Omawialam w tym blogu kilka artykulow dotyczacych bezpieczenstwa. Nie wszystkie te, ktore chcialabym/potrzebuje przeczytac sa tak latwo dostepne. Niektore mozna dostac wylacznie w formie papierowej, albo przez Internet - placac. Poszukujac kilku dowiedzialam sie nawet, ze zgadzam sie z prof. Bernsteinem!
Uwaga dla tych, ktorzy nie wiedza kto to: bardzo znana postac w swiecie bezpieczenstwa, ale niemal tak kontrowersyjna, jak znana.
Example.com to zarezerwowana nazwa domeny. Jest uzywana w poderecznikach, dokumentacji i roznego rodzaju materialach szkoleniowych. Domeny tej nie mozna zarejestrowac. Istnieja jednak jej wykorzystania... Jakie? Powiem za chwile.
Na Slashdocie pojawila sie wiadomosc, ze norweski rzad przestawia sie na otwarte formaty. W momencie kiedy to pisze, nie jestem w stanie dostac sie do materialow, ktore mialyby na to wskazywac. Strona docelowa wskazuje obecnie wlasnie na example.com. Dlaczego? Albo takich materialow w ogole nie ma, albo, co bardziej prawodopodobne, wlasciciel serwera wie, ze nie da razy obsluzyc tak duzego ruchu, jaki obecnie na ten serwer naplywa i stad zmiana sposobu rozwiazywania domeny. Taki efekt, kiedy z powodu nadmiaru ruchu z serwiosow informacyjnych jakas strona staje sie niedostepna ma nawet wlasna nazwe - efekt Slashdota.
BusinessWeek pisze o tym, jak kilka bardzo duzych firm zostalo zlapanych na uzywaniu adware (czyli, w skrocie, programow wyswietlajacych reklamy na komputerach uzytkownikow; zazwyczaj tego typu programy instaluja sie bez pytania uzytkownika o zdanie, wykorzystujac bledy w systemie badz udajac pozyteczne programy. Trzeba jeszcze dodac, ze adware wystepuje tylko na jednym systemie operacyjnym). Ciekawe sa ich tlumaczenia: adware to taki sam sposob reklamowania sie jak inne lub placilismy i nie wiemy jak byly pokazywane nasze reklamy.
Jest taka strona dzieckowsieci.pl o kampanii, ktora ma (miala) promowac bezpieczne korzystanie z Internetu przez dzieci. Idea sluszna i dobra. Co do wykonania mam jednak kilka uwag :)
Pierwsza sprawa, ktora wpadla mi w oczy jest pkt 2 rad dla rodzicow. Brzmi on tak:
Nie uzywaj kilku kont w systemach operacyjnych, ktore oferuja taka mozliwosc. Dzieki temu bedziesz sie orientowal w rodzajach aktywnosci podejmowanej w Sieci przez Twoje dziecko.
Uzywania formy meskoosobowej nie bede sie specjalnie czepiac, ale warto to zauwazyc (cala strona jest tak sformulowana, uwagi do dzieci rowniez).
To, co mnie uderzylo w tym tekscie (jesli go oczywiscie rozumiem zgodnie z zamierzeniami autorow) jest brak poszanowania prywatnosci dziecka. To samo konto uzywane przez rodzica i dziecko daja rodzicowi dostep (rodzic powinien uzywac konta administratora, ale nie czytac tych danych) do historii przegladanych stron, wiadomosci email czy historii komunikatora. Moim zdaniem, informacje rodzica powinny pochodzic z rozmowy, a ze szpiegowania tylko w drastycznych przypadkach.
Tyle na temat rad. Inna kwestia to to, ze glownym zagrozeniem jest pedofilia, ale juz wykorzystanie dziecka do instalacji trojana (a przy jednym koncie to bardzo latwe) czy innego oprogramowania szpiegowskiego, do rozsylania spamu itd. Wiem, ze worm czy wirus to rozwiazanie latwiejsze, ale zagrozenia nie nalezy lekcewazyc...
