγράφοντας την περιπέτεια ενος 60χρονου που πάσχει απο μετατραυματική αμνησία  και προσπαθεί να ξαναβρεί την ταυτότητά του, ο συγγραφέας προβάλλει μεταξύ άλλων γλαγυρότατες εικόνες της φασιστικής Ιταλίας πριν και κατά τη διάρκεια του Β Παγκοσμίου Πολέμου. Στην Ελλάδα, η Σοφία Βέμπο τραγουδούσε το κορόιδο Μουσολίνι. Απο την άλλη όμως πλευρά του νομίσματος, ο Ιωάννης Μεταξάς είπε το ιστορικό Όχι και υιοθετούσε μέρος αυτών των φασιστικών ιδεολογιών, για να επιβληθεί σε ένα περιβάλλον πολωμένο και άκρως ασταθές. Εγώ δε στέκομαι στο Χιτλερικό τύπου χαιρετισμό των μελών της ΕΟΝ. Στέκομαι σε ένα άλλο πολύ χειρότερο στοιχείο. Το διχασμό και την πόλωση, αυτό το σταθερά διαχρονικό λάθος.

Διχασμός (σχεδόν) εκατό χρόνια πριν μεταξύ φιλοβασιλικών και Βενιζελικών. Διχασμός μετά το πέρας του Β Παγκοσμίου Πολέμου μεταξύ Αριστερών και Δεξιών. Διχασμός το 1960 μεταξύ του παλατιού και της κυβέρνησης Γ. Παπανδρέου, ο οποίος μετατρέπεται σε χάος με τη χούντα (λες και η χούντα θα έρχονταν άν υπήρχε αγαστή συνεργασία μεταξύ των τότε πολιτικών, αλλά αυτά δε τα εξέταζε κανένας στο σχολείο, όταν εγώ ήμουν μαθητής. Μας έλεγαν για το Πολυτεχνείο, για την Κύπρο, για τους συνταγματάρχες και για το Γέρο της Δημοκρατίας, χωρίς όμως τα λάθη του που έδρασαν καταλυτικά στη δημιουργία του φαύλου κύκλου). Διχασμός και στη μεταπολίτευση, με τους μπλε, πράσινους, κόκκινους και τις λοιπές αποχρώσεις τους. 

Ας υποθέσουμε όμως ότι είμαι λάθος, και οτι ο διχασμός δεν είναι η αιτία επανάληψης της ιστορίας στην Ελλάδα. Απο καθαρή τύχη μετά το τραγικό συμβάν, βρέθηκα σε ένα βιβλιοπωλείο. Μπροστά στο ράφι υπήρχαν κόπιες μιας υπέροχης έκδοσης του "Επιστολές προς το Έθνος", του Αδαμάντιου Κοραή. Οι 117 σελίδες των επιστολών του πρέπει να διαβαστούν υποχρεωτικά απο κάθε σύγχρονο Έλληνα με πολιτική (όχι κομματική) συνείδηση. Είχα την ευκαιρία να το διαβάσω όλο σε μια 4ωρη πτήση. Ένιωσα μια ανατριχίλα όχι γιατί διάβαζα τα σοφά λόγια μιας απο τις μεγαλύτερες προσωπικότητες του νεοελληνικού διαφωτισμού, αλλά για το πόσο επίκαιρες είναι οι παρατηρήσεις του ακόμη και σήμερα, δείγμα της επανάληψης των τραγικών σφαλμάτων.

Γράφει λοιπόν μεταξύ άλλων ο Αδαμάντιος Κοραής αναφερόμενος "Προς τους Προεστώτας της Ελλάδος" σε μια επιστολή του με τίτλο "Ελευθέρωσις και απο τα τυραννικά πάθη", με ημερομηνία 10.1.1822:

