Wrrr! TrueCrypt ma w zwyczaju chwilę po wydaniu nowej wersji, wydawać wersję "a", która zawiera poprawki. TCGINA jednak nie pojawiła się jeszcze dla wersji 4.3a, a ponieważ ma w sobie zaszyte na stałe akceptowalne wersje TrueCrypt (konkretnie jedną wersję), to zbywało mnie przy próbie logowania ładnym komunikatem, że TrueCrypt nie ma. Na szczęście są źródła i poprawienie jednego #define z 430 na 43a nie było jakoś specjalnie skomplikowane, tylko raczej upierdliwe...
Ciąg dalszy "TCGINA... Wrrr!" »Friday, May 11. 2007
Tuesday, May 8. 2007
Zasada "mniej niż trzy"
...lata pracy w jednym miejscu w dalszym ciągu działa. 11 maja jest ostatnim dniem mojej pracy w obecnym miejscu. A później pora wyruszyć ku nowym wyzwaniom :)
Monday, May 7. 2007
WiFi jest ZŁE!
Na początek dlaczego jest ZŁE! A dlatego: How Credit-Card Data Went Out Wireless Door. Tak, implementacja była przeraźliwie idiotyczna, tutaj praktycznie nie było zastosowanych ŻADNYCH środków ochronnych. Dane takie powinny być szyfrowane co najmniej na dwóch, trzech poziomach (po pierwsze nawet ten słaby WEP, po drugie może jakiś IPSec lub/i SSL no i wreszcie może jakieś szyfrowanie w protokole aplikacji dla tych, dość istotnych jakby na to nie popatrzeć, danych). Opowiem jedną historię. Jakiś czas temu pewna firma stwierdziła, że otwiera kilka nowych placówek, na razie dla sprawdzenia, czy będą w stanie się utrzymać, niewielkich przy możliwie małych inwestycjach. Ludzie odpowiedzialni za adaptację nowych powierzchni stwierdzili w swoich zagmatwanych wyliczeniach, że można oszczędzić na sprzęcie sieciowym, jeśli zamiast kabli wykorzysta się WiFi. Nie będzie kucia i wiercenia w ścianach, a i likwidacja takiej sieci później jest dość prosta. Same zyski... Na szczęście znalazł się ktoś na tyle mądry, by poprosić innych ludzi o zrobienie tego w sposób w miarę bezpieczny. Zamiast tanich punktów dostępowych kupiono sprzęt nieco bardziej zaawansowany, który wspierał już WPA, próba z wykorzystaniem AES zakończyła się niestety niepowodzeniem, wykorzystano RC4, ale z TKIP. Dostęp do sieci był kontrolowany centralnie przez serwer RADIUS, wykorzystane zostały certyfikaty cyfrowe, ukryto SSID, zmniejszono moc urządzeń nadawczych, tak by ograniczyć nieco ich zasięg... W rezultacie koszt implementacji okazał się wyższy, niż starych, dobrych kabli. Nawet jeśli do kabli doliczyć koszt ich późniejszego usunięcia...
A co jest złego w WiFi? Przez długi czas firmy patrzyły na bezpieczeństwo na zasadzie "my i oni". Granica była jasno sprecyzowana, wielki, huczący i migoczący wieloma lampkami "punkt styku". Wszystko "u nas" było zaufane... I tu pojawia się problem. Istnieje gigantyczna liczba aplikacji, która do komunikacji wykorzystuje protokoły nie zapewniające żadnego bezpieczeństwa. Wykorzystywane są protokoły typu FTP, HTTP, TELNET. Jeśli przy analizie ryzyka założy się, iż całość działa w sieci "zaufanej", gdzie każda stacja jest wpięta do oddzielnego portu na switchu, gdzie możliwość podłączenia "obcego" komputera jest mocno ograniczona, a to, co robią użytkownicy na swoich stacjach - mocno kontrolowane, to przy takich założeniach wykorzystanie tych protokołów nie jest bardzo istotnym ryzykiem (dla mnie jest, ale prawdopodobieństwo wykorzystania razy oczekiwane straty nie stanowią bardzo wysokiej wartości w zestawieniu z innymi ryzykami). Sytuacja drastycznie zmienia się, gdy ta sieć przestaje być zaufana. A tak się dzieje, gdy zaczyna korzystać się z niezbyt dobrze zabezpieczonej sieci WiFi... Co więcej, tak się dzieje również tam, gdzie wykorzystywane są "tradycyjne" kable, gdy w firmie pracuje coraz więcej konsultantów zewnętrznych, a goście mogą wpiąć swój komputer do sieci. O tym też się zapomina, niestety...
Ciąg dalszy "WiFi jest ZŁE!" »Friday, May 4. 2007
O bugu w ikonkach
Ciekawa analiza tego, dlaczego błąd w plikach ANI znalazł się również w VISTA mimo zastosowania SDL. Błędy zawsze się zdarzały i będą się zdarzać. Najważniejsze jest to, by z błędów wyciągnąć lekcję na przyszłość. Microsoft zaczął to robić i efekty już są.
Ciąg dalszy "O bugu w ikonkach" »Tuesday, May 1. 2007
OpenBSD 4.1
Tym razem już oficjalnie, jak zwykle, 1 maja nowa wersja OpenBSD, tym razem oznaczona numerkiem 4.1.
Ciąg dalszy "OpenBSD 4.1" »