Uzlauztas 7M Dropbox paroles, bet ne manējā (paldies, Cloudstore!)

Oct 15 2014

cloudstore-logo.png

Tehnoloģiskam sliņķim nav nekā "ērtāka" par "bezmaksas" mākoni. Tomēr atcerieties, ka izlūkdienestiem un krakeriem nav patīkamākas lietas par centralizētiem vispasaules pakalpojumiem, ar kuriem sadarbojoties (vai kurus uzlaužot) var iegūt kontroli pār visu pasauli.

Piemēram, bijušais ASV Nacionālās drošības aģentūras darbinieks un tagad bēguļojošais krakeris Edvards Snoudens, kas nopludināja ASV izlūkdienestu iekšējos dokumentus, jau no savas pirmās publicitātes dienas atgādināja, ka globāli pakalpojumu sniedzēji ir "privātuma slepkavas". Piemēram, viņš jau šī gada jūlijā brīdināja nelietot failu koplietošanas pakalpojumu Dropbox, jo tas ir "pārāk draudzīgs" ar slepenajiem dienestiem.

Tagad atklājies, ka šis pakalpojumu sniedzējs nav pietiekami stingrs arī pret (citiem) ļaunprāšiem. Pastebin ir publicētas dažas no it kā 7M uzlauztajām parolēm, kurās par BitCoin piedāvā publicēt vairāk. Domāju, ka daudz vairāk uzlauztās paroles publicētas netiks, jo tās visdrīzāk nopirks "privāti investori" savām dažādajām vajadzībām.

Ja lietojat Dropbox, noteikti nomainiet sava konta paroli!

Bet es paroli nemainīšu. Un šoreiz es neuzprasos uz nepatikšanām. Āķis ir tur, ka es jau vairākas nedēļas Dropbox nelietoju. 

Es Dropbox vietā lietoju Cloudstore.

Par Cloudstore uzzināju, lasot 50 Noteworthy New Open Source Projects. Tā kā, neatkarības nolūkos, es konsekventi cenšos izmantot atvērtā pirmkoda alternatīvas slēgtā koda programmu vietā, tad Cloudstore labi atbilst manām prasībām.
Tas darbojas Java vidē, un šobrīd ir publiski pieejama 0.9.5 versija. Versija varētu šķist diezgan negatava, tomēr tās izstrāde jau tagad ir gana nopietna. (Būvējumu un testu rezultātus varat apskatīt Jenkins nepārtrauktās integrācijas rīka pārskatos.)

Atšķirībā no Dropbox, Cloudstore ir nepieciešama vide, kur izmitināt tā servera daļu. Kā mājas serveri es varētu lietot arī Excito Bubba3, bet man bija ērtāk izmantot globāli pieejamo odo.lv serveri, jo uz tā man ir pieejami ap 300GB diska vietas par to pašu U1 tarifu.

Vispārīgs Cloudstore uzstādīšanas apraksts dots viņu mājas lapā. Tā kā Cloudstore pagaidām nav tīmekļa saskarnes, es kā tikai lasāmu failu pārlūkošanu tīmeklī nodrošināju, kopīgojot mapi Apache tīmekļa serverī ar paroli pieejai uz attiecīgo mapi. Lai paroli nevarētu noklausīties, šīs mapes pārlūkošanu vienmēr pāradresē uz HTTPS protokolu. Kā to izdarīt uz Ubuntu servera/darbstacijas skatiet Odo padomā.

att01.png
Pieteikšanās logs

att02.png
Failu un mapju pārlūkošanas logs

Svarīgi, ka Cloudstore neizmanto paroles, jo tās parasti ir vājas, vai ļoti vājas. Tā vietā izmanto publiskās/privātās atslēgas, gan uz servera, gan uz klientiem.

Jāteic, ka pirmais Cloudstore izmantošanas mēģinājums man bija neveiksmīgs un pēc būtiskas mapju pārsaukšanas un pārstrukturēšanas ieguvu neskaitāmas izmaiņu sadursmes. Kad atsāku visu no jauna, vispirms visos datoros izplatot un sinhronizējot identiskas datu kopijas, panācu to, ka izmaiņu sinhronizācija strādā pareizi.

Tā kā man vairs nav jāiekļaujas Dropbox bezmaksas 2GB limitā, Cloudstore mapē glabāju vairāk datu, un tagad man tajā, sinhronizēti starp trim datoriem, glabājas 6,5GB datu, ar 3655 mapēm un 13471 failiem. Sinhronizācija aizņem ap 1 minūti, no kuras ap 40 sekundēm viens no mana datora procesoriem ir pilnībā noslogots. Tāpēc es sinhronizāciju nelaižu bieži — reizi stundā, katram no datoriem atvēlot savu laiku (stundas 10., 20. un 30. minūtē).

Atšķirībā no Dropbox, Cloudstore strādā tikai kā fona process, un nav nekādu grafisko kruzuļu par sinhronizētām mapēm, paziņojumi par jauniem/mainītiem failiem, u.tml. Tiem, kas pie tā ir pieraduši, tas var likties trūkums, bet man liekas, ka tas ir uzlabojums. Ja es tik tiešām vēlos, kas ir noticis, es varu apskatīt nesenākos notikumus ar komandu:

tail -n100 .cloudstore/log/cloudstore.client.log

kas atgriež ko līdzīgu:

2014-10-15 21:10:05,952 [pool-2-thread-1] INFO c.c.c.c.SyncSubCommand - Synchronising...: 12,94%
2014-10-15 21:10:06,511 [main] INFO c.c.c.r.c.t.RestRepoTransport - getAuthToken: got new AuthToken: clientRepositoryId=8b36ff28-de57-4f66-8a0f-839da602a9ef serverRepositoryId=48f23462-fa61-4689-81cb-951060589f37 renewalDateTime=2014-10-15T18:40:05.978Z expiryDateTime=2014-10-15T19:10:05.978Z
2014-10-15 21:10:14,505 [pool-2-thread-1] INFO c.c.c.c.SyncSubCommand - Synchronising...: 18,60%
2014-10-15 21:10:32,818 [pool-2-thread-1] INFO c.c.c.c.SyncSubCommand - Synchronising...: 24,83%
2014-10-15 21:10:38,916 [main] INFO c.c.c.c.SyncSubCommand - Synchronising...: 49,75%
2014-10-15 21:10:39,151 [main] INFO c.c.c.c.SyncSubCommand - Synchronising...: 74,63%
2014-10-15 21:10:39,449 [main] INFO c.c.c.c.SyncSubCommand - Synchronising...: 100,00%
2014-10-15 21:10:39,450 [main] INFO c.c.c.l.LocalRepoManagerImpl - [2eec7058]close: Deferring shut down of real LocalRepoManager 20000 ms.
2014-10-15 22:10:01,986 [main] INFO c.c.c.l.LocalRepoManagerImpl - [2eec7058]<init>: localRoot='/home/valdis/Cloudstore'

Iesaku visiem nopietni pārdomāt, cik daudz varat paļauties uz globāliem pakalpojuma sniedzējiem, un, ja izmantojat mākoņpakalpojumus, vislabāk tos izmantot pašiem savus. Ja nepieciešams, varu sniegt arī profesionālas konsultācijas.

Created by Valdis Vītoliņš on 2014-10-15 19:18
Last modified by Valdis Vītoliņš on 2019-10-02 21:28
 
Xwiki Powered
Creative Commons Attribution 3.0 Unported License