Przeglądając wczoraj różne informacje trafiłem na dokument Blind Sql Injection with Regular Expressions Attack. Temat jest ciekawy, jedno z głównych pytań, które mnie się nasunęło brzmi – ale po co. Po chwili przyszła jednak refleksja – może i ma to sens.
Zwykle o wycieku danych użytkowników dowiadujemy się wtedy, gdy ktoś się ich posiadaniem pochwali. Nie musi to oznaczać, że ofiara (źródło wycieku) nie wie, że taka sytuacja miała miejsce. Po prostu wolą nie przyznawać się do takiej wpadki, a jeśli już muszą, to podają jak najmniej szczegółów, lub używają popularnego ostatnio słowa klucza: APT. Takie postępowanie można nawet zrozumieć patrząc na często irracjonalne zachowania ludzi, nie koniecznie związane IT (np. lęk przed lataniem po głośnej katastrofie lotniczej, nawet jeśli rozbił się zupełnie inny typ samolotu z jakichś szczególnych powodów). Po prostu percepcja ryzyka u ludzi mocno rozmija się z tym, jakie to ryzyko rzeczywiście jest. Ale ja chciałem o czym innym...
Stworzenie zabezpieczenia w 100%25 skutecznego jest niemożliwe. System nie musi (i nie może) być absolutnie bezpieczny, musi natomiast realizować swoje cele biznesowe z zachowaniem akceptowalnego poziomu ryzyka. Innymi słowy – system musi być wystarczająco bezpieczny. Ale jak stwierdzić, że coś jest wystarczająco bezpieczne?
Dowód:
Moim pierwszym skojarzeniem jest: pan Roman poszedł do muzeum, dostał wp^Włomot i teraz musi nosić maskę... Jeśli to miało zachęcić mnie do pójścia do muzeum – gratuluję! Nie udało się...
Krzysiek Kotowicz kiedyś podzielił się tym obrazkiem: Mózg klienta grafika accounta copy. Zakładam, że autor/autorzy tej reklamy mają mózg zbliżony do mózgu copywritera , po prostu cierpi on/oni na przerost ośrodka odpowiadającego za przekonanie o własnej zajebistości.
I mała dygresja: moim ulubionym muzeum jest Muzeum Lotnictwa Polskiego. Szczególnie podoba mi się MiG-29 oraz Supermarine Spitfire. Może i Mustang był lepszym samolotem, ale Spitfire ma w sobie to “coś”.
Oryginał tego wpisu dostępny jest pod adresem W muzeach biją
Autor: Paweł Goleń
Przykład: Za kratki przez trzęsienie ziemi?. Cała sprawa jest dziwna. O ile mi wiadomo nie istnieje obecnie skuteczny sposób prognozowania trzęsień ziemi (patrz, właściwie słuchaj , też: Kluczowe kilkanaście sekund – o systemach ostrzegawczych przed trzęsieniem ziemi). Wątek zbyt częstego ostrzegania przed możliwym zdarzeniem (w tym wypadku trzęsieniem), które w rzeczywistości nie ma miejsca, również w tej rozmowie jest poruszany. Zawsze śmieszy mnie wszechwiedza ludzi po zdarzeniu , którzy oczywiście widzą wszystkie “zaniedbania i błędy”, ale jednocześnie przed zdarzeniem sami wcale nie byli tacy mądrzy.
Ale tak naprawdę zdziwiło/zirytowało mnie inne stwierdzenie zawarte w tym artykule:
Podobnie marne standardy stosowali zresztą Japończycy. Tama, którą zaprojektowali przed elektrownią atomową w Fukushimie, okazała się za niska i kilkunastometrowa fala tsunami przelała się przez nią z łatwością.
...no tak, bo trzęsienia o sile przekraczającej 9 stopni zdarzają się nagminnie. Fale tsunami o takiej wysokości oczywiście również. Ze zdarzenia w Fukushimie trzeba oczywiście wyciągnąć wnioski, ale z tymi “marnymi standardami” to autora tekstu trochę poniosło...
Oryginał tego wpisu dostępny jest pod adresem Głupota ludzka nie zna granic...
Autor: Paweł Goleń
Nie ma to jak odpalić rano laptopa i dowiedzieć się, że tchórzliwie odmawia połączenia z siecią. A konkretnie karta sieciowa postanowiła nie widzieć linka... Od dłuższego czasu miałem z nią/nim (tą kartą/tym laptopem) problem tego rodzaju, że uporczywie negocjował połączenie 10Mbps zamiast 1Gbps, natomiast po wyjęciu i ponownym włożeniu kabla “dogadywał się” ze switchem i pracował z pełną dostępną szybkością. Okazuje się, że dziś przestał. I to tak skutecznie, że w konfiguracji sterowników (tak, mam najnowsze) musiałem wyłączyć negocjację i na sztywno ustawić 100Mbps. Super...