"Οι Έλληνες έπαθαν, δια τας διχονοίας των, την δυστεχεστάτην απ' όλας τας πολιτικάς μεταβολάς, την στέρησιν της προγονικής αυτονομίας και ισονομίας, κ' εδέθηκαν εις τον ζυγόν των Ρωμαίων, όστις έμελλε να φέρη έπειτα τον βαρύτατον ζυγόν των Γραικορωμαίων αυτοκρατόρων, και τελευταίον τον οποίον σήμερον απετινάξατε ανυπόφορον ζυγόν των Τούρκων. Και της αθλίας ταύτης μεταβολής οι Κορίνθιοι μάλιστα εγεύθησαν τα πικρότερα κακά...Οι σωθέντες όμως νέοι Κορίνθιοι λησμονήσαντες, ότι δια τας διχονοίας, τας διχοστασίας και τας έριδας των γονέων των κατεστάθησαν αντ' ελευθέρων δούλοι των Ρωμαίων, τας αυτάς διχονοίας ανενέωσαν και εφύλαξαν επι τρίτην και τετάρτην γενεάν, εωσού μετά διακόσια σχεδόν έτη της πολιτικής καταστροφής των ευηγγελίσθη εις αυτούς ο απόστολος Παύλος σωτήριον άλλην θρησκευτικήν μεταβολήν, ήτις αποβάλλει πάσαν αδικίαν, και στηρίζεται, ως και πάσα νόμιμος κοσμική πολιτεία, εις την ισονομίαν...Η τόσον ολέθριος αρρώστια της διχονοίας δεν έθλιβε μόνο τους Κορινθίους, αλλ' ήτο κατά δυστυχίαν αρρωστία κοινή όλου του Ελληνικού γένους, τόσο πλέον παράδοξος, όσον οι Έλληνες εστάθησαν όλων των καλών του πολιτισμού ευρέται και πρωταίτιοι...Δια τι λοιπόν δεν ωφελήθησαν οι θαυμαστοί μας ούτοι πρόγονοι απο τα τόσα καλά, των οποίων κατεστάθησαν διδάσκαλοι εις τους άλλους;...Διότι δεν εκατάλαβαν ποτέ εις τι στέκει, και πως σώζεται η αληθινή ελευθερία. Εφλέγοντο απο τον έρωτα της ελευθερίας όλοι, αλλά πάσα μία πόλις ήθελε να δεσπόζη τας άλλας, και πας ένας πολίτης εσπούδαζε να κυριεύη τους συμπολίτας του. Η κατάρατος αυτή φιλαρχία εγέννησε την διχόνοιαν, διήγειρε τας πόλεις και τους πολίτας κατ´ αλλήλων, άναψε των εμφυλίων πολέμων την πυρκαιάν...Σπλαχνισθήτε, φίλοι αδερφοί, τους απογόνους σας, μην αφήσετ´ εις αυτούς τόσον ολέθριον κληρονομίαν αλλά παραδώσετέ των την αποκτημένη με τα αίματά σας ελευθερίαν καθαράν απο πάσα πλεονεξίαν και ανισότητα!"

Ο Αδαμάντιος Κοραής συνεχίζει σε άλλες επιστολές να τονίζει οτι τα άκρα δεν είναι ποτέ λύση, ακόμα και αν στην εξουσία υπάρχουν άνθρωποι των άκρων. Μιλάει δε για μια έννοια της ελευθερίας, αυτή που στηρίζεται στη δικαιοσύνη και την ισονομία. Γράφει στην "Προς νέον πολιτικόν Ν. Πίκολον" επιστολή του, με ημερομηνία 5.6.1822 : "Την φύσιν μας, φίλε, ν´ αλλάξωμεν δεν είμεθα κύριοι. Εις την εξουσίαν μας όμως είναι, αφού γνωρίσωμεν της φύσεώς μας την εις το εν ή εις το άλλο άκρον κλίσιν, να την ανασύρωμεν προς το μέσον, όπου μόνον ευρίσκεται η αρετή...Εις όλους τούτους, Κοραή, χρεωστείς να φανείς ένας μόνο άνθρωπος, μιας μόνης ελευθερίας, της θεμελιωμένης εις την ισοτιμίαν φίλος. Με λόγον έναν, με μια μόνον φωνήν, χρεωστείς να διδάσκης και άρχοντας και αρχομένους μια μόνην διδαχήν, την εις τους αυτούς νόμους υποταγήν. Τι έχεις να φοβηθής; Τιν περί σού κρίσιν των άλλων; Αν είναι χρηστοί πολίται, δεν θέλουν αργήσειν να συμφρονήσωσι και να συμφωνήσωσι με σε. Αν είναι του γένους των Ταρτούφων, κρίνέ τους και συ, ως τους έκρινεν ο φίλος της ευνομίας Αυτοκράτωρ. ¨Όταν άλλος ψέγη σε ή μισή, έρχου επι τα ψυχάρια αυτών, δίελθε έσω και ίδε ποίοι τινες εισίν. Όψει ότι ου δει σε σπάσθαι, ίνα τούτους τι ποτέ περί σού δοκεί.¨ Οι φοβερώτεροι τούτων είναι οι σπουδαρχίδαι και σπουδοπλουτίδαι, τους οποίους συγχωρημένον είναι να φοβάσαι μη σε κακοποιήσωσι. Αλλά τον φόβον τούτον έπρεπε να συλλάβης πριν εκδυθής εις τους αγώνας. Αφού ετόλμησες να πηδήσεις εκουσίως εις της ελευθερίας την παλαίστραν, πρέπει να παλαίσεις ως λέων και όχι ως αλώπηξ, λοιπόν πολέμει ωπλισμένος όχι με το λεγόμενον πολιτικόν, αλλά με την αχώριστον της ηθικής πολιτικήν επιστήμην."
Η διαχρονικότητα αυτών των κειμένων αποδεικνύει λοιπόν οτι τα λάθη είναι εκείνα που επαναλαμβάνονται, γιατί όταν σε μια κοινωνία δεν υπάρχει ισονομία και διχόνοια, λογικό είναι τα άκρα να ενισχύονται. Ας δούμε λοιπόν άν ο Πρωθυπουργός θα πολεμήσει τον τραμπουκοφασισμό σαν λιοντάρι ή σαν αλεπού. Εαν δε σταθεί σαν λιοντάρι απέναντι στο μόρφωμα του φασισμού, θα είναι ο δεύτερος απόφοιτος του Άμχερστ που θα πάει στο σπίτι του. Εύχομαι τρίτος να μην υπάρξει.

