Paweł Goleń, blog

Tak czytam sobie Notice of Recent Security Incident i mam dziwne przebłyski z przeszłości. Mniej więcej 10 lat temu (konkretnie, w 2011 roku) LastPass również informowało o potencjalnym incydencie. W efekcie powstał wpis Najpierw miało być o LastPass, a potem mnie poniosło.

Wiele się zmieniło od czasu powstania tamtego wpisu, choćby to:

To further increase the security of your master password, LastPass utilizes a stronger-than-typical implementation of 100,100 iterations of the Password-Based Key Derivation Function (PBKDF2), a password-strengthening algorithm that makes it difficult to guess your master password. You can check the current number of PBKDF2 iterations for your LastPass account here.

Nie zmienia to jednak mojej rezerwy odnośnie modelu LassPass. Nie chodzi mi nawet o sam fakt przechowywania zaszyfrowanych baz haseł w chmurze. Boli mnie natomiast możliwość wprowadzenia niewielkich modyfikacji do kodu LastPass, które w efekcie mogą spowodować wyciek masterpassword. Cytując samego siebie:

Z perspektywy ZŁEGO zdecydowanie bardziej efektywnym sposobem uzyskania dostępu do danych użytkowników byłoby wprowadzenie delikatnej zmiany w kodzie (np. aplikacji internetowej) tak, by hasło użytkownika jednak było przesyłane na serwer.

A uzupełniając fragment "a nie mówiłem", to zwracam uwagę, że teraz również główną słabością (potencjalną) są hasła użytkowników. Bo AES-256 to jedno, a i tak wszystko sprowadza się do klucza bo...

(...) Sam algorytm to nie wszystko, ważny jest jeszcze jego klucz i sposób, w jaki został uzyskany...

13 lat temu pisałem, że encoding musi być dostosowany do kontekstu, w którym dane mają być użyte: Znaj swój kontekst. Dokładnie to samo można przeczytać w OWASP Cross Site Scripting Prevention Cheat Sheet. I co? I dalej można spotkać się z sytuacjami, gdy ktoś uważa, że jedna magiczna funkcja problem XSS rozwiązuje raz i na zawsze, w każdym możliwym przypadku. I oczywiście w dalszym ciągu przychodzą Źli Ludzie™ i pokazują, jak bardzo się ktoś myli...

Nie, nie taka "hokus pokus", również nie taka "niewytłumaczalna". Raczej zjawisko, którego wystąpienia się nie spodziewałem. Takie z gatunku tych, kiedy to WiFi działa, albo nie działa, albo jeszcze dawniejszych czasów studiów, gdy problem z niestabilnym połączeniem sieciowym został ostatecznie rozwiązany przesuwając kable sieciowe dalej od wysłużonej lodówki. No i nie tak zaskakujący, jak mordercze moce Rhythm Nation.

Ostatnio postanowiłem dokształcić się z Kubernetes. Dla większej motywacji nabyłem ODROID-C4, na którym zamierzam postawić microk8s. Tak, wiem. Niepotrzebnie, można korzystać albo z jakiegoś sandboxa, albo nawet postawić VM z taką konfiguracją (co zresztą już mam). Ale mnie taka inwestycja motywuje :)

A po co mi to? Z ciekawości. I z tego powodu, że tutaj jest steep learning curve. Jakiś czas temu wpadłem na pomysł, by "pobawić" się Dockerem i to było raczej proste. W tym sensie, że dość łatwo było mi zrozumieć co, jak i dlaczego. W tej chwili mój DYI Smart Home działa na Docker Swarm, choć akurat z trybu Swarm wykorzystuję tylko overlay network. Podejście / logika w Kubernetes jest jednak mocno inna i na razie mam mgliste pojęcie, jak osiągnąć to samo.

I znowu, mam tak dziwnie, że najlepiej uczę się, przez reverse engineering, więc mam niejasne wrażenie, że istotnym krokiem będzie przekonwertowanie mojego docker-compose przy użyciu Kompose.

Czy ja już pisałem, że jestem wielkim fanem Principle of least astonishment?

Kolejny scenariusz, w którym czuję się zaskoczony... Lubię popatrzeć w dane, moim typowym sposobem postępowania jest wrzucenie tego, co mam w Excela i zrobienie pivota. Proste, ale w wielu wypadkach w zupełności wystarczające. I zmieniając wymiary tabeli naprawdę można zobaczyć ciekawe rzeczy. Oczywiście, można być zaskoczonym wynikami tej analizy, ale ja wspominam o POLA nie w tym kontekście.

O co mi chodzi? Czasami dane do analizy trzeba pozyskać z innego systemu. Czasem można podpiąć się bezpośrednio do bazy, czasem trzeba korzystać z jakiejś funkcji import/export. I tu dochodzimy do sedna - funkcja Export All Data brzmi może fajnie, prawda? A jakież zaskakujące jest to, że w rzeczywistości "All Data" oznacza "nie więcej niż X wierszy (...)". Zaskakujące? Dla mnie tak.

I tak, takie ograniczenie ma swoje uzasadnienie, w szczególności w przypadkach, gdzie ilość danych jest duża i eksport wszystkiego może negatywnie odbić się na dostępności lub wydajności systemu (czyli innymi słowy spowodować DoS).