W radiu Kampus o Internecie

W dwa kolejne wtorki, tj. 6.XII i 13.XII będę gościem audycji "Mediatorzy" w radiu Kampus. Tematyka audycji - komunikacja asynchroniczna w Internecie, autoprezentacja w Sieci i strony WWW (głównie pod kątem starania się o pracę). Początek programu o godzinie 10.

Radio Kampus nadaje w Warszawie na częstotliwości 97,1 FM. Radia można oczywiście słuchać w Internecie, na przykład tutaj (ikonka WMP obok "przekaz na żywo").
error300.org

Stowarzyszenie Dziennikarzy i Mediów Internetowych - mam wątpliwości

Dziennik Internautów doniósł za PAP-em o powstaniu Stowarzyszenia Dziennikarzy i Mediów Internetowych. Inicjatywa zasadniczo mogłaby być bardzo cenna, ale obawiam się, że już na wejściu mamy tutaj do czynienia z zgrzytem... Moje wątpliwości budzą zarówno wypowiedzi pana Krzysztofa Łozińskiego (współzałożyciela SDiMI) dla PAP-u, jak i pisane jego piórem wymogi odnośnie tego, kto do stowarzyszenia może należeć. Warunki przystąpienia zostały zawarte na stronie Kontratekstów.

Po odesłaniu do materiałów źródłowych wskażę konkretnie to, co uważam za kontrowersyjne albo wręcz błędne. W artykule informującym o Stowarzyszeniu, pan redaktor Łoziński tak definiuje kryteria przystąpienia do tegoż:

1. przystępujący musi być dziennikarzem, tj. "musi mieć pewien dorobek dziennikarski",
2. przystępujący musi przestrzegać prawa RP, tj. nie zostaną przyjęci autorzy propagujący rasizm, faszyzm, obrażający innych, itp.
3. przystępujący musi być dziennikarzem internetowym, czyli zaliczać się do osób, które "publikują w prasie internetowej. Przy okazji zaznaczamy, że nie są prasą internetową strony domowe, strony firm, reklamy, fora, blogi itp. Prasą są gazety i czasopisma (także radio i telewizja), które w miarę regularnie wychodzą, mają jawny skład redakcji, tytuł, numer wydania i datę."
   

Kryterium drugie nie budzi moich najmniejszych zastrzeżeń. Pierwsze wymagałoby drobnego, moim zdaniem, dookreślenia, ale w nieformalnym przecież artykule - w przeciwieństwie do sformalizowanego statutu Stowarzyszenia - nie jest niezbędne. Mam natomiast duże wątpliwości do trzeciego punktu, który rodzi kilka pytań:

1. skąd arbitralność w decydowaniu, co jest, a co nie jest prasą internetową? Prawo nie definiuje tego medium - doprowadzenie do ewentualnych, ale zdroworozsądkowych (!) regulacji prawnych powinno być pierwszym celem Stowarzyszenia,
   
2. czy wobec owej prasy internetowej można - a przede wszystkim, czy należy - stosować identyczne środki rozpoznawcze i definiujące, co do prasy tradycyjnej?
3. czy pominięcie blogerów, którzy nie mogą być członkami Stowarzyszenia, jest celowe? A jeśli tak, to czy wiąże się z niewiedzą (stereotyp bloga jako pamiętnika), czy raczej z arbitralnym uznaniem, że skoro poza wirtualnością takie "jednoosobowe redakcje" nie istnieją lub są niepoważne, to należy je pominąć? To moje domysły, sam chciałbym znać odpowiedź. Podejrzewam, prawdę mówiąc, po prostu niewiedzę, choć sztandarowy przypadek Jasona Kottke musi być założycielom Stowarzyszenia znany,
   
4. czy cechy dystynktywne bloga przez zupełny przypadek nie wpisują się w definicję prasy podaną przez Stowarzyszenie? Tytuł jest, jawny skład redakcji (dodajmy, że niekoniecznie jednoosobowej) także; jest również data publikacji każdej notki. "W miarę regularne wychodzenie" jest z kolei wprost wpisane w definicję bloga, czy to jako pamiętnika, czy narzędzia edukacyjnego, czy jako medium stricte dziennikarskiego. Mało tego, od strony technicznej mechanizm działania wielu blogów jest bardzo podobny do tego, jak funkcjonują liczne redakcje internetowe (mam na myśli CMS-y).
   