Oczywiście to nie były jedyne problemy, które nagle się postanowiły zamanifestować. Nie, nie wszystkie były związane ze sprzętem. Ale po dłuższej chwili intensywnego wyklinania rzeczywistości udało mi się dojść do porozumienia ze wszystkimi niezbędnymi do normalnej pracy sprzętowymi i programowymi elementami tej maszyny piekielnej popularnie określanej mianem laptopa...
Z drugiej strony i tak lepsze takie problemy, niż mój dawny przypadek z TrueCryptem, który najpierw tchórzliwie odmówił wystartowania systemu, a następnie postanowił “zawinąć się” na magicznej liczbie 137 i ponownie zaszyfrować wcześniej odszyfrowaną część dysku...
Oryginał tego wpisu dostępny jest pod adresem Jak ja lubię takie poranki...
Autor: Paweł Goleń
Urządzenia mobilne zyskują coraz większą popularność zarówno wśród użytkowników, jak i autorów aplikacji, także tych “finansowych”. Coraz więcej banków ma w swojej ofercie aplikacje dla urządzeń mobilnych, za pomocą których klienci mogą korzystać z usług swojego banku. Nie mam tu na myśli specjalnych wersji “normalnego” systemu bankowości internetowej w wersji przeznaczonej dla urządzeń mobilnych (w domyśle – inny layout, pewne ograniczenia funkcjonalne, itp.), ale specjalnie przygotowane aplikacje, które są przede wszystkim wygodniejsze dla klienta w użytkowaniu. Często aplikacje takie realizują wyłącznie GUI, cała istotna logika znajduje się po stronie banku, który udostępnia odpowiednie usługi (web service). Problem pojawia się, gdy taka aplikacja zechce przechowywać pewne dane lokalnie, na urządzeniu. Czy jest w stanie przechowywać je bezpiecznie?
W ramach wieczornej prasówki natknąłem się na taką informację: Z serwera Neckermanna wyciekły dane 1,2 mln osób. Trochę rozbawił mnie fragment o “natychmiastowym wzmocnieniu zabezpieczeń serwera”, choć akurat może mieć to sens, bo dane mogły wyciec z innego serwera, niż ten, którego zabezpieczenia wzmocniono, a sam Neckermann może mieć więcej klientów niż 1,2 mln.
Problem z kradzieżą informacji jest taki, że jak już ona wycieknie, to w zasadzie jest pozamiatane. Gdy ktoś ukradnie worek pieniędzy, to można te pieniądze odzyskać. Złodzieje nie mogą zwielokrotnić na ksero banknotów. OK, mogą, ale nie są one pełnowartościowe i raczej nie uda się nimi nigdzie zapłacić. Informacja może być bez problemu zwielokrotniana i z tego powodu nie traci ona swojej użyteczności, choć może tracić na wartości. Można liczyć na to, że informacja ta w pewnej chwili przestanie być aktualna (i dlatego wiele przydatnych “informacji” ma maksymalny czas życia), ale w wielu wypadkach “posprzątanie” po wycieku jest trudne lub praktycznie niemożliwe. W tym przypadku adres e-mail można zmienić, zmiana nazwiska jest już nieco bardziej “pracochłonna” :)
A teraz zastanówmy się jak posprzątać skutki ewentualnego wycieku danych z systemu informacji oświatowej.
Oryginał tego wpisu dostępny jest pod adresem Co zrobić, gdy mleko się już rozlało?
Autor: Paweł Goleń
Jestem dość aktywną (fizycznie) osobą. Rower, rolki, nordic walking... Jest też kilka typów aktywności, których nie akceptuję. Jednym z nich jest bieganie. Bieganie może nie jest ZŁE, ale też nie jest tak rewelacyjne, jak się przyjęło uważać. Gdy patrzę na biegających mam mocne przekonanie, że znaczna część z nich (większość?) robi sobie krzywdę. W skrócie – bieganie po twardej nawierzchni (asfalt, chodnik), w dodatku w “wysztywnionej” albo “przegiętej do tyłu” pozycji, to proszenie się o problemy ze stawami, kręgosłupem i mikrourazy mózgu. Oczywiście krzywdę można sobie zrobić również na 100 innych sposobów przy innych aktywnościach ruchowych (a nawet siedząc na krześle – i to chyba jest najbardziej prawdopodobne/rozpowszechnione), ale irytuje mnie obecna dość intensywna promocja biegania... Chcesz biegać? Proszę bardzo, ale rób to z głową. W zasadzie dotyczy to każdej aktywności ruchowej.
P.S. A pływanie jest nudne :P
Oryginał tego wpisu dostępny jest pod adresem Bieganie jest ZŁE!
Autor: Paweł Goleń
Dziś mała refleksja związana z marudzeniem bezpieczników o tym, że biznes jest zły i ich nie rozumie. Informacje na ten temat mam w zasadzie z pierwszej ręki, bo sam tak marudziłem. I w zasadzie coś w tym marudzeniu jest. Z drugiej strony uważam, że działy bezpieczeństwa powinny popatrzeć również na siebie. Proponuję ciekawe ćwiczenie – zapoznanie się z listą błędów poznawczych. A może nawet nie, na początek wersja jeszcze bardziej uproszczona: heurystyka dostępności.