Blogowanie jest zabronione w jednej z amerykanskich szkol. To nie jest tak, ze uczen nie moze pisac, kiedy jest w szkole. Nie. Nie moze miec bloga w ogole.
Dyrektor szkoly powiedzial ze jest to "otwarte zaproszenie dla przestepcow". Problem polega na tym, ze nowe zasady nie dotycza w rzeczywistosci blogowania i pisania w Internecie, ale pisania o szkole. To z kolei oznacza, ze uczniowie nie moga w ten sposob wyrazaz swojej opinii o tej szkole. Wydaje sie, ze to wlasnie byla przyczyna, nie troska o bezpieczenstwo.
Jak juz pisalam wielokrotkie, takie zakazy sa bez sensu. Blowgowac o szkole czy pracy mozna bez wiekszego wysilku anonimowo. Z odpowiednim oprogramowaniem jest to dosc bezpieczne. Jesli sie oczywiscie uwaza, co dokladnie sie pisze. Ot, kolejny przyklad bezsensownych regulacji. A moze cos wiecej?
Security for the paranoid to ciekawy esej o bezpieczenstwie. Ja nie uwazam, zeby autor byl paranoikiem. Traktuje po prostu powaznie to, co zaleca klientom.
Pisalam niedawno o problemach z bezpieczenstwem oprogramowania Oracle. Wlasnie zostaly wydane poprawki.
Problem w tym, ze post na liscie Bugtraq sugeruje, ze nie wszystkie poprawki naprawde poprawiaja bledy. Nieco czasu zajmie zapewne zweryfikowanie tego.
Uwaga poboczna: na glownej stronie firmy Oracle nie ma informacji o poprawkach (mimo nazwania ich krytycznymi).
Istnieja nagrody przyznawane za najwieksze naruszenie prywatnosci (czy to ze strony firmy, czy to rzadu). Nazwa: Big Brother Awards. Tegoroczna edycja zbliza sie w kilku krajach. Warto przejrzec liste nominowanych. Kilka jest bardzo smiesznych. Kiedy jednak pomysli sie, ze niektorzy chca cos takiego rzeczywiscie wprowadzic, robi sie strasznie...
Na Bugtraq trwa interesujaca dyskusja dotyczaca bezpieczenstwa produktow firmy Oracle. Pojawil sie miedzy innymi odnosnik do strony z lista bledow, m.in. tych nie poprawionych przez ponad 700 dni od zgloszenia.
Nie jest to nowy problem, jak sie mozna przekoanc czytajac artykuly na ten sam temat z lipca i wrzesnia.
Co ciekawe, zbliza sie czas wydania poprawki Oracle. Ciekawe bedzie sprawdzenie, co zdecyduja sie wypuscic.
Nowa wersja skanera sieciowego Nessus nie bedzie juz wydana na GPL. Kod zrodlowy bedzie zamkniety. Wyglada na to, ze powodem jest dzialalnosc innych firm (sprzedawanie produktu bez jakiegokolwiek zaangazowania w projekt) i brak developerow.
Wersja 2 ciagle bedzie uzywac GPL. Istnieje wiec mozliwosc (zapewne czysto teoretyczna), ze ktos nowa funkcjonalnosc do Nessusa zaimplementuje.
Strona SpreadFirefox nie bedzie dzialac mniej wiecej do 15 pazdziernika. Powodem jest wlamanie. Atakujacy uzyli podobno bledu w systemie Drupal. Blad ten byl w momencie ataku juz poprawiony.
Bledy w Thunderbirdzie wpadaja mi w oko rzadziej niz te w Firefoksie (moze jest po prostu mniej miejsc, gdzie mozna popelnic blad). Tym razem jednak jest cos opisane przez firme Secunia jako 'skrajnie krytyczne'. Blad jest swoja droga bardzo standardowy: bledne parsowanie tekstu wpisanego przez uzytkownika.
1.0.7 to wersja poprawiona. Uaktualnienie zalecane.
W tym miesiacu w logach serwera znalazlam zastanawiajaca duzo dziwnych stron, z ktorych podobno przychodzono na moj serwer (tzw. referes). Tego typu dostepy to zazwyczaj jedna podstrona z jednego IP. Takze jedyne odwiedziny z tego adresu. Strony, z ktorych ktos niby odwiedzal moja nie istnieja lub sa spamem i reklamami.
Zaczelam szukac czegos wiecej. Nazywa sie to referer spam, a pojawilo sie, niestety, dosc dawno temu.
Przygladajac sie takim wpisom w logach ciezko na poczatku znalezc wtym wszystkim sens. Logi sa ogladane tylko przez administratora. Jak mialoby to wiec dzialac? Pierwsze nasuwajace sie przypuszczenie jest takie, ze administrator sie zaciekawi i odwiedzi strone. Takich dodatkowych odwiedzin bedzie jednak za malo, zeby oplacalo sie spamowac. Musi byc cos wiecej. I jest -- blogi.
