YAGNI II: bezpieczeństwo
YAGNI jest podejściem mocno minimalistycznym. Jak ma się to do bezpieczeństwa? Czy (pośrednio) moje wymagania nie są czymś zbędnym? Czymś, co dodaje nie potrzebną złożoność do problemu? Odpowiedź krótka: NIE.
YAGNI jest podejściem mocno minimalistycznym. Jak ma się to do bezpieczeństwa? Czy (pośrednio) moje wymagania nie są czymś zbędnym? Czymś, co dodaje nie potrzebną złożoność do problemu? Odpowiedź krótka: NIE.
You Ain't Gonna Need It (YAGNI) jest pojęciem związanym z inżynierią oprogramowania. W skrócie chodzi o to, by dodawać tylko te funkcje, które są potrzebne. Na przykład jeśli ma się do czynienia z Test-driven development (TDD), pisze się tylko tyle kodu, by przejść testy. Swoją drogą świadczy to tylko o tym, jak istotna jest rola testera (nie chodzi mi w tej chwili o “testera bezpieczeństwa”), ale ja nie o tym. Nawet nie o inżynierii oprogramowania, tylko o zasadzie, że “lepsze jest wrogiem dobrego”.
I wciąż bez pozytywnych rezultatów. Korzystałem z różnych list, w tym na przykład tej zawartej w MS08-067 Worms. Większość z tych stron jest już zablokowana (brak wpisów DNS, brak serwera), a te nieliczne, które działają, jakoś nie są zbyt agresywne (w sensie – samo wejście na nie nie powoduje skutecznej infekcji mojej testowej maszyny). Zaczynam być trochę rozczarowany. Mój nepenthes też nic ciekawego nie upolował... Co prawda po same próbki mogę sięgnąć tu Home Offensive Computing, ale ja chcę coś złapać.
Degausser (demagnetyzer) jest urządzeniem służącym do rozmagnesowywania nośników danych (dyski, taśmy, dyskietki). Zwykle jest uważany za rozwiązanie skuteczniejsze, niż na przykład nadpisywanie dysku danymi losowymi. Jest tylko jeden problem – czasem nie wszystko działa zgodnie z założeniami: Tales from the field – the degausser.
Swoją drogą jest to swoisty paradoks. Gdy dane są ważne, krytyczne i nie ma kopii zapasowej – ich utrata jest nad wyraz łatwa i wielce prawdopodobna. Gdy tych danych chcemy się pozbyć, okazuje się, że wcale nie jest to takie proste. UPS...
Jest sobie urządzenie działające pod kontrolą systemu Linuks uruchamiane z karty CF. Co jakiś czas urządzenie przestaje działać, bo CF wygląda na uszkodzony. Rozwiązanie problemu niby jest łatwe – wystarczy nagrać obraz na nowy flash, ale nawet mając na uwadze ograniczenia żywotności tego typu pamięci, coś tu nie gra.
Dawno, dawno temu trafiłem na taką informację Microsoft hunts web nasties with honey monkeys. Jak widać wiadomość ta ma już prawie 4 lata. Od czasu do czasu pomysł ten wracał do mnie. Dziś spróbowałem to znowu i... jak na razie bez powodzenia.
Czasami natknąć się można na “zapytania ofertowe” dotyczące testów penetracyjnych (przy czym pytający używa na przykład terminu “audyt”), w których elementem decydującym o wyborze oferenta jest, tak jak w niestety wielu przypadkach (patrz rozpadające się drogi), 100%25 cena. Co więcej – brak jest jakichkolwiek przesłanek, które sensowną kalkulację ceny mogą umożliwić. Zwykle dzieje się tak w przypadku “projektów” z półki 150 – 300 PLN (to ironia taka), ale nie tylko. Testu penetracyjnego nie kupuje się na sztuki, nie zawsze kosztuje tyle samo (nawet dla “takiej samej” aplikacji). To jest usługa, do której wykonania potrzebna jest określona praca i to właśnie ta praca jest wyceniana. A do oszacowania kosztu takiej usługi potrzebnych jest kilka informacji, w szczególności co do jej celów oraz badanego obiektu.
Za hacking.pl : PlayStation 3 złamały certyfikat SSL: Specjaliści ds. bezpieczeństwa odkryli słabość w stosowanym w Internecie systemie certyfikatów jednoznacznie identyfikujących pewną jednostkę (na przykład osobę, lub komputer) oraz pozwalający stwierdzić, czy ta jednostka, która się nim legitymuje jest rzeczywiście tym, za kogo się podaje. Bla, bla, bla... Odkryli? Doprawdy? Czy może przeprowadzili praktyczną demonstrację skutków odkrytych już jakiś czas temu (2004 rok, obecnie mamy od kilku dni już 2009) słabości w MD5. Od 2004 roku wiadomo, że do pewnych zastosowań MD5 się nie nadaje i w niektórych firmach (patrz Microsoft i SDL) MD5 trafiło na listę “banned crypto”, o czym zresztą można sobie przeczytać w udostępnionej za darmo książce Writing Secure Code for Windows Vista i w bonusie: Microsoft Security Advisory: Research proves feasibility of collision attacks against MD5 oraz Forging SSL Certificates.
...i trafili na mój blog, jak trafiają na mój blog czytelnicy? Miałem 101,914 odwiedzin i 145,978 wyświetleń strony, co daje tylko 1,43 strony na wizytę. Z ciekawości kilka dodatkowych informacji: