Wpis ten jest związany z tematem autoryzacji transakcji, który wielokrotnie już poruszałem. Mimo tego temat wciąż nie został wyczerpany, jest ciągle wiele aspektów, o których się mówi. Jeden z nich chcę tu poruszyć, tak trochę w ramach ciekawostki.
Wspominałem już kiedyś o dokumencie Understanding scam victims: seven principles for systems security. Opisany jest tam między innymi scenariusz Jewellery shop scam. Polega on między innymi na “zabezpieczeniu” przez policję “fałszywych” pieniędzy. Skuteczność tego scenariusza opiera się na prostej obserwacji, którą dobrze oddaje poniższy cytat:
Society trains people not to question authority. Hustlers exploit this “suspension of suspiciousness” to make you do what they want.
Dlaczego o tym piszę? Ponieważ ostatnio usłyszałem bardzo podobną historię z naszego polskiego podwórka, prawdopodobnie chodzi o ten przypadek: Uwaga! Przebrani za policjantów okradli sklep!!! W tym przypadku również mamy “fałszywe” pieniądze i “zabezpieczenie” dowodów. Proste i skuteczne.
Oryginał tego wpisu dostępny jest pod adresem Jewellery shop scam w praktyce
Autor: Paweł Goleń
Temat zarządzania czasem, organizowania siebie i rezygnowania z pewnych zajęć, które bezpośrednio nie przynoszą zysku (nie koniecznie rozumianego w sposób ściśle finansowy) nie jest niczym nowym. Kiedyś pisał o tym Tomek, ostatnio Michał podjął decyzję o gaszeniu światła. Przyszła pora i na mnie, choć może nieco w inny sposób.
Nowy rok (już od jakiegoś czasu), nowa lista najbardziej niebezpiecznych błędów programistycznych: 2010 CWE/SANS Top 25 Most Dangerous Programming Errors.
Oryginał tego wpisu dostępny jest pod adresem 2010 CWE/SANS Top 25 Most Dangerous Programming Errors
Autor: Paweł Goleń
Przemek podzielił się dziś informacją o kolejnym wyzwaniu w ramach Honeynet Project Challenges: Challenge 2 of the Forensic Challenge 2010 – browsers under attack. Na szybko rzuciłem na nie okiem, wygląda ciekawie – warto poświęcić mu chwilę czasu.
Kilka narzędzi, które mogą się przydać:
Przy okazji przypominam o wyzwaniu dostępnym w ramach Network Forensics Puzzle Contest : Puzzle #4: The Curious Mr. X. Zostało jeszcze trochę czasu, a nagroda może być interesująca.
Powodzenia!
Oryginał tego wpisu dostępny jest pod adresem Wyzwanie: browsers under attack
Autor: Paweł Goleń
Tak się składa, że prawo jazdy robiłem wiele lat temu, w zimie. Co więcej zima ta była śnieżna, a podstawowe wyposażenie ówczesnych szkół jazdy (maluch, polonez) pozbawione było elektronicznych gadżetów. Efekt – musiałem nauczyć się choć trochę jazdy po śliskim, śniegu i lodzie. Zresztą nauczyłem się też kilku innych rzeczy, do dziś mam ubaw gdy na bieszczadzkich serpentynach widzę mistrza kierownicy z warszawską rejestracją, który zatrzymuje się przed zakrętem. Ale ja nie o tym...
Ta zima jest wyjątkowo śnieżna i wielu kierowców, mimo elektronicznych gadżetów w swych samochodach, nie radzi sobie z warunkami. Jazda 30 na godzinę gdy pada śnieg. Panika w oczach, gdy auto na zakręcie nieco się ślizga (a przecież to takie fajne uczucie) czy wreszcie kompletna nieumiejętność ruszania na śliskim, z śniegu (głębokiego) czy na lodzie... Podejście “gaz do dechy i jakoś to będzie” nie działa w takim przypadku. W naszym klimacie zima i opady śniegu to nie są niespotykane zjawiska. Może trzeba się trochę doszkolić? Albo siedzieć w domu/skorzystać z autobusu?
