Oficjalna aplikacja do pomiaru internetu odda Wasze dane prywatnej firmie
Już od 1 grudnia łatwiej będzie reklamować jakość usługi internetowej, jeśli ta będzie regularnie wolniejsza niż zapisano w umowie. Dane zebrane w trakcie pomiaru (w tym także informacje o komputerze i procesach) trafią w ręce prywatnej firmy.
Jak donosi TVN24, Urząd Komunikacji Elektronicznej po czterech (!) latach prac nad przygotowaniem narzędzia pomiarowego zdecydował się użyć oprogramowania firmy komercyjnej, otrzymanego za darmo. Nic nie jest jednak za darmo i dane pomiarowe trafią do twórców narzędzia. Tych danych będzie dość sporo, a dodatkowo znaleźliśmy dziwne rozbieżności w polityce prywatności i regulaminie usługi.
Kompleksowy pomiar
Oficjalna aplikacja do pomiaru prędkości internetu jest bardzo dobrym pomysłem. Wyniki odpowiednio przeprowadzonego pomiaru będą stanowiły silny argument w procesie reklamacji i być może zmuszą dostawców do zapewnienia wyższego poziomu usługi (na co mamy ogromną nadzieję). Czy jednak faktycznie przez cztery lata nie można było stworzyć aplikacji obsługiwanej przez UKE, a nie przez komercyjny podmiot prywatny?
Aplikacja będzie nie tylko mierzyć prędkość internetu, ale także dbać o jakość pomiaru. Sprawdzi:
- czy do routera podłączony jest tylko jedno urządzenie, czyli komputer (inne urządzenia mogą zatykać łącze),
- czy połączenie jest po kablu (Wi-Fi może spowalniać transfer),
- czy nie ma zbyt dużego ruchu w tle,
- czy procesor komputera nie jest zbyt obciążony,
- czy nie jest aktywny VPN,
- czy jest udostępnione połączenie,
- czy karta sieciowa ma wystarczającą przepustowość
- i kilka innych parametrów.
To ma spory sens – powyższe elementy mogą zakłócić jakość transmisji i jej pomiaru. Dzięki zachowaniu odpowiednich parametrów środowiskowych pomiar można uznać za wiarygodny i stanowiący podstawę do złożenia reklamacji. Gdzie zatem znajdujemy problem?
Co zbiera aplikacja i dla kogo
Przeanalizowaliśmy stronę narzędzia i jego regulamin oraz politykę prywatności. Wyczytaliśmy tam, że aplikacja i jej twórca będą zbierać następujące dane:
- publiczny adres IP Użytkownika zarejestrowanego – w celu określenia nazwy Operatora oraz przybliżonej lokalizacji Użytkownika na podstawie publicznie dostępnych informacji,
- prywatny adres IP Użytkownika, port źródłowy TCP połączenia aplikacji z Systemem na potrzeby generowania Raportu,
- przybliżoną na podstawie publicznego adresu IP (Aplikacja dla Windows, Aplikacja WEB, Aplikacje mobilne) lub dokładną (Aplikacje mobilne) lokalizację Użytkownika na potrzeby tworzenia zagregowanych statystyk, prezentowanych na interaktywnych mapach na Stronie,
- podstawowe parametry jakościowe łącza internetowego: prędkość pobierania i wysyłania danych, RTT, jitter, buffer delay, retransmisje TCP, rozmiar MSS, rozmiar PMTU,
- parametry Pomiarów: liczba połączeń, wielkość okna transmisyjnego TCP,
- szybkość, opis, typ połączenia i duplex interfejsu sieciowego oraz wersja i data sterownika interfejsu sieciowego,
- informacja, czy konfiguracja IP została pobrana z DHCP,
- maska podsieci dla adresu IP na interfejsie sieciowym,
- ruch na interfejsie sieciowym w Windows przed i w trakcie Pomiaru,
- RTT bramy domyślnej podczas pomiaru,
- średnie obciążenie CPU przed i w trakcie Pomiaru,
- średnio obciążenie pamięci RAM przed i w trakcie Pomiaru,
- stan połączenia VPN (aktywne/nieaktywne),
- stan udostępniania połączenia internetowego (aktywne/nieaktywne),
- informacje o połączeniu Wi-Fi: standard, kanał, RSSI, SNR, jakość,
- nazwa procesora i wielkość pamięci RAM,
- model i prędkość obrotowa dysku twardego (jeśli dostępna),
- wersja, architektura i numer build systemu operacyjnego,
- zawartość tablicy ARP dla podsieci adresowej, w której znajduje się brama domyślna z najniższą metryką,
- lista interfejsów sieciowych,
- wynik traceroute do PST lub DST,
- lista aktywnych zabezpieczeń systemowych,
- lista procesów i usług, które mogą ograniczać przepustowość połączenia sieciowego.
