Bruce Schneier pisze o tym, ze CIA nie znalazla przekazow steganograficznych w audycjach stacji al-Dzazira. Duzo sie o takiej mozliwosci mowilo pod koniec 2001 roku.
Nie znaczy to, ze steganografii w swiecie nie ma. Nie wiem jak to jest z obrazami, ale wiele metod omojania firewalli to nic innego jak wlasnie steganografia (oparta na protokolach sieciowych).
Kiedy trafilam na strone z petycja przeciwko pomyslowi dyrektywy nakazujacej zbieranie informacji o wykonywanych polaczeniach czy wysylanych emailach w pierwszej chwili myslalam, ze to jakis zart. Jak sie okazalo, niestety nim nie jest.
Pokazala sie kolejna grupa, ktora nie zauwaza latwosci uzycia wysokiej jakosci kryptografii i jej wysokiej dostepnosci. Jakiekolwiek regulacje i rejestracje nie szkodza przestepcom (kttorzy umieja szyfrowac), a niewinnym ludziom, ktorych chca miec po protu nieco prywatnosci.
W zeszlym tygodniu i na poczatku tego pewna sprawa byla dosc glosna w swiatku swiazanym z bezpieczenstwem. Sporo o calej sprawie (wraz z odnosnikami) mozna poczeczytac w blogu Bruce'a Schneiera: wiadomosc o prezentacji i pozniejsze informacje.
Jesli poczyta sie o tym troche, sprawa wydaje sie bardzo prosta. Znalazl blad w oprogramowaniu Cisco. Zawiadomil ich, pojawila sie poprawka. Po paru miesiacach jego firma chciala, zeby wyglosil prezentacje o tym bledzie. Nic nadzwyczajnego, prawda? Krotko przed prezentacja sprawy sie skomplikowaly. Skonczylo sie odejsciem z pracy, awantura i pozwem ze strony Cisco.
Dlaczego? Nie mam pojecia. Blad poprawiony. Faktem jest, ze nie wszyscy uaktualniaja tego typu sprzet, bo to powoduje klopoty. Czy jest to wystarczajacy powod, zeby wstrzymywac publikacje? Ja tak nie sadze. Niektorzy widocznie sa innego zdania. Albo maja inne powody.
Jesli rozumiesz cala sprawe i mozesz mi wszystko sensownie wytlumaczyc, z checia wyslucham/przeczytam.
Poki co, materialy: tekst prezentacji i zdjecia, wywiad opublikowany przez Wired. Przeczytaj, obejrzyj i zdecyduj samodzielnie.
Po plotkach o tym, ze Apple uzywa techniki podobnej do DRM w ich sprzecie demonstracyjnym (o czym pisalam niedawno) pojawil sie z kolei artykul mowiacy ze to tylko plotki.
Zajmujac sie tylko cytatami (z anonimowego zrodla) wcale nie jest jasne, czy takiego ukladu nie ma. Wszystko co umiem znalezc to ,,not DRM or TCPA protected'' (czyli: nie chronione przez DRM czy TCPA). To znaczy, ze jesli zastosowana technika nazywa sie inaczej, to wszystko jest w porzadku.
Jedna z bardziej interesujacych kwestii jest to, ze uklady maja sprawiac, ze klauzula o nieujawnianiu informacji bedzie zachowana. Widac wysoki poziom zaufania do osob, ktorym wysylane sa te probne ukladay..
Brak oficjalnego stanowiska Apple'a. Moga byc ku temu rozne powody. Najbardziej (?) zwariowany, ktory przychodzi mi do glowy jest taki, ze to sondaz majacy sprawdzic jak klienci beda reagowac na tego typu uklady. Sondaz moze pomoc zdecydowac, czy wykorzystac cos takiego w finalnej wersji, czy nie.
Idea podaje (jak pisze hacking.pl), ze srednio 40 uzytkownikow dziennie blokuje numery IMEI skradzionych telefonow. Wyglada na to, ze blokowanie zaczyna sie robic powszechniejsze (ciekawe jaki procent skradzionych telefonow jest blokowanych).
Biorac pod uwage ze statystyka u pozostalych operatorow wyglada zapewne podobnie, blokowanych numerow dziennie byloby ponad 100. To oznacza ponad 100 telefonow kradzionych dziennie. Przy cyzm przeciez nie wszyyscy zglaszaja czy blokuja...
Slashdot pisze o tym, ze zestaw dla programistow Apple na platforme Intel wykrorzystuje DRM. Jest to szeroko komentowane, lacznie z sugestia przesiadki na Linuksa.