Proszę zwrócić uwagę, podkreślę to specjalnie - zgodnie z definicją Stowarzyszenia, bloger nie jest "dziennikarzem internetowym". A zatem pojawia się interesujący organ, który już na wstępie... pomija to, o co usilnie chce walczyć podmiot niepomiernie silniejszy, bardziej wpływowy i respektowany od lat. Mówię o Electronic Frontier Foundation, która walczy m.in. także o prawa blogerów. Przeczytajcie proszę uważnie, a ja przytoczę tylko jedną z pierwszych zasad tej kampanii EFF - tak dla kontrastu z naszym rodzimym Stowarzyszeniem:

"Bloggers can be journalists (and journalists can be bloggers) - We're battling for legal and institutional recognition that if you engage in journalism, you're a journalist, with all of the attendant rights, privileges, and protections".

Warto, naprawdę, cholera, warto wziąć to sobie do serca. Zwłaszcza, że w mini-FAQ Stowarzyszenia (punkt ósmy, koniec tego tekstu), Łoziński sam deklaruje, że "o członkostwie decyduje wykonywanie zawodu dziennikarza w Internecie, a nie redakcja, dla której się pracuje". Może więc zrekapitulować nieco sprzeczne założenia i wziąć przykład z tych, którzy walczą o najwyższe cele i wyznaczają trendy?

* * *

Niestety odnoszę wrażenie, że cała inicjatywa oparta jest na niewłaściwych założeniach. Zacytuję za PAP-em Łozińskiego: "Dziennikarze internetowi mają wiele problemów. Głównym jest to, że w większości pracują za darmo. Cały dochód z publikowania w Internecie trafia do dystrybutora treści, providera internetowego - tłumaczył Łoziński. Możemy wprowadzić płatne serwisy, ale wtedy ludzie przestaną nas czytać - zaznaczył. Jego zdaniem, lepszym pomysłem wydaje się nowelizacja ustawy o działalności pożytku publicznego i wolontariacie i wprowadzenie możliwości przekazywania 1% podatku PIT nie tylko na organizacje pożytku publicznego, ale też media internetowe."

Podpowiem od razu, a jednocześnie obiecuję opisać temat szerzej innym razem - mikropłatności. Mikropłatności, a nie instytucjonalizacja! Pomijam już, czy media internetowe w polskich realiach można stawiać na równi np. z fundacjami, które ratują ludzkie życie lub wspierają ludzi chorych - bo według mnie, w tej sytuacji i w tych warunkach, na pewno nie ma takiej potrzeby.

Rzecz w tym, by dostrzec, że zarabiać w Sieci na własną rękę można (choć trzeba gruntownie przeanalizować pro's and con's, a jednocześnie takie np. mikropłatności dopiero czekają na swój boom; są jednak przecież i inne sposoby...). Paradoks całej tej sytuacji jawi mi się bowiem tak: Stowarzyszenie ma wspierać dziennikarzy publikujących w Internecie, ale rozwiązań finansowych szuka w pierwszej kolejności... poza nim. Ten sposób myślenia jest jednak chyba znamienny dla założycieli Stowarzyszenia, zważywszy na niezrozumienie instytucji blogera (lub celowe jej pominięcie) i bezkrytyczną pewność wyczuwalną w odgórnym przyjęciu, kto może być dziennikarzem internetowym, a kto nie.

Inicjatywa jest potrzebna. Do skutecznego działania w niepartykularnym interesie JEJ z kolei potrzebny jest inny know-how. Póki co jestem bardzo, bardzo sceptyczny. Niestety.
error300.org

Rootkit-rykoszet

Opisany wczoraj rootkit Sony uderza rykoszetem w muzyków, których albumy koncern zabezpieczył oprogramowaniem XCP. Najbardziej dostało się zespołowi Van Zant, którego CD zainfekował komputer Marka Russinovicha.

