Dzien, kiedy dyrektywa dotyczaca retencji danych (niezaleznie od wspanialych lokalnych pomyslow) zostanie przyjeta lub odrzucona zbliza sie. Miedzy innymi z tego powodu zdecydowalam sie ten projekt przeczytac. Przeczytalam i sie zalamalam. Z technicznego punktu widzenia mozna go intepretowac na wiele sposobow, a mnie najbardziej podoba sie wspominanie o 'polaczeniu' w kontekscie IP (w IP *nie ma* polaczen, sa w TCP, ale juz w UDP nie -- formalnie). O (bez)sensie retencji danych, szkodach i braku skutecznosci w tym, w czym ma niby pomoc nie bede wspominac, bo to juz bylo... A niektorzy i tak nie zrozumieja.
Okazuje sie, ze wspaniale pomysly maja wszedzie. Pewien senator z Australii wpadl na pomysl, zeby dostawcy Internetu zalozyli filtry do blokowania 'niepozadanych' materialow (na szczescie istnieje opcja wypisania sie z tego pomyslu). Nie bede wspominac o braku technicznych mozliwosci zrealizowania tego tak, zeby dobrze dzialalo...
Na tym koncze.
apt-get install tor
mBank wprowadzil ostatnio zmiany w swoim systemie transakcyjnym. Wynkiem jest miedzy innymi to, ze jesli przegladarka ma wylaczone wysylanie naglowka Referer HTTP (co umozliwia Firefox i Opera), to pojawia sie blad o prawdopodobienstwie poraznego naruszenia zasad bezpieczenstwa.
Wlaczenie wysylania naglowka Referer pozwala na poprawne zalogowanie. Trzeba tylko wiedziec, ze to jest przyczyna. Konsultanci mLinii o tym nie wiedza.
Blogowanie jest zabronione w jednej z amerykanskich szkol. To nie jest tak, ze uczen nie moze pisac, kiedy jest w szkole. Nie. Nie moze miec bloga w ogole.
Dyrektor szkoly powiedzial ze jest to "otwarte zaproszenie dla przestepcow". Problem polega na tym, ze nowe zasady nie dotycza w rzeczywistosci blogowania i pisania w Internecie, ale pisania o szkole. To z kolei oznacza, ze uczniowie nie moga w ten sposob wyrazaz swojej opinii o tej szkole. Wydaje sie, ze to wlasnie byla przyczyna, nie troska o bezpieczenstwo.
Jak juz pisalam wielokrotkie, takie zakazy sa bez sensu. Blowgowac o szkole czy pracy mozna bez wiekszego wysilku anonimowo. Z odpowiednim oprogramowaniem jest to dosc bezpieczne. Jesli sie oczywiscie uwaza, co dokladnie sie pisze. Ot, kolejny przyklad bezsensownych regulacji. A moze cos wiecej?
Security for the paranoid to ciekawy esej o bezpieczenstwie. Ja nie uwazam, zeby autor byl paranoikiem. Traktuje po prostu powaznie to, co zaleca klientom.
Pisalam niedawno o problemach z bezpieczenstwem oprogramowania Oracle. Wlasnie zostaly wydane poprawki.
Problem w tym, ze post na liscie Bugtraq sugeruje, ze nie wszystkie poprawki naprawde poprawiaja bledy. Nieco czasu zajmie zapewne zweryfikowanie tego.
Uwaga poboczna: na glownej stronie firmy Oracle nie ma informacji o poprawkach (mimo nazwania ich krytycznymi).
Istnieja nagrody przyznawane za najwieksze naruszenie prywatnosci (czy to ze strony firmy, czy to rzadu). Nazwa: Big Brother Awards. Tegoroczna edycja zbliza sie w kilku krajach. Warto przejrzec liste nominowanych. Kilka jest bardzo smiesznych. Kiedy jednak pomysli sie, ze niektorzy chca cos takiego rzeczywiscie wprowadzic, robi sie strasznie...
Na Bugtraq trwa interesujaca dyskusja dotyczaca bezpieczenstwa produktow firmy Oracle. Pojawil sie miedzy innymi odnosnik do strony z lista bledow, m.in. tych nie poprawionych przez ponad 700 dni od zgloszenia.