Nie wiem, co ten uklad bedzie robil. Brak szczegolow. Zalozmy najgorszy wariant -- blokowanie wszystkiego, tak ze swoje dokumenty, muzyke itd mozna odtwarzac tylko na autoryzowanym sprzecie. Co to znaczy w praktyce? Dla mnie tylko tyle, ze cala technologia zostanie rozpracowana (ang. reverse engineering) jak tylko ktos, kto ma wystarczajaco duzo umiejetnosci i czasu, sie tym zirytuje. To oznacza raczej miesiac niz dwa.
Fakt, ktory wiele osob probuje ignorowac, to to, ze zaden system ochrony nie bedzie dzialal dobrze, jesli uzytkownik ma fizyczny i nieograniczony dostep do komputera. Szczegolnie jesli moze dowolnie filtrowac to co przychodzi do i wychodzi z komputera. Oba te warunki sa spelnione dla zwyklego domowego komputera. Upadek zabezpieczenie jest wtedy tylko kwestia czasu. Cala sprawe spowolnic (ale nie zatrzymac) moze prawo nie pozwalajace na reverse engineering. Sa kraje, w ktorych reverse engineering w celu zapewnienia kompatybilnosci jest calkowicie legalny. Z tego co wiem, tak jest w Polsce. Mozliwe, ze gdzieniegdzie jest legalny niezaleznie od zastosowania. Jesli w Twoim kraju nie jest, to niczemu to nie przeszkadza. Po prostu odbedzie sie to gdzie indziej. Mamy piekne przyklady jak podobne ograniczenia okazywaly sie bez sensu: kodowanie DVD czy rozwoj szyfrowania w warunkach restrykcyjnych przepisow eksportowych w USA.
Nie jest tak, zebym uwazala, ze DRM nie jest niebezpieczny. Wrecz przeciwnie. Tyle tylko, ze takie techniki nie dzialaja. Wiele firm juz sie o tym przekonalo. Jak widac, nauka na cudzych bledach nei ejst popularna.
CNN zajmuje sie problemmami z prywatnoscia danych o uzytkowniku posiadanych przez Google. Niespodzianka, nie chodzi o to, jak te dane wykorzystuje ta firma, a o to, jak moga byc wykradzione i wykorzystane przez innych.
Nie mowie, ze ryzyka nie ma, ale o wiele wieksze niebezpieczenstwo stanowia dane przechowywane przez bank czy operatora telekomunikacyjnego. Pracownik sprzedajacy dane moze sie zdarzyc wszedzie...
Naukowcy z uniwersytetu Stransford anpisali narzedzie (a raczej wtyczke), ktore z wpisywanego hasla i domeny wylicza skrot i dopiero to wysyla jako haslo. Narzedzie jest przeznaczone dla osob, ktore wpisuja w wiele miejsc to samo haslo. Ma wade - trzeba zmienic hasla. No i jest bezpieczne, dopoki uzywana funkcja skrotu nie zostanie zlamana :)
Pojawil sie na Slashdocie kolejny ciekawy odnosnik. Dotyczy czegos nazwanego prawami tozsamosci (Laws of Identity). Idea (i strona) pochodzi z miejsca, ktorego raczej nie lacze z przywiazania do prywatnosci i bezpieczenstwa, ale brak uprzedzen sie przydaje, a z atrykulem warto sie zapoznac.
Pierwsze wrazenie nie jest dobre. Wstepny tekst mowi:
The Internet was built without a way to know who and what you are connecting to. This limits what we can do with it and exposes us to growing dangers. If we do nothing, we will face rapidly proliferating episodes of theft and deception that will cumulatively erode public trust in the Internet.
[...]Taken together, these laws define a unifying identity metasystem that can offer the Internet the identity layer it so obviously requires.
A po szybkim tlumaczeniu wyglada to tak:
Internet zostal zbudowany bez mozliwosci poznania z kim i czym sie laczysz. To ogranicza rzeczy, ktore mozna zrobic i wystawia na coraz wieksze niebezpieczenstwo. Jesli nic nie zrobimy, bedziemy sie spotykac z coraz nowymi przypadkami kradziezy i oszustw, ktore spowoduja spadek zaufania do Internetu.
[...]Traktowane razem, prawa te definiuja jednolity metasystem tozsamosci, ktory moze dac Internetowi wartstwe, ktorej z oczywistych wzgledow potrzebuje.