Całkiem nieźle, prawda? O ile wiele punktów jest dość oczywistych, to już ostatnia pozycja budzi nasze lekkie zdziwienie. W końcu aplikacja ma sprawdzać ruch przed uruchomieniem pomiaru, zatem po co dodatkowo zbierać listę procesów i usług? Które z nich zostaną uznane za „mogące ograniczać przepustowość połączenia sieciowego”?
Wszystkie te dane będą zbierane i przetwarzane przez firmę V-SPEED Sp. z o.o., która jest autorem narzędzia i całej platformy. Jak mówi polityka prywatności:
V-SPEED może udostępnić te dane podmiotom trzecim, w tym Operatorom, w celu poprawy jakości świadczonych usług dostępu do Internetu oraz w celach statystycznych, jeśli Użytkownik wyraził na to dobrowolną zgodę podczas rejestracji konta.
Faktycznie, w procesie rejestracji konta nie trzeba wyrażać na to zgody – to pole nie jest obowiązkowe. Warto o tym pamiętać. Ominięcie tego pola nie oznacza jednak, że danych tych nie będzie zbierać i przetwarzać firma V-SPEED.
A co z danymi osobowymi?
Tutaj mamy bardzo ciekawą sytuację. W polityce prywatności czytamy:
V-SPEED przetwarza w Systemie […] adres e-mail Użytkownika w celu rejestracji konta Użytkownika (dostarczenie danych do logowania w Panelu www użytkownika) oraz w celu procedury odzyskiwania danych do logowania; adres e-mail przetwarzany jest do momentu wysłania wiadomości e-mail z danymi do logowania (około 1 sekunda), a następnie jest usuwany.
Adres e-mail jest według tego zapisu usuwany po wysłaniu wiadomości – brzmi super. Co prawda zapisywany w systemie jest identyfikator użytkownika, ale wygląda na to, że nie będzie on powiązany z identyfikowalnymi danymi użytkownika. Również na stronie rejestracji czytamy:
Adres e-mail jest przetwarzany wyłącznie do momentu wysłania wiadomości e-mail z linkiem aktywacyjnym oraz ID użytkownika. Następnie jest usuwany.
Co jednak znajdziemy w regulaminie usługi?
V-SPEED zapewnia możliwość odzyskania danych do konta przy użyciu adresu e-mail podanego w czasie rejestracji konta.
I faktycznie, w oknie odzyskiwania hasła widzimy:
Jak zatem działa proces odzyskiwania hasła, skoro system nie zna adresu e-mail, bo go usunął? Nie mamy pojęcia, to ciekawa zagadka.
Samego odzyskiwania nie możemy przetestować, ponieważ jeszcze nie można rejestrować się w systemie, ale mamy nadzieję, że odzyskiwanie nie polega na odesłaniu hasła na skrzynkę użytkownika.
Co począć z tym fantem
Sama usługa i możliwość jej użycia w procesie reklamacji prędkości internetu jest świetną wiadomością dla polskich internautów. Dlaczego cztery lata nie wystarczyły, by urząd zbudował (lub zakupił) odpowiednie oprogramowanie – nie wiemy. Czy oddawać swoje dane prywatnej firmie? Tu wygląda na to, że jeśli ktoś chce złożyć reklamację, to nie wyboru. Szkoda.
