(nie)błąd
Dzisiaj komentarz do tego tematu: Okradli klientów PKO BP, przez internet, bez znajomości kodów jednorazowych. Właściwie do pewnego stopnia mój komentarz jest tutaj, ale tematowi warto poświęcić kilka słów więcej.
Dzisiaj komentarz do tego tematu: Okradli klientów PKO BP, przez internet, bez znajomości kodów jednorazowych. Właściwie do pewnego stopnia mój komentarz jest tutaj, ale tematowi warto poświęcić kilka słów więcej.
Zachęcam do posłuchania Risky Business #305 — Secure, anonymous IM not a pipe dream. Konkretnie chodzi mi o rozmowę dotyczącą bezpiecznego IM.
W czym jest problem, czy szyfrowanie nie wystarczy? Okazuje się, że bardzo często – nie. Trzeba pamiętać, że komunikacja ma wiele “cech”:
Warto również zwrócić uwagę na to, że zmiana typowych wzorców komunikacji również sama w sobie jest informacją.
Szyfrowanie w miarę skutecznie ukrywa tylko ten ostatni element. Na podstawie pozostałych cech nadal można wyciągnąć bardzo interesujące wnioski. Zwłaszcza, jeśli są jakieś dodatkowe dane, które można korelować. Można przypomnieć tutaj choćby przykład z “odgadywaniem” na co ktoś patrzy w Google Maps: I can still see your actions on Google Maps over SSL. To wszystko powoduje, że Pidgin z OTR nie zawsze wystarczy.
P.S. I w ramach ciekawostki: Operacja Fortitude.
(...) Utworzono grupę radiostacji które “porozumiewały” się wzajemnie nadając komunikaty o treści, jakich można się spodziewać w czasie formowania dużej grupy armii. (...)
Oryginał tego wpisu dostępny jest pod adresem Do posłuchania: Risky Business #305
Autor: Paweł Goleń
Zdecydowanie warto przeczytać: The Security Impact of HTTP Caching Headers. Temat nie jest nowy, jednak wciąż sytuacja w tym zakresie wygląda słabo. Bardzo często można natknąć się na dwie skrajne sytuacje:
Obie skrajności są złe, w pierwszym przypadku pojawia się problem z poufnością informacji. Treść, która w teorii powinna być dostępna tylko dla konkretnego użytkownika, może zostać zapisana w wielu, bliżej nieokreślonych miejscach. Drugi scenariusz z kolei jest uciążliwy pod względem wykorzystania zasobów – wielokrotne pobieranie tych samych treści kosztuje nie tylko przepustowość, ale również czas.
Dla zwykłego użytkownika sam fakt wielokrotnego pobrania tych samych danych może być nieistotny. Istotny za to będzie wydłużony czas ładowania strony – to coś, co taki zwykły użytkownik jest w stanie zauważyć.
Na koniec – przypominam, że jakiś czas temu przygotowałem stronę, na której z tymi nagłówkami można sobie poeksperymentować.
Oryginał tego wpisu dostępny jest pod adresem Do poczytania: The Security Impact of HTTP Caching Headers
Autor: Paweł Goleń
Do poczytania: A roster of TLS cipher suites weaknesses. Ciekawy zbiór aktualnych informacji odnośnie tego co obecnie w TLS jest, a co nie jest bezpieczne.
Oryginał tego wpisu dostępny jest pod adresem Do poczytania: A roster of TLS cipher suites weaknesses
Autor: Paweł Goleń
Tak jak zapowiadałem, byłem na kolejnej edycji Security B-Sides w Warszawie. Wrażenia? Mieszane.
Ostatnio wspominałem, że jeden z moich laptopów zachowuje się dziwnie. Podejrzewałem nawet jakiś problem sprzętowy. Być może udało mi się nawet go zidentyfikować – karta SD. Konkretnie karta, którą używałem do ReadyBoost. Po wyłączeniu tej funkcji system odzyskał stabilność.
Już kiedyś widziałem kartę, z której system odczytywał coś innego, niż na nią zapisywał. Nawet to nie była kwestia karty, tylko przejściówki. Jeśli znajdę czas, może przeprowadzę kilka testów czy takie zachowanie uda się zaobserwować i tym razem. Jedyne co mnie dziwi, to fakt, że ta karta w tej roli sprawowała się dobrze przez długi czas. Może za długi?
Oryginał tego wpisu dostępny jest pod adresem Czyżby TO było problemem sprzętowym?
Autor: Paweł Goleń
Na jednym laptopie mam już Windows 8.1, z drugim wciąż walczę. Bardzo nie podoba mi się jego zachowanie (tego drugiego laptopa), bo zaczynam nabierać podejrzeń, że jest jakiś bliżej nieokreślony problem sprzętowy z nim. Mam ku temu kilka przesłanek, ale wciąż nie mam konkretnych dowodów...
A sam Windows 8.1? Za krótko z niego korzystam, by widzieć wielkie różnice w stosunku do Windows 8. Trochę nie podobają mi się zmiany w wyszukiwaniu, ale z drugiej strony można się do tego przyzwyczaić. Pod spodem zmian więcej, ale nie bardzo są widoczne w tym zakresie, w jakim korzystam z systemu.
Oryginał tego wpisu dostępny jest pod adresem Windows 8.1
Autor: Paweł Goleń
Jeśli ktoś przeoczył lub zapomniał to przypominam, że w dniach 18-20 października odbędzie się druga edycja Security BSides. Ponownie w Warszawie, ponownie Gmach Starej Kotłowni.
Ubiegłoroczną edycję wspominam bardzo dobrze, w tym roku również się wybieram i mam nadzieję na równie pozytywne wrażenia, jak przed rokiem.
Oryginał tego wpisu dostępny jest pod adresem BSidesWarsaw
Autor: Paweł Goleń
Jak pewnie wiecie mój stosunek do różnych certyfikacji jest trochę zdystansowany. Dość często prawidłowa odpowiedź w teście rozmija się nieco z praktyką. Paradoksalnie w takich przypadkach lepiej wiedzieć mniej , bo odpowiada się wówczas z oczekiwaniami autorów testów. Często można również zastosować zdrowy rozsądek i wybrać odpowiedź najmniej błędną (co oficjalnie nazywa się “najbardziej pasującą”). Są jednak również takie pytania, z którymi jest dokładnie tak, jak z tym nieszczęsnym kotem Schrodingera. W zasadzie nie wiadomo, czy odpowiedź jest prawidłowa do czasu, aż się ją sprawdzi.
Załóżmy następujący scenariusz – mamy kilka komputerów, które z jakiegoś powodu chcemy połączyć kablami. Jedyny switch/hub jaki jest pod ręką to stary AP leżący gdzieś w pudełku. Tak się składa, że za dawnych czasów była skonfigurowana na nim sieć wifi (WEP). Czy teraz ktoś może łatwo włamać się do sieci wifi skoro żaden klient z niej nie korzysta?
Odpowiedź brzmi – tak. Ale dokładnie w jaki sposób można to zrobić? Dlaczego jest to możliwe?
Oryginał tego wpisu dostępny jest pod adresem Łamanie WEP bez klientów – zagadka
Autor: Paweł Goleń