Oryginał tego wpisu dostępny jest pod adresem Odrobina śniegu i kierowcy się gubią
Autor: Paweł Goleń
W 1582 roku w jednej z piwnic zostaje zasypany bazyliszek. Zasypany, bo nie udało się go inaczej “unieszkodliwić”, najwyraźniej opowieści o skuteczności lustra to tylko legendy. Podczas powstania warszawskiego jeden z pocisków uwalnia bazyliszka a zabłąkana i nieco zbyt ciekawska łączniczka budzi go z letargu. Bazyliszek zaczyna polować na Niemców i Polaków, zarówno w kanałach, jak i na powierzchni. Niemcy i Polacy zaczynają polować na bazyliszka... O to mniej więcej chodzi w książce Obiekt R/W0036. Książkę czyta się dobrze, ale na końcu pozostaje niedosyt, bo w zasadzie nic się nie wyjaśnia... A może to efekt zamierzony i będzie kolejna część?
Oryginał tego wpisu dostępny jest pod adresem Obiekt R/W0036
Autor: Paweł Goleń
Znowu będę się czepiał dziennikarzy. A konkretnie tego odkrywczego tekstu: Podszyli się pod urzędnika, zdobyli wrażliwe dane. W jakim sensie są to wrażliwe dane? Łatwo się wzruszają? Trzeba uważać, by ich nie urazić? Mają problemy emocjonalne?
Blokowanie stacji roboczej w przypadku bezczynności użytkownika jest dość naturalnym sposobem upewnienia się, że nikt poza użytkownikiem z danego komputera nie będzie korzystał. W zasadzie nie tyle “upewnienia się”, co raczej zmniejszenia prawdopodobieństwa takiego zdarzenia. Założenie jest proste, skoro użytkownik jest bezczynny, znaczy, że go nie ma. Oczywiście założenie to nie zawsze się sprawdza. Nie każdy pracownik 100%25 zadań wykonuje na komputerze, co wcale nie koniecznie znaczy, że jest z dala od niego. Trzeba dobrać czas automatycznego blokowania stacji roboczej do specyfiki pracy określonej grupy użytkowników. Jeśli ten czas będzie zbyt krótki, użytkownicy na pewno wymyślą coś, by uporać się z ową niedogodnością. Na przykład zablokują wciśniętą spację przy pomocy złożonej kartki papieru... Podpatrzone u mojej dentystki :)
Oryginał tego wpisu dostępny jest pod adresem Jak obejść blokowanie stacji roboczej
Autor: Paweł Goleń
Skanowanie otwartych portów UDP bywa problematyczne, głównie z uwagi na zasadę działania tego protokołu. Obecne wersje nmap w trakcie skanowania UDP wysyłają kilka poprawnych (pod względem protokołu) pakietów, fragment z change log :
For some UDP ports, Nmap will now send a protocol-specific payload that is more likely to get a response than an empty packet is. This improves the effectiveness of probes to those ports for host discovery, and also makes an open port more likely to be classified open rather than open|filtered. (...)
Przydatne rozszerzenie, można choćby łatwiej wyszukiwać serwery DNS, z których z kolei można dowiedzieć się kilku ciekawych rzeczy...
Druga ciekawostka to wpis/informacja: Multi-Process Plugins on By Default. Skutki tej zmiany mogą być dwojakie. Pierwsza kwestia to stabilność, ewentualny błąd w pluginie nie spowoduje awarii całej przeglądarki. Drugi potencjalny skutek to zwiększenie bezpieczeństwa, ale w tej chwili nie ma to miejsca. Proces tworzony do obsługi pluginów działa z takimi samymi prawami, jak główny proces przeglądarki.
Skoro już mowa o uruchomieniu pluginów w oddzielnym procesie z ograniczonymi uprawnieniami, warto zauważyć, że Chrome również uruchamia pluginy w procesie z pełnymi prawami. Zachowanie to można zmienić używając przy uruchomieniu przeglądarki parametru --safe-plugins. Oznacza to, że (domyślnie) sandbox wykorzystywany w Chrome nie chroni przed błędami w pluginach.
Oryginał tego wpisu dostępny jest pod adresem Kilka ciekawostek
Autor: Paweł Goleń