Slashdot pisze o tym, ze SPF i Sender ID zostaly uznane przez IETF za standardy eksperymentalne.
IETF to organizacja zajmujaca sie internetowymi standardami. SPF i Sender ID to z kolei dwie konkurujace technologie, ktore maja ucyznic zycie spamerow trudniejszym. W tym celu wymagaja autentykacji nadawcy wiadomosci.
Konkurencja miedzy nimi wynika w duzej czesci z faktu, ze Sender ID uzywa wielu opatentowanych technologii i nie moze sie z tego powoduj pojawic w produktach Open Source. SPF, z kolei, jest wolny od patentow i juz dosc czesto uzywany.
Jak pisalam kilka miesiecy temu, sa ludzie, ktorzy czesto usuwaja ciasteczka (ang. cookies) ze swoich komputerow. Martwi to branze reklamowa, dlatego pojawilo sie kilka inicjatyw (po angielsku) majacych na celu zatrzymanie tego.
Zaczne od tego, ze ciasteczka moga byc uzywane zarowno w zlym, jak i dobrym celu. Daja mozliwosc realizacja koszykow na zakupy w sklepach internetowych, pokazywania juz przeczytanych watkow na forum czy automatycznego logowania. Powodem, dla ktorego ludzie je usuwaja jest to, ze moga byc takze wykorzystywane do identyfikacji (a nie kazdy i nie zawsze sobie tego zyczy) i sledzenia. Marketingowcy wykorzystuja to zbyt czesto, tak wiec pojawila sie na to reakcja. Przegladarki pozwalaja blokowac ciasteczka i nimi zarzadzac.
Usuwanie ciasteczek psuje kampanie reklamowe...Z drugiej strony Adblock psuje je jeszcze bardziej. Ja widze reklamy tylko wtedy, kiedy tego chce (i te, ktore chce).
Pomysl wplyniecia na producentow programow usuwajacych spyware, zeby nie pozbywaly sie takze ciasteczek nie wydaje mi sie dobry. Programow tego typu jets duzo i jesli ktos chce usuwac ciasteczka - to znajdzie taki, ktory to zrobi (albo usunie je uzywajac opcji przegladarki).
Inne pomysly zapobiegania usuwaniu ciasteczek to lista 'etycznych' firm, pokazywanie zawartosci ciasteczek czy korzystanie z mozliwosci sledzenia, jakie daje Flash.
Wymyslajacy te wszystkie metody nie wzieli pod uwage jednego: wiele osob nie chce widziec reklam i byc sledzonym (a wielu nie chce, ale nie wie sie bronic). Kazda metoda, ktora ma spowodowac pokazuwanie niechcianych elementow spowoduje reakacje i metody usywania takich elementow. Rozwiazaniem, jakie przyniosloby wiekszy sukces sa takie reklamy, ktore ludzie chca ogladac, a nie sa do tego zmuszani.
Ciekawy raport (PDF, ok 20 stron, po angielsku) pokazuje mozliwosci wykorzystania roznic w sposobie parsowania zapytan HTTP przez serwery i oprogramowanie miedzy nimi a uzytkownikami.
Autorzy pokazuja na przyklad jak zatruc pamiec podreczna (ang. cache poisoning) serwera proxy, tak aby pokazywal inna strone niz powinien. Wykorzystuja do tego tylko jednego, odpowiednio skonstruowanego zapytania.
Przedstawione techniki sa ciekawe, ale odnosza sie tylko do specjalnych kombinacji oprogramowania. Tego typu ataki moga sie jednak okazac bardziej niebezpieczne w praktyce, gdyby okazalo sie, ze sa powszechniejsze niz obecnie sadzimy i/lub moga wykorzystac wieksza liczbe programow.
Gartner opublikowal (po angielsku) liste najbardziej przereklamowanych, ich zdaniem, zagrozen bezpieczenstwa. Oto ona z moimi komentarzami:
Jak donosi hacking.pl Eurobank ciagle nie ma w palni dzialajacego systemu informatycznego po burzy w zeszly poniedzialek. A wydawaloby sie, ze banki maja systemy zapasowe i taka awaria powinna trwac maksymalnie kilka godzin...