Jak sie okazuje, dosc duzo blogow uzywa skryptow pokazujacych tych, ktorzy sie do tej strony odnosza. Skrypty takie moga dzialac roznie, np. wykorzystujac logi serwera. Referer spam pozwala znalezc sie na tego typu listach. Nie jest to jednak glowny powod. Jest i drugi. Pozycjonowanie w wyszukiwarkach. Jesli do strony odnosi sie wiele innych, to znajdzie sie ona wysoko w rankingu. Nawet jesli odnosniki to spam. Upraszczam tu, bo wyszukiwarki sie przed spamem bronia, ale technika ta dziala dosc dobrze. Spam pomaga wiec umiescic spamujaca strone wysoko w rankingu.
Wyglada na to, ze posiadanie statycznych podstron ma kilka zalet...
Na stronie BBC znajduje sie ciekawy artykul o badaniu bezpieczenstwa PINow. Dokladniej -- zabezpieczenia ich przed odczytaniem przez niepowolane osoby. Okazuje sie, ze jest to znacznie prostsze niz sie wydawalo. Wystarczy ostre swiatlo.
Przekazywanie PINow czy hasel poczta nie jest nejlepszym pomyslem, bo nie wiadomo do konca w czyich rekach sie te dane znajduja. Na szczescie coraz wiecej bankow pozwala wybrac swoj wlasny pin (i podac droga elektroniczna, z uzyciem szyfrowania).
Kolejnemu komputerowemu (na jedyna sluszna platforme, oczywiscie) wirusowi udalo sie dostac na pierwsze strony (www) popularnych mediow. Pisza o nim (na przyklad BBC). Dlaczego? Dzikie przypuszczenie jest takie, ze dlatego ze robia to inne (dotkniete wirusem).
Co ciekawe, wirus ten nie jest uwazany za specjalnie powazne zagrozenie, patrz analiza SANS.
Ciekwe jest to, ze media traktuja wirusy jak katastrofe naturalna (typu trzesienie ziemi). To sie po prostu zdarza i nie mozna sie przed tym chronic. Taki poglad jest oczywiscie nieprawdziwy. Juz zdarzylo mi sie o tym pisac. Podstawowe zasady: uaktualniac system, zainstalowac i skonfigurowac firewalla.
Firefox ma sporo opcji, a czesc z nich nie jest dostepna przez menu. Masz do nich za to dostep po wpisaniu 'about:config' do pola adresu. Pokaze kilka ciekawych ustawien. Wlaczone oznacza sie przez 'true'.
network.http.pipelining - pozwala na wiele zadan w jednym polaczeniu. Sprawia, ze przegladarka pracuje szybciej. Niektore serwery niestety tego nie obsluguja (na szczescie to bardzo rzadkie) i moga pojawic sie problemy.
network.http.request.max-start-delay - maksymalny czas do wyslania zadania.
network.http.sendRefererHeader - domyslna wartosc to true. Jesli zmienisz na false, Twoja przegladarka nie bedzie wysylac naglowka HTTP Referer. Mowiac prostym jezykiem, nie bedziesz pokazywac, skad przychodzisz.
Mozesz wlaczyc i wylaczyc Jave, SSL2, SSL3, TLS (security.enable_java itd). Bardziej zaawansowani uzytkownicy moga tez powiedziec, ktore szyfry akceptuja, a ktore nie.
Lista opcji jest duzo dluzsza. Masz mieszy innymi te zwiazane z zainstalowanymi rozszerzeniami. Powodzenia!
Xiaoyun Wang jest matematyczka, ktora wraz z zespolem pokazala nowe, szybsze ataki na niektore mechanizmy kryptograficzne. Jej wyniki maja duze znaczenie praktyczne. O nowych wynikach miala opowiedziec na konfernecji w USA, ale nie dostala wizy.
O sprawie przeczytalam w blogu Bruce'a Schneiera. Takie sprawy sie zdarzaja. W tym przypadku jednak pojawil sie ciekawy cytat (jak sie pozniej okazalo, z New York Timesa), ktory mozna strescic tak: to nie jest nadzwyczajne, szczegolnie w przypadku osob zajmujacych sie ,,wrazliwymi'' tematami.
Jaki z tego wniosek? No wlasnie...
Bruce Schneier pisze o tym, ze CIA nie znalazla przekazow steganograficznych w audycjach stacji al-Dzazira. Duzo sie o takiej mozliwosci mowilo pod koniec 2001 roku.
Nie znaczy to, ze steganografii w swiecie nie ma. Nie wiem jak to jest z obrazami, ale wiele metod omojania firewalli to nic innego jak wlasnie steganografia (oparta na protokolach sieciowych).
Kiedy trafilam na strone z petycja przeciwko pomyslowi dyrektywy nakazujacej zbieranie informacji o wykonywanych polaczeniach czy wysylanych emailach w pierwszej chwili myslalam, ze to jakis zart. Jak sie okazalo, niestety nim nie jest.
Pokazala sie kolejna grupa, ktora nie zauwaza latwosci uzycia wysokiej jakosci kryptografii i jej wysokiej dostepnosci. Jakiekolwiek regulacje i rejestracje nie szkodza przestepcom (kttorzy umieja szyfrowac), a niewinnym ludziom, ktorych chca miec po protu nieco prywatnosci.