Efekt - 258 komentarzy klienckich w sklepie Amazon.com, przy czym zdecydowaną większość okraszono jednogwiazdkową, najniższą oceną. Średnia z 258 ocen - w okolicach 1,5 gwiazdki. Treść komentarzy rzadko odnosi się do muzyki i samego zespołu, przede wszystkim ostrzega przed niebezpieczeństwem. Są nawoływania do bojkotu lub pozywania Sony BMG.

(Van Zant, "Get right with the man". Nie takiej sławy chcieli muzycy, to pewne...)

Ciekawostką jest w tym wszystkim odzew pozostałych użytkowników. Jak wiadomo, pod przeczytanymi opiniami klienckimi Amazon umieszcza zapytanie "Was this review helpful to you?". Okazuje się, że kupujący/przeglądający byli wyjątkowo posłuszni - jeden z pierwszych jednogwiazdkowych wpisów o rootkicie uznało za pomocny aż 761 osób (na 765), inne również notowały znaczne liczby wskazań. Frapująca różnica kulturowa; idę o zakład, że Polakom nie chciałoby się tak karnie potwierdzać (choć z porady skwapliwie by skorzystali).

Jak już pisałem, Sony BMG wycofało nakład płyt ze spyware'em i wkrótce wypuści na rynek zastępcze, bezpieczne wersje. Ciekawi mnie zachowanie konsumentów po tym fakcie - ilu kupi nowy towar, a ilu sięgnie do Internetu. Niewykluczone, że jedynym ratunkiem przed komercyjną wpadką będzie wypromowanie sprzedaży MP3 z piosenkami z wszystkich 52 albumów. Warto śledzić ten wątek z wielu powodów.
error300.org

Afera z rootkitem

Minął już niemal miesiąc, odkąd Mark Russinovich z Sysinternals wykrył na komputerze rootkit pochodzący z oprogramowania dostarczanego na płytach z muzyką koncernu Sony BMG i opisał dokładnie całą sprawę na swoim blogu. Wszystko potoczyło się bardzo szybko, a ja nie zdążyłem ogarnąć całego tematu wcześniej. Oczywiście podchwyciły go liczne blogi specjalistyczne, następnie większe serwisy tematyczne, także informacyjne, a za nimi - po kilku dniach, jak zwykle w tych sprawach spóźnione - tzw. tradycyjne media.

Na ten temat napisałem zresztą obszerny artykuł dla magazynu hakin9 ("Sony, rootkit i piąta władza"), jednak z publikowaniem go tutaj na razie się wstrzymam. Poniżej zwięźle o tym, co się wydarzyło.

Sprawa jest niebagatelna, bo chodzi o naruszenia na wielu płaszczyznach. W skrócie można napisać, że instalowane obligatoryjnie oprogramowanie z płyt Sony BMG modyfikuje Windows tak, by użytkownik nie wiedział o jego istnieniu. To raz. Że program ów ma cechy spyware i informuje koncern o preferencjach użytkownika, oczywiście bez jego wiedzy - to dwa. Że, jak donosi DeWinters Information Solutions, gigant Sony - głośny propagator poszanowania praw autorskich - naruszył prawa licencyjne związane z enkoderem MP3 LAME - to trzy.

W całej sprawie było też śmieszno-żałośnie. Thomas Hesse, szef działu global digital business Sony BMG, tak skomentował zamieszanie w wywiadzie dla NPR: "Most people don't even know what a rootkit is, so why should they care about it?". Pliku z wiekopomną wypowiedzią można wysłuchać tutaj, a przy tym warto wiedzieć, że Hesse robi prawdziwą antyfurorę - F-Secure przygotował nawet okoliczościowe koszulki z cytatem.

Co dalej? Rootkita nie można się było pozbyć bez destabilizacji systemu, pierwsze dostarczone przez Sony narzędzie do usuwania problemu likwidowało jedynie... zamaskowanie, pozostawiając sam rootkit bez zmian. Kolejny deinstaler usuwa sam rootkit, ale pozostawia Windows z licznymi nowymi lukami, które obniżają drastycznie (!) poziom jego bezpieczeństwa. Pięknie, prawda?

Zarażone do tej pory zostało prawdopodobnie ponad 500 tys. komputerów na całym świecie (głównie Ameryka i Japonia), w tym akademickie, urzędnicze i wojskowe. A przy okazji mamy już do czynienia z pierwszym robakiem korzystającym z rootkita i jego mutacjami (patrz np. informacje F-Secure na tej stronie).