Nie jest to nowy problem, jak sie mozna przekoanc czytajac artykuly na ten sam temat z lipca i wrzesnia.
Co ciekawe, zbliza sie czas wydania poprawki Oracle. Ciekawe bedzie sprawdzenie, co zdecyduja sie wypuscic.
Nowa wersja skanera sieciowego Nessus nie bedzie juz wydana na GPL. Kod zrodlowy bedzie zamkniety. Wyglada na to, ze powodem jest dzialalnosc innych firm (sprzedawanie produktu bez jakiegokolwiek zaangazowania w projekt) i brak developerow.
Wersja 2 ciagle bedzie uzywac GPL. Istnieje wiec mozliwosc (zapewne czysto teoretyczna), ze ktos nowa funkcjonalnosc do Nessusa zaimplementuje.
Strona SpreadFirefox nie bedzie dzialac mniej wiecej do 15 pazdziernika. Powodem jest wlamanie. Atakujacy uzyli podobno bledu w systemie Drupal. Blad ten byl w momencie ataku juz poprawiony.
Bledy w Thunderbirdzie wpadaja mi w oko rzadziej niz te w Firefoksie (moze jest po prostu mniej miejsc, gdzie mozna popelnic blad). Tym razem jednak jest cos opisane przez firme Secunia jako 'skrajnie krytyczne'. Blad jest swoja droga bardzo standardowy: bledne parsowanie tekstu wpisanego przez uzytkownika.
1.0.7 to wersja poprawiona. Uaktualnienie zalecane.
W tym miesiacu w logach serwera znalazlam zastanawiajaca duzo dziwnych stron, z ktorych podobno przychodzono na moj serwer (tzw. referes). Tego typu dostepy to zazwyczaj jedna podstrona z jednego IP. Takze jedyne odwiedziny z tego adresu. Strony, z ktorych ktos niby odwiedzal moja nie istnieja lub sa spamem i reklamami.
Zaczelam szukac czegos wiecej. Nazywa sie to referer spam, a pojawilo sie, niestety, dosc dawno temu.
Przygladajac sie takim wpisom w logach ciezko na poczatku znalezc wtym wszystkim sens. Logi sa ogladane tylko przez administratora. Jak mialoby to wiec dzialac? Pierwsze nasuwajace sie przypuszczenie jest takie, ze administrator sie zaciekawi i odwiedzi strone. Takich dodatkowych odwiedzin bedzie jednak za malo, zeby oplacalo sie spamowac. Musi byc cos wiecej. I jest -- blogi.
Jak sie okazuje, dosc duzo blogow uzywa skryptow pokazujacych tych, ktorzy sie do tej strony odnosza. Skrypty takie moga dzialac roznie, np. wykorzystujac logi serwera. Referer spam pozwala znalezc sie na tego typu listach. Nie jest to jednak glowny powod. Jest i drugi. Pozycjonowanie w wyszukiwarkach. Jesli do strony odnosi sie wiele innych, to znajdzie sie ona wysoko w rankingu. Nawet jesli odnosniki to spam. Upraszczam tu, bo wyszukiwarki sie przed spamem bronia, ale technika ta dziala dosc dobrze. Spam pomaga wiec umiescic spamujaca strone wysoko w rankingu.
Wyglada na to, ze posiadanie statycznych podstron ma kilka zalet...
Na stronie BBC znajduje sie ciekawy artykul o badaniu bezpieczenstwa PINow. Dokladniej -- zabezpieczenia ich przed odczytaniem przez niepowolane osoby. Okazuje sie, ze jest to znacznie prostsze niz sie wydawalo. Wystarczy ostre swiatlo.
Przekazywanie PINow czy hasel poczta nie jest nejlepszym pomyslem, bo nie wiadomo do konca w czyich rekach sie te dane znajduja. Na szczescie coraz wiecej bankow pozwala wybrac swoj wlasny pin (i podac droga elektroniczna, z uzyciem szyfrowania).