Dla ciekawskich polecamy: raport z testów działania aplikacji, dokumentacja techniczna platformy, wersja demo (produkcyjna powinna ruszyć 1 grudnia).
Podobne wpisy
- Podstawy Bezpieczeństwa: Jak zadbać o bezpieczeństwo i prywatność na Discordzie
- Podstawy Bezpieczeństwa: LinkedIn – jak zadbać o prywatność i bezpieczeństwo
- Podstawy Bezpieczeństwa: Jak zadbać o swoją prywatność, używając Androida
- Podstawy Bezpieczeństwa: WhatsApp – jak zadbać o bezpieczeństwo i prywatność
- Podstawy Bezpieczeństwa: Prywatność i bezpieczeństwo na Instagramie
W sumie mogą trzymać hasha z mailem.
Przy odzyskiwaniu hasła, użytkownik podaje maila, system hashuje, sprawdza czy ktoś jest z takim hashem i jeśli jest to wysyła maila na podany adres (adres z formularza, nie rozszyfrowany hash)
To równie dobrze mogli napisać że hasło też kasują (i w domyśle trzymają tylko hash, oby)
Pewnie hash maila staje się ID użytkownika ;)
Czym haszują? MD5 dla dinozaurów, bez solenia podatnym na kolizję i robi się niebezpiecznie?
Żeby zmaksymalizować szansę na kolizje, twoje hasło zahashują CRC32.
Nie kolizje są problemem, a fakt że nie istnieją jednokierunkowe funkcje skrótu (tzn. teoretycznie niemożliwe do odwrócenia). W pewnych skrajnych warunkach w ogóle nie istnieją algorytmy „jednokierunkowe” i nigdy istnieć nie będą. Dlaczego? Wyobraźmy sobie algorytm który na wejściu dostaje np 6 cyfr (kod TAN z listy haseł jednorazowych Banku). Zatem mamy jedynie 1 mln możliwości, które niemal natychmiast można odwrócić od ręki. Wprowadzono więc sól (salt) która ma za zadanie zwiększyć liczbę kombinacji. Znając algorytm i długość soli zawsze będziemy mogli wygenerować tablice lub sprawdzić wszystkie możliwe kombinacje (z każdą możliwą solą) w skończonym czasie. Oczywiście wraz ze wzrostem długości soli rośnie rozmiar tablic, ilość dopasowań do „przeglądnięcia”, ale z drugiej strony jest ograniczenie losowości tej soli, bo nie jest i nie będzie ona prawdziwie losowa (pseudolosowość) i kiedyś w końcu wartości zaczną się powtarzać (kto pisał jakikolwiek program z użyciem dowolnego PRNG i źle lub wcale nie zainicjował generatora ten wie o czym piszę). To że dziś mamy ograniczenia w pojemności i przepustowości dysków nie oznacza że będzie tak za „IKS” lat. Zabezpieczenia informatyczne zawsze mają krótki okres przydatności do „spożycia” i nie znoszą górnolotnych frazesów jak „nie do złamania”, „bezpieczne”. Tak więc nie MD5 jest tu niebezpieczne. Wszystko zależy od zastosowania i samej implementacji. Znam implementacje w których MD5 jest na dzień dzisiejszy wystarczające.
Thx!
Zgaduj zgadula? Pewnie mogloby i tak byc ale znajac Polakow na 10000000% tak nie jest.
Można zapisać do bazy hash z e-maila i już się go nie przetwarza. Przy odzyskiwaniu hasła porównanie hashy.
Ciekawe jak aplikacja poradzi sobie z VPNem na routerze ;-)
Korzystać jednak nie zamierzam.
Adres e-mail może zostać poddany anonimizacji (tłumacząc z prawniczego na IT – hashowaniu ;) )
Wtedy można sobie wyobrazić, że funkcja przypominania hasła może działać mimo braku maila w bazie.
