Czy dziennikarze IT rzetelnie wykonują swoje obowiązki?

2 grudnia, 2019

Pan Leszek Cieloch opublikował artykuł pt. „(NIE)bezpieczne – Podwójne standardy ekspertów IT w Polsce”, w którym zwraca uwagę na promowanie przez redakcję portalu Niebezpiecznik.pl rozwiązania NordVPN — skądinąd bardzo kontrowersyjnego w ostatnich tygodniach ze względu na wyciek klucza prywatnego certyfikatu dla strony internetowej oraz niedawnego włamania na jeden z serwerów NordVPN. W kuluarach w rozmowach nieoficjalnych mówi się nawet, że NordVPN jest promowany na szkoleniach Niebezpiecznika dla pracowników instytucji państwowych…

nordvpn SSL/TLS certyfikat

Redaktor naczelny Business Journal Polska zarzuca autorom cyklu artykułów opublikowanych na łamach Niebezpiecznik.pl, że pomimo publicznych informacji o włamaniu do jednego z serwerów NordVPN dziennikarze portalu Niebezpiecznik.pl nadal promują to kontrowersyjne rozwiązanie. Czytelnicy i biegli obserwatorzy rynku IT już dyskutują o niejasnych zasadach promocji NordVPN na stronie niebzpiecznik.pl.

Jedna z wielu promocji NordVPN na stronie niebezpiecznik.pl

W swoim artykule pan Leszek Cieloch zwrócił uwagę na fakt, że Niebezpiecznik.pl od 2018 roku promuje produkt NordVPN, nawołując do szybkiego zakupu produktu w ramach trwającej promocji.

Tymczasem specjaliści z portalu Zaufana Trzecia Strona poinformowali w październiku 2019, że NordVPN został (kolejny raz) zhackowany. Portal Z3S idzie o krok dalej i wyjaśnia, dlaczego nie prowadzi takiej polityki w stosunku do produktu VPN:

Pytacie nas często, czemu nie reklamujemy NordVPN i podobnych usług. Między
innymi dlatego — po sieci krąży klucz prywatny witryny serwisu nordvpn.com — już nieaktywny, sprzed roku, ale skądś przecież musiał wyciec. I to nie tylko ten klucz…

Artykuł redaktora naczelnego Business Journal Polska wywołał burzę w sieci, czego dowodem jest żywa dyskusja na forum wykop.pl. Zarówno pan Leszek Cieloch jak i Wykopowicze zastanawiają się, czy takiego rodzaju działania realizowane przez Niebezpiecznik.pl, redakcji uznawanej w Polsce za ekspertów, mogą zawierać jawną promocję produktu, który już co najmniej raz naraził użytkowników usługi na wyciek danych?

Niebezpiecznik.pl opublikował własne kontrargumenty, które można podsumować w taki sposób, iż wycieki zdarzają się i będą się zdarzać, za co producent NordVPN został skrytykowany już wcześniej przez redakcję wyżej wymienionego portalu:

Czy obsługa incydentu Norda dot. zhackowania jednego z jego serwerów była do dupy? TAK. CALKOWICIE.

I ich za to skrytykowalismy.

Czy to oznacza że usługa jest „dziurawa”. Niezupelnie. Są po audycie PWC, zapowiadają kolejny i przejście do RAM. Włamanie na ten serwer to przyspieszyło 🙂 plus w minusie.

Czy istnieje jakikolwiek VPN który jest niehackowalny? NIE

Czy VPN jest rozwiązaniem na wszystkie problemy? ABSOLUTNIE NIE. ŻODYN

Na co więc warto zwrócić uwagę przy wyborze VPN? To zależy. (Ale naszym zdaniem VPN najbardziej się sprawdza do omijania blokad/wychodzenia innym krajem. I tu Nord ma dużo serwerów i dodaje nowe. To jest jedna z największych zalet.)

Ale nic nie jest zero-jedynkowe więc więcej jest w powyższym artykule. I poprzednich o vpnach które pisaliśmy, linkujących w nich często do porównania 100+ vpnow – każdy z Was może wybrać swoj ulubiony, płatny, darmowy, albo postawić własny (np. streisandem na vpsie, ale wtedy będzie tylko jeden IP). Wszystko ma plusy i minusy i zalezy kto i czego potrzebuje.

PS. Zarabiamy też na linkowaniu do DigotalOcean. I innych usług. Ale polecamy tylko to z czego sami faktycznie korzystamy – nawet jeśli firmy nam za to nie płacą/nie mają programów partnerskich.

PPS. Soros nie ma z tym nic wspólnego. Cykliści też nie. ( ͡° ͜ʖ ͡°)

Cały artykuł o włamaniu do NordVPN jest pod tym linkiem.

Nie tylko NordVPN?

W ostatnich miesiącach redakcja portalu Niebezpiecznik.pl promuje także przeglądarkę Brave, która jest uznawana za kontrowersyjną przez wydawców reklam i właścicieli portali internetowych.