Monday, August 12, 2013

The surveillance mass hysteria, the right to privacy and professionalism

I had the intention to make a commentary about the Snowden case and the mass anti-surveillance hysteria it provoked. I will defend the use of the term 'hysteria' in latter paragraphs. But then I realized that the consequences of Edward Snowden's case were far greater than I previously thought. This is not in terms of the diplomatic and geopolitical consequences of his whistle blowing acts. Government surveillance has sustained the Assange/Wikileaks blow and it will continue to do so (thankfully, because I do not agree with the acts of Snowden and Assange, but keep reading, I assure you I do not do Government propaganda here). In contrast, the thing I feared the most, was that this Snowden induced hysteria would eventually turn against hard working US businesses in the area of privacy protection. 

Unfortunately, I was proven right. A few hours prior starting the composition of these lines, I read sad news that announced the closure of Lavabit, one of the most reliable encrypted email providers. It turns out that Snowden had used Lavabit's service and this created some sort of friction, pressure and eventually service collapse of the provider. In an attempt to gauge public opinion, I opened my Twitter account. One of the comments from an individual was "I will never entrust any of my data to a US business!". Of course, surveillance is not only a US phenomenon. In Europe, Asia, Australia, the Middle East, the games of cat and mouse between those who want to safeguard their privacy and those who want to break it is on. So, it is safe to assume that a business is the worst possible place to entrust your digital assets? I am raising this question, because Lavabit is not the only company that is in this sort of business.

Now that I raised the question, I want to step back a bit. I want you to picture Edward Snowden, an IT person that ended up somehow working for the tech/contractor sector that surrounds the NSA. Did you really think that when he joined the ranks, he had no idea of what was going on in there? Do you really need a "hero" like Snowden to tell you that Governments have surveillance capability? Really?

I have started working on the Internet in 1998, and I worked on core TCP/IP protocols and Ethernet device drivers, which is what drives today most of the corporate networks. Today, I am tasked with securing some digital assets for various scientific communities, and I want to believe that I have a healthy dosage of paranoia in relation to whether my infrastructure is secure or not.

The assumption that the guy who sits on NSA/GCHQ has the will to listen to your personal communications one morning and can under all conditions is wrong and unhealthy. If you are an intelligence analyst, you are looking for needles in a haystack and you have specific problems to solve. Yes, there is data mining. Yes, there are ways to tap into your personal communications. Yes, you could be a bystander and accidentally tapped into in an attempt to locate someone, but this is less probable than you being the victim of a phishing/zero day exploit of some bandit that wants your machine for a botnet, or is after your bank account, etc.