To oczywiście ta optymistyczna wersja ;)
A co z użytkownikami systemu Linux? Nie mogą składać reklamacji? A jeśli ktoś korzysta z sieci tylko z tabletu? OSX?
ale wiesz ze to aplikacja sieciowa przez browser i html5 idzie ?
I ma dostęp do listy procesów?
Jak w albańskim wirusie, sam musisz podać listę procesów.
„Tu wygląda na to, że jeśli ktoś chce złożyć reklamację, to nie wyboru. Szkoda.”
to nie wyboru szkoda… 4 lat.
Ciekawi mnie jak będą sprawdzać urządzenia wpięte do routera. Zwłaszcza jak ktoś ma więcej niż jeden vlan.
Dokładnie to jedna z wielu wad tego narzędzia.
'Pomiar certyfikowany przez UKE’ to pomiar, w którym m.in: „brak obecności innych urządzeń poza routerem i komputerem użytkownika w sieci” ….
haha, ciekawe jak aplikacja na kompie użytkownika to zagwarantuje!? jest co najmniej 10 banalnie prostych sposobów żeby to obejść, i aplikacja nie wykryje innych urządzeń które obciążają łącze w czasie teoretycznie certyfikowanego pomiaru. I co? Operator będzie musiał to uznać bo nie udowodni przecież na podstawie 'certyfikowanego raportu UKE’ że było inaczej, pomimo że tak było. Czy oni w UKE są poważni? Dramat…
To proste, aplikacja zatruwa tablicę arp, rozszywa ruch SSL i dla pewnosci liczy tokeny aktywnych sesji bankowych innych użytkowników domowych ;)
Nasz dostawca internetu ma ustawione priorytety na stronach do pomiaru prędkości. Tak więc testując łącze zawsze jest to co na umowie a w rzeczywistości szału nie ma.
Placzecie ze ktos zbiera dane a sami to robicie – kod sledzacy uzytkownika z waszej strony:
if ( mi_track_user ) {
(function(i,s,o,g,r,a,m){i[’GoogleAnalyticsObject’]=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,’script’,’//www.google-analytics.com/analytics.js’,’__gaTracker’);
__gaTracker(’create’, 'UA-28179139-1′, 'auto’);
__gaTracker(’set’, 'forceSSL’, true);
__gaTracker(’send’,’pageview’);
} else {
console.log( „” );
(function() {
/* https://developers.google.com/analytics/devguides/collection/analyticsjs/ */
var noopfn = function() {
return null;
};
var noopnullfn = function() {
return null;
};
var Tracker = function() {
return null;
};
var p = Tracker.prototype;
p.get = noopfn;
p.set = noopfn;
p.send = noopfn;
var __gaTracker = function() {
var len = arguments.length;
if ( len === 0 ) {
return;
}
var f = arguments[len-1];
if ( typeof f !== 'object’ || f === null || typeof f.hitCallback !== 'function’ ) {
console.log( 'Not running function __gaTracker(’ + arguments[0] + ” ….) because you are not being tracked. ” + mi_no_track_reason );
return;
}
try {
f.hitCallback();
} catch (ex) {
}
};
__gaTracker.create = function() {
return new Tracker();
};
__gaTracker.getByName = noopnullfn;
__gaTracker.getAll = function() {
return [];
};
__gaTracker.remove = noopfn;
window[’__gaTracker’] = __gaTracker;
})();
}
Trochę niekonkretnie opisane. Musimy wpiąć się bezpośrednio do „modemu” od operatora, tak aby pominąć wszelkie inne urządzenia.
„Jak donosi TVN24, Urząd Komunikacji Elektronicznej po czterech (!) latach prac nad przygotowaniem narzędzia pomiarowego zdecydował się użyć oprogramowania firmy komercyjnej, otrzymanego za darmo.”
Przecież to nie jest tak, przez ten czas uzgadniano pomiędzy różnymi dostawcami kryteria. Przecież wynik tego pomiaru będzie „certyfikowany” i na jego podstawie będzie można składać reklamację. W tym wypadku operator nie powie, że to pewnie przez wolny sprzęt, dużo urządzeń itp.
