Wampiryczny blog

Do posłuchania: What is an SBOM and Why Should You Care? w/ Allan Friedman.

Jedną z rzeczy, które mnie irytują/martwią to założenie, że problem opisywany jako Using Components with Known Vulnerabilities można zaadresować przez testowania. Nie, nie można i to z wielu powodów. Choćby dlatego, że pentest dzieje się w określonym czasie, a nowe podatności są wykrywane 24/7/365. Inne formy testowania (vulnerability scanning, source code scanning) również odbywają się okresowo. Nawet jeśli produkt jest aktywnie rozwijany, a samo skanowanie jest zintegrowane z CI/CD pipeline, to i tak istnieje niezerowa szansa, że problem nie jest rozwiązany. Dlaczego? Proste pytanie - jak wiele poziomów w głąb używane narzędzia sięgają?

Tutaj (paradoksalnie) uważam, że vulnerability scanning (lub raczej DAST) ma pewną przewagę nad SAST (pentestu nie porównuje z uwagi na inną "cykliczność") - jeśli narzędzie używane do skanowania ma sygnaturę (OK, w tym kontekście nie do końca o sygnaturę chodzi) dla określonej podatności, to istnieje duża szansa, na jej znalezienie, nawet jeśli jest ona powodowana przez bibliotekę wiszącą gdzieś głęboko w drzewie zależności.

@Filip: dla Ciebie :)

Jak zwykle miałem problem z wymyśleniem tytułu wpisu, więc użyłem stwierdzenia, używanego często przez mojego znajomego, a którego znaczenia nie podejmuję się wytłumaczyć. Nie, nie chodzi tutaj o znaczenie bezpośrednie, ale o kontekst, w którym jest ono używane.

Do rzeczy. Bardzo spodobał mi się wpis Tomka - Od Maca do Booka. Od dłuższego czasu używam na zmianę Dell XPS 13 oraz MacBook Pro 13”, model z 2015 roku. Części problemów opisanych przez Tomka nie doświadczyłem (choćby klawiatura), części tak (patrz Staingate). Jeśli chodzi o przegrzewanie się to większe problemy mam z moim XPS, może to czas zanieść go do serwisu, przeczyścić, (...).

Ale do rzeczy. Coraz bardziej jest mi wszystko jedno, którego systemu akurat używam. Lepiej czuję się pod Windows, znam go lepiej, ale praca na MacBooku nie jest wcale traumatycznym przeżyciem. Natomiast najistotniejsze jest to, że coraz większy udział w czasie spędzonym „przed komputerem” ma iPad, który jest wystarczająco dobry, jest cichy, ma bardzo przyzwoity czas pracy na baterii, a w przypadku potrzeby napisania większej ilości tekstu - pod ręką mam klawiaturę.

Gdyby ktoś mnie zapytał jaki będzie mój kolejny laptop - nie wiem. Natomiast najbliższym nabytkiem prawdopodobnie będzie nowszy iPad, i to wcale nie Pro - „zwykły” jest wystarczająco dobry.

Ostatnio zmieniałem ISP, tym razem światłowód. Cóż, to dość dziwne uczucie, gdy kabel, który sam zaciskałeś dość dawno temu okazuje się powodem ograniczenia przepustowości łącza. Tak, obecnie moje łącze to ponad 100Mbps, a kabel, który był słabo zaciśnięty, ograniczał przepustowość do 100Mbps. Wcale nie jest wykluczone, że ten kabel zaciskałem w czasie, gdy łącze, z którego korzystałem miało zawrotną przepustowość 512kbps...

P.S. Tym razem mam swoją skrzynkę z krosownicą. Udało się nie stracić żadnych palców przy zabawie z kabelkami.

Tak, udało się, tym razem łączny dystans to 1200 kilometrów. W tym roku dystans nie był celem samym w sobie, chodziło mi przede wszystkim o utrzymanie nawyku i to udało się zrealizować. Trzy razy w tygodniu (z reguły - poniedziałek, środa i piątek) czuję wewnętrzną presję by pójść pobiegać. Oczywiście zdarzały się tygodnie, gdy nie udało się tego osiągnąć, ale to były raczej odstępstwa od reguły, zwykle spowodowane „obiektywnymi trudnościami”.

No dobrze, więc co z tą kartą / Apple Pay? Rozważmy dwa scenariusze:

1. Znajdujesz kartę, jaka jest szansa, że wpisując losowy PIN trafisz w ten prawidłowy?
2. Znajdujesz telefon, jaka jest szansa, że odcisk Twojego palca zostanie rozpoznany jako prawidłowy?

PIN karty to typowo 4 cyfry. Daje to 10 000 możliwych kodów PIN. Do tego z reguły są trzy próby, czyli szansa powodzenia to (mniej więcej) 1 / 3 333. W praktyce można byłoby pokusić się o sprawdzenie najczęściej występujących kodów PIN co szanse powodzenia zwiększyłoby jeszcze bardziej (patrz: PIN analysis). Można jeszcze dyskutować, czy kody PIN do kart są wybierane przez użytkowników, czy ustawiane w sposób losowy przez bank, jak często klienci korzystają z opcji zmiany PINu (jeśli taka jest udostępniana), ale nie jest to istotne dla tej dyskusji.

Co z biometrią? W tym przypadku kluczowy jest parametr FAR (False Acceptance Rate lub False Match Rate - patrz: biometrics). W przypadku czytników wykorzystywanych obecnie w telefonach parametr ten ma wartość 1:50000, czyli zaczynamy z nieco lepszego poziomu, niż w przypadku PIN. No właśnie, zaczynamy. W przypadku biometrii też mamy kilka prób (trzy), więc można mówić o szansie mniej więcej na poziomie 1 / 16 666. Całość pogarsza się jeszcze, gdy dodany jest więcej niż jeden odcisk palca.

Warto też zwrócić uwagę na to, jak w tym kontekście wypada FaceID.