Yes, we all have the right to privacy and trusting a communication system to deliver a message from person A to person B is important.  Read Simon Singh's  "The Code Book" and  you will see that most European Governments were operating surveillance rooms from the very early history and form of human communication. He writes about the so called "black rooms", mentioning some of the earlier examples of such a service: the Geheime Kabinetskanzlei, the secret Austrian Service, operated such a room in Vienna on the 18th century. The personnel would open certain letters of interest with care, leaving very few traces on the open envelope, they would make an exact and even translated/decoded copy of the letter, they would reseal the envelope and let the letter reach its final destination. This is one of the earliest form of industrial grade Government surveillance and a very good analogue of what is happening in our age.

Am I trying to increase your paranoia? To the contrary. Do you really think that a black room had the capacity to open/decode/translate all letters? The obvious answer is no. Cryptographers and skilled envelope openers/resealers were finite and there was a very careful targeting/sampling of senders and recipients. Is the whole process easier on the 21st Century? Well, yes and no. It is an interesting question.

The era of computers, the falling CPU/GPU/MIC hardware costs, the increased connectivity of social media and the mobile wireless technologies, the plethora of web scraping techniques and Deep Packet Inspection (DPI) software solutions have made it easier to perform surveillance on a grander scale than the era of the good old post office. However, we are far from the era of pressing a few buttons, having an email address and knowing everything about the life of every individual, as Snowden claims.

One of the greatest problems for the era of modern surveillance is "noise". In the context of surveillance data mining, "noise" is a collective term for a range of factors that prevent a mining algorithm for achieving its target (to get its info or estimate whether something is true or false: for example, whether a particular individual is related to a group of people or not. These factors include:
  • a)Fuzzy or an incredibly large amount of info to mine, well beyond the capabilities of the data mining algorithm
  • b)Inability of the mining/surveillance techniques to keep up with the amounts of information transmitted over a digital network.
  • c)Susceptibility of the mining algorithm to false negatives/positives due to design inadequacies.
With respect to factor a) above, the Internet might be a great repository of information for data mining, however it is also "polluted" with redundant, false and distributed/incomplete information. The term information overload or information pollution should not only refer to the cognitive abilities of an individual to absorb, comprehend and act on the amount of information mined from the web. It also has a negative effect on surveillance data mining algorithms.

Lots of information means an ever increasing rate of information transfer (b). Modern data networking speeds increase all the time, especially large data backbones where we have speeds of even 100 Gigabits/sec at the time of writing. If one combines this fact with the use of encryption, as Bruce Schneier points out in this paper/article, it becomes evident that DPI techniques are falling behind. You will be surprised how difficult it is to silently decrypt traffic of an SSH tunnel with moderately adequate encryption. You can setup something like this between two cloud hosts, even amongst different cloud providers and protect your voice, ephemeral chat communication and everything else that is important to you.  No man in the middle will have an easy way into what your network packets really contain. This techniques have actually been employed successfully by knowledgeable individuals to bypass Government censorship and surveillance firewalls. Egypt, Iran and China are some notable examples.

For factor c), I am sure you must have had an example of false negative or positive in your anti-virus software. If not, you are an extremely lucky person. Are you a sysadmin of an IDS/IPS/firewall system? You should also be very lucky if you never dealt with a signature/rule that let bad traffic in or kept good/legitimate traffic out. It works the same way with surveillance mining algorithms. They are not perfect and they suffer from the same problems: wrong things are flagged up as dangerous and many dangerous things are not flagged at all. Associate Professor Gehan Gunasekara suggested that the public should try and test this susceptibility of the surveillance mining algorithms by polluting their Bayasian analysis modules and cause them to flood them with false negatives. I do not suggest that you do that, but I mention this as a sign of proof that the susceptibility is there and with or without disobedience, the problems exists.

Hopefully, you are convinced now that the claim of the "hero" Snowden is not exactly accurate and that if you take reasonable precautions and trust high stakes information to professionals, you can have a company protecting your digital assets. Not everything is point and click for a Government surveillance analyst and unless you do something really sinister, you can go and do your daily business without feeling threatened or be hysterical.

I would like to close with a statement which is even more serious than the previous ones. The closure of Lavabit is wrong. Innovative businesses that protect the privacy of individuals that have a non threatening interest to protect their private/business information is a core value of the information society. The US administration needs to understand that if they kill the trust of the public to privacy protecting businesses, they are going to strike a big blow at the heart of their digital economy. Whatever the issue was with Lavabit, it can be solved by

i)strengthening the admission requirements to such services and
ii)dealing more effectively within their own infrastructures with the problem of rogue insiders. Technologies to aid that process do exist!

