Był sobie konkurs dotyczący włamania na laptopa. Laptopy były trzy, z Ubuntu, MacOS i Vistą. Dwa padły, MacOS przez dziurę w Safari, o czym pisał już Tomek. Vista padła przez dziurę w Adobe Flash. Flash jest ZŁY! A dodatkowo ZŁE jest to, że jest on zainstalowany praktycznie na każdym komputerze, przynajmniej tym z Windows.
Phishing nie jest atakiem przeciwko zabezpieczeniom technicznym, tylko przeciwko użytkownikowi systemu. Trzeba edukować tego użytkownika, tak, by nie podawał swoich danych gdzie popadnie. I banki to robią, tylko klienci nie dbają o swoje własne pieniądze...
Dziś od rana jestem usilnie nakłaniany do aktywowania swojego konta w BZ WBK. Konta tam oczywiście nie posiadam, a sam sposób aktywacji, który wymagałby podania numeru karty, daty jej ważności oraz kodu PIN powinien chyba wzbudzić co najmniej pewne zaniepokojenie. Skoro jednak taka akcja jest prowadzona, to prawdopodobnie istnieją ludzie, którzy niewiele myśląc podadzą te dane...
No, prawie. Bo okazało się, że muszę odchorować jednak tą małą różnicę w klimacie między Egiptem i Polską...
Pierwsza, ciepła część wolnego zakończyła się wczoraj. Ostatnie 36 godzin bez spania odsypiałem godzin 18. Wycieczka do Egiptu była bardzo udana. Nie, nie leżenie na plaży, lecz wycieczka objazdowa po “Egipcie Starożytnym”, rejs po Nilu, przepłynięcie I katarakty... Teraz trzeba po tym “wypoczynku” odpocząć.
Przyszła pora na odrobinę odpoczynku. Tak na prawdę, to przyszła pora, by Moja Ulubiona Czarownica wykorzystała zaległy urlop. W każdym razie dwa tygodnie bez szukania dziury w całym... Jak ja to zniosę?
Lubię programy małe, które robią to, co do nich należy. Dlatego też od pewnego czasu Winamp został przeze mnie wyklęty na rzecz foobar2000. Ja wiem, że foobar2000 nie jest nowością, ale dopiero od pewnego czasu intensywnie słucham stacji radiowych przez Internet. Do tego foobar2000 nadaje się wyśmienicie, bez całego bloatu związanego z WMP czy Winamp. A i nie bez znaczenia jest zestawienie znalezionych podatności:
Ponieważ słuchając stacji radiowych z Internetu jestem bardziej narażony na atak, niż słuchając własnej kolekcji muzyki, wykorzystanie mniejszego i bezpieczniejszego oprogramowania jest jak najbardziej uzasadnione.
EDIT: trochę później...
I jeszcze jedna rzecz, o której nie napisałem wcześniej. Foobar2000 jest jedną z nielicznych aplikacji, które łatwo udaje się przekonać do pracy w trybie Restricted (z wykorzystaniem SAFER w Windows XP, Windows Vista ma inne mechanizmy, choćby Integrity Levels). W skrócie – mechanizm ten pozwala na uruchomienie procesu jako ja (bo to ja jestem zalogowany), ale z nieco mniejszymi prawami, niż normalnie mam. Prawa te w szczególności oznaczają dostęp tylko do odczytu do rejestru/systemu plików, o ile świadomie tego dostępu nie zwiększę nadając większe prawa dla grupy RESTRICTED.
Z chęcią w tym trybie uruchomiłbym jeszcze Firefoxa, Thunderbirda, Mirandę i Putty, ale niestety, nie jest to trywialne...
Dzięki identyfikacji punktów wejścia, aplikacja może zostać przetestowana w sposób metodyczny. Pisałem, że dla każdego punktu wejścia sprawdzony powinien zostać każdy przekazywany parametr i sprawdzony powinien być wpływ jego manipulacji na działanie aplikacji. Istnieje jednak pewien problem – takie podejście może zaowocować brakiem spojrzenia całościowego na aplikację. O ile identyfikacja punktów wejścia i analiza poszczególnych parametrów jest działaniem do pewnego stopnia mechanicznym, to umiejętność całościowego spojrzenia na testowaną funkcjonalność jest już czymś bardziej złożonym, twórczym. Czymś, w czym skaner automatyczny jeszcze długo nie zastąpi człowieka...
Powrót do tematu testów penetracyjnych. Co zrobić, by test nie był wyrywkowy? Jak zagwarantować, że aplikacja zostanie sprawdzona dokładnie (oczywiście z uwzględnieniem ograniczeń czasowych)? Cóż, trzeba zrozumieć aplikację. A najlepiej rozłożyć ją na części składowe. Na przykład zidentyfikować punkty wejścia.
...dla każdego systemu. Znaczy się oddzielne hasło do każdego systemu. A dlaczego? Na przykład dlatego. Niezidentyfikowany na razie włamywacz zdołał sforsować zabezpieczenia serwera Szwedzkiego Towarzystwa Komputerowego i przejął hasła oraz loginy do kont pocztowych specjalistów należących do organizacji.