Sony wstrzymało już produkcję płyt z oprogramowaniem XCP (tym z rootkitem), a trefne CD są też wycofywane ze sklepów. Na nasze pocieszenie warto dodać, że znikomy procent tychże albumów trafił do Europy. Tutaj znajdziecie czarną listę tytułów, które potencjalnie stanowią zagrożenie - podkreślmy jednak, że w polskich warunkach jest ono znikome.

Koncern został pozwany do sądu przez liczne podmioty, w tym przez Electronic Frontier Foundation. Zarzuty są bardzo poważne i jednoznacznie wskazują winę Sony BMG. Oby ta bezprecedensowa sprawa znalazła takie rozwiązanie, jakie jest w powszechnym interesie nas - klientów, konsumentów i obywateli jednocześnie.
error300.org

Życiowe post scriptum o lukach

Od ostatniego wpisu minęła chwila, tymczasem życie dopisuje ciekawy dalszy ciąg do wstępniaka Tomasza Nideckiego, który opublikowałem tutaj ostatnio.

Jak donosi Dziennik Internautów, Microsoft pozwał firmę Computer Terrorism, która opublikowała dane o luce w Internet Explorerze. Wedle Microsoftu z taką informacją należało czekać do momentu przygotowania łatki - sęk w tym, że problem jest znany od miesięcy (maj 2005). Więcej informacji o symptomatycznej sprawie DI pisze tutaj. Szczególnie zwracam uwagę na powtarzany także w tym przypadku argument o "inspiracji dla cyberprzestępców", z którym zresztą w prostych słowach rozprawił się Tomek.

Wydaje mi się, że pozew z Redmond to niebezpieczny sygnał dla nas wszystkich. W naszym interesie jest, by o lukach mówić głośno. Jeżeli przyjmiemy, że rację ma Howard Rheingold, który w "Smart Mobs" deklaruje, że Internet przewodowy ma się do bezprzewodowego jak telegraf do telefonu (popularyzacja, masowość!) i uświadomimy sobie, że Mikko Hypponen z F-Secure za swój największy koszmar senny uznaje wirusa rozprzestrzeniającego się tą właśnie bezprzewodową drogą - powinniśmy traktować problem upubliczniania luk bardzo poważnie.

Co jest dla nas lepsze - błoga nieświadomość, czy niepokojąca, ale transparentna świadomość istnienia dziur, mobilizująca firmy do szybszego łatania?

P.S. Na tej podstronie Computer Terrorism znajdziecie szersze informacje na temat luki w IE.
P.P.S. Poświęcę temu kiedyś osobny wpis, ale rozprzestrzenianie się "wirusów bezprzewodowych" jako żywo przypominałoby już epidemię tych czynników chorobotwórczych, które dziesiątkowały (lub mogą dziesiątkować) nasz gatunek. Kolejny styk światów ludzi i maszyn.
error300.org

Upubliczniać czy nie upubliczniać?

Dziś gościnny głos na blogu, autorstwa mojego przyjaciela Tomka Nideckiego, obecnie sekretarza redakcji magazynu hakin9. Skoro o hakingu mowa, to i temat dotyczy bezpieczeństwa komputerowego. Wpis jest de facto wstępniakiem redaktorskim do przygotowywanego właśnie numeru pisma, który ukaże się w styczniu 2006 roku (okładka poniżej).

* * *
Ser szwajcarski w eleganckim opakowaniu

Na liście dyskusyjnej Full-Disclosure znalazłem ostatnio bardzo ciekawą dyskusję. Czy upublicznianie wiadomości o lukach w zabezpieczeniach jest etyczne, czy nieetyczne? Scenariusz wydarzeń był następujący - pentester skontaktował się z pewną firmą, informując, że znalazł dziurę w jej oprogramowaniu. Producent nie okazał jednak wdzięczności za chęć niesienia pomocy. Przeciwnie, zareagował wściekłością, bo w firmie od dawna wiedziano o tej luce - tyle, że nie chciano, by informacja o niej kiedykolwiek ujrzała światło dzienne.