After all, a stark contrast between Ladar Lavison and Edward Snowden is that the first complied with the law and offered a service to the people. Edward Snowden also offered a service to the people, but that is not his whistle blowing act. That was his personal choice. That's exactly why the first one is a professional and the second is a rogue insider. That is also why I would entrust my email data to Lavabit.

Saturday, June 15, 2013

Τι θα έλεγε (είπε) ο Μάνος Χατζιδάκις για το κλείσιμο της ΕΡΤ

Σήμερα συμπληρώνονται 19 χρόνια απο το θάνατο του Μάνου Χατζιδάκι και το Τρίτο Πρόγραμμα δεν υπάρχει. Για να πούμε και "του στραβού το δίκιο" (συγγνώμη για την καυστικότητά μου, ξέρετε ποιον εννοώ, αλλά το εννοώ μεταφορικά), τα κόκκαλα του Μάνου θα έτριζαν με αυτά που έβλεπε να γίνονται μέσα στην ΕΡΤ. 

Ο ίδιος άλλωστε τα είχε πει δέκα χρόνια πριν το θάνατό του, το 1984. Τις απόψεις αυτές τις είχα συνοψίσει εδώ σε ένα άρθρο μου για την 36η επέτειο της αποκατάστασης της Δημοκρατίας. Ανατρέψτε σε αυτές και θα δείτε έναν Μάνο απογοητευμένο, αλλά διορατικό, κυνικό αλλά ρεαλιστή.

Μέσα στην αναμπουμπούλα, τη συγκίνηση και αυθόρμητη συμπαράσταση του κόσμου στην ΕΡΤ για το αντιδημοκρατικό κλείσιμό της (σε καμια πολιτισμένη χώρα δεν υπήρξε ποτέ απόφαση να κλείσει η δημόσια ραδιοτηλεόραση σε λιγότερο απο 24 ώρες, χωρίς καν να συζητηθεί το θέμα απο τους πολιτικούς της δημόσια) πρέπει κάποιος να αντιπαραθέσει το γεγονός ότι η ΕΡΤ δεν λειτουργούσε όπως έπρεπε. Μπορεί να μην ήταν ελλειματική, αλλά ο διορισμός δικών μας παιδιών, η υπερκοστολόγιση παραγωγών σε βάρος του Έλληνα φορολογούμενου, ο άκρατος κομματικός συνδικαλισμός (ειδικά στο Δημοσιογραφικό τομέα) ήταν γεγονός και εξίσου αντιδημοκρατικός με το κλείσιμό της.

Τα κόκκαλα του Μάνου όμως θα έτριζαν και με τον άκρατο φασισμό, με τον τρόπο που επέλεξε ο Πρωθυπουργός Αντώνης Σαμαράς να κλείσει/αναδιοργανώσει/επανιδρύσει (πείτε το όπως θέλετε) την ΕΡΤ. Η αποστολή ΜΑΤ σε πομπούς για να κλείσουν το σήμα, ο προπυλακισμός πολιτών και δημοσιογράφων για να βγούν απο τα κτίρια και τις εγκαταστάσεις της ΕΡΤ, η μη ύπαρξη διαβούλευσης επι του θέματος στη Βουλή των Ελλήνων είναι μια λογική τριάδα επιχειρημάτων που δικαιολογεί το χαρακτηρισμό  "άκρατος φασισμός". Έστω και εαν αυτός ο φασισμός αυτή τη στιγμή δεν αντιπαραβάλλεται με τον επίσης άκρατο, αντιπαραγωγικό και αντιδημοκρατικό τρόπο λειτουργίας των κομματικών συνδικάτων της ΕΡΤ.

Υπάρχει όμως και κάτι άλλο κατά του Πρωθυπουργού, το οποίο δημιουργεί λύπη και είναι περίτρανη απόδειξη της αποτυχίας του να ελέγξει μια κατάσταση όπως η ΕΡΤ, διότι υπάρχουν πολλές ΕΡΤ στο δημόσιο τομέα στην Ελλάδα. Είναι το πρόσωπο του ολοκληρωτισμού, της κοινωνικής στάμπας, της λογικής του ότι μαζί με τα ξερά πρέπει να καίγονται και τα χλωρά. Όλοι στην ΕΡΤ είναι χαραμοφάηδες; Δεν επέδειξε η ΕΡΤ, έστω και με τον καρπό κλάσματος των εργαζομένων της έναν πολιτισμό, ένα αρχείο παρακαταθήκη για τη χώρα; Εγώ, μέχρι σήμερα, ΔΕΝ έχω ακούσει καλύτερο ραδιόφωνο απο το Τρίτο. 

