Ασφαλιστικά μέτρα ΑΕΠΙ κατά παρόχων, 2013 edition

Πριν λίγες μέρες έγινε πάρα πολύ σημαντική δίκη για το Ελληνικό Internet. Δυστυχώς όμως δεν έγινε καμία αναφορά από τους δημοσιογράφους που ασχολούνται με τα “νέα μέσα” για το θέμα, οι μόνοι οι οποίοι έχουν αναφερθεί στο θέμα και μάλιστα το έχουν παρακολουθήσει από πολύ κοντά είναι τα παιδιά του adslgr.com (Thread).

Λίγο ιστορία…
Πέρυσι είχαμε την “χαρά” το Πρωτοδικείο Αθηνών με την απόφαση 4658/2012 να δικαιώσει την ΑΕΠΙ στα ασφαλιστικά μέτρα που είχε κάνει εναντίον όλων των Ελλήνων παρόχων (ISPs) ώστε να αποκλειστεί η πρόσβαση προς 2 sites που βρισκόταν εκτός της χώρας μας. Η αίτηση των ασφαλιστικών μέτρων έγινε τον Οκτώβριο του 2010 και η τελική δίκη μετά τις αναβολές έγινε το Μάϊο του 2012. Τα 2 sites ήταν το ellinadiko.com και το music-bazaar.com. Ενώ η ΑΕΠΙ είχε ζητήσει να αποκλειστούν από τους παρόχους και οι IPs που κατείχαν τότε τα 2 sites αλλά και να αποκλειστούν από το επίπεδο του DNS, τα δικαστήρια διέταξαν μόνο τον αποκλεισμό των IPs. Οι περισσότεροι χρήστες του Ελληνικού Internet δεν έχουν την παραμικρή ιδέα για αυτή τη απόφαση και αυτό γιατί δεν τους επηρέασε στο ελάχιστο. Το ellinadiko για δικούς του λόγους είχε κλείσει πριν γίνει η δίκη, και έτσι οι χρήστες είχαν ήδη στραφεί σε άλλα sites, ενώ το music-bazaar είχε αλλάξει IP. Ενώ, δηλαδή, το δικαστήριο επέβαλε στους παρόχους να αποκλείσουν την IP 1.2.3.4 το music-bazaar είχε ήδη πριν την δίκη μεταφερθεί στην 5.6.7.8. Έτσι, και η IP του ellinadiko και η IP του music-bazaar στις οποίες γινόταν αναφορά στα ασφαλιστικά μέτρα του 2012 είναι αυτή τη στιγμή μη προσβάσιμες από τους Έλληνες χρήστες χωρίς να φιλοξενούν οτιδήποτε σχετικό με τα προηγούμενα sites. Και το ακόμα καλύτερο; Κανείς δεν γνωρίζει αν και πότε θα αρθούν αυτοί οι αποκλεισμοί, καθώς δεν υπάρχει τέτοια πρόβλεψη στην απόφαση. Οπότε ο δικαστής αυτός δημιούργησε δύο μαύρες τρύπες για το Ελληνικό Internet.

Τώρα που πήρε φόρα…
Στις 14/01/2013 η ΑΕΠΙ επανήλθε με 2 νέες αιτήσεις ασφαλιστικών μέτρων! Η πρώτη αφορούσε αποκλειστικά το website με όνομα www.thepiratebay.se και την IP του (194.71.107.15) και η δεύτερη αφορούσε το website με όνομα www.activeloads.com και την IP του (93.190.139.103). Σαν να μην έφτανε αυτό στις 26/04/2013 έρχεται και νέα αίτηση για ασφαλιστικά μέτρα για τα παρακάτω sites: www.greek-team.cc (www.mytog.net), www.p2planet.net, www.greek.to, www.tsibato.info, www.greekddl.eu, www.greek-best.com, www.kat.ph, www.isohunt.com, www.1337x.org, www.h33t.com και τις IPs που είχαν τότε. Στα ασφαλιστικά μέτρα ζητείται να αποκλειστεί η πρόσβαση στα website ή στις IP ή αν τα παραπάνω δεν γίνουν, ζητά να απαγορευτούν τα downloads (καταφορτώσεις) μουσικών έργων από αυτά τα websites (ζητά δηλαδή την εφαρμογή DPI (Deep Packet Inspection) από τους παρόχους). Η αίτηση της ΑΕΠΙ αναφέρει με 2 λόγια πως αφού δεν μπορούν να εντοπίσουν τους ιδιοκτήτες των websites αυτών, ζητούν από τα δικαστήρια να προστατέψει τα μέλη της ΑΕΠΙ από την “πειρατεία” εξαναγκάζοντας τους παρόχους να “τα κόψουν”. Μετά από διαπραγματεύσεις καταλήγει να γίνει μία δίκη και για τις τρεις αιτήσεις, τον Σεπτέμβριο του 2013. Η δίκη αναβάλλεται για τις 13/12/2013 όπου και έγινε. Τα επιχειρήματα των παρόχων ήταν για άλλη μια φορά πολύ καλά, αλλά μάλλον δεν παίζει και ιδιαίτερο ρόλο στα αυτιά των δικαστών που κατά πάσα πιθανότητα αγνοούν εντελώς τις τεχνικές λεπτομέρειες του εγχειρήματος, αν θεωρείται δύσκολο να εξηγήσει κανείς πως ακριβώς δουλεύουν τα torrents και γιατί τα websites αυτά δεν φιλοξενούν τα ίδια παράνομο περιεχόμενο, σκεφτείτε πόσο πιο δύσκολο είναι να να εξηγήσει κανείς πως δουλεύουν τα magnet links και το DHT. Άλλωστε φαίνεται πως οι δικαστές δεν ενδιαφέρονται ιδιαίτερα για το διαδίκτυο ή για την ιδιωτικότητα γενικότερα, διότι οι όποιες αποφάσεις βγουν θα επηρεάσουν σημαντικά την ιδιωτικότητα όλων των Ελλήνων χρηστών. Είμαστε πλέον σε αναμονή της απόφασης η οποία μπορεί να κάνει ακόμα και 3 μήνες για να βγει.

Ίδια απόφαση με την 4658/2012 ή μήπως όχι;
Η απόφαση ακόμα δεν έχει βγει αλλά κατά την εκτίμηση μου υπάρχει σοβαρή περίπτωση να είναι διαφορετική από την 4658/2012 και μάλιστα προς το χειρότερο. Αυτό γιατί στο ενδιάμεσο έχει υπάρξει άλλη μια απίστευτη κίνηση από μεριάς του κράτους η οποία υπονομεύει την ελεύθερη λειτουργία του Internet στην Ελλάδα. Το κράτος λοιπόν, θέλοντας να τα τσεπώνει από τις άδειες που χορηγεί στα sites σχετικά με τον τζόγο (στοιχήματα) έχει δημιουργήσει την ΕΕΕΠ. Τι είναι η ΕΕΕΠ; Επιτροπή Εποπτείας και Ελέγχου Παιγνίων. Αυτή η επιτροπή λοιπόν έχει το δικαίωμα να αποφασίζει ποια websites τζόγου θα αποκλειστούν από τους παρόχους ώστε να μην έχουν πρόσβαση οι χρήστες τους σε αυτά. Όποιος δεν πληρώνει, κόβεται. Μάλιστα, επειδή ξέρουν πόσο δύσκολο είναι να απαγορεύσεις την πρόσβαση σε ένα site στο Internet μπλοκάροντας απλά μια IP, αυτοί έχουν την εξουσία να παραγγέλνουν από τους ISPs να μπλοκάρουν URLs χωρίς να ενδιαφέρονται για το πως θα το υλοποιήσει ο πάροχος. Κάθε τόσο λοιπόν εμφανίζουν μια λίστα με URLs στους παρόχους και τους αναγκάζουν να κόψουν την πρόσβαση. Η πιο πρόσφατη λίστα όσο γράφεται αυτό το post είναι αυτή: BlackList EEEP 22/11/2013. Αυτό το pdf είναι και το μόνο που παρέχουν στους παρόχους, ούτε καν μια λίστα σε μορφή txt για να είναι ευκολότερη η αυτοματοποίηση. Και το επισημαίνω για άλλη μια φορά, δίνουν URLs και όχι domains ή IPs.

Τί σημαίνει αυτό όμως στην ουσία για παρόχους και χρήστες;
Οι πάροχοι δεν μπορούν να κόψουν τις IPs των betting sites γιατί α) είναι πιθανόν στις ίδιες IPs να συστεγάζονται και άλλα sites, β) κάποια betting sites γίνονται host σε εταιρίες τύπου Akamai, Cloudflare,κτλ δεν είναι δυνατόν να κόψει ένας πάροχος τα CDN αυτά, γ) ένα site μπορεί να αλλάζει IPs όποτε θέλει, άρα ποιος θα παρακολουθεί τι κάνει το κάθε site κάθε μέρα; Επειδή, από όσο μπορώ να γνωρίζω, οι ελληνικοί πάροχοι σταθερού Internet (xDSL) δεν έχουν αυτή τη στιγμή δυνατότητα να κάνουν DPI, να κοιτάνε δηλαδή κάθε πακέτο ποια “web/URL” (και όχι IP) διεύθυνση αναφέρει μέσα του και να κόβουν μόνο αυτά, μένουν με ένα και μοναδικό “όπλο” στα χέρια τους. Το DNS block. Δηλαδή, οι DNS servers των ελληνικών ISPs λένε ψέμματα στους χρήστες για τις πραγματικές διευθύνσεις των betting sites που θέλει να κόψει η ΕΕΕΠ. Αντί να δίνουν στους χρήστες τις σωστές IPs ενός site, δίνουν μια ψεύτικη ή δεν απαντούν καθόλου και αυτό κάνει τον χρήστη να θεωρεί πως δεν δουλεύει πλέον το website που θέλει να επισκεπτεί. Φυσικά οι χρήστες έχουν την δυνατότητα να χρησιμοποιήσουν άλλους DNS servers, εκτός του παρόχου τους – εκτός Ελλάδας βασικά, για να μάθουν τις σωστές απαντήσεις στα DNS ερωτήματά τους. Αυτό όμως με την σειρά του δημιουργεί διάφορα θέματα. Καταρχήν όταν ρωτάς ένα DNS server στο εξωτερικό όλα τα DNS ερωτήματα καθυστερούν λίγο παραπάνω, το λίγο μπορεί να σημαίνει πως από τα 10-20ms που έχει κάποιος με τους DNS servers του ISP του μπορεί να φτάσει τα 60-80 ή και 100ms, δηλαδή μια καθυστέρηση τουλάχιστον της τάξης του 3-5x. Έπειτα σημαίνει πως ο νέος “DNS” πάροχος αυτός ξέρει ό,τι κάνει κάποιος Έλληνας χρήστης και μπορεί φυσικά να χρησιμοποιήσει τα δεδομένα αυτά όπως του αρέσει. Φυσικά o πάροχος αυτός δεν υπόκειται στην Ελληνική νομοθεσία, άρα τα προσωπικά δεδομένα των χρηστών – δηλαδή το ποια sites επισκέπτεται ο καθένας, μπορεί να τα χειριστεί ο πάροχος αυτός χωρίς να χρειάζεται να συμμορφωθεί με τους ελληνικούς νόμους περί προστασίας των δεδομένων. Αν εγώ αύριο χρησιμοποιήσω ένα DNS server του εξωτερικού κανείς δεν μου εγγυάται πως α) οι δικές του απαντήσεις δεν θα με στέλνουν σε sites με malware ή δεν θα βγάλει κάποτε μια λίστα με το ποια sites ζήτησα να επισκεφτώ…Το πρόβλημα όμως δεν τελειώνει εκεί, αν διαβάσει κανείς το ένα από τα ΦΕΚ που αφορούν την λειτουργία της ΕΕΕΠ θα δει πως τα πράγματα είναι πολύ χειρότερα από όσο μπορεί να φανταστεί. Οι τολμηροί ας διαβάσουν το άρθρο 52 του ν.4002/2011 (Α 218). Παραδείγματα:
Αν σε πιάσουν ως χρήστη να παίζεις σε μη αδειοδοτημένο website…

Όποιος μετέχει σε τυχερό παίγνιο, το οποίο διοργανώνεται χωρίς άδεια από την Ελληνική Δημοκρατία, τιμωρείται με ποινή φυλάκισης έως τριών (3) μηνών και με χρηματική ποινή από 5.000 έως 20.000 ευρώ.

