Mógłbym znowu napisać jak fatalnie się jeździ, ale szkoda moich nerwów. Misiek – droga “na skos” też wcale nie jest taka szybka, zwłaszcza jak wiele innych samochodów z niej korzysta. Poza tym trzeba najpierw do niej dojechać...
EDIT: ...a powrót niewiele lepszy był...
Oryginał tego wpisu dostępny jest pod adresem Polskie drogi po raz kolejny
Autor: Paweł Goleń
Od dłuższego czasu zbieram się w sobie do napisania tego tekstu. Wcale nie jestem przekonany, że testy penetracyjne są tym, z czego klient odniesie najwięcej korzyści, mimo, że je chce zamówić (często pod nazwą audytu bezpieczeństwa). Chodzi mi tu o testy penetracyjne sieci a nie testy penetracyjne (dedykowanej) aplikacji internetowej bo to trochę dwie różne kwestie.
Tak tylko informacyjne dwie sprawy:
Na początku chciałem przeprosić wszystkich fanów serii Heroes of Might and Magic, z serią miałem kontakt jedynie pobieżny i raczej rozrywkowy, więc mogę trochę mieszać. O ile pamięć mnie nie myli, jedną z postaci było Zombie (a może zmutowane zombie albo mumia?).
Choć piszę głównie o testach i bezpieczeństwie aplikacji internetowych, to zdarzają się również testy penetracyjne infrastruktury sieciowej, często zresztą połączone z testami aplikacji internetowej korzystającej z danej infrastruktury. Jednym z pierwszych kroków w takich testach jest skanowanie portów. Czas skanowania (a właściwie jego minimalizacja) jest dość istotna w przypadku testów (lub nawet tylko skanowania z wykorzystaniem narzędzi automatycznych) dużej ilości adresów.
Podczas jednego ze spotkań OWASP w Krakowie Łukasz Pilorz mówił na temat wykrywania intruzów w aplikacjach internetowych. Wartością dodaną wykorzystania tego typu mechanizmów jest nie tylko wykrycie i powstrzymanie próby włamania, ale również pozyskanie informacji na temat tego, co i w jaki sposób robią ONI.
Ciekawa uwaga odnośnie modelowania zagrożeń została zawarta w poście Good thinking about threat models: ”(...) we threat model not to find threats, but to find and implement countermeasures (...)”. Przy okazji przypominam o IT Infrastructure Threat Modeling Guide.
Oryginał tego wpisu dostępny jest pod adresem Modelowanie zagrożeń i proaktywne bezpieczeństwo
Autor: Paweł Goleń
Na schemacie, który umieściłem w pierwszym poście O implementowaniu haseł zaznaczone są dwa data store. Jednym z nich są logi. Po co znalazł się on na schemacie i jaki ma związek z (poprawną) implementacją haseł?
Dawno, dawno temu, jak jeszcze Firefox nazywał się Phoenix, praktycznie codziennie korzystałem z nowego nightly build , teraz nie mam już na to czasu. Dzisiaj pojawił się Firefox 3.5, zainstalowałem i... szczerze mówiąc w odbiorze “prawie zwykłego użytkownika” nie widzę żadnych różnic w stosunku do wersji 3.0, pomijając tradycyjny problem z niekompatybilnością niektórych z add-ons, między innymi słownik języka polskiego (przynajmniej w tej chwili).
Oryginał tego wpisu dostępny jest pod adresem Firefox 3.5
Autor: Paweł Goleń
W komentarzach do wpisu Protecting Against the Snatched Laptop Data Theft (Schneier on Security) jest kilka pomysłów na automatyczne blokowanie laptopa w sytuacji, gdy z pewną pomocą osób trzecich oddali się od właściciela w stanie włączonym. Poza metodami opartymi na wykrywaniu bezczynności użytkownika, są też inne pomysły, na przykład automatyczne blokowanie laptopa, gdy telefon komórkowy użytkownika zniknie z zasięgu Bluetooth albo wykorzystanie wbudowanej w większość modeli kamerki do wykrycia sytuacji, gdy (prawowity) użytkownik znika z “pola widzenia”. Wszystko po to, by bronić się przed scenariuszem, w którym ktoś kradnie aktywnego laptopa i odzyskuje z niego dane pomimo wykorzystania mechanizmu szyfrowania całego dysku. Może to zrobić, ponieważ klucze kryptograficzne w trakcie działania systemu muszą być dostępne (co zwykle oznacza, że są w pamięci). Tu trzeba zauważyć, że proste zablokowanie konsoli nie będzie wystarczającym rozwiązaniem (system wciąż działa, klucze są dostępne), należałoby system wyłączyć lub przynajmniej posłać do “głębokiego snu”.
Oryginał tego wpisu dostępny jest pod adresem Pomysły na automatyczne blokowanie laptopa
Autor: Paweł Goleń