Takie sytuacje muszą budzić podejrzliwość. Jak wiele dziur w komercyjnym oprogramowaniu tworzą sami producenci, wiedząc o lukach doskonale, nie naprawiając ich, ale ukrywając? Jedno nurtuje mnie szczególnie - dlaczego te wszystkie luki są ściśle tajne? Czy aby przypadkiem nie są wykorzystywane przez producentów jako spyware? Być może jest to zbytnia podejrzliwość, ale czy przypadkiem i Wam taka myśl nie przemknęła przez głowę?

Polityka ukrywania błędów i luk w zabezpieczeniach przed opinią publiczną nie jest nowością dla ogromnych korporacji, jak Microsoft czy Oracle. Mówimy o obiecywaniu klientom najwyższych standardów bezpieczeństwa, gdy w rzeczywistości dostarcza się im kawałek szwajcarskiego sera przykrytego ładną folią z atrakcyjną nalepką. Z zewnątrz towar wygląda świeżo i wspaniale, w środku brzydko pachnie i jest pełen dziur.

Czy w takich okolicznościach warto powstrzymywać się od ujawniania społecznościom internetowym informacji o lukach w oprogramowaniu wielkich firm, skoro one nie mają skrupułów w okłamywaniu nas? Z jednej strony warto. Nie przez wzgląd na producentów, ale w trosce o ich klientów.

Upublicznienie informacji o lukach sprawi co prawda, że użytkownicy dziurawego oprogramowania staną się potencjalnym celem ataków. Z drugiej strony jednak, co się stanie, jeśli zagrożenia związane z lukami pozostaną w ukryciu? Otóż klienci nadal będą narażeni na ataki, bo przecież zawsze znajdą się tacy, którzy wiedzą o niezałatanych dziurach i wykorzystają tę wiedzę do złych celów. Dopóki nie nagłośni się problemu, użytkownicy będą nieświadomi zagrożenia, bo producent prawdopodobnie nigdy nie pokwapi się, by to zagrożenie usunąć.

Mówić czy nie mówić o lukach - co jest według was gorsze? Ja jestem w stu procentach za upublicznianiem błędów. Podobnie jak nasz magazyn, który w tym numerze udowadnia to po raz kolejny.

Tomasz Nidecki

* * *

A Wy jak myślicie? Co jest dla nas gorsze?
error300.org

Jak padają stereotypy

Zupełnie przypadkiem gry komputerowe stają się powoli lejtmotywem tego bloga. Nie mogę sobie jednak odmówić przytoczenia danych Entertainment Software Association (ESA), pochodzących z badania amerykańskiego rynku gier elektronicznych (komputery, konsole, itp.). Można je skonfrontować z wynikami badań Daedalus Project odnośnie World of Warcraft, o których pisałem w sierpniu.

Kilka statystycznych informacji o rynku amerykańskim, wg ESA:

• 50% Amerykanów korzysta z gier komputerowych i wideo,
  
• przeciętny użytkownik gier ma 30 lat, a jego średni "staż" w graniu to 9,5 roku,
• 95% kupujących gry ma więcej niż 18 lat, a przeciętny nabywca gier ma 37 lat,
  
• 43% wszystkich graczy to kobiety,
• grupa wiekowa młodych kobiet (powyżej 18 lat) ma większy udział w rynku (28%) niż dzieci i nastolatki płci męskiej (6-17 lat; 21%),
• 19% wszystkich graczy to osoby od 50 roku życia wzwyż,
• pośród użytkowników gier online, 60% to mężczyźni, a 40% - kobiety,
• przeciętny Amerykanin poświęca w tygodniu na gry ponad 7 godzin.

Więcej informacji tutaj i tutaj.

Najbardziej oczywisty wniosek: gry wsiąkły już dawno w kontekst kulturowy spędzania czasu wolnego. Stały się narzędziem w ręku Homo ludens, a huk padających stereotypów ("gry są dla dzieci", "poważni ludzie nie grają", "to nie dla kobiet") słychać aż tutaj.

Ciekaw jestem, jak podobne badanie wyglądałoby w Polsce. Na razie muszą wystarczyć badania amerykańskie, polskich graczy też ktoś kiedyś przebada.
error300.org