Kolejnemu komputerowemu (na jedyna sluszna platforme, oczywiscie) wirusowi udalo sie dostac na pierwsze strony (www) popularnych mediow. Pisza o nim (na przyklad BBC). Dlaczego? Dzikie przypuszczenie jest takie, ze dlatego ze robia to inne (dotkniete wirusem).
Co ciekawe, wirus ten nie jest uwazany za specjalnie powazne zagrozenie, patrz analiza SANS.
Ciekwe jest to, ze media traktuja wirusy jak katastrofe naturalna (typu trzesienie ziemi). To sie po prostu zdarza i nie mozna sie przed tym chronic. Taki poglad jest oczywiscie nieprawdziwy. Juz zdarzylo mi sie o tym pisac. Podstawowe zasady: uaktualniac system, zainstalowac i skonfigurowac firewalla.
Firefox ma sporo opcji, a czesc z nich nie jest dostepna przez menu. Masz do nich za to dostep po wpisaniu 'about:config' do pola adresu. Pokaze kilka ciekawych ustawien. Wlaczone oznacza sie przez 'true'.
network.http.pipelining - pozwala na wiele zadan w jednym polaczeniu. Sprawia, ze przegladarka pracuje szybciej. Niektore serwery niestety tego nie obsluguja (na szczescie to bardzo rzadkie) i moga pojawic sie problemy.
network.http.request.max-start-delay - maksymalny czas do wyslania zadania.
network.http.sendRefererHeader - domyslna wartosc to true. Jesli zmienisz na false, Twoja przegladarka nie bedzie wysylac naglowka HTTP Referer. Mowiac prostym jezykiem, nie bedziesz pokazywac, skad przychodzisz.
Mozesz wlaczyc i wylaczyc Jave, SSL2, SSL3, TLS (security.enable_java itd). Bardziej zaawansowani uzytkownicy moga tez powiedziec, ktore szyfry akceptuja, a ktore nie.
Lista opcji jest duzo dluzsza. Masz mieszy innymi te zwiazane z zainstalowanymi rozszerzeniami. Powodzenia!
Xiaoyun Wang jest matematyczka, ktora wraz z zespolem pokazala nowe, szybsze ataki na niektore mechanizmy kryptograficzne. Jej wyniki maja duze znaczenie praktyczne. O nowych wynikach miala opowiedziec na konfernecji w USA, ale nie dostala wizy.
O sprawie przeczytalam w blogu Bruce'a Schneiera. Takie sprawy sie zdarzaja. W tym przypadku jednak pojawil sie ciekawy cytat (jak sie pozniej okazalo, z New York Timesa), ktory mozna strescic tak: to nie jest nadzwyczajne, szczegolnie w przypadku osob zajmujacych sie ,,wrazliwymi'' tematami.
Jaki z tego wniosek? No wlasnie...
Bruce Schneier pisze o tym, ze CIA nie znalazla przekazow steganograficznych w audycjach stacji al-Dzazira. Duzo sie o takiej mozliwosci mowilo pod koniec 2001 roku.
Nie znaczy to, ze steganografii w swiecie nie ma. Nie wiem jak to jest z obrazami, ale wiele metod omojania firewalli to nic innego jak wlasnie steganografia (oparta na protokolach sieciowych).
Kiedy trafilam na strone z petycja przeciwko pomyslowi dyrektywy nakazujacej zbieranie informacji o wykonywanych polaczeniach czy wysylanych emailach w pierwszej chwili myslalam, ze to jakis zart. Jak sie okazalo, niestety nim nie jest.
Pokazala sie kolejna grupa, ktora nie zauwaza latwosci uzycia wysokiej jakosci kryptografii i jej wysokiej dostepnosci. Jakiekolwiek regulacje i rejestracje nie szkodza przestepcom (kttorzy umieja szyfrowac), a niewinnym ludziom, ktorych chca miec po protu nieco prywatnosci.
W zeszlym tygodniu i na poczatku tego pewna sprawa byla dosc glosna w swiatku swiazanym z bezpieczenstwem. Sporo o calej sprawie (wraz z odnosnikami) mozna poczeczytac w blogu Bruce'a Schneiera: wiadomosc o prezentacji i pozniejsze informacje.