Αν σε πιάσουν να παρέχεις proxy ή άλλο μέσο ώστε να παίζει κάποιος τρίτος σε μη αδειοδοτημένο website…

Όποιος μετέχει σε παίγνια μέσω παρενθέτου φυσικού ή νομικού προσώπου τιμωρείται με φυλάκιση έως δύο (2) ετών και χρηματική ποινή από 100.000 έως 200.000 ευρώ. Με τις ίδιες ποινές τιμωρείται και το παρένθετο φυσικό πρόσωπο και αν πρόκειται για νομικό πρόσωπο, τα πρόσωπα που καθορίζονται ως αυτουργοί με την παράγραφο 11.

Και κάτι ακόμα ως τροφή για σκέψη, σε μια από τις προσκλήσεις για συζήτηση της ΕΕΕΠ προς τους παρόχους, δύο από τα θέματα της ατζέντας ήταν μεταξύ άλλων το πως θα ελεγχθεί/αποκλειστεί η πρόσβαση στα betting sites μέσω proxy και έπειτα αν μπορεί η ΕΕΕΠ να έχει μια λίστα με τους χρήστες που επισκέπτονται αυτά τα sites (!?).

Αυτά συμβαίνουν σήμερα στο Ελληνικό Internet, δεν είναι από κάποιο φαντασιακό μέλλον, αλλά από το σήμερα.

Τι μπορεί να γίνει με τα ασφαλιστικά μέτρα;
Γυρνώντας στα πρόσφατα ασφαλιστικά μέτρα, κάποιος δικαστής που θα κάνει ένα ελαφρύ διάβασμα και θα ρωτήσει και 2-3 άλλους (ή θα του το ψιθυρίσει η ΑΕΠΙ) θα δει πως υπάρχει ο 4002/2011 που απαγορεύει γενικά και αόριστα την πρόσβαση σε sites. Το πως το αφήνει στους παρόχους…κάντε ό,τι καταλαβαίνετε…αλλιώς θα πάτε φυλακή. Άρα η προσωπική μου εκτίμηση για την απόφαση είναι πως αν μείνει στον αποκλεισμό IP των websites που αναφέρονται στα ασφαλιστικά μέτρα, μάλλον θα πρόκειται για “νίκη”. Δεν θεωρώ όμως πως αυτό το σενάριο έχει ιδιαίτερη βάση. Για μένα είτε θα βγει μια ακυρωτική απόφαση για τα ασφαλιστικά μέτρα, είναι η αλήθεια πως οι πάροχοι αυτή τη φορά το είχαν πάρει το θέμα πολύ πιο σοβαρά από την προηγούμενη, είτε η απόφαση θα αναφέρει συγκεκριμένα το DNS block. Το DNS block απλά θα ανοίξει τους ασκούς του Αιόλου για το τι μπορεί να ακολουθήσει. Και να είμαστε όλοι σίγουροι πως η ΑΕΠΙ δεν θα σταματήσει στο DNS block… Αλλά δεν είναι το πρόβλημα μόνο η ΑΕΠΙ ή η ΕΕΕΠ. Το πρόβλημα είναι πως έχει αρχίσει και στην Ελλάδα να υπάρχει η νοοτροπία αλλά και η νομική κάλυψη περί απαγόρευσης πρόσβασης σε συγκεκριμένες ιστοσελίδες που οι servers τους δεν βρίσκονται καν στην χώρα μας. Με το πρόσχημα είτε της πειρατείας είτε της μη αδειοδότησης, αποκλείονται ιστότοποι από τους Έλληνες χρήστες. Μάλιστα, τα μέτρα που λαμβάνονται κάθε φορά φαίνεται να έχουν όλο και πιο προηγμένο τεχνολογικό χαρακτήρα και λίγο μας χωρίζει πλέον από το να λαμβάνει η χώρα μας μέτρα τύπου Ιράν και Κίνας. Μπορεί να ακούγεται τραβηγμένο, αλλά από την στιγμή που θα εγκατασταθεί η τεχνολογία (DPI) για να κόβεις την “πειρατεία” ή τα “παράνομα” sites τζόγου δεν μπορείς να είσαι σίγουρος για το τι άλλο θα κηρυχθεί παράνομο αύριο και θα κοπεί με την ίδια τεχνολογία.
Προσωπικά σιχαίνομαι τα betting sites όσο τίποτε άλλο, αλλά αυτό δεν με σταματάει από το να υποστηρίζω το δικαίωμά τους να μην λογοκρίνονται. Γιατί αυτό είναι και το ζουμί της υπόθεσης, αρχίζει πλέον το κράτος/εξουσία να λογοκρίνει όλο και περισσότερα κομμάτια του Internet που δεν αρέσουν.

Και στο μέλλον;
Δεν είναι τυχαίο άλλωστε πως στο σχεδιαζόμενο “samaras-wifi” ανακοινώθηκε πως φυσικά θα υπάρχει φίλτρο περιεχομένου, πριν καν μάθουμε οποιεσδήποτε άλλες ποιοτικές πληροφορίες για το δίκτυο το ίδιο:

“όταν εγκατασταθεί (το wifi), να τοποθετηθούν ειδικά φίλτρα που να απαγορεύουν πρόσβαση σε σελίδες με άσεμνο περιεχόμενο και γενικά σε σελίδες σεξ, καθώς και να υπάρχουν φίλτρα ώστε να μην μπορεί κανείς να «κατεβάσει» τραγούδια ή κινηματογραφικές ταινίες!”.

Πέραν της υπονοούμενης αναφοράς σε DPI, το ποιός θα αποφασίζει τι επιτρέπεται (τι σημαίνει “άσεμνο”;;;) και τί όχι, το πώς, κτλ αφήνεται εντελώς ασαφές. Η λογοκρισία μπαίνει στη ζωή κάθε πολίτη με μικρά αλλά σταθερά βήματα, θεωρώντας δεδομένη την κατάσταση που επικρατεί ήδη, η εκάστοτε κυριαρχία/εξουσία επιβάλει όλο και περισσότερες απαγορεύσεις, “για το καλό μας”.

Υ.Γ. Οι παραπάνω απόψεις είναι προφανώς προσωπικές πολύ πιθανόν ο εργοδότης μου να έχει εντελώς διαφορετικές :)
Υ.Γ.2 Ίσως να μην είναι αργά ακόμα, αν κάποιοι δημοσιογράφοι αναδείξουν το θέμα κατάλληλα μπορεί και να καταφέρουμε την ακύρωση των ασφαλιστικών μέτρων. Ελπίζω να γλυτώσουμε όμως την κλάψα μετά την απόφαση, το “δεν ήξερα” δεν μπορεί να είναι πλέον δικαιολογία.
Υ.Γ.3 Δεν είμαι νομικός, αν κάποιος νομικός γνωρίζει περισσότερα για τα παραπάνω ας με διορθώσει.

New traffic record for GRNET NOC streaming service

Around a year ago I wrote a blog post about how me and @zmousm scaled our streaming infrastructure at GRNET NOC so that we could cope with a sudden demand on the streaming service that we provide to the Greek Parliament. That setup was re-used again in January 2013 (Lagarde-list discussion) where we managed to surpass our previous record of 1.66Gbps reaching 1.79Gbps. We knew that the previous solution could definitely be improved though. Wowza does not seem to scale very well in our environment(*cough* java *cough*), so we modified our setup quite a bit.

What we did was take the original Wowza streamer, and ‘hide’ it behind two different categories of ‘proxy-servers’ that clients communicate with. The first category is made of three varnish proxies sitting at two different datacenters. All clients that fetch HTTP streams communicate only with the varnish proxies and not with the original streamer. Varnish uses very few resources and scales wonderfully. Then we added an nginx-rtmp server to offload RTMP clients from the original streamer. Now all RTMP clients communicate with nginx-rtmp only. We’ve also notified website owners that prefer using our RTMP stream to serve it through their own (flash) applications to switch to the nginx-rtmp endpoint. This means that the original Wowza streamer now mainly serves the three varnish proxies and the nginx-rtmp server as ‘clients’, and since the VM now has far less load, the stream it provides to the ‘proxy-servers’ doesn’t get ‘chopped’ from time to time, as it did previously when it served hundreds of clients.
While each wowza streamer previously needed 6Gb of RAM to serve around 500-600Mbit of traffic, varnish needs <1Gb and can easily serve 900Mbit. Our nginx-rtmp server also uses <1Gb of RAM. So we’re actually using fewer resources to serve more (happier) clients!

This setup gives us a lot of flexibility and extensibility. We can easily scale it horizontally when we want to just by adding more varnish or nginx-rtmp servers.

With this setup we were able to achieve 3.55Gbps and serve more than 6000 clients last Sunday (10/11/2013), that’s double of our previous record!

Here are the graphs:
traffic.parliament.20131110.type

traffic.parliament.20131110.dc

Greek PGP Web of Trust 2012 edition

I’ve very glad for hosting this guest post. Dorothea put some real effort into it. So…enjoy!

—————————————————————————————————————–
In 2008 Patroklos Argyroudis created the first visualization of the greek PGP web of trust, based on information supplied mostly by people who attended a keysigning party at Thessaloniki. You can read his related posts at sysc.tl/tag/web-of-trust/ [0]
In 2012, during the second cryptoparty [1] at hackerspace.gr [2], George Kargiotakis suggested if someone wanted to update the network. I decided to undertake the task and you can see some of the visualizations below.