Piszecie, że UKE sam mógł stworzyć… Ale co, maszyny z którymi się łączymy też mieliby utrzymywać do testowania prędości? przecież pakiety nie idą do modemu, tylko gdzieś w świat ;-)
UKE ogłosiło przetarg na tę aplikację. Było to jakoś rok temu a sam pomysł na pewno nie pojawił się aż 4 lata temu – przynajmniej w branży ISP nikt o tym 4 lata temu nie słyszał.
Słabo się interesowales. Temat faktycznie był od kilku lat podnoszony, były inicjatywy operatorów, memorandum UKE, różne pomysły, konsultacje i większość materiałów jest publicznie dostępnych na stronach UKE.
Obecne narzędzie to efekt działań ostatnich kilkunastu miesięcy.
Na pewno lepsze niż zwykły test w przeglądarce, ale nazywanie certyfikowanym i wpełni wiarygodnym pomiarem, mającym moc dowodu w sporach to nieporozumienie. W każdym sądzie można wykazać ze wyniki z niego nie są wiarygodne bo bardzo łatwo mieć na nie wpływ, a narzędzie UKE tego nie wykryje.
Jakoś inne instytucje rządowe utrzymują różne oficjalne systemy. Magia.
Sporo ludzi ma łącze szerokopasmowe xDSL, najczęściej ADSL.
Ich urządzeniem brzegowym nie jest zwykły modem xDSL, tylko urządzenie wielofunkcyjne łączące w sobie funkcjonalność modemu xDSL, routera, switcha (w tym switcha WiFi). Znasz kogoś kto jeszcze używa „czystego” modemu xDSL + osobno router/switch? Właściwie to tylko wtedy pomiary byłyby wiarygodne.
Całe te „mierzenie” poprzez stronę WWW jest ułomne.
Dedykowana aplikacja dla Windows nie jest „mierzeniem przez www”.
A jak nie używam Windows, tylko Linuxa albo BSD?
Dlaczego jeszcze? Goły modem xDSL + ASA5505 + router z OpenWRT to całkiem „nowoczesne” domowe rozwiązanie
Dla geeków tak, ale nie dla przeciętnego Kowalskiego, a to on będzie najczęściej marudził że net wolno chodzi i chętnie kliknie na apkę co mu sama wszystko zmierzy.
.
Ja mam jeszcze w domu modem ADSL, dlatego że lubiłem się kiedyś bawić sprzętem, jestem typem chomika, mam tego kilkanaście kartonów.
Mam nawet kartę sieciową ethernetową (na PCI) na 2-żyłową skrętkę telefoniczną. Były kiedyś takie karty, chodziły wolno jak na koncentryku, ale to było ciekawe rozwiązanie:)
Jeżeli nie korzystam z systemu Windows, to czy oznacza to że nie będę mógł złożyć reklamacji :) ? Czy w/w aplikacja będzie wieloplatformowa i będzie dostępna na systemy BSD, linux, macOS?
Tak powinno brzmieć pytanie Z3S do UKE. Nie promujmy badziewia jakim niewątpliwie stał się system Windows.
Też na to zwróciłem uwagę i nawet wysłałem info na maila
Jak siegne pamiecia jeden z wiekszcyh isp z trzema literami w nazwie mial zapis na umowie, ze do poprawnego dzialania uslugi jest wymagany windows xp,vista,7. Smiechlem jak mi monter powiedzial, ze powinien odstapic od instalacji modemu jak zasiadlszy przed moim kompem dowiedzial sie ze to linux.
Pomimo uplywu czasu caly czas mnie smieszy ignorancja.