Jesli poczyta sie o tym troche, sprawa wydaje sie bardzo prosta. Znalazl blad w oprogramowaniu Cisco. Zawiadomil ich, pojawila sie poprawka. Po paru miesiacach jego firma chciala, zeby wyglosil prezentacje o tym bledzie. Nic nadzwyczajnego, prawda? Krotko przed prezentacja sprawy sie skomplikowaly. Skonczylo sie odejsciem z pracy, awantura i pozwem ze strony Cisco.
Dlaczego? Nie mam pojecia. Blad poprawiony. Faktem jest, ze nie wszyscy uaktualniaja tego typu sprzet, bo to powoduje klopoty. Czy jest to wystarczajacy powod, zeby wstrzymywac publikacje? Ja tak nie sadze. Niektorzy widocznie sa innego zdania. Albo maja inne powody.
Jesli rozumiesz cala sprawe i mozesz mi wszystko sensownie wytlumaczyc, z checia wyslucham/przeczytam.
Poki co, materialy: tekst prezentacji i zdjecia, wywiad opublikowany przez Wired. Przeczytaj, obejrzyj i zdecyduj samodzielnie.
Po plotkach o tym, ze Apple uzywa techniki podobnej do DRM w ich sprzecie demonstracyjnym (o czym pisalam niedawno) pojawil sie z kolei artykul mowiacy ze to tylko plotki.
Zajmujac sie tylko cytatami (z anonimowego zrodla) wcale nie jest jasne, czy takiego ukladu nie ma. Wszystko co umiem znalezc to ,,not DRM or TCPA protected'' (czyli: nie chronione przez DRM czy TCPA). To znaczy, ze jesli zastosowana technika nazywa sie inaczej, to wszystko jest w porzadku.
Jedna z bardziej interesujacych kwestii jest to, ze uklady maja sprawiac, ze klauzula o nieujawnianiu informacji bedzie zachowana. Widac wysoki poziom zaufania do osob, ktorym wysylane sa te probne ukladay..
Brak oficjalnego stanowiska Apple'a. Moga byc ku temu rozne powody. Najbardziej (?) zwariowany, ktory przychodzi mi do glowy jest taki, ze to sondaz majacy sprawdzic jak klienci beda reagowac na tego typu uklady. Sondaz moze pomoc zdecydowac, czy wykorzystac cos takiego w finalnej wersji, czy nie.
Idea podaje (jak pisze hacking.pl), ze srednio 40 uzytkownikow dziennie blokuje numery IMEI skradzionych telefonow. Wyglada na to, ze blokowanie zaczyna sie robic powszechniejsze (ciekawe jaki procent skradzionych telefonow jest blokowanych).
Biorac pod uwage ze statystyka u pozostalych operatorow wyglada zapewne podobnie, blokowanych numerow dziennie byloby ponad 100. To oznacza ponad 100 telefonow kradzionych dziennie. Przy cyzm przeciez nie wszyyscy zglaszaja czy blokuja...
Slashdot pisze o tym, ze zestaw dla programistow Apple na platforme Intel wykrorzystuje DRM. Jest to szeroko komentowane, lacznie z sugestia przesiadki na Linuksa.
Nie wiem, co ten uklad bedzie robil. Brak szczegolow. Zalozmy najgorszy wariant -- blokowanie wszystkiego, tak ze swoje dokumenty, muzyke itd mozna odtwarzac tylko na autoryzowanym sprzecie. Co to znaczy w praktyce? Dla mnie tylko tyle, ze cala technologia zostanie rozpracowana (ang. reverse engineering) jak tylko ktos, kto ma wystarczajaco duzo umiejetnosci i czasu, sie tym zirytuje. To oznacza raczej miesiac niz dwa.