Visualizations:
1. Venn of persons that have signed others and of persons that have been signed by others
2. Greek PGP network for 2012
3. Trust in the 2012 Greek PGP network
4. Highlighting the persons who have signed more people
5. Do people trust more persons than they are trusted by?
6. Geolocation of individuals (globally)
7. Geolocation of individuals (in Greece)
8. Gender percentages
9. Educational and research institutes in the PGP network
10. Animation: Formation through time of associations that were active in 2012
11. Communities and the ten most important positions in the 2012 Greek PGP network according to Eigen value centrality

Additional sections:
12. Outline of methodology
13. Keyserver & keys used
14. Notes on methodology
15. Software and visualization notes
16. Problems encountered and how you can help
17. Future plans
18. Web references
19. Synopsis
20. Communication
21. Thanks
(more…)

How Vodafone Greece degrades my Internet experience

The title may sound a bit pompous, but please read on and you’ll see how certain decisions can cripple, or totally disrupt modern Internet services and communications as these are offered(?) by Vodafone’s mobile Internet solutions.

== The situation ==
I’ve bought a mobile Internet package from Vodafone Greece in order to be able to have 3G access in places where I don’t have access to wifi or ethernet. I am also using a local caching resolver on my laptop (Debian Linux), running unbound software, to both speed up my connections and to have mandatory DNSSEC validation for all my queries. Many of you might ask why do I need DNSSEC validation of all my queries since only very few domains are currently using DNSSEC, well I don’t have a reply that applies to everyone, let’s just say for now that I like to experiment with new things. After all, this is the only way to learn new things, experiment with them. Let’s not forget though that many TLDs are now signed, so there are definitely a few records to play with. Mandatory DNSSEC validation has led me in the past to identify and investigate a couple other problems, mostly having to do with broken DNSSEC records of various domains and more importantly dig deeper into IPv6 and fragmentation issues of various networks. This last topic is so big that it needs a blog post, or even a series of posts, of it’s own. It’s my job after all to find and solve problems, that’s what system or network administrators do (or should do).

== My setup ==
When you connect your 3G dongle with Vodafone Greece, they sent you 2 DNS servers (two out of 213.249.17.10, 213.249.17.11, 213.249.39.29) through ipcp (ppp). In my setup though, I discard them and I just keep “nameserver 127.0.0.1” in my /etc/resolv.conf in order to use my local unbound. In unbound’s configuration I have set up 2 forwarders for my queries, actually when I know I am inside an IPv6 network I use 4 addresses, 2 IPv4 and 2 IPv6 for the same 2 forwarders. These forwarders are hosted where I work (GRNET NOC) and I have also set them up to do mandatory DNSSEC validation themselves.
So my local resolver, which does DNSSEC validation, is contacting 2 other servers who also do DNSSEC validation. My queries carry the DNS protocol flag that asks for DNSSEC validation and I expect them to validate every response possible.

As you can see in the following screenshot, here’s what happens when I want to visit a website. I ask my local caching resolver, and that resolver asks one of it’s forwarders adding the necessary DNSSEC flags in the query.
The response might have the “ad” (authenticated) DNSSEC flag, depending whether the domain I’m visiting is DNSSEC signed or not.

[Screenshot of DNS queries]
dnssec_query

== The problem ==
What I noticed was that using this setup, I couldn’t visit any sites at all when I connected with my 3G dongle on Vodafone’s network. When I changed my /etc/resolv.conf to use Vodafone’s DNS servers directly, everything seemed work as normal, at least for browsing. But then I tried to query for DNSSEC related information on various domains manually using dig, Vodafone’s resolvers never sent me back any DNSSEC related information. Well actually they never sent me back any packet at all when I asked them for DNSSEC data.

Here’s an example of what happens with and without asking for DNSSEC data. The first query is without requesting DNSSEC information and I get a normal reply, but upon asking for the extra DNSSEC data, I get nothing back.
[Screenshot of ripe.net +dnssec query through Vodafone's servers]
no_dnssec_replies_by_vodafone

== Experimentation ==
Obviously changing my forwarders configuration in unbound to the Vodafone DNS servers did not work because Vodafone’s DNS servers never send me back any DNSSEC information at all. Since my unbound is trying to do DNSSEC validation of everything, obviously including the root (.) zone, I need to get back packets that contain these records. Else everything fails. I could get unbound working with my previous forwarders or with Vodafone’s servers as forwarders, only by disabling the DNSSEC validation, that is commenting out the auto-trust-anchor-file option.

Then I started doing tests on my original forwarders that I had in my configuration (and are managed by me). I could see that my query packets arrived at the server and the server always sent back the proper replies. But whenever the reply contained DNSSEC data, that packet was not forwarded to my computer through Vodafone’s 3G network.

More tests were to follow and obviously my first choice were Google’s public resolvers, 8.8.8.8 and 8.8.4.4. Surprise, surprise! I could get any DNSSEC related information I wanted. The exact same result I got upon testing with OpenDNS resolvers, 208.67.222.222 and 208.67.220.220. From a list of “fairly known” public DNS servers that I found here, only ScrubIT servers seems to be currently blocked by Vodafone Greece. Comodo DNS, Norton DNS, and public Verizon DNS all work flawlessly.

My last step was to try and get DNSSEC data over tcp instead of udp packets. Surprise, surprise again, well not at all any more… I could get back responses containing the DNSSEC information I wanted.

== Conclusion ==
Vodafone Greece for some strange reason (I have a few ideas, starting with…disabling skype) seems to “dislike” large UDP responses, among which are obviously DNS replies carrying DNSSEC information. These responses can sometimes be even bigger than 1500bytes. My guess is that in order to minimize hassle for their telephone support, they have whitelisted a bunch of “known” DNS servers. Obviously the thought of breaking DNSSEC and every DNSSEC signed domain for their customers hasn’t crossed their minds yet. What I don’t understand though is why their own DNS servers are not whitelisted. Since they trust other organizations’ servers to send big udp packets, why don’t they allow DNSSEC from their own servers? Misconfiguration? Ignorance? On purpose?

The same behavior can (sometimes -> further investigation needed here) be seen while trying to use OpenVPN over udp. Over tcp with the same servers, everything works fine. That reminds me I really need to test ocserv soon…

== Solution ==
I won’t even try to contact Vodafone’s support and try to convince their telephone helpdesk to connect me to one of their network/infrastructure engineers. I think that would be completely futile. If any of you readers though, know anyone working at Vodafone Greece in _any_ technical department, please send them a link to this blog post. You will do a huge favor to all Vodafone Greece mobile Internet users and to the Internet itself.

The Internet is not just for HTTP stuff, many of us use it in various other ways. It is unacceptable for any ISP to block, disrupt, interrupt or get in the middle of such communications.
Each one of us users should be able to use DNSSEC without having to send all our queries to Google, OpenDNS or any other information harvesting organization.

== Downloads ==
I’m uploading some pcaps here for anyone who wants to take a look. Use wireshark/tcpdump to read them.

A. tcpdump querying for a non-DNSSEC signed domain over 3G. One query without asking for DNSSEC and two queries asking for DNSSEC, all queries go to DNS server 194.177.210.10. All queries arrived back. The tcpdump was created on 194.177.210.10.
vf_non-dnssec_domain_query.pcap

B. tcpdump querying for a DNSSEC signed domain over 3G. One query without asking for DNSSEC and three queries asking for DNSSEC, all queries go to DNS server 194.177.210.10. The last three queries never arrived back at my computer. The tcpdump was created on 194.177.210.10.
vf_dnssec_domain_query.pcap

C. tcpdump querying for a DNSSEC signed domain over 3G. One query without asking for DNSSEC and another one asking for DNSSEC, all queries go to DNS Server 8.8.8.8. All queries arrived back. The tcpdump was created on my computer using the PPP interface.
vf_ripe_google_dns.pcap

Περί αναξιοπιστίας του κ. Βαξεβάνη

TL;DR
Ο Βαξεβάνης με την δημοσιοποίηση της “λίστας Lagarde” λέει πως ξεμπρόστιασε το σύστημα. Ο εισαγγελέας φαίνεται να θέλει να τον ελέγξει για τις πράξεις του. Δεν θα βρει τίποτα το μεμπτό και όλα καλά. Καθόλου καλά στην πραγματικότητα όμως, ο Βαξεβάνης δεν έκανε κάτι παράνομο, αλλά εκμεταλλεύτηκε την εμπιστοσύνη του κοινού του και έβαλε το προσωπικό του συμφέρον πάνω από όλους.

Ποιος κερδίζει από την δημοσιοποίηση;
Είναι περισσότερο από προφανές ελπίζω για όλους πως ο αρχικός κάτοχος της λίστας που δόθηκε με ανώνυμη επιστολή, κατά τα λεγόμενα του Βαξεβάνη, δεν ήταν κάποιος αδιάφορος. Κάτι ήθελε να πετύχει με αυτό. Θα μπορούσε να είναι ιδεολόγος και να επιζητεί την εξυγίανση της πολιτικής ζωής του τόπου υποκινούμενος από μια αέναη αναζήτηση διαφάνειας, είτε θα μπορούσε απλά να θέλει να βάλει κάποια παραπάνω ευρώ στην τσέπη του. Άλλος λόγος δεν υπάρχει. Έστω πως το έκανε για την διαφάνεια. Τι κερδίσαμε εμείς ως πολίτες με την δημοσιοποίηση κάποιων ονομάτων; Ο ίδιος ο Βαξεβάνης αναφέρει πως δεν είναι σίγουρα παράνομοι όλοι αυτοί στην λίστα. Άρα μάθαμε κάποια ονόματα που ίσως έχουν εμπλακεί σε παράνομες δραστηριότητες. Υπάρχει δηλαδή κάποια υπόνοια πως ίσως αυτοί έχουν παρανομήσει, αλλά δεν το ξέρουμε και σίγουρα. Το αφήνουμε να αιωρείται. Και πάλι, εγώ ως πολίτης τι κερδίζω; Ακόμα και αν υποθέσουμε πως το ΣΔΟΕ είχε επιτέλους αποφασίσει να ελέγξει όλους αυτούς της λίστας ή έστω μιας “έκδοσης” της λίστας που ήδη είναι στα χέρια της εισαγγελίας, για παράνομες δραστηριότητες, τότε ακόμα και ένας καημενίδης που δεν τον είχε πληροφορήσει το “σύστημα” πως είναι μέσα στην λίστα, τώρα πλέον το έχει μάθει. Άρα θα κάνει ό,τι είναι δυνατόν ώστε να κρύψει τις λαμογιές του.
Άρα αν υπήρχε μια ελάχιστη ελπίδα πως το κράτος θα έκανε ελέγχους και θα εισέπραττε έστω και μισό ευρώ από τις παρανομίες κάποιων της λίστας, ο Βαξεβάνης φρόντισε να τους ειδοποιήσει όλους.
Εγώ ως πολίτης έμαθα κάποια ονόματα από τα οποία πλέον είναι αδύνατον να υπάρξει το παραμικρό κέρδος για το κράτος και κατ’ επέκταση για την κοινωνία. Από την άλλη μου κάλυψε μια τεράστια φαγούρα που είχα σχετικά με το ποιοι έχουν βγάλει χρήματα στην Ελβετία άρα έχουν ένα παραπάνω κομπόδεμα. Άντε οι λεύτερες διαβάστε καλά την λίστα και ορμήξτε σε όλους τους εργένηδες που βλέπετε εκεί μέσα. Μόλις η λίστα Lagarde έγινε λίστα γάμου…στην καλύτερη.