Nie jestem pewna, czy slowo 'obviously' ('z oczywistych wzgledow' w mojej wersji) tu pasuje. Ja nie czuje takiej potrzeby. Daje sobie z dzisiejszym Internetem rade bez wiekszych trudnosci. To co mnie martwi, to storny ktore chcialyby za duzo wiedziec o mojej tozsamosci. Dla WWW poprawnie dzialaja SSL z certyfikatami (jesli sie je sprawdza).
Po przejrzeniu wstepu zajrzyj do wersji w PDF-ie ('Browser version' nie dziala -- blad 404). Na poczatku mowi sie, ze niebezpieczenstwa to: phishing, spyware itd.
Dla mnie sa zwiazane bardziej z teoretycznymi rozwazaniami niz z praktyka. Nigdy nie mialam problemu z tym, co sie okresla jako phishing (podszywanie?). Nigdy nie mialam u siebie ani jednej sztuki oprogramowania typu spyware. Moim zdaniem system tozsamosci nie jest rozwiazaniem tych problemow. Rozwiazanie ma duzo wspolnego ze zwyczajami uzytkownikow, brakiem wiedzy i podobnymi sprawami.
Kiedy dotarlam wreszcie do tych praw...No coz. Sa logiczne. Sa proste. Calkowicie w porzadku. Tylko bardzo ogolne. Jesli zakladasz, ze taki system jest potrzebny (z takich czy innych wzgledow) to warto sie z nimi zapoznac. Dla mnie jednak samo pierwotne zalozenie jest bledne.
Jako zakladka, bo te artykuly ciezko znalezc: Strange Attractors and TCP/IP Sequence Number Analysis oraz Strange Attractors and TCP/IP Sequence Number Analysis - One Year Later. Mowia o tym, jak wygladaja numery sekwencyjne generowane przez popularne (bardziej i mniej) systemy. Dla tych, ktorzy nie wiedza co to numer sekwencyjny, wykresy wygladaja ladnie - warto obejrzec.
Ciekawy artykul o szyfrowaniu RSS. Zdziwilam sie, bo myslalam, ze szyfrowanie jest w tego typu protokoly (i oprogramowanie klienckie) juz od dawna wbudowane. Mylilam sie, jak widac.
NSA (amerykanska National Security Agency) opublikowala swoj dokument o zabezpieczaniu sieci z roku 2002. Sklada sie z kilku rozdzialow o zabezpieczaniu firewalla, systemow Windows i Unix. Ma w sumie 38 stron i jest po angielsku.
Jest toz bior zalecen, nie ma wiele wspolnego z 60 minutami zawartymi w nazwie pliku. Nie przyda sie zbytnio zaawansowanym uzytkownikom, bo przedstawia podstawowe dzialania, ale moze byc bardzo dobrym poradnikiem dla poczatkujacych.
Odnosnik mam z hacking.pl.
Sa dzisiaj dwie ciekawe wiadomosci dotyczace dosc scisle Debiana. Po pierwsze Zdnet donosi, ze ostatnie problemy z publikowaniem lat zostaly rozwiazane i teraz poprawki beda sie pojawiac we wlasciwym czasie.
Druga sprawa to to, ze Mandriva, Turbolinux i Progeny planuja nowa dystrybucje dla firm (enterprise) oparta na Debianie. Ciekawy jest szczegolnie udzial Mandrivy w tym przedsiewzieciu.
Odkryty zostal blad w bibliotece zlib wykorzystywanej w bardzo wielu programach (w roznych systemach) do kompresji. Oficjalnej laty jeszcze nie ma, ale niektore dystrybucje Linuksa juz maja poprawki. Nowych wersji wymagaja tez bardzo liczbe programy uzywajace zlib. Nalezy sie liczyc z tym, ze latanie ich sporo potrwa, a beda w tym czasie narazone na atak.
W serwisie Security Pipeline dostepny jest artykul, ktorego autor stwierdza, ze czas firewalli sie skonczyl. Jesli przeczyta sie dokladniej, mozna zobaczyc, ze jednak uzywa ACLi (czyli w sumie firewalla) i firewalla aplikacyjnego.
Nie, nie.. Nie chodzi o uzytkownika domowego, tylko o duze firmy ze skomplikowana siecia.
Faktem jest, ze firewall nie zapewnia bezpieczenstwa (a co zapewnia? to, ze tak twierdza niektore firmy w reklamach, to zupelnie inna sprawa; poza tym kto by wierzyl reklamom?). Jets to za to przydatne narzedzie, ktorym mozna osiagnac wiele ciekawych rzeczy. Warto przeczytac takze komentarze na Slashdocie (sa wartosciowe, przynajmniej tym razem).