Η αποφυγή ενος τέτοιου ολοκληρωτισμού είναι μέρος της καρδιάς ενός Δημοκρατικού πολιτεύματος. Είναι αυτή που επιβραβεύει τους ευσυνείδητους επαγγελματίες και χαντακώνει τους ασυνείδητους πραγματικούς χαραμοφάηδες που δεν έχουν θέση σε ένα δημόσιο αξίωμα. Απόδειξη για τους πρώτους αποτελούν αυτά που είδαμε και βλέπουμε, όσο η ΕΡΤ είναι κλειστή. Με τους μουσικούς των συνόλων να παίζουν κλαίγοντας, τους μηχανικούς και τεχνικούς της ΕΡΤ που πασχίζουν να συνεχίσουν με τα 1000 Ευρώ το μήνα και το οικογενειακά βάρη απο πίσω τους, το έργο της ΕΡΤ.

 Για να επαναλάβω δυο λόγια απο το Μάνο κλείνοντας
- Για τη δημόσια διοίκηση είπε "Είναι χρόνια η αρρώστια μας και θα υπάρξει για χρόνια. Δεν ξέρω τι είναι εκείνο που θα τα αλλάξει τα πράγματα και θα τα προχωρήσει."
-Για τη Ελλάδα είπε "Η Ευρωπαική ενότητα τι νομίζετε οτι είναι; Θα γίνουμε μια επαρχία στην οποία θα μας διοικεί η Ευρώπη. Και θα χουμε μια ψευδαίσθηση οτι συνδιοικούμεθα στην Ευρώπη. Λοιπόν αυτή δεν είναι μια σκλαβία;"..."Υπάρχει καμιά εγγύηση σωστής ανάπτυξης στον τόπο αυτό; Ποτέ!...Περι τουρκοκρατίας λοιπόν, ασφαλώς θα είναι μια μορφή της Ευρωπαικής μας θητείας, που βέβαια δε θα μπορέσουμε ποτέ να απαλλαγούμε ούτε να ελευθερωθούμε, διότι θα είναι επιλογή μας, διότι επι τουρκοκρατίας έγινε υποταγή μας. Αυτή είναι η διαφορά!"

Πόσο δίκιο είχε αυτός ο άνθρωπος 29 χρόνια πριν τη σημερινή μέρα! Τελεία και παύλα.

Sunday, June 9, 2013

Security of Linux systems and privacy today

In this article, I am not arguing on whether Linux (or Android, or iOS and any other operating system) is the most suitable platform to entrust your data and personal communications today. Look for such dogmatic views elsewhere. I like, use and develop Linux systems, but I have been in business long enough to realize that security (and privacy as part of it) is a lot more complex business than choosing carefully your OS platform. Instead, I shall attempt to walk through some real world examples of certain sysadmin practices and security assumptions that have failed the Linux platform.

During the first week of June 2013 we found that Hetzner, one of the largest web hosting providers in Europe, has had its server security compromised. As a result, server password hashes and other sensitive data went into the hands of third party individuals, who obviously designed the malware vector and stroke gold. The extent of the information breach at Hetzner is still unknown as I write this. Obviously, being compromised is not good, but not knowing the extent of the compromise is worse. While I do not have data for other ISPs and web hosting providers, I strongly suspect that there will be other companies in the same line of business that were affected by this attack. The use of the Plex panel, PHP/Apache/SSH stacks is widespread

The attack vector that affected the Hetzner folks targeted Apache and openssh servers and quoting Martin Hetzner 'the "backdoor" exclusively infects the RAM...the infection neither modifies the binaries of the service which has been compromised, nor does it restart the service which has been affected. The standard techniques used for analysis such as the examination of checksum or tools such as "rkhunter" are therefore not able to track down the malicious code'. If this proves to be true (they have yet to conclude with their investigation at the time of writing), the real eye opener here is not that Hetzner got hacked. The real eye opener is that we have an effective RAM based Linux rootkit that affects essential services (such as http, https and ssh).