Αν τη λίστα την είχε παραδώσει στην εισαγγελία πριν την δώσει ο Βενιζέλος, χωρίς να δημοσιοποιήσει τα ονόματα, τότε θα είχε κάνει κάτι χρήσιμο. Τώρα αυτό που έκανε δεν έχει καμία χρησιμότητα. Μια αμφιβόλου αξίας λίστα υπάρχει ήδη στα χέρια της δικαιοσύνης.

Το μεγάλο λάθος
Ο Βαξεβάνης φρόντισε να βγάλει έκτακτο τεύχος του περιοδικού του με εκτυπωμένα τα ονόματα της λίστας που του παραδόθηκε. Το περιοδικό φυσικά δεν είναι δωρεάν αλλά έχει τιμή πώλησης 2.5€. Ταυτόχρονα ο Βαξεβάνης δεν έχει ανεβάσει την λίστα αυτή στο site του ώστε “να ενημερωθεί ο κόσμος δωρεάν”. Άρα σκοπός του είναι αποκλειστικά η πώληση του περιοδικού και όχι η ενημέρωση του κοινού. Από νωρίς το πρωί του Σαββάτου διάφορα sites έχουν scan-άρει τις σελίδες του περιοδικού και τις έχουν αναρτήσει στις σελίδες τους. Αυτό σημαίνει μείωση πωλήσεων. Έστω πως ο Βαξεβάνης έχει βρει διαστημικά κόλπα και εκτυπώνει το περιοδικό του πάμφθηνα και κερδίζει ακόμα και 1€ από την κάθε πώληση, ποσό εξωπραγματικό για όσους έχουν ασχοληθεί έστω και ελάχιστα με περιοδικά, και έστω πως πούλησε και 100.000 αντίτυπα. Μέγιστο κέρδος 100.000€. Άντε να έκανα λάθος στους υπολογισμούς και να είναι και 150.000€, και 200.000€. Όσο μεγαλύτερο το ποσό τόσο μεγαλύτερο το ατόπημα στην πραγματικότητα. Υπάρχει άνθρωπος που πιστεύει πως ο Βαξεβάνης δεν ήξερε τα μπλεξίματα που θα έχει με την δικαιοσύνη και θα έκανε όλη αυτή την ιστορία για αυτά τα 30 αργύρια από τα οποία θα φάει τα μισά και παραπάνω σε δικηγόρους; Η μήπως κάποιος όντως πιστεύει πως ο ανώνυμος αποστολέας του έδωσε όντως την λίστα χωρίς αντάλλαγμα;
Μας έδωσε μια άχρηστη για εμάς τους πολίτες πληροφορία, την οποία εξαργυρώνει με πωλήσεις, γνωρίζοντας πως θα γίνει φασαρία για το θέμα. Και φυσικά θα γίνει και ντόρος γύρω από το όνομά του.
Αν ο Βαξεβάνης ήθελε να ενημερώσει απλά το κοινό είχε 1002 τρόπους να το κάνει εντελώς δωρεάν και γι’ αυτόν και για όλους μας. Αντιθέτως επέλεξε τον μοναδικό κατά τον οποίο ο μόνος που έχει όφελος είναι ο δικός του τραπεζικός λογαριασμός. Άραγε είναι στην Ελβετία ο δικός του; μμμμ…

Ο “χαμένος” πληροφοριοδότης
Ο κάθε δημοσιογράφος που κάνει έρευνα έχει τους πληροφοριοδότες του. Αυτούς τους κρατάει με νύχια και με δόντια να μην τους χάσει. Αυτοί του δίνουν δουλειά, αυτός τους το ξεπληρώνει. Όπως μπορεί. Αν ήσασταν εσείς ο πληροφοριοδότης του Βαξεβάνη και του δίνατε την λίστα δωρεάν, θα σας άρεσε να βγάλει ο Βαξεβάνης χρήματα, είπαμε το περιοδικό δεν είναι τζάμπα, με τον δικό σας κόπο χωρίς να βγάλετε το παραμικρό κέρδος; Προφανώς όχι. Δεν θα του ξαναδίνατε τίποτα. Και ο Βαξεβάνης δεν είναι τόσο χαζός να χάσει ένα τέτοιο πληροφοριοδότη που έχει άκρες να του δίνει τέτοια “σημαντικά” στοιχεία. Άρα όχι απλά βρωμάει η ιστορία, αλλά το παραμύθι με τον “ανώνυμο αποστολέα” είναι πιο γελοίο από οτιδήποτε άλλο. Πρέπει η σκέψη σου να είναι πραγματικά παιδική ακόμα για να πιστέψεις πως κάποιος “ανώνυμος” χάρισε την λίστα και δεν την πούλησε. Δεν είναι και λίγοι αυτοί που την έψαχναν για να την βγάλουν στον αέρα…με το αζημίωτο φυσικά. Άρα ας σκεφτούμε τα κίνητρα του πληροφοριοδότη λίγο παραπάνω. Και έπειτα τα κίνητρα του “μεταφορέα” της πληροφορίας…

wikileaks.gr ή μήπως όχι;
Κάποιοι συγκρίνουν το wikileaks με αυτό που έκανε ο Βαξεβάνης. Μα πάτε καλά; #FreeVaxevanis; Από που και ως που; Ο Βαξεβάνης είπε ξεκάθαρα, δώσε μου 2.5€ αν θες να μάθεις τα ονόματα. Αυτό δεν έχει γίνει ποτέ από το wikileaks και μην μιλήσει κανείς για το κόστος της “πληροφορίας”. Προφανώς το κόστος λειτουργίας των 2 “οργανισμών” είναι χαοτικά διαφορετικό. Επίσης, δωρεάν δεν είπε πως το πήρε το USB από τον ανώνυμο αποστολέα; Τι συζητάμε για κόστος;
Ας μην ξεχνάμε επίσης πως το wikileaks ασχολείται κυρίως με κρατικά και στρατιωτικά μυστικά και λιγότερο έως ελάχιστα με συναλλαγές ιδιωτών, που μπορεί μάλιστα και να είναι αθώοι…Ο Βαξεβάνης δεν έβγαλε κάποια πληροφορία που να δείχνει πως κάποιος συγκεκριμένος κρατικός λειτουργός δεν έκανε τη δουλειά του σωστά. Για την ακρίβεια ο Βαξεβάνης δεν έκανε καμία δημοσιογραφική έρευνα στο συγκεκριμένο θέμα. Του δόθηκε μια λίστα, την επεξεργάστηκε και την δημοσίευσε. Ούτε έρευνα ούτε τίποτε άλλο.

Αν ο Βαξεβάνης και ο κάθε δημοσιογράφος, πολιτικός, μέλος μιας πολιτικής ομάδας, ακτιβιστής, κτλ θέλει να βγάλει δημόσια και ανώνυμα μια πληροφορία, αυτό είναι απόλυτα εφικτό με την σημερινή τεχνολογία. Αν δεν ξέρει το πως, ας έρθει στο cryptoparty που θα κάνουμε σε λίγες μέρες στην Αθήνα και θα το μάθει…Αν όμως θέλει να κάνει μόστρα και όχι απλά να “ενημερώσει” το κοινό…ε τότε δεν του φταίει κανείς.

Είναι τα ονόματα αυτά τα αρχικά ονόματα της λίστα Lagarde;
Άντε και όντως βρίσκει ο Βαξεβάνης μια δικαιολογία για τον λόγο που δημοσιοποίησε την λίστα, ποιος διασφαλίζει πως τα ονόματα δεν έχουν υποστεί επεξεργασία; Βασιζόμαστε στον λόγο και την τιμή του Βαξεβάνη. Ή μάλλον στον “ανώνυμο αποστολέα” και στον Βαξεβάνη. Ή καλύτερα σε αυτόν που το έδωσε στον ανώνυμο αποστολέα και πάει λέγοντας. Η λίστα μπορεί να έχει μεταβληθεί από τον κάθε ενδιάμεσο, είτε προσθέτοντας είτε αφαιρώντας ονόματα. Και φυσικά μια τέτοια προσθαφαίρεση κάτι δεν θα κοστίζει; Ο βράχος της δημοσιογραφίας γιατί δεν έδωσε την λίστα σε ειδικούς για να μελετήσουν το USB και το αρχείο για να εντοπίσουν αν έχει υποστεί επεξεργασία; Επίσης πιστεύει κανείς πως αν κάποιος είχε παράνομα εξάγει χρήματα θα το έκανε με το ονοματεπώνυμό του και όχι ξεπλένωντάς τα μέσω 15 offshore; Δηλαδή πόσο χαζός μπορεί να είναι κανείς; Εντάξει όχι χαζός, αθώος…ή απλά τηλεθεατής.

Έρευνα; Αυτός ο άγνωστος
Ναι, έρευνα! Έρευνα θα ήταν να μελετούσε το αρχείο με ειδικούς και να μας ενημέρωνε πως κάποια ονόματα έχουν διαγραφεί ή προστεθεί στην αρχική λίστα. Ναι, θα μπορούσε να γίνει κάτι τέτοιο (υπό συνθήκες). Έρευνα θα ήταν να κατάφερνε να βρει ποιος από το γραφείο του Χ υπουργού “έχασε” το αρχείο. Έρευνα θα ήταν πολλά άλλα πράγματα, αλλά όχι αυτό που έκανε.