Wiele napisano o dziejszych wydarzeniach. Mnie sie wydaje, ze najlepszy cytat pochodzi z blogu Bruce'a Schneiera. Pozwole go sobie przetlumaczyc:
Potrzeba, abysmy wstrzymali sie przed reakcja na szczegoly tego konkretnego watku terrorystycznego, a zamiast tego zajeli sie planami terrorystow. Wydawanie miliardow na obrone naszych pociagow i autobusow kosztem innych przeciwdzialan terrorowi nie ma sensu. Oni chca szerzyc terror i nie ma dla nich znaczenia, czy bomby wybuchaja a pociagu, autobusie, centrum handlowym, w teatrze, na stadionie, w szkole, na targu, w restauracji czy dyskotece, czy w jakimkolwiek zbiorowisku 100 osob na malym obszarze. Za duzo jest celow do chronienia i potrzebujemy myslec madrzej niz o ochronie konkretnych celow, ktre terrorysci zaatakowali w zeszlym tygodniu.
Madre przeciwdzialanie terrorowi zajmuje sie terrorystami i ich funduszami -- zatrzymywaniem ich niezaleznie od ich celow -- oraz odpowiedzia, ktora zmienjsza szkody.
Prosta sprawa, wiemy o tym, tylko jakos stosowanie sie do tego nie wychodzi. Zajmujemy sie za to takimi rzeczami jak dokumenty. Tak jest pewnie prosciej...
Internet jaki znamy dziala calkiem niezle. Jest z nim jednak kilka problemow. Bezpieczenstwo, sprawa dostepu bezprzewodowego, liczba dostepnych adresow i kilka innych. Dlatego tez co jakis czas pojawiaja sie proby jego naprawienia. WIred pisze o najnowszej. Oryginalnosc podejscia polega na tym, ze tym razem ma to nie byc budowa od nowa (jak Internet2), a seria usprawnien. Glowny nacis ma byc polozony na sprawy bezpieczenstwa i dostep bezprzewodowy. Niestety, projekt jest w fazie poczatkowej. Z ciekawoscia czekam na liste planowanych usprawnien.
Ja potrafie sobie wyobrazic bezpieczniejszy Internet. Nie bedzie w zupelnosci bezpieczny, bo duze znaczenie maja bledy w sprzecie, oprogramowaniu itd. Moge sobie jednak wyobrazic znaczne ograniczenie phishingu czy spamu. Czy sie uda tym razem?
Omawialam w tym blogu kilka artykulow dotyczacych bezpieczenstwa. Nie wszystkie te, ktore chcialabym/potrzebuje przeczytac sa tak latwo dostepne. Niektore mozna dostac wylacznie w formie papierowej, albo przez Internet - placac. Poszukujac kilku dowiedzialam sie nawet, ze zgadzam sie z prof. Bernsteinem!
Uwaga dla tych, ktorzy nie wiedza kto to: bardzo znana postac w swiecie bezpieczenstwa, ale niemal tak kontrowersyjna, jak znana.
Example.com to zarezerwowana nazwa domeny. Jest uzywana w poderecznikach, dokumentacji i roznego rodzaju materialach szkoleniowych. Domeny tej nie mozna zarejestrowac. Istnieja jednak jej wykorzystania... Jakie? Powiem za chwile.
Na Slashdocie pojawila sie wiadomosc, ze norweski rzad przestawia sie na otwarte formaty. W momencie kiedy to pisze, nie jestem w stanie dostac sie do materialow, ktore mialyby na to wskazywac. Strona docelowa wskazuje obecnie wlasnie na example.com. Dlaczego? Albo takich materialow w ogole nie ma, albo, co bardziej prawodopodobne, wlasciciel serwera wie, ze nie da razy obsluzyc tak duzego ruchu, jaki obecnie na ten serwer naplywa i stad zmiana sposobu rozwiazywania domeny. Taki efekt, kiedy z powodu nadmiaru ruchu z serwiosow informacyjnych jakas strona staje sie niedostepna ma nawet wlasna nazwe - efekt Slashdota.
BusinessWeek pisze o tym, jak kilka bardzo duzych firm zostalo zlapanych na uzywaniu adware (czyli, w skrocie, programow wyswietlajacych reklamy na komputerach uzytkownikow; zazwyczaj tego typu programy instaluja sie bez pytania uzytkownika o zdanie, wykorzystujac bledy w systemie badz udajac pozyteczne programy. Trzeba jeszcze dodac, ze adware wystepuje tylko na jednym systemie operacyjnym). Ciekawe sa ich tlumaczenia: adware to taki sam sposob reklamowania sie jak inne lub placilismy i nie wiemy jak byly pokazywane nasze reklamy.