Przeglądarka Brave jest zbudowana na kodzie Chromium. Jest to na tyle intuicyjne oprogramowanie, że nadaje się dla osób o niezbyt dużej wiedzy technicznej, co może być bardzo zachęcające. „Po wyjęciu z pudełka” domyślnie blokuje skrypty reklamowe bez zewnętrznego rozszerzenia.

Brave już po zainstalowaniu zawiera najważniejsze moduły do blokowania skryptów śledzących.

Dla zapewnienia lepszego bezpieczeństwa nie pozwala ujawniać tzw. fingerprint’u („odcisku palca konfiguracji przeglądarki i systemu użytkownika”). Korzysta z przekierowań na bezpieczniejszy protokół HTTPS, jeżeli wykryje, że serwer zgłasza stronę WWW pod dwoma adresami — nieszyfrowanym HTTP i szyfrowanym HTTPS. Domyślnie blokuje przyciski społecznościowe LinkedIn, ale już Facebook’owi i Twitter’owi zezwala na śledzenie, co jest doprawdy dziwne i prawdopodobnie jest to „ukłon” w stronę nietechnicznych użytkowników, którzy „skorzystają” na interakcji z portalami społecznościowymi. Ma też wbudowanego klienta pobierania torrentów, więc nie trzeba korzystać z dodatkowego oprogramowania.

Przeglądarka Brave być może to taka ulepszona wersja Chrome, pozbawiona znacznej części funkcji monitorujących użytkownika, które mogą komunikować się z serwerami Google (poza niektórymi, obowiązkowymi funkcjami).

Według twórców Brave’a już na samym starcie ich przeglądarka wysyła najmniej zapytań do własnych serwerów, a te zapytania, które wysyła, mają uzasadnienie w postaci np. sprawdzania listy unieważnień certyfikatów, aktualnych rozszerzeń, czy komunikacji z interfejsem API Google Safe Browsing.

Szczegółowe zestawienie, co popularne przeglądarki robią po uruchomieniu, jest dostępne na stronie https://brave.com/brave-tops-browser-first-run-network-traffic-results

Pod względem wymiany informacji przeglądarki z serwerem deweloperów Brave (według informacji od samego producenta) to najlepszy wybór.

Co o przeglądarce Brave sądzą niezależni eksperci zajmujący się prywatnością?

Przeglądarka Brave nie posiada skanera antywirusowego, który jest bardzo kontrowersyjny w Chrome. To bardzo dobrze. Jednakże Brave znajdowała się kiedyś na liście polecanych przeglądarek przez wyspecjalizowany w prywatności internetowej portal privacytools.io. Po pewnym czasie Brave została usunięta z listy rekomendowanych aplikacji. Właściciele portalu privacytools.io twierdzą, że przeglądarką Firefox lub Tor Browser są pod pewnymi względami lepsze.

Brave wycina reklamy i wstawia własne (za co odbiorcy reklam otrzymują kryptowalutę BAT). Właśnie za to Brave może być źle odbierany przez właścicieli internetowych mediów, którzy utrzymują się z reklam. Takie zachowanie jest nawet traktowane jako nieetyczne i mocno kontrowersyjne, ponieważ to twórcy Brave, decyduje o rodzaju reklamy, która zostanie wyświetlona użytkownikowi. Deweloperzy Brave odpierają te zarzuty w taki sposób, że „Brave dostosuje reklamy do zainteresowań użytkownika, przez co będą lepiej dopasowane i mniej natrętne”.

Więc tak — w bezpiecznej przeglądarce Brave mamy do czynienia z profilowaniem użytkownika, dlatego z prywatnością już nie jest tak dobrze. Z tego powodu w sierpniu 2019 roku Brave została usunięta z listy polecanych przeglądarek serwisu privacytools.io, ponieważ jeśli chodzi o reklamy, jak i o prywatność, przeglądarka nie spełniła oczekiwań twórców portalu wyspecjalizowanego w zachowaniu prywatności w Internecie.

Sporo zastrzeżeń o poufne dane mają autorzy drugiego portalu spyware.neocities.org. Mówią wprost, że „należy trzymać się z dala od tej przeglądarki”. Zarzucają Brave’owi, że przy każdym uruchomieniu Brave pobiera listę aktualnych partnerów. Jest to coś w rodzaju pobierania informacji o aktualizowanych listach reklamodawców w celu dostarczania trafniejszych, ukierunkowanych reklam.

Twórcy przeglądarki na stronie internetowej Brave twierdzą, że „walczą ze złośliwym oprogramowaniem i zapobiegają śledzeniu”. Pomimo tego Brave wyłączyła ochronę przed śledzeniem dla skryptów Facebook’a i Twitter’a, a blokuje tylko ciasteczka dla LinkedIn. Dlaczego? Chodzi o popularność? Tych zarzutów wobec twórców przeglądarki Brave jest więcej: https://spyware.neocities.org/articles/brave.html

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 5 / 5. Liczba głosów: 1

guest
2 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]