Ε και τι να έκανε ο Βαξεβάνης;
Έστω πως ξυπνάς μια μέρα και βρίσκεις στην πόρτα σου την λίστα Lagarde. Τι θα έκανες; Για αρχή θα έκανες κάποια αντίγραφα ασφαλείας και θα τα έστελνες στα πέρατα της γης..ας είναι καλά το “cloud” (έτσι για να προσθέτουμε και buzzwords στο post). Έπειτα θα μπορούσες να πας στον εισαγγελέα και να του πεις: “ωπ κοίτα τι βρήκα στην πόρτα μου, έχει το συγκεκριμένο αρχείο τα ίδια ονόματα με αυτά που σου έδωσε ο Σαμαράς/Benny;” Ταυτόχρονα ανακοινώνεις στο κοινό πως παρέδωσες και εσύ μια λίστα, πως έχεις αντίγραφο/α από αυτήν φυσικά, και αφήνεις πλέον τον κόσμο να πιέζει τους πολιτικούς και την δικαιοσύνη να βγάλουν άκρη όσο το δυνατόν πιο γρήγορα. Μη μου πεις πως πιστεύεις πως η λίστα που έδωσε ο Βενιζέλος στον Σαμαρά δεν έχει υποστεί επεξεργασία…αν ο πληροφοριοδότης σου είναι καλός ίσως έχει αντίγραφο της λίστας προτού την πάρει ο Βενιζέλος ή ο Παπακωνσταντίνου ή ο Διώτης ή ή ή…εκτός και αν είσαι σίγουρος πως είναι ίδια η λίστα. Αλλά πως μπορεί να είσαι σίγουρος εσύ ως δημοσιογράφος αφού υποτίθεται δεν έχεις δει την λίστα που έχει ο εισαγγελέας στα χέρια του; Εκτός αν σου είπαν πως είναι η ίδια με του εισαγγελέα, αλλά τότε δεν μπαίνεις στην διαδικασία να αναρωτηθείς ως δημοσιογράφος, “ρε μπας και έχει υποστεί αλλαγή η λίστα και δεν είναι η αυθεντική; μπας και έχει λάθος στοιχεία μέσα; Πώς μπορώ να είμαι σίγουρος για τα περιεχόμενό της;” Όχι ε;

Αν υποθέσουμε πως το σάπιο πολιτικό σύστημα είναι ένας παλαιστής του Sumo, είναι εντελώς ηλίθιο να κατέβω εγώ να το πολεμήσω σε ένα γήπεδο του Sumo. Αν θέλω να νικήσω τον παλαιστή θα τον αναγκάσω να έρθει σε αγώνα ταχύτητας μαζί μου. Εκεί θα χάσει. Ο Βαξεβάνης επέλεξε να παίξει Sumo με το σύστημα. Επιλογή του. Αλλά είναι δεδομένο πως θα χάσει. Και δεν μπορεί να είναι τόσο χαζός και να μην το ξέρει πως θα χάσει.

Εκτός και αν…
Εκτός και αν την λίστα την έδωσε το ίδιο το σύστημα. Κράτος ή παρακράτος, μικρή διαφορά έχει. Μια λίστα επεξεργασμένη, με μηδαμινό αντίκτυπο και κόστος για το πολιτικό σύστημα πια. Ελάχιστοι πολιτικοί αναφέρονται μέσα στα ονόματα της λίστας, άρα “το πολιτικό σύστημα βγήκε καθαρό”. Λάθος, το έβγαλε καθαρό. Μάλιστα οι καλοί μας οι πολιτικοί παρέδωσαν την λίστα και στον εισαγγελέα για “περαιτέρω έρευνα”. Το ΣΔΟΕ δεν έκανε καλά την δουλειά του λοιπόν…α και εσύ Βαξεβάνη μόλις φρόντισες να μην μπορέσει σε καμία περίπτωση να την κάνει. Όλοι χαρούμενοι. Κοινώς μόλις εσύ ο αντι-συστημικός έγινες το καλύτερα γυαλισμένο γρανάζι του συστήματος. Και δεν είσαι χαζός για να το κάνεις χωρίς κάποιο κέρδος…

Μα δες που έχει μπλέξει τώρα! Τι είναι αυτά που λες;;
Ναι, τον κυνηγάει ο εισαγγελέας! Για μια λίστα που αναφέρει μόνο ονόματα και όχι άλλα στοιχεία. Τα ονόματα δεν είναι ευαίσθητα προσωπικά δεδομένα από μόνα τους, είναι απλά προσωπικά δεδομένα. Και αυτός ο καημένος απλά πήρε ένα ανώνυμο tip, και έβαλε και disclaimer πως δεν είναι σίγουρος πως είναι παράνομοι όλοι αυτοί! Δεν θα διωχθεί ούτε για δημοσιοποίηση ευαίσθητων προσωπικών δεδομένων ούτε για υποκλοπή δεδομένων από κάποια υπηρεσία. Όλα μέλι γάλα. [1]
“Μα που είναι η ελευθεροτυπία και η ελευθερία του λόγου σε αυτή τη χώρα” αναρωτιούνται όλοι στο twitter και στα υπόλοιπα “social media”. Συγχαρητήρια, μόλις πετάξατε την μπάλα έξω από το γήπεδο. Ο Βαξεβάνης λέει, πως γίνεται να με κατηγορείτε εμένα γι’ αυτό που έκανα και που δεν είναι καν πταίσμα, ενώ εσείς οι πολιτικοί έχετε κάνει τόσα και τόσα. Μα καλέ μου Βαξεβάνη, είναι δυνατόν να ζητάς από την “ανεξάρτητη δικαιοσύνη” να βγεις λάδι και να μην γίνει ούτε καν έρευνα, βασιζόμενος στο γεγονός πως κάποιος άλλος την έβγαλε και αυτός λάδι; Αυτό μας οδηγεί σε ένα ατέρμονο loop…”Μη με κατηγορείτε εμένα γιατί ξέρω και άλλους βρωμιάρηδες που έχουν βγει λάδι.” Δηλαδή επειδή το σύστημα, το οποίο εσύ καταγγέλεις ως σάπιο, αθωώνει κάποιους άλλους, ζητάς να έχεις και εσύ την ίδια μεταχείριση. Αν αυτοί που βγαίνουν λάδι είναι λαμόγια, εσύ τι ζητάς; Να γίνεις και εσύ ένα από αυτά;
Είναι δυνατόν κ. δημοσιογράφε να πιστεύεις πως θα παίξεις με τους κανόνες του συστήματος για να ρίξεις το σύστημα; Δεν είσαι τόσο χαζός. Δεν γίνεται να είσαι τόσο χαζός. Κάτι άλλο συμβαίνει.

Από την Αυριανή στον Βαξεβάνη
Η κάθε εποχή έχει τους δικούς της “δημοσιογράφους” που υποτίθεται δουλεύουν κόντρα στο σύστημα. Πριν καμιά 15-20 χρόνια ήταν η Αυριανή και ο πανίσχυρος τότε Κουρής, μετά μπλέχτηκε και αυτός με το σύστημα και τον έφαγε η μαρμάγκα. Έπειτα ήρθε ο Μάκης με τις καταγγελίες του ενάντια σε όλους και όλα. Η διαφάνεια είχε επιτέλους βρει τον υπερ-ηρωά της. Ξημεροβραδιάζοταν κόσμος βλέποντας να ξεμπροστιάζονται άνθρωποι στις εκπομπές του, κανείς δεν τον σταματούσε. Και τελικά; Τι έγινε με όλες αυτές τις περιπτώσεις; Ξεκαθάρισε κάτι; Έφτιαξε το σύστημα ή μήπως χώθηκαν όλοι λίγο παραπάνω στο βούρκο; Και σιγά σιγά το σύστημα τον κατανάλωσε και είναι και αυτός πλέον στο περιθώριο. Έπειτα ήρθε ο τρωκτικός-Γκόλιας. Μια από τα ίδια, μέχρι που αυτόν όντως τον έφαγε η μαρμάγκα. Σήμερα είναι ο Βαξεβάνης. Σε ακριβώς τον ίδιο ρόλο με τους προηγούμενους. Ο κατατρεγμένος μαχητικός δημοσιογράφος που πολεμάει το σύστημα. Μια λεπτομέρεια μόνο, το σύστημα δεν θα πέσει από κάποιους που συνδιαλέγονται και συναλλάσσονται μαζί του. Αυτοί είναι μέρος του. Το ταΐζουν και τους ταΐζει.

Αυτή τη βδομάδα στις μικρές σας οθόνες
Δεν θέλει καθόλου φαντασία για να δούμε τι θα γίνει από Δευτέρα. Οι μισοί “έγκριτοι” δημοσιογράφοι θα κυνηγάνε το θέμα της ημέρας: “Τι περιέχει η λίστα του Βαξεβάνη”. Οι άλλοι θα ασχολούνται με το “ποιος είναι τελικά ο τάδε καραβοκύρης που έχει βγάλει τόσα λεφτά στην Ελβετία;” Ψιτ, οι καραβοκύρηδες δεν πληρώνουν φόρους σύμφωνα με νόμο του κράτους..όσα λεφτά και να έχει βγάλει στην Ελβετία κατά 99.99999999% είναι νομιμότατα. Το Star θα ασχολείται με το που πήγαν διακοπές οι celebrities της λίστας και ο λαός θα αποχαυνώνεται μπροστά στο χαζοκούτι. Α, και εντελώς τυχαία αυτή τη βδομάδα έχουμε να περάσουμε και κάτι μέτρα μωρέ από την Βουλή, δεν ξέρω αν το θυμάστε ακόμα. Το ξεχάσατε ε; Ώρε δες συμπτώσεις…έκτακτο τεύχος…για έκτακτες ανάγκες.

Και άλλες λίστες;
Ε ναι λοιπόν το παραδέχομαι. Έχω και εγώ στα χέρια μου την λίστα Lagarde και όχι μόνο όμως. Έχω άλλη μια λίστα που δεν έχει κυκλοφορήσει ακόμα και έχει λογαριασμούς από μια άλλη ελβετική τράπεζα, την UBS. Για να μην ξεφύγουν όλα τα ονόματα έχω φτιάξει ένα σύστημα [2] με το οποίο θα βλέπετε το πολύ 30 ονόματα τη φορά. Φτάνουν. Και σας τα δίνω και τζάμπα…

Λίστα Lagarde
Λίστα UBS

Όσο έμπιστη είναι η λίστα του Βαξεβάνη τόσο έμπιστη είναι και η δική μου λίστα. Και όσες άλλες λίστες παρουσιαστούν.

Και για όποιον δεν το έπιασε (να το κοιτάξει) οι παραπάνω “λίστες” δίνουν απλά τυχαία ονόματα. Μπορεί κάποιος να φτιάξει μια λίστα με τους καλύτερους μάγειρες της Αθήνας ή αυτούς που πουλάνε σκυλάκια με μία βούλα στην πλάτη, κτλ, κτλ.

Τέλος, φτάνει
Αν έχουμε φτάσει να βασίζουμε την ελευθερία μας πάνω σε ένα και μόνο δημοσιογράφο που υποτίθεται πως κάνει έρευνα με τέτοιο τρόπο τότε είμαστε άξιοι της μοίρας μας. Δουλειά των δημοσιογράφων αλλά και των πολιτών είναι να ελέγχουν το πολιτικό σύστημα. Και εδώ πρέπει ο καθένας μας να αναλάβει τις ευθύνες του και να μην μεταβιβάζει τις όποιες ελπίδες του για διαλεύκανση στον Βαξεβάνη και στον κάθε μελλοντικό Βαξεβάνη. Είμαστε όλοι συνυπεύθυνοι.

