Attack of the week: DUHK. Tak do kompletu z KRACK i ROCA. Choć w “powszechnej świadomości” zaistniał chyba głównie KRACK, to według mnie ROCA i DUHK are zdecydowanie ciekawsze (w kwestii impaktu).
Przy okazji – gdy czytałem o DUHK tak jakoś dziwnie przypomniało mi się to: Back Door in Juniper Firewalls.
Drugie skojarzenie: The Risky.Biz quartered rhombus of cyber ownage.
Oryginał tego wpisu dostępny jest pod adresem Do kompletu: DUHK
Autor: Paweł Goleń
ROCA: Vulnerable RSA generation (CVE-2017-15361). Solidna dziura z dewastującymi skutkami (nie tylko dla Estończyków: Security Flaw in Estonian National ID Card).
Oryginał tego wpisu dostępny jest pod adresem ROCA: Vulnerable RSA generation (CVE-2017-15361)
Autor: Paweł Goleń
Key Reinstallation Attacks. Breaking WPA2 by forcing nonce reuse.
Nonce - (...) an arbitrary number that may only be used once. (...). Tak, ciekawe co może pójść nie tak jeśli ktoś użyje nonce więcej niż raz...
Do tego ciekawy wpis: Falling through the KRACKs.
W ramach (nie)paniki sprawdziłem dla pewności co wykorzystuje moja sieć – AES-CCMP - w najgorszym wypadku możliwe rozszyfrowanie danych. Dodatkowo zmieniłem konfigurację Synology by wymuszała szyfrowanie SMB.
Temat do zastanowienia – czy myślenie typu “sieć wewnętrzna” / “sieć zewnętrzna” ma jeszcze sens? Jak bardzo trzeba zmienić swoją sieć przy założeniu, że nie jest “prywatna”?
Oryginał tego wpisu dostępny jest pod adresem KRACKs
Autor: Paweł Goleń
Zacząłem się ostatnio zastanawiać w jakim stopniu tablet (iPad, normalny, nie PRO) może zastąpić mi laptopa. Konkretnie chodzi mi o przypadek wyjazdu (delegacja, urlop), a nie bardziej zaawansowanej pracy. Kilka podstawowych obszarów:
Na początek dwie sprawy. Po pierwsze nie szukam (aktywnie) pracy, natomiast nie oznacza to, że z góry wykluczam rozmowę na temat nowych ofert. Po drugie nie jest tak, że wszystkie interakcje z rekruterami wyglądają tak, jak w kilku przykładach poniżej. Zdarzają się przypadki, w których ktoś zada sobie jednak trud przeczytania profilu i zastanowienia się, czy oferta aby na pewno pasuje do mojego profilu. Wówczas najczęściej również cała reszta interakcji jest profesjonalna.
Podobno Having a “work wife” or “work husband” is good for your career. Cóż, jakoś tak mi się to kojarzy :)
P.S: Nie, tytuł nie jest pomyłką.
Oryginał tego wpisu dostępny jest pod adresem Work (office) life
Autor: Paweł Goleń
Public Key Pinning narodziło się by zaadresować konkretny problem – brak zaufania do CA. Ma kilka wcieleń, jedno z nich to HTTP Public Key Pinning. Ten artykuł pokazuje (nie po raz pierwszy) dlaczego to wcale nie musi być dobry pomysł: I'm giving up on HPKP.
Oryginał tego wpisu dostępny jest pod adresem HPKP: Gdy coś pójdzie źle
Autor: Paweł Goleń
Coraz bardziej zastanawiam się nad kolejnym telefonem. Już kiedyś pisałem, że najprawdopodobniej będzie to iPhone, ale ciągle 100%25 pewności nie mam. Coraz bardziej natomiast mam sprecyzowane wymagania. Chcę telefon z wyświetlaczem w rozmiarze 4.7” (maksymalnie 5”), ale z w miarę nowoczesnymi wnętrznościami. A to wcale nie jest takie oczywiste, bo większość telefonów “urosła” ponad te graniczne 5”, więc wybór jest mocno ograniczony.
Kolejne wymaganie – system powinien być czysty, bez “udogodnień” producenta telefonu, a to w zasadzie przekreśla Androida. Google Pixel 2 podobno ma być dostępny w Polsce, podobno rozmiar ekranu będzie mieścił się w założonych przeze mnie granicach, czyli jest jeden potencjalny kandydat. Teoretycznie jest również seria Android One, ale umówmy się, że na teraz nie widzę tam nic ciekawego (temat dostępności tych telefonów w Polsce pominę).
A co jeśli iPhone? Cóż, od dłuższego czasu używam iPhone 6 i telefon oraz system generalnie dają radę, choć jest kilka otwartych tematów:
...i w zasadzie to tyle. Oczywiście iOS i Android bardzo się różnią, więc gdyby się skupić na niuansach lista byłaby dużo dłuższa, ale w zasadzie tylko te punkty wymienione wyżej robią mi zauważalną różnicę. Zauważalną, ale można z nią żyć.
A jeśli miałby to być iPhone, to może iPhone SE? Tak, ekran ma mniejszy od założonych parametrów, komponenty może nieco przestarzałe (choć to się może zmienić przy iPhone SE2), ale może być wystarczająco dobry.
P.S. iPhone, z którego korzystam, ma tylko 16GB pamięci i to jest jednym z głównych “motywatorów”, by po prezentacji kolejnych telefonów Apple podjąć decyzję co dalej.
Oryginał tego wpisu dostępny jest pod adresem Następny telefon
Autor: Paweł Goleń
Generalnie nie mam czasu prawie na nic, ale są wyjątki. Na przykład słucham sobie podcastów i od czasu do czasu robię notatki czemu warto się przyglądnąć, kiedy odrobina czasu się pojawi. Jedną z pozycji na liście od dawna był OWASP Juice Shop Project. Jedną z ważnych cech tego projektu jest to, że wykorzystuje on AngularJS.
Ostatnio trafiła się okazja, by przyjrzeć się Juice Shop nieco bliżej, właśnie z uwagi na wykorzystanie AngularJS. W skrócie – mimo tego, że nie zajmuję się aktywnie testowaniem aplikacji od pewnego czasu, nieskromnie powiem, że nadal potrafię szybko się nauczyć jak coś psuć.
Polecam do zabawy!
Oryginał tego wpisu dostępny jest pod adresem Do zabawy: Juice Shop
Autor: Paweł Goleń
Wszystko zaczęło się od Jabra Sport Wireless+, które wyzionęły ducha. W zamian dostałem Jabra Sport Pace, które wyzionęły ducha. Były jednak na tyle miłe, by wyzionąć ducha jeszcze w trakcie gwarancji. Dostałem za nie kolejny raz Jabra Sport Pace, które właśnie wyzionęły ducha... Już jest po gwarancji, więc...
Trzy egzemplarze dwóch różnych typów. Wniosek? Następne słuchawki będą innej firmy.
Oryginał tego wpisu dostępny jest pod adresem Ach te słuchawki sportowe
Autor: Paweł Goleń