Fakt, ktory wiele osob probuje ignorowac, to to, ze zaden system ochrony nie bedzie dzialal dobrze, jesli uzytkownik ma fizyczny i nieograniczony dostep do komputera. Szczegolnie jesli moze dowolnie filtrowac to co przychodzi do i wychodzi z komputera. Oba te warunki sa spelnione dla zwyklego domowego komputera. Upadek zabezpieczenie jest wtedy tylko kwestia czasu. Cala sprawe spowolnic (ale nie zatrzymac) moze prawo nie pozwalajace na reverse engineering. Sa kraje, w ktorych reverse engineering w celu zapewnienia kompatybilnosci jest calkowicie legalny. Z tego co wiem, tak jest w Polsce. Mozliwe, ze gdzieniegdzie jest legalny niezaleznie od zastosowania. Jesli w Twoim kraju nie jest, to niczemu to nie przeszkadza. Po prostu odbedzie sie to gdzie indziej. Mamy piekne przyklady jak podobne ograniczenia okazywaly sie bez sensu: kodowanie DVD czy rozwoj szyfrowania w warunkach restrykcyjnych przepisow eksportowych w USA.
Nie jest tak, zebym uwazala, ze DRM nie jest niebezpieczny. Wrecz przeciwnie. Tyle tylko, ze takie techniki nie dzialaja. Wiele firm juz sie o tym przekonalo. Jak widac, nauka na cudzych bledach nei ejst popularna.
CNN zajmuje sie problemmami z prywatnoscia danych o uzytkowniku posiadanych przez Google. Niespodzianka, nie chodzi o to, jak te dane wykorzystuje ta firma, a o to, jak moga byc wykradzione i wykorzystane przez innych.
Nie mowie, ze ryzyka nie ma, ale o wiele wieksze niebezpieczenstwo stanowia dane przechowywane przez bank czy operatora telekomunikacyjnego. Pracownik sprzedajacy dane moze sie zdarzyc wszedzie...
Naukowcy z uniwersytetu Stransford anpisali narzedzie (a raczej wtyczke), ktore z wpisywanego hasla i domeny wylicza skrot i dopiero to wysyla jako haslo. Narzedzie jest przeznaczone dla osob, ktore wpisuja w wiele miejsc to samo haslo. Ma wade - trzeba zmienic hasla. No i jest bezpieczne, dopoki uzywana funkcja skrotu nie zostanie zlamana :)
Pojawil sie na Slashdocie kolejny ciekawy odnosnik. Dotyczy czegos nazwanego prawami tozsamosci (Laws of Identity). Idea (i strona) pochodzi z miejsca, ktorego raczej nie lacze z przywiazania do prywatnosci i bezpieczenstwa, ale brak uprzedzen sie przydaje, a z atrykulem warto sie zapoznac.
Pierwsze wrazenie nie jest dobre. Wstepny tekst mowi:
The Internet was built without a way to know who and what you are connecting to. This limits what we can do with it and exposes us to growing dangers. If we do nothing, we will face rapidly proliferating episodes of theft and deception that will cumulatively erode public trust in the Internet.
[...]Taken together, these laws define a unifying identity metasystem that can offer the Internet the identity layer it so obviously requires.
A po szybkim tlumaczeniu wyglada to tak:
Internet zostal zbudowany bez mozliwosci poznania z kim i czym sie laczysz. To ogranicza rzeczy, ktore mozna zrobic i wystawia na coraz wieksze niebezpieczenstwo. Jesli nic nie zrobimy, bedziemy sie spotykac z coraz nowymi przypadkami kradziezy i oszustw, ktore spowoduja spadek zaufania do Internetu.
[...]Traktowane razem, prawa te definiuja jednolity metasystem tozsamosci, ktory moze dac Internetowi wartstwe, ktorej z oczywistych wzgledow potrzebuje.
Nie jestem pewna, czy slowo 'obviously' ('z oczywistych wzgledow' w mojej wersji) tu pasuje. Ja nie czuje takiej potrzeby. Daje sobie z dzisiejszym Internetem rade bez wiekszych trudnosci. To co mnie martwi, to storny ktore chcialyby za duzo wiedziec o mojej tozsamosci. Dla WWW poprawnie dzialaja SSL z certyfikatami (jesli sie je sprawdza).
Po przejrzeniu wstepu zajrzyj do wersji w PDF-ie ('Browser version' nie dziala -- blad 404). Na poczatku mowi sie, ze niebezpieczenstwa to: phishing, spyware itd.