Uaktualnienie: Dzisiaj wydaje sie, ze awaria zostala naprawiona. Jest to najdluzsza, o jakiej slyszalam w odniesieniu do banku. Ciekawe kiedy (bo czy, to nie mam watpliwosci) rekord zostanie poprawiony.
Hacking.pl (za Slashdotem) pisze o kontrowersyjnej stronie na Wikipedii zaiwerajacej osoby z takimi samymi haslami. Dla slabych hasel (a to jednak dosc czeste zjawisko) oznacza to ujawnienie hasla.
najciekawsza sprawa jest jednak to, ze strona zostala usunieta dluugo po tym jak zostala opublikowana.
W izraelskich mediach pisze sie (takze w innych miejscach) o skandalu z oprogramowaniem typu spyware uzywanych przez niektore duze formy do szpiegowania konkurencji.
Ten przypadek zostal ujawniony. Interesujace byloby wiedziec, ile jest podobnych w rzeczywistosci.
BTW Z opisow uzytego programu (instalacja z e-maila itd) wynika, ze infekuje on tylko maszyny z systemem Windows. Zgaduje, ze tylko z nim.
SecurityFocus pisze o problemach ze sterownikami urzadzen. Nie sa one pisane zazwyczaj przez autorow systemu, ale przez producentow sprzetu. To powoduje wieksze ryzyko problemow i, co gorsza, bledow rzeczywiscie jest wiecej.
NetworkWorld pisze o sfrustrowanym wlascicielu firmy zajmujacej sie bezpieczenstwem (mozna takze o tym poczytac w jego blogu) zmieniajacym system w swojej firmie z Windows na Mac OS. Glowne powody to plagi takie jak wirusy czy spyware i problemy z kompatybilnoscia sprzetu.
Nie twierdze, ze Windows to bezpieczniejszy system niz Mac, bo tak przeciez nie jest, ale zmiana wszystkiego (i zwiazane z tym koszty - wymiana calego sprzetu) to posuniecie radykalne. Problemy z bezpieczenstwem sa z kolei w bardzo duzym stopniu wina uzytkownikow. Sprzet z kolei bywa wadliwy (patrz sprawa z plonacymi akumulatorami w komputerach Apple sprzed roku).
Dodatkowo nie napisal, czemu nie zdecydowal sie na Linuksa (wymiana sprzetu nie bylaby konieczna, a wiec operacja bylaby znacnzie tansza).
W .pl cos takiego by sie nie udalo. Powod? Na przyklad rozliczenia z ZUS.
Firewall (lub sciana ogniowa) to termin dosc czesto wpisywany w wyszukiwarki. Dzisiaj sprawdzilam, ze otrzymywane wyniki nie sa wiele warte. Na przyklad, po wpisaniu 'firewall' otrzymuje sie glownie strony producentow, a nie wyjasnienia.
Firewall lub sciana ogniowa (co nie jest najlepszym tlumaczeniem, ale lepszego nie wymyslono, zapora sieciowa z polskiej Wikipedii to chyba jedno z lepszych tlumaczen) to sprzet albo oprogramowanie (lub jedno i drugie), ktore blokuje niepowolany dostep do sieci czy komputera, ktorego broni. Zapora zazwyczaj filtruje ruch i przepuszcza tylko ten zgodny z regulami. Moze filtrowac zarowno od jak i do celu.
Tego typu rozwiazanie moze byc zarowno bardzo proste, jak i bardzo skomplikowane (na przyklad dostosowujace sie do tego, co sie dzieje). Wszystko zalezy od tego, czego kto potrzebuje.
W zastosowaniach domowych firewallem nazywa sie zazwyczaj dosc prosty program blokujacy wybrane porty i/lub aplikacje.
Bledy w zabezpieczeniach przegladarki Firefox (o ktorych pisalam kilka dni temu) sa juz poprawione w nowej wersji 1.0.4. Potwierdzenie mozna znalezc w uwagach o wydaniu i stronie o bezpieczenstwie Firefoxa.