Skoro w procesie reklamacyjnym będzie można używać jedynie aplikacji na komputerze, to po jaka cholerę w aplikacji mobilnej wymagają zakładania konta? Jedyne sensowne wytłumaczenie jakie przychodzi mi do głowy to zbieranie danych osobowych…
https://rejestr.io/krs/695003/v-speed
mojepanstwo.pl
fundacja goni fundacje
ciekawe co z tymi danymi beda robic..
z PKD
73, 11, z, działalność agencji reklamowych
73, 12, c, pośrednictwo w sprzedaży miejsca na cele reklamowe w mediach elektronicznych (internet)
ciekawe co z tymi danymi beda robic..
z PKD
73, 11, z, działalność agencji reklamowych
73, 12, c, pośrednictwo w sprzedaży miejsca na cele reklamowe w mediachektronicznych (internet) el
Da się przechować coś w taki sposób, żeby tego nie przetwarzać, nie dało się odczytać (racjonalnymi zasobami), a jednocześnie dało się zweryfikować identyczność tego czegoś. Osobiście używam szyfrowania rsa, przy czym publiczny klucz służy mi do haszowania danych, a prywatny już nie istnieje. Nie wiem jakie jest bezpieczeństwo tego, nie weryfikowałem go, gdyż jeszcze nie musiałem dawać żadnych gwarancji na rozwiązanie. Wydaje mi się więcej niż wystarczające. Raz generowałem oddzielny klucz per user. Wiem też, że podobne rozwiązania stosuje się w „poważnych” systemach.
Czyli w tym przypadku wystarczy trzymać hasz adresu email i przy odzyskiwaniu hasła system zahaszuje podany email do porównania i znów potrzyma przez około sekundę na potrzeby wysłania maila z linkiem do odzyskiwania hasła.
Rozwiń proszę bo mam podejrzenia graniczące z pewnością że bredzisz. To tak jak byś wrzucił dokument do pieca, wybrał popiół i twierdził że nadal go przechowujesz w bezpiecznej formie.
Żeby pomiar był certyfikowany, to obciążenie procesora nie może przekraczać 20%, generalnie po to ta lista procesów, żeby ew, podpowiedzieć testującemu dlaczego prędkość jest niższa niż wykupiona. W sumie dość łatwo spowodować, że nie będzie certyfikacji, a bez tego nie można użyć aplikacji jako podstawy reklamacji, z drugiej strony, ludzie nie mają pojęcia jaki trzeba mieć sprzęt, żeby móc faktycznie wyciągać 800 czy 1000 Mbps downloadu czy uploadu, zdarza się, że próbują tyle osiągnąć np na lapku z C2D T9400…
’Pomiar certyfikowany przez UKE’ to pomiar, w którym m.in: „brak obecności innych urządzeń poza routerem i komputerem użytkownika w sieci” ….
haha, ciekawe jak aplikacja na komie użytkownika to zagwarantuje!? jest co najmniej 10 banalnie prostych sposobów żeby to obejść, i aplikacja nie wykryje innych urządzeń które obciążają łącze w czasie teoretycznie certyfikowanego pomiaru. I co? Operator będzie musiał to uznać bo nie udowodni przecież na podstawie 'certyfikowanego raportu UKE’ że było inaczej, pomimo że tak było. Czy oni w UKE są poważni? Dramat…
A może chodzi o zbudowanie troszkę bardziej wiarygodnego narzędzia aby odsiać niepoprawnie przeprowadzone testy. Uznanie, oznacza rozpatrzenie reklamacji przez ISP, a UKE będzie miało możliwość dołączenia do sporu w razie potrzeby. Taką potrzebą może być dymanie województwa przez ISP bo raczej nie wyobrażam sobie aby pojedynczego klienta chcieli wesprzeć.
Po to nadano narzędziu państwowy certyfikat Prezesa UKE, żeby pomiar miał moc dowodu i nikt z nim nie dyskutował, nie podważał wyniku. A w obecnej sytuacji gdy pomiar (dowód) ktoś zafałszuje, to dowieść że w momencie pomiaru było inaczej musi dostawca internetu. A jak ma to zrobić dysponując takimi danymi, wiedząc że bez problemu można wynikami manipulować? DO tego abonent może zgłosić nawet kilkanaście miesięcy później – bo takie ma prawo.
Masz w parametrach karty sieciowej prędkość ustawioną na „auto negotiation” lub „half duplex” już pomiar niecertyfikowany.
I te dane pomoga magicznie zamienic lacza miedziane na swiatlowod ?