Jest taka strona dzieckowsieci.pl o kampanii, ktora ma (miala) promowac bezpieczne korzystanie z Internetu przez dzieci. Idea sluszna i dobra. Co do wykonania mam jednak kilka uwag :)
Pierwsza sprawa, ktora wpadla mi w oczy jest pkt 2 rad dla rodzicow. Brzmi on tak:
Nie uzywaj kilku kont w systemach operacyjnych, ktore oferuja taka mozliwosc. Dzieki temu bedziesz sie orientowal w rodzajach aktywnosci podejmowanej w Sieci przez Twoje dziecko.
Uzywania formy meskoosobowej nie bede sie specjalnie czepiac, ale warto to zauwazyc (cala strona jest tak sformulowana, uwagi do dzieci rowniez).
To, co mnie uderzylo w tym tekscie (jesli go oczywiscie rozumiem zgodnie z zamierzeniami autorow) jest brak poszanowania prywatnosci dziecka. To samo konto uzywane przez rodzica i dziecko daja rodzicowi dostep (rodzic powinien uzywac konta administratora, ale nie czytac tych danych) do historii przegladanych stron, wiadomosci email czy historii komunikatora. Moim zdaniem, informacje rodzica powinny pochodzic z rozmowy, a ze szpiegowania tylko w drastycznych przypadkach.
Tyle na temat rad. Inna kwestia to to, ze glownym zagrozeniem jest pedofilia, ale juz wykorzystanie dziecka do instalacji trojana (a przy jednym koncie to bardzo latwe) czy innego oprogramowania szpiegowskiego, do rozsylania spamu itd. Wiem, ze worm czy wirus to rozwiazanie latwiejsze, ale zagrozenia nie nalezy lekcewazyc...
Slashdot pisze o tym, ze SPF i Sender ID zostaly uznane przez IETF za standardy eksperymentalne.
IETF to organizacja zajmujaca sie internetowymi standardami. SPF i Sender ID to z kolei dwie konkurujace technologie, ktore maja ucyznic zycie spamerow trudniejszym. W tym celu wymagaja autentykacji nadawcy wiadomosci.
Konkurencja miedzy nimi wynika w duzej czesci z faktu, ze Sender ID uzywa wielu opatentowanych technologii i nie moze sie z tego powoduj pojawic w produktach Open Source. SPF, z kolei, jest wolny od patentow i juz dosc czesto uzywany.
Jak pisalam kilka miesiecy temu, sa ludzie, ktorzy czesto usuwaja ciasteczka (ang. cookies) ze swoich komputerow. Martwi to branze reklamowa, dlatego pojawilo sie kilka inicjatyw (po angielsku) majacych na celu zatrzymanie tego.
Zaczne od tego, ze ciasteczka moga byc uzywane zarowno w zlym, jak i dobrym celu. Daja mozliwosc realizacja koszykow na zakupy w sklepach internetowych, pokazywania juz przeczytanych watkow na forum czy automatycznego logowania. Powodem, dla ktorego ludzie je usuwaja jest to, ze moga byc takze wykorzystywane do identyfikacji (a nie kazdy i nie zawsze sobie tego zyczy) i sledzenia. Marketingowcy wykorzystuja to zbyt czesto, tak wiec pojawila sie na to reakcja. Przegladarki pozwalaja blokowac ciasteczka i nimi zarzadzac.
Usuwanie ciasteczek psuje kampanie reklamowe...Z drugiej strony Adblock psuje je jeszcze bardziej. Ja widze reklamy tylko wtedy, kiedy tego chce (i te, ktore chce).
Pomysl wplyniecia na producentow programow usuwajacych spyware, zeby nie pozbywaly sie takze ciasteczek nie wydaje mi sie dobry. Programow tego typu jets duzo i jesli ktos chce usuwac ciasteczka - to znajdzie taki, ktory to zrobi (albo usunie je uzywajac opcji przegladarki).
Inne pomysly zapobiegania usuwaniu ciasteczek to lista 'etycznych' firm, pokazywanie zawartosci ciasteczek czy korzystanie z mozliwosci sledzenia, jakie daje Flash.
Wymyslajacy te wszystkie metody nie wzieli pod uwage jednego: wiele osob nie chce widziec reklam i byc sledzonym (a wielu nie chce, ale nie wie sie bronic