Six months ago, Steelcyber Scientific, a company that I consult for was one of the first to detect and mitigate for another Apache based exploit that installed rogue SSH servers and fished for customer usernames and passwords. Admittedly although less sophisticated, the older exploit was still successful in targeting the same services (sshd and httpd). I made various statements then in customers and IT journalists that people need to start taking Linux server security seriously. The success of Linux in the server and web hosting business has been providing an ideal target for malware writers for a number of years now, contrary to the popular (?) belief that exploits are mainly written for Windows (Android and iOS/OSX systems recently).

I am sure that this trend is going to continue, so I shall need to justify now what I mean by taking Linux security seriously.

One of the most frequently encountered pitfalls that make Linux systems vulnerable to various types of attacks is that most sysadmins still turn SELinux off. Yes, even experienced ones, that do keep their software updated. Yes, even after 10 years since its introduction to the mainstream Linux kernels. Many hosting providers allow customers to do that. Many of the attacks (and certainly the two previously described ones) could have been repelled if proper SELinux policies were in place. An SSH rogue server could not run in /tmp if SELinux is on. An i-frame injection could compromise Apache but could not install/execute files in any system directory.  Yes, it is annoying to install/troubleshoot new or upgraded software with SELinux. The Permissive SELinux mode is your friend to find and correct those issues keeping things contained. When you are done, make sure that the Enforcing mode is back on. Don't just turn it off and rely on traditional Unix and filesystem ACLs to contain things. This does not work.

I am not sure what your view is about logging/auditing systems in Unix and Linux, but I consider that the current utilities are not suitable for providing accountability on which process/user account does what in the system. In addition, today's common log/audit utilities do not allow sysadmins, devops and security experts to construct a forensic post-intrusion/breach picture, so that the extent of information leaks/intrusion is better understood and contained fast. I argue in favour of a better logging/auditing approach in this science paper. The end product, LUARM, is a different philosophy of what to log and how you can search it. We have employed LUARM successfully in monitoring and forensically examining a number of systems, and frankly, we have had great success in realizing fast what happened. If you compare that to traditional syslog approaches, well, good luck, you will have a lot more to examine and filter manually and one day you might find it what actually happened in your systems.

The final point I am trying to raise relates to authentication. Most production Linux systems today employ some sort of PAM complying approach to authenticate users. This is likely not a Single Sign On (SSO) solution. It is also likely that it only uses a username and password combination or an (D)/(R)SA key tied to a client machine. Whether you have a local/LDAP/(NIS, NIS+ if you are really oldie)/AD backend implementation is not relevant. The relevant bit concerns two facts:

i)The use of only a username and password or username/client/cryptographic key
ii)The widespread exposure of the front end daemon (Apache, SSH) in the Internet

(Please understand that I am referring to what is common practice, if you are a cautious sysadmin of a large installation, you probably do things differently.) 
A person once told me: "I use a secure login because I always SSH to the system". I replied rather cynically to that statement. The same person (OK, you know who you are :-) ) uses Skype for communicating with his family because the encryption is adequate. On the other hand, the same person is absolutely disgusted that Verizon turned his/her phone records to NSA. So, I cannot stop being cynical here.

I am not going to go through the theory of why a cryptographically enabled endpoint pair is more secure than a plain text endpoint pair, but still is not secure. Encryption aids security. It is not by itself security and if people do not get that point, they should look at what happened to Hetzner (and other providers that entrusted their security solely on an SSH frontend). The point here is that an entire industry lays all their eggs and/or applies the rule 'one size fits all' when it comes to matching the sensitivity of data, the exposure of the authentication front-end and the criteria of authentication. If you go to share hosting/cloud provider today, the main question is not what data you are going to store there, but what size of CPU/RAM and storage you need. The end result of this is that on cloud provider hard drives today, you can find anything: From personal information (pictures, videos), valuable Intellectual Property, to - I suspect - nuclear missile location details. Yet, nobody has checked the strength of the authentication procedure. You want two factor authentication? Good, build it yourself.

To sum up, proper containment policies. forensically enabled auditing and monitoring, as well as an authentication scheme that is suitable to the sensitivity of the data/services deployed in Linux infrastructures is missing today. If these issues are not addressed, perfectly adequate penguins can leak your information to skilled individuals. Make sure you address these issues with your IT team(s). Stay safe!