Dla mnie sa zwiazane bardziej z teoretycznymi rozwazaniami niz z praktyka. Nigdy nie mialam problemu z tym, co sie okresla jako phishing (podszywanie?). Nigdy nie mialam u siebie ani jednej sztuki oprogramowania typu spyware. Moim zdaniem system tozsamosci nie jest rozwiazaniem tych problemow. Rozwiazanie ma duzo wspolnego ze zwyczajami uzytkownikow, brakiem wiedzy i podobnymi sprawami.
Kiedy dotarlam wreszcie do tych praw...No coz. Sa logiczne. Sa proste. Calkowicie w porzadku. Tylko bardzo ogolne. Jesli zakladasz, ze taki system jest potrzebny (z takich czy innych wzgledow) to warto sie z nimi zapoznac. Dla mnie jednak samo pierwotne zalozenie jest bledne.
Jako zakladka, bo te artykuly ciezko znalezc: Strange Attractors and TCP/IP Sequence Number Analysis oraz Strange Attractors and TCP/IP Sequence Number Analysis - One Year Later. Mowia o tym, jak wygladaja numery sekwencyjne generowane przez popularne (bardziej i mniej) systemy. Dla tych, ktorzy nie wiedza co to numer sekwencyjny, wykresy wygladaja ladnie - warto obejrzec.
Ciekawy artykul o szyfrowaniu RSS. Zdziwilam sie, bo myslalam, ze szyfrowanie jest w tego typu protokoly (i oprogramowanie klienckie) juz od dawna wbudowane. Mylilam sie, jak widac.
NSA (amerykanska National Security Agency) opublikowala swoj dokument o zabezpieczaniu sieci z roku 2002. Sklada sie z kilku rozdzialow o zabezpieczaniu firewalla, systemow Windows i Unix. Ma w sumie 38 stron i jest po angielsku.
Jest toz bior zalecen, nie ma wiele wspolnego z 60 minutami zawartymi w nazwie pliku. Nie przyda sie zbytnio zaawansowanym uzytkownikom, bo przedstawia podstawowe dzialania, ale moze byc bardzo dobrym poradnikiem dla poczatkujacych.
Odnosnik mam z hacking.pl.
Sa dzisiaj dwie ciekawe wiadomosci dotyczace dosc scisle Debiana. Po pierwsze Zdnet donosi, ze ostatnie problemy z publikowaniem lat zostaly rozwiazane i teraz poprawki beda sie pojawiac we wlasciwym czasie.
Druga sprawa to to, ze Mandriva, Turbolinux i Progeny planuja nowa dystrybucje dla firm (enterprise) oparta na Debianie. Ciekawy jest szczegolnie udzial Mandrivy w tym przedsiewzieciu.
Odkryty zostal blad w bibliotece zlib wykorzystywanej w bardzo wielu programach (w roznych systemach) do kompresji. Oficjalnej laty jeszcze nie ma, ale niektore dystrybucje Linuksa juz maja poprawki. Nowych wersji wymagaja tez bardzo liczbe programy uzywajace zlib. Nalezy sie liczyc z tym, ze latanie ich sporo potrwa, a beda w tym czasie narazone na atak.
W serwisie Security Pipeline dostepny jest artykul, ktorego autor stwierdza, ze czas firewalli sie skonczyl. Jesli przeczyta sie dokladniej, mozna zobaczyc, ze jednak uzywa ACLi (czyli w sumie firewalla) i firewalla aplikacyjnego.
Nie, nie.. Nie chodzi o uzytkownika domowego, tylko o duze firmy ze skomplikowana siecia.
Faktem jest, ze firewall nie zapewnia bezpieczenstwa (a co zapewnia? to, ze tak twierdza niektore firmy w reklamach, to zupelnie inna sprawa; poza tym kto by wierzyl reklamom?). Jets to za to przydatne narzedzie, ktorym mozna osiagnac wiele ciekawych rzeczy. Warto przeczytac takze komentarze na Slashdocie (sa wartosciowe, przynajmniej tym razem).