Δεν μου αρκεί ο Βαξεβάνης και ο κάθε Βαξεβάνης να έχει βγάλει 5 σωστές ειδήσεις και να είναι καλύτερος από τους υπόλοιπους δημοσιογράφους. Όχι, έχω πολύ υψηλότερα standards. Θέλω να είναι πάντα καλός και να κάνει πάντα σωστά την δουλειά του. Και τώρα έκανε ένα πάρα πολύ μεγάλο λάθος. Έβγαλε μια αδιάφορη για τον κόσμο είδηση, η οποία ήξερε πως θα προκαλέσει αντιδράσεις, ώστε να εκμεταλλευτεί την εύνοια του κόσμου και να κάνει ντόρο γύρω από το όνομά του. Στα δικά μου μάτια είναι πλέον πλήρως αναξιόπιστος.

[1] και τελικά αυτό ΑΚΡΙΒΩΣ ισχυρίστηκε ο Βαξεβάνης: http://news.in.gr/greece/article/?aid=1231219599 Πρέπει να γίνω προφήτης τελικά…
[2] Όποιος θέλει να δει πως δουλεύει το σύστημα αρκεί να ανοίξει το παρακάτω αρχείο: http://83.212.100.216/make_a_list.txt

*Experimental* Chrome extension containing Greek HTTPS-Everywhere rules

I’ve just uploaded an experimental version of HTTPS-Everywhere Google Chrome extension containing Greek rules.

You can find it on https-everywhere-greek-rules downloads page on github.

To install it, download the .crx from github, open Extensions Settings and drag the downloaded .crx on the Extensions page. It will prompt you to install it.

After installation you can visit www.void.gr or www.nbg.gr to test it. You should be seeing a new icon on the left of the url bar to notify you that HTTPS-Everywhere applied some rules.

I’ve tested it on Google Chrome Version 21 on Linux and it seems to work ok. If you have any problems open up an issue on github.

Happy safer surfing…

Greek rules for HTTPS Everywhere

HTTPS Everywhere is a browser addon by EFF whose job is to redirect you to the HTTPS versions of certain, whitelisted, web sites. What this means is that HTTPS Everywhere protects your communication with those websites by forcing them to be encrypted.

The current HTTPS Everywhere ruleset lacks any Greek websites, so I started yet-another-list to create rules for Greek websites. This is the fourth list I’m maintaing after GrRBL, Greek Spammers Blacklist and Greek AdblockPlus Filter rules and it is the only one where being included is actually a good thing.

You can find some more info about Greek rules for HTTPS Everywhere on my github page.

Until the rules get adopted upstream by HTTPS Everywhere team, in order to use them you should download the rules and place them inside your Firefox profile directory. But first of all you need to install the plugin/extension/addon/call-me-whatever-you-want by going to HTTPS Everywhere page.

Step 1: Instructions for Linux users
Go to the HTTPSEverywhereUserRules directory inside your firefox profile directory:

$ cd .mozilla/firefox/XYZXYZXYZ.default/HTTPSEverywhereUserRules/
(XYZXYZXYZ will be different in your machine)

and download the current Greek ruleset:
$ wget https://raw.github.com/kargig/https-everywhere-greek-rules/master/Greek.xml

Step 1: Instructions for Windows users
Download https://raw.github.com/kargig/https-everywhere-greek-rules/master/Greek.xml with your favorite browser.
Then, according to this Mozilla support page, open Fifefox, go to Help->Troubleshooting Information and under the Application Basics section, click on Open Containing Folder. There a window will appear and you should copy the previously downloaded Greek.xml file inside the HTTPSEverywhereUserRules folder.

Step 2: Instructions for any OS
Either restart your browser to load the new rules or click the HTTPS Everywhere icon beside the url bar, select “Disable HTTPS Everywhere”, then click it again and select “Enable HTTPS Everywhere”. The new rules should now be loaded, you can test by going to http://void.gr and it should immediately redirect you to https://void.gr

Some notes
The ruleset is experimental. If you find any problems please report them as issues to github.
If you want a Greek website added to the list, either report it as a new issue on github or fork the repository, add your own rules and open a pull request.

A small rant
I found some webmails in Greece that don’t even offer HTTPS as an option to the user. They ‘POST’ user details, including passwords of course, over unencrypted HTTP connections. I will be updating a text file called hallofshame.txt inside the github reposity of Greek rules for HTTPS Everywhere with such websites. I am planning to inform the operators of such websites every now and then, so if you know any other cases please open up new issues so we can help protect innocent users.

A big rant on current HTTPS status of top Greek websites
The status of HTTPS support on top 100 Greek websites (according to Alexa) is SAD. No wait, it is EXTEMELY SAD. Out of these 100 websites, taking into account only the ones that are actually run by Greeks, that means excluding Google, Facebook, Youtube, LinkedIn, etc, only 2, yes you read correctly, just two websites offer HTTPS support.
The reason 95% the others don’t is probably because they are based on Akamai-zed services and either don’t have the money to buy Akamai’s HTTPS products or don’t have the technical skills to do it properly.

If you don’t run an Akamai-zed website and want a completely free 1-year SSL certificate please visit https://www.startssl.com/. If you need professional help with your setup please don’t hesitate to contact.

There’s a very good (financial) explanation why these high traffic Greek sites have prefered Akamai’s services and haven’t deployed their own servers in Greece but this will be the content of another blog post coming soon.

Η πρώτη απόφαση λήψης τεχνολογικών μέτρων παρεμπόδισης της πρόσβασης χρηστών σε ιστοσελίδες

Από δελτίο τύπου του Οργανισμού Πνευματικής Ιδιοκτησίας:

…στις 16 Μαΐου 2012 δημοσιεύθηκε η απόφαση 4658/2012 του Μονομελούς Πρωτοδικείου Αθηνών, η οποία έκανε δεκτό αίτημα οργανισμών συλλογικής διαχείρισης δικαιωμάτων επί μουσικών και οπτικοακουστικών έργων να υποχρεωθούν εκτός άλλων οι ελληνικές εταιρίες παροχής υπηρεσιών σύνδεσης στο διαδίκτυο να λάβουν τεχνολογικά μέτρα προκειμένου να καταστεί αδύνατη η πρόσβαση των συνδρομητών τους σε διαδικτυακές τοποθεσίες μέσω των οποίων πραγματοποιείται παράνομη παρουσίαση και ανταλλαγή έργων. Η απόφαση εφαρμόζει ουσιαστικά για πρώτη το άρθρο 64 Α του ν. 2121/1993 που ενσωματώνει πρόβλεψη Οδηγίας της Ευρωπαϊκής Ένωσης για τη δυνατότητα λήψης ασφαλιστικών μέτρων κατά των διαμεσολαβητών (παρόχων υπηρεσιών διαδικτύου), οι υπηρεσίες των οποίων χρησιμοποιούνται από τρίτο για την προσβολή του δικαιώματος του δημιουργού ή συγγενικού δικαιώματος. Παρόμοιες αποφάσεις έχουν ήδη εκδοθεί σε άλλα κράτη μέλη της Ευρωπαϊκής Ένωσης και αποσκοπούν στην προστασία της πνευματικής ιδιοκτησίας στο διαδίκτυο χωρίς να θίγονται τα δικαιώματα των χρηστών….

Την πλήρη απόφαση μπορείτε να την διαβάσετε εδώ: 4658/2012
*Update*
Επειδή το site του ΟΠΙ δεν παρέχει πια την απόφαση, την έχω ανεβάσει εδώ: Απόφαση-του-Πρωτοδικείου-Αθηνών-για-την-αντιμετώπιση-της-διαδικτυακής-πειρατείας

Γιατί είναι σημαντική αυτή η απόφαση για τους χρήστες
Για πρώτη φορά στην Ελλάδα δικαστήριο επιβάλλει συγκεκριμένα τεχνικά/τεχνολογικά μέτρα παρεμπόδισης της πρόσβασης χρηστών σε ιστοσελίδες/servers. Σήμερα μπορεί να είναι μια ιστοσελίδα που παρέχει “πειρατικό” περιεχόμενο και ο ιδιοκτήτης της βγάζει χρήματα μέσω των διαφημίσεων, αύριο μπορεί να είναι ένα site που ο ιδιοκτήτης του δεν βγάζει χρήματα και μεθαύριο ένα πολιτικό site, ένα θρησκευτικό site, ένα blog που διαφωνεί με τις μεθόδους μιας εταιρίας, μιας κυβέρνησης, κτλ. Οπότε πρέπει ως χρήστες να ξέρουμε τι επιβάλλει το δικαστήριο και να δούμε πως εμείς, ως μέλη της κοινωνίας του Internet, μπορούμε να κάνουμε κάτι για να ακυρώσουμε στην πράξη μια τέτοια απόφαση αν πιστεύουμε πως αυτή είναι λανθασμένη.

Τι περιγράφει η απόφαση
Η απόφαση περιέχει μια λεπτομερή τεχνική έκθεση που εξηγεί πως δουλεύει ένα site, ποια πρωτόκολλα χρησιμοποιούνται από τα μηχανήματα των χρηστών/πελατών για να αποκτήσουν πρόσβαση στο site και έπειτα περιγράφει τρόπους να διακοπεί η σύνδεση των χρηστών με ένα site. Οι τρόποι που παρουσιάζονται είναι οι εξής 2:
Ι) Εφαρμογή κατάλληλων φίλτρων στους δρομολογητές (routers) των ISPs ώστε να αποκλειστεί οποιαδήποτε κίνηση καταλήγει σε συγκεκριμένη IP.
ΙΙ) Εφαρμογή κατάλληλης ανακατεύθυνσης, μέσω τροποποίησης των DNS εγγραφών στους nameservers του κάθε ISP ώστε, ώστε τα αιτήματα προς συγκεκριμένα domains να καταλήγουν σε διαφορετικούς ιστοτόπους. Αυτοί οι ιστότοποι θα μπορούσαν να περιέχουν και ένα προειδοποιητικό μύνημα ώστε να καταλαβαίνουν οι χρήστες γιατί δεν έχουν πρόσβαση στο κανονικό site, όπως αναφέρει το η έκθεση.

Από αυτούς τους 2 τρόπους, στην απόφαση επιβάλλεται η χρήση μόνο του τρόπου (I) ως τεχνολογικό μέτρο διακοπής της πρόσβασης στις “παραβατικές” ιστοσελίδες.

Τα προβλήματα της απόφασης
Τα προβλήματα της απόφασης για μένα είναι αρκετά. Κάποια αναφέρονται και στην ίδια την τεχνική έκθεση που περιέχεται στην απόφαση.
Συγκεκριμένα αναφέρει:

Αν και υπάρχουν δυνατότητες παράκαμψης των συγκεκριμένων τεχνικών μέσων από την μεριά των χρηστών του διαδυκτύου, οι τεχνικές αυτές είναι άγνωστες στη μεγάλη πλειονότητα των πελατών (συνδρομητών) των ISP, που είναι οι δυνητικοί επισκέπτες των ιστοτόπων στους οποίους έχει διακοπεί η πρόσβαση.

