Knaģa emuāri

Neo atrasts, visi par to runā, laiks arī man uz papīra (ekrāna) uzlikt nedaudz pārdomas visā šajā sakarā.

Eksistē viedoklis, ka Neo neko vispār nav pārkāpis, jo ir piekļuvis tikai informācijai, kas “brīvi” pieejama internetā. Es tam īsti nevaru piekrist, jo:

• ja adrese būtu http://eds/download?user=viesis&pass=viesis, nevienam nerastos šaubas, ka minot dažādas user un pass vērtības, mēs apejam autorizācijas sistēmu;
• ja adrese būtu http://eds/download?id=A7F1CB37-BD2B-45F8-9006-5C4279ED62D9, tad id vērtības minēšanu (3,4 * 10^38 dažādas kombinācijas) viennozīmīgi var atzīt par laušanu;
• ja adrese būtu http://eds/download?pass=100, ar ko īsti tas atšķiras no pirmā varianta – vienīgā atšķirība ir tas, ka parole ir muļķīgi vienkārša;
• iepriekšējā piemērā lauku nosaucot par id, nevis pass mēs iegūstam reālo EDS situāciju – lejupielādes ir aizsargātas, taču ar ļoti muļķīgām parolēm – vienkāršiem skaitļiem no 1 līdz, piemēram, 2 000 000.

Viens no argumentiem, kāpēc šī darbība ir attaisnojama, ir tas, ka visi dati esot bijuši brīvi pieejami internetā. Atkal tas ir kas tāds, kam nevar piekrist. Piemēram:

• zaglis, kurš iekļūst mājā, izmantojot labi paslēptu, bet neaizslēgtu logu, ir tikpat vainīgs kā tas, kurš atlauž durvis;
• ja, piemēram, delfi.lv būtu administrācijas sadaļa, kura nav aizsargāta nekā savādāk, kā vien ar slepenu adresi (piemēram, http://delfi.lv/admin/) – jebkurš, kurš piekļūst šai sadaļai, vienkārši uzminot šo adresi, ir savā veidā uzlauzis sistēmu (tiesa, apejot ļoti vienkāršu security by obscurity risinājumu).

“Brīvi pieejams internetā” varētu tikt attaisnots ar to, ka eksistētu lapa X (piemēram, kāds blogs), kurā būtu publicētas šīs adreses. Šajā gadījumā vainot varētu informācijas publicētāju, nevis izmantotāju, līdzīgi kā gadījumā, kad con artist pārdod personai māju, kas viņam nepieder, vainīga nav šī persona, kas tagad ieiet svešā mājā, bet gan con artist-s, kas šo māju pārdeva.

Turpinot šo domu, varētu pieņemt, ka Neo kaut kur interneta plašumos uzgāja vienu šādu adresi, piemēram, kāda uzņēmuma grāmatvedis bija nokopējis linku no sistēmas un kaut kur pieglabājis vēlākai lietošanai. Šādā situācijā, ja vien kopā ar adresi nebija publicēti tās lietošanas ierobežojumi, neko nevar pārmest ziņkārīgam cilvēkam, kas to atvēra un apskatījās.

Atverot šādu adresi var ieraudzīt vienkāršu XML dokumentu ar vārdiem, nosaukumiem, skaitļiem – taču neko, kas pateiktu, kas tie par datiem un kādiem mērķiem tā ir izmantojama (piemēram, teksta dokumentos šāda informācija ir vai nu sākumā, vai dokumenta “kājenē”). Un atkal ar ziņkārību var attaisnot to, ka ieraudzījis adresē ciparus, šī persona izdomā pamainīt tos un paskatīties, kas notiek.

Te parādās viena liela problēma ar mūsdienu sistēmu datiem – ja reālos, parakstītos dokumentos tiek iekļauti to izmantošanas nosacījumi, konfidencialitātes prasības, dokumenta auditorija un tas viss tiek uztverts par vienu veselumu, tad dažādiem apstrādātiem datiem dažādās strukturētās formās gandrīz nekad nav pievienoti šādi meta dati. Kas ļauj, iegūstot šādu dokumentu ārpus konteksta, neapzināties sekas šīs informācijas izmantošanai.

Ja turpinam par ziņkārību – manuprāt, ar šo argumentu varētu Neo diezgan veiksmīgi aizstāvēties (galu galā, neviens taču nepārmetīs, ja http://tvnet.lv/news/123 tiks aizstāts ar http://tvnet.lv/news/666, tomēr šeit ir viena nopietna problēma. Nav iespējams apgalvot, ka Neo neapzinājās, ka piekļūst informācijai neatļautā veidā, jo viņš slēpa savas pēdas, maskējoties aiz [visdrīzāk] dažādiem proxy vai līdzīgiem risinājumiem. Kā arī pēc pirmās informācijas publicēšanas viņš nenāca klajā ar paziņojumu, ka “atvainojiet, es tiešām nezināju, ka šī informācija ir konfidenciāla – tā taču bija tik brīvi pieejama”.

Rezumējot, mans viedoklis ir, ka Neo būtu pelnījis kādu no simboliskajiem sodiem – brīdinājumu vai, piemēram, publisko darbu (ko varētu veikt, auditējot citas valsts IT sistēmas), kas pamatojams ar to, ka viņš ļoti apzinīgi rīkojās, izplatot tālāk iegūto informāciju – necieta privātie uzņēmumi vai individuāli cilvēki (ja vien tie nebija attiecīgo uzņēmumu vadībā). Paralēli tam vajadzētu nopietni piestrādāt, lai sakārtotu likumdošanu saistībā ar to, ko drīkst un ko nedrīkst šādas ziņkārības vadīti personāži darīt – skaidri noteikt, piemēram, ka jebkura informācija “.gov.lv” domēnos ir konfidenciāla, ja vien nav noteikts savādāk.

Arī TVNET nomainījis dizainu un kļuvis tāds pats kā apollo - nelasāms. Kas visiem kaiš, ka jāsataisa lapas izkārtojumi, kur visi bloki pamīšus, kārtības nekādas un grūti atpazīt, ka parādījies kas jauns...

TVNET iepriekš lasīju, jo tā pirmo lapu bija viegli uztvert. Šobrīd viņiem gan tematiskie bloki lapas apakšā ir sakārtotāki nekā apollo, bet tās milzu bildes pat uz milzīga ekrāna neļauj pārredzēt vairākus tematus reizē.

Neko darīt, atliek lasīt http://www.citadiena.lv/ - viņiem gan lapa arī nav nekas spīdošs (lai gan neko sliktu arī nevar teikt), toties raksti interesanti un bez lieka spama. Starp citu, pie viņiem var parakstīties uz bezmaksas pirmo žurnāla numuru, kurš iznākšot februārī.

http://www.lu.lv/ nomainīts viss portāla izskats. Jaunais izskatās briesmīgi. Viss portāls būtu dodams kā uzskates materiāls, kā nevajag veidot lapas.

Milzīgas bildes fonā, dažādi krāsaini bloki, kas vizuāli nekādi nesaistās ar lapu utt. Meklēšana, kur neko nevar ievadīt (Internet Explorer 8). Kā papildus bonuss nav iespējams piekļūt vairākām sadaļām, piemēram, forumam.

Var jau būt, ka es tāds vienīgais, bet nu šis jauninājums padara lapu nelietojamu un rada iespaidu nevis par nopietnu universitāti, bet gan par lauku pamatskolu, kur vienīgais skolnieks, kam mājās bija dators, uz ātru roku iekš FrontPage uzklabināja lapu.

Es tiešām ceru, ka šis ir neizdevies un pāragrs aprīļa joks.