Jak wiecie coś, co kiedyś nazywało się Alior Sync obecnie nazywa się T-Mobile Usługi Bankowe. Moje poczucie estetyki (tak, wbrew pozorom jakąś estetykę jednak mam) zostało brutalnie zgwałcone przez nową skórkę. Podobnie się czułem gdy Era zmieniała się w T-Mobile. Ale ja nie o tym.
Poprzedni wpis (Czy dłuższe jest lepsze?) spotkał się z nadspodziewanie dużym zainteresowaniem, przynajmniej sądząc po ilości komentarzy. Ja chciałbym wrócić do tematu potencjalnych zysków atakującego/strat banku. Czy jesteśmy w stanie w jakiś sposób je oszacować?
Tak to czasem bywa, że nowi klienci mają zdecydowanie lepsze oferty, niż dotychczasowi. Czasami bardziej opłaca się kupić ponownie tę samą usługę, niż przedłużać ważność już posiadanej. Jeśli przedłużenie usługi kosztuje mniej więcej 10x więcej niż rejestracja nowej, to motywacja by poświęcić trochę czasu na przeprowadzkę jest spora. Właśnie wczoraj ta przeprowadzka się skończyła.
Oryginał tego wpisu dostępny jest pod adresem Przeprowadzka z serwera na serwer
Autor: Paweł Goleń
Zauważyłem, że w niektórych bankach długość kodu jednorazowego (SMS) używanego do autoryzacji transakcji została wydłużona. Chętnie poznałbym uzasadnienie takiej decyzji – dlaczego 8 cyfr ma być bezpieczniejsze niż 6. W praktyce, a nie w jakiejś teorii. Bo jeśli chodzi o teorię...
Muszę przyznać, że dziwnie się czuję rozmawiając o arp poisoning i różnym zachowaniu Windows i Linux w kontekście komendy arp -s (swoją drogą muszę sprawdzić jak zachowują się w tym przypadku Windowsy nowsze niż XP), różnicami w reasemblacji pakietów albo manipulacji TTL w kontekście unikania IDS/IPS.
Ja uczyłem się od podstaw, z nieśmiertelnej Biblii TCP/IP. Ponieważ wiem (mniej więcej) jak to działa, te pomysły są dla mnie zrozumiałe (w zasadzie każdy mając taką wiedzę może na to wpaść). Mam jednak wrażenie, że w tej chwili dominuje podejście od drugiej strony, od strony narzędzi/rozwiązań. Ludzie są uczeni, że jeśli wydadzą takie magiczne polecenie, to są bezpieczni. Nie rozumieją jednak do końca na czym polega problem i jak jest w danym przypadku rozwiązywany. I właśnie to powoduje, że czuję się dziwnie.
PS: No dobra, może i z tej książki nie nauczysz się na czym polegają optymalizacje w obsłudze[arp who-has](http://en.wikipedia.org/wiki/AddressResolutionProtocol), ale z drugiej strony będziesz w stanie sam się domyślić dlaczego system otrzymujący takie zapytanie aktualizuje swoją tablicę arp.
By zobrazować to lepiej – dlaczego 172.16.0.6 odpowiedział 172.16.0.128 skoro wcześniej nie zapytał jaki jest adres MAC dla tego adresu?
30516 91.105464000 Microsofd1:3c:14 Broadcast ARP 60 Who has 172.16.0.6? Tell 172.16.0.128 30517 91.105507000 IntelCorca:c2:74 Microsof_d1:3c:14 ARP 42 172.16.0.6 is at 00:16:ea:ca:c2:74 30518 91.106570000 172.16.0.128 172.16.0.6 ICMP 98 Echo (ping) request id=0x2cc6, seq=1/256, ttl=64 (reply in 30519) 30519 91.106884000 172.16.0.6 172.16.0.128 ICMP 98 Echo (ping) reply id=0x2cc6, seq=1/256, ttl=128 (request in 30518)
Oryginał tego wpisu dostępny jest pod adresem Old School
Autor: Paweł Goleń
W ramach projektu OpenBSD powstało kilka innych: OpenSSH, OpenBGPD, OpenNTPD, OpenSMTPD, OpenIKED.
Ostatnio OpenBSD zaczęło czyścić OpenSSL. Zastanawiam się, czy z tego nie urodzi się “coś zamiast”. Tylko jak to się będzie nazywać? OpenOpenSSL?
Oryginał tego wpisu dostępny jest pod adresem OpenOpenSSL?
Autor: Paweł Goleń
Kontynuacja poprzedniego wpisu. Tym razem na temat jednego z typowych argumentów wykorzystywanych przez biznes: “a bo oni mają (...) i jakoś żyją”. Oczywiście wszystko dalej w kontekście bezpieczeństwa.
Chodzi mi oczywiście o tak zwane IT Security, a nie “bezpiekę” w bardziej historycznym znaczeniu. Ale o co właściwie chodzi?
Jako wpływowy (sic!) blogger od czasu do czasu otrzymuję propozycje, nazwijmy to, “marketingowe”. Zwykle je ignoruje i nawet o nich nie wspominam, ale tym razem robię wyjątek od tej reguły. Tym razem chodzi o Sofort Banking.
Zbliża się 8 kwietnia. Dzień, w którym udostępniony zostanie pakiet Windows 8.1 Update 1. Patrząc na zapowiedzi można odnieść wrażenie, że najważniejszą zmianą będzie przywrócenie Start Menu. Cóż, mnie jakoś specjalnie go nie brakuje.
Pożyjemy, zobaczymy, przyzwyczaimy się...
Oryginał tego wpisu dostępny jest pod adresem Nie płakałem po Start Menu
Autor: Paweł Goleń