Θα αναφερθώ μόνο στα πολύ βασικά όμως…
α) Καταρχήν τα sites έχουν αλλάξει IPs. Το www.ellinadiko.com πλέον δεν δείχνει στην IP που αναφέρεται στην απόφαση, για την ακρίβεια δεν δείχνει πουθενά αυτή τη στιγμή, ενώ το www.music-bazaar.com λειτουργεί αλλά δείχνει σε διαφορετική IP. Άρα η εφαρμογή της οδηγίας (Ι) είναι πρακτικά άχρηστη ως προς τους σκοπούς της απόφασης χωρίς πολλά πολλά. Από την άλλη όμως μπορεί να δημιουργήσει προβλήματα πρόσβασης σε άλλα sites που μπορεί αυτή τη στιγμή να φιλοξενούνται σε εκείνες τις IP για τις οποίες πρέπει να μπουν φίλτρα. Άρα αν εφαρμοστεί η απόφαση ως έχει κινδυνεύει να διακοπεί η πρόσβαση στο site μιας ελληνικής ή ξένης εταιρίας ή προσώπου χωρίς να φταίει σε τίποτα! Ακόμα να μην είχαν αλλάξει IPs τα sites αυτά όμως, πάλι προκύπτει πρόβλημα. Η σύγχρονη τεχνολογία, των τελευταίων 15+ ετών, επιτρέπει την φιλοξενία πολλαπλών ιστοτόπων στην ίδια IP μέσω της τεχνολογίας virtual hosting, κάτι που εφαρμόζεται κατά κόρον ώστε να εξοικονομηθούν IPs. Αυτό έχει σαν αποτέλεσμα πως αν αποτραπεί η κίνηση προς μία συγκεκριμένη IP από ένα φίλτρο ενός ISP, τότε παρεμποδίζεται και η κίνηση προς όλα τα υπόλοιπα sites που φιλοξενούνται στην ίδια IP. Άρα υπάρχει πιθανότητα “τιμωρίας” αθώων ανθρώπων που δεν έχουν κάνει απολύτως τίποτα.

β) Η τεχνική έκθεση και η απόφαση περιέχει συγκεκριμένα domains που θα πρέπει να εφαρμοστεί το (II). Αυτό όμως δεν εμποδίζει σε τίποτα τον διαχειριστή της “προβληματικής” ιστοσελίδας να αλλάξει αύριο domain κρατώντας ακριβώς το ίδιο περιεχόμενο. Οπότε εμποδίζοντας την πρόσβαση στους πελάτες πίσω από ένα ISP σε ένα συγκεκριμένο domain δεν καταφέρνεις και πολλά. Ακόμα όμως και να μην αλλάξει domain ο διαχειριστής μιας και υπάρχουν ελέυθεροι nameservers (Google Public DNS, OpenDNS, κ.α) στο Internet, το μόνο που θα είχε να κάνει ο χρήστης θα ήταν να χρησιμοποιήσει αυτούς έναντι των nameservers του ISP του. Άρα πάλι τα τεχνικά μέτρα είναι εντελώς ανεπαρκή ως προς τον σκοπό της απόφασης. Πέραν αυτού και λόγω της προτεινόμενης ανακατεύθυνσης που προτείνει η τεχνική έκθεση τίθεται και ένα θέμα ιδιωτικότητας σε περίπτωση που εφαρμοζόταν το μέτρο (ΙΙ). Λόγω της ανακατεύθυνσης όλοι οι πελάτες θα “πήγαιναν” σε μία νέα ιστοσελίδα που θα ήταν υπό τη διαχείριση (μάλλον?) του ISP, άρα ο ISP αποκτάει πολύ εύκολα πρόσβαση στο ποιός θέλει να επισκεφτεί τον ιστότοπο αυτό. Τίθεται λοιπόν ζήτημα παρακολούθησης της κίνησης των πελατών. Προσωπικά το θεωρώ απαράδεκτο, όπως απαράδεκτο είναι να προσπαθείς να αλλάξεις τον τρόπο που λειτουργεί το internet. Άλλωστε όπως έχει πει ο John Gilmore:

The Net interprets censorship as damage and routes around it

Μετάφραση:

Το Δίκτυο ερμηνέυει τη λογοκρισία ως ζημιά και δρομολογεί (την κίνηση) γύρω από αυτό (ξεπερνώντας την ζημιά)

Τι θα μπορούσαν να κάνουν οι χρήστες για να παρακάμψουν το “πρόβλημα” αν τους επηρέαζε
Σε περίπτωση εφαρμογής του (II), όπως αναφέρθηκε παραπάνω το μόνο που θα είχαν να κάνουν οι χρήστες θα ήταν να αλλάξουν nameservers στο PC/δίκτυο τους. Αυτό εξηγείται αναλύτικά στις σελίδες της Google Public DNS αλλά και του OpenDNS. Τόσο απλά. Είναι υπόθεση 1 λεπτού αν έχει ο οποιοσδήποτε τις οδηγίες μπροστά του.

Σε περίπτωση εφαρμογής της τεχνικής (Ι) και την στιγμή που το site δεν μπορεί για τους Χ λόγους να αλλάξει IP, αυτό που πρέπει να κάνουν οι χρήστες είναι να χρησιμοποιήσουν κάποιον proxy server, ένα VPN ή κάποιο άλλο δίκτυο που δρομολογεί διαφορετικά τις συνδέσεις τους, για παράδειγμα το Tor. Ο ευκολότερος τρόπος να βρει κάποιος δωρεάν proxies στο δίκτυο είναι να ψάξει στο Google, ενώ η αγορά ενός VPN ξεκινά από τα 3€. Η χρήση του tor είναι πλεόν αρκετά απλή και το μόνο που απαιτείται είναι να κατεβάσει κανείς το Tor Browser Bundle και να τρέξει το Vidalia. Όταν κάποιος τρέξει το Vidalia θα ανοίξει ένας νέος browser (Firefox) και έπειτα η δρομολόγηση των πακέτων προς το site που θέλει να επισκευτεί κανείς γίνεται μέσω του Tor δικτύου το οποίο είναι αρκετά δύσκολο να το σταματήσουν οι ISPs. Σίγουρα πάντως η απόφαση ασφαλιστικών μέτρων 4658/2012 δεν είναι ικανή να σταματήσει το Tor ή οποιονδήποτε άλλο από τους παραπάνω τρόπους παράκαμψης του “προβλήματος”.

Τι πρέπει να γνωρίζουν οι χρήστες του Internet
Οι χρήστες του internet πρέπει να γνωρίζουν πως ανά πάσα στιγμή μια τέτοια απόφαση μπορεί να τους αλλάξει τις συνήθειές τους αλλά και να τους κόψει την πρόσβαση από πηγές πληροφορίας που μέχρι τώρα είχαν ελεύθερη πρόσβαση. Για να μην βρεθούν τελευταία στιγμή να αναρωτιούνται τί και πώς πρέπει να φροντίζουν να ενημερώνονται για τους κινδύνους και τα προβλήματα. Είναι μάλιστα επιτακτικό ο ένας χρήστης να ενημερώνει τους άλλους. Γι αυτούς ακριβώς τους λόγους τους τελευταίους 2-3 μήνες έχει ξεκινήσει μια προσπάθεια ενημέρωσης των Ελλήνων χρηστών για τα ψηφιακά τους δικαιώματα, τους κινδύνους που υπάρχουν στο διαδίκτυο, πως προστατεύει κανείς τα προσωπικά του δεδομένα και πως αποφεύγει προσπάθειες εταιρικής ή κρατικής λογοκρισίας μέσω κάποιων παρουσιάσεων που γίνονται στο hackerspace της Αθήνας. Η επόμενη παρουσίαση γίνεται στις 30/05/2012 και αφορά την χρήση του δικτύου Tor. Όσοι ενδιαφέρονται είναι ευπρόσδεκτοι να έρθουν να ακούσουν και φυσικά να ρωτήσουν για τυχόν απορίες που ίσως έχουν σχετικά με την ψηφιακή τους ζωή.

Οργανωθείτε!
Αν σας ενδιαφέρει να παλέψετε και εσείς για τα ψηφιακά δικαιώματα και τις ελευθερίες στην Ελλάδα καλό θα ήταν να διαβάσετε το κείμενο θέσεων του Δικτύου για την Ψηφιακή Απελευθέρωση (Digital Liberation Network) και αν συμφωνείτε να εγγραφείτε στην mailing list του DLN.

Greek AdblockPlus Filter on github

For the past months Greek AdblockPlus Filter has steadily been growing in subscribers. I recently did a change in the metadata so that clients fetch/check the list every 2 days instead of the default 7, and the daily subscriber count has surpassed 10.000 unique IPs.

The following graph shows this increase over time:

In order to help people contribute to the project I’ve created a repo on github: greek-adblockplus-filter. So now, if you want to help filter out ads from the greek web just get fork the project via git, make your changes and send me a pull request on github :)

my past 2 articles for LinuxInside

Following my first article on the Greek Linux Magazine called LinuxInside about IPv6, I uploaded my past 2 articles for it. Both articles are in Greek of course.

The first one is about debugging network connectivity issues using the command line on Linux. It was published on the 2nd issue of LinuxInside.
Εντοπίζοντας ένα πρόβλημα δικτύωσης

The other one is an introduction to Zsh. It was published on the 3rd issue of LinuxInside.
Κατακτήστε το Z shell

If you haven’t read the magazine already, feel free to download those pdfs and read them.
All my presentations/articles can be found at: Articles/Presentations

0×375 – 0×07 – Security Considerations for a brave new (IPv6) World

I finally had the chance to present something at the Thessaloniki Tech Talk Sessions also known as 0×375. The people over there have done a great job, and I truly mean that, bringing tech people together. Almost once a month 2 speakers can present a tech topic they like at an open auditorium inside the Aristotle University of Thessaloniki. On those events people from Thessaloniki, but also from nearby cities, gather and have a great time, not only during the presentations but afterwards as well. I won’t spoil the events that take place during the tech talks, because you should definitely go if you are curious, but I can tell you that it’s not uncommon for as many as 15 to 20 people to go for beers after the talks!

So, the past Friday (25/11/2011), me and @apoikos traveled from Athens to Thessaloniki to present at 0×375. My presentation was about some security concepts on IPv6 networks, how old attacks of the IPv4 world transform to new ones on the IPv6 world and about some new ones that will appear on local networks sooner or later. I also had prepared some small live demos, but as always it’s very hard to succeed in a live demo if you don’t quite control the environment. At least some of the stuff I wanted to show were successful, and I’m happy with those. (Thanks to Nuclear for booting his OS X guinea pig)

Some apologies…When giving a presentation on IPv6, in an event that has no other introductory IPv6 presentations, I always face the same problem, most people are not very well aware of how different this protocol is from IPv4. When I ask the audience how well do they know IPv6, most people are embarrassed to say they have never actually used it, so the audience stays very, VERY silent. This means that I have to put around 15-20 slides to make a “quick introduction to IPv6″, and this unfortunately takes usually over 30′ of presentation time. Some techy/advanced people might be bored with this, but there’s no other way to overcome this “issue”. If you go straight to the point and start discussing about ND ICMPv6 messages most people won’t be able to keep up…so I’m sorry if I made some of the audience get bored by my first slides. I promise that my next talk on 0×375, cause there will surely be a next one, will be less boring for you :)

Thank you all for coming there, I hope you enjoyed it as much as I did!

You can find the slides and my live demo notes here:
0×375 – 0×07 – kargig – Security Considerations for a brave new (IPv6) World (pdf)
0×375 – 0×07 – kargig – Security Considerations for a brave new (IPv6) World – live demo notes (txt)

P.S. I’ve started collecting some interesting (for me) presentations regarding IPv6 topics at void.gr/kargig/ipv6/. Check them out if you like.

GrRBL goes django

I’ve had this thought for some time now, I needed a nice interface for GrRBL so that it would make it easier for others, read more, people to contribute. Many people have been, politely, complaining about lack of features, policy and so on.

Right now most people use either the submission form or they bounce their emails to grrbl [at] void [dot] gr. Then their emails get manually processed, filtered and if everything goes well the “useful” parts of their email end up in the DNS RBL or the email address blacklist. This process is not automated at all, entries are manually added to a database, and is therefore quite time consuming. What’s worse is that people who are listed don’t have an ‘easy’ way to opt-out, apart from emailing us. The algorithm of adding someone to these lists is also not well-defined. The main rule that is followed is that an IP or email address is added to these lists when at least 3 people have submitted them on different days.

Hopefully this is about to change soon (I don’t know how soon, but soon!). During the past month I’ve been trying to code an interface in django, even though I had no prior experience in it. It’s mostly a self educating process and I like it very much. This django application will be generic enough to cover submissions and listings for IPs, emails and possibly URLs.

  • Short term goals:
  • Anonymous users will only get to see details about an IP they search for. People though will be able to register and add their own entries to a database. These registered users will be able to see the complete listings. Each user will belong to a group and every group will have a different weight which will depend on his ‘expertise’ (I know this is broad, but read on). For example, the group of the individual users will certainly have less weight than the group of the postmasters of Greek ISPs (yeap there are some who regularly contribute). Using their weights users will be able to vote on each entry that’s inside the database. Upon a certain score these entries will be flagged as eligible to be on the blacklist. Listed people will be able to opt-out but this process will be moderated by the superusers, that means that spammers like the infamous sofokleous10 will never get a chance to opt-out even for a single second.
    Most of this functionality is already coded and is working quite well.

  • Mid term goals:
  • Various export formats will be supported (BIND/RBLDNSD, Spamassassin/Postifix/Exim/sendmail/etc). Selective/custom export of entries will be provided. Users will be able to select if they want to export/use a strict blacklist, that is hosts that are scored very high, a moderate one and a very broad/risky one. Levels have yet to be defined. An API will be published so that entries can be re-used in other applications (json format ?)

  • Long term goals:
  • A method/interface that someone would copy/paste their email and it would automagically parse it, provide the user with the discovered malicious entries (IP, emails, URLs) and propose him to add them to the database. Maybe automate this even further so that they are added on a separate moderated queue without user interaction, that would be suitable for submitting entries via email plugins for clients such as mutt/thunderbird/etc.

  • The code:
  • The django application code resides in github for now: https://github.com/kargig/grrbl_django. Everyone is welcome to submit ideas (as issues) and code! Feel free to download, test and provide feedback.

  • Greek Adblock Plus Filter
  • Since the code is very flexible I am thinking whether Greek Adblock Plus Filter can also be benefited by this voting system. It probably can, so expect some changes to that list as well. One interface to rule them all.

    Many thanks go to @apoikos who has been helping me a lot with the tons of questions I still have on django stuff.

    Block Greek ads with Internet Explorer 9+

    Greek Adblock Plus filter list has more than 3500 regular unique (as per IP) subscribers daily. The majority of them uses some Mozilla-based browser (Firefox/Iceweasel). An increasing number of users has started using Chrome along with the Chrome Adblock Extension and Opera. Thanks to Panagiotis Dimopoulos, Greek Adblock Plus filter has now been converted to a Tracking Protection List for Internet Explorer 9+.

    To load the protection list visit the url: Greek Adblock Tracking Protection List for Internet Explorer 9+

    For more details about using Greek Adblock Plus filter on various browsers please visit: Greek Adblock Plus Filter.

    Don’t forget to send in comments and URLs to block. If you are using Firefox’s addon, please use the “Report Issue on this page…” feature of it by right clicking on the status icon of adblock.

    World IPv6 Day – The Future is Forever

    It’s time!

    Tomorrow is the World IPv6 Day and in order to celebrate it in Athens, we are having an IPv6 Party at hackerspace.gr!
    I’ll do a small introductory presentation about the basics of IPv6 Protocol and how’s Linux doing with it. After the presentation there will be an open discussion regarding IPv6 … drinking beer.

    Everyone’s invited! Be there!

    WORLD IPV6 DAY is 8 June 2011 – The Future is Forever

    Fosscomm 2011 – My review

    Generic comments
    I just got back home from Fosscomm 2011 and I must admit it has been one of the best organized events of this kind I’ve seen in Greece ever. The single most important fact was that presentations and workshops were always _on time_. They started on time, they finished on time. The organizers had to face even a power cut by the national energy company but they still managed not to fall behind on schedule. My only remark would be about the selection of the presentations that took place in the big room (called BA). Most of them gathered far less people than other presentations which took place in smaller rooms (B3 for example) and those rooms got extremely crowded from time to time. Maybe the organizers thought that generic open source presentations would attract more people than the technical ones but, unfortunately for them, and fortunately for “the greater good”, they were very wrong. This doesn’t reduce their achievement though. Another thing I would like to see on the next Fosscomm is less material given out to participants and instead spend this money on paying for travel expenses of people coming to speak on Fosscomm from abroad. Giving one (or even more) of the phones that HTC kindly provided to the voted by the participants best talk/presentation/workshop would also be very nice. My sincere congratulations to the organizing committee.

    My IPv6 workshop
    On my application to Fosscomm I had asked for one presentation and a separate workshop. This unfortunately wasn’t accepted, probably due to the large amount of other presentations/workshops, so I was given the first workshop on the very first day of Fosscomm, about “Using IPv6″- on Linux. Since I only had one hour, my original plans were to do a quick 15 min introductory presentation on IPv6 and then a 45 min hands-on lab. Since University of Patras could not provide IPv6 connectivity to the Lab, my other option was to have some remote VMs that would have upstream IPv6 connectivity and people on the Lab would ssh to. These VMs were kindly provided to us by Grnet and I have to publicly thank them one more time. My planning was bad though, people had far more questions about introductory IPv6 issues than I expected and the intro presentation was not finished until more than 35 mins had passed. This lead to the unfortunate result that the workshop could not be completed as I had planned. I am glad though that almost everyone logged into the VMs and had the chance to at least set up an IPv6 IP manually as well as an IPv6 default route. They also had their first ping6s. Some got even further by setting up ip6tables rules…What I definitely wanted to have shown during the workshop, and I didn’t have enough time to, was auto-configuration (SLAAC) which I consider to be one of the most intriguing features of IPv6. Next time I am doing either a presentation or a hands-on workshop, definitely not both in one session. Lesson learned.

    Presentation/Workshop material:
    Quick Intro to IPv6
    Using IPv6 on Linux (workshop notes)

    Talks I attended
    All the talks I attended were very interesting, I probably did a very good job picking them :) The ones I attended were:
    Saturday
    a) “A unified user account manager using LDAP/KRB5/CIFS” by Giorgos Mamalakis, Chariton Karamitas
    b) “Network Exploitation with Ncrack” by Fotis Chatzis
    c) “Wargames” by Patroklos Argyroudis, Fotis Chatzis, Chariton Karamitas
    Sunday
    a) “Intro to Arduino” by Pierros Papadeas, Kostas Antonakoglou
    b) “Φωνή VoIPόντως εν τη ερήμω” by Effie Mouzeli
    c) “Bright side of the Darknets” by Athanasios Kostopoulos
    d) “Automated Testing Framework” by Giorgos Keramidas
    e) “Performing Digital Forensics with Open Source tools” by Dimitrios Glynos
    f) “Patras Heap Massacre” by Chariton Karamitas, Patroklos Argyroudis

    I consider the most well presented one being: “Performing Digital Forensics with Open Source tools” while the one with the best slides was definitely: “Patras Heap Massacre”. If you weren’t there to see them, definitely try and find at least the slides if not the video.

    Wargames
    I had never participated before in any wargames because I considered that to be out of my league. That’s the reason I had not even registered for Fosscomm’s wargame called “fosswar”. I was curious though about what it’s like, so me and 3-4 more friends decided to stand in line and enter the room among the other people. The Lab room was crowded, really crowded. At first I thought that one reason for this would be the prize for the winner, an Android phone donated by HTC. I was later proven wrong though. Fosswar started and the organizers presented us with the 5 challenges. Two of those had to do something with networking…so I said to my self that I would be lucky even if I understood what one of those asked. Another challenge had to do with steganography, another one with exploiting a vulnerability in C and the last one was about reverse engineering. While this game could only have one winner, since me and my friends were not actually interested about the prize we decided to work as a team and see whether we can solve anything. Me and a friend looked at the first challenge, another 1 was looking at the third while 2 more were each looking at the fourth and fifth. During the wargame HTC asked for the names of people that wanted to take part in the competition, there nobody actually wanted to give his name. Most of them were there “just for the kicks”. That was even more exciting! HTC then told us that if nobody wanted to give his name the phone would be given on a lottery…so 10-15 people decided to give our names so the phone would “stay” at the fosswar. After solving the first challenge we got so excited that we just had to try the others, we couldn’t give up. So, after 3 hours of thinking and coding, the result was that our team managed to solve 3 of the five challenges, the details on what the challenges were and how we dealt with them will follow in a separate blog post, and we ended up being the winners because no other team had solved more than two. Yes, we had won! We had managed to solve the two networking challenges and the steganography one. That was soooo unexpected!

    Pictures
    My pictures from Fosscomm 2011 are at: https://picasaweb.google.com/kargig/2011050720110508Fosscomm2011#

    My conclusion
    Fosscomm this year definitely showed a trend. People don’t need generic presentations about open source any more, they know what it is, they believe in it, they use it. People really ask for technical presentations, and we need more of them.

    Whoever couldn’t manage to attend Fosscomm 2011, should definitely attend Fosscomm 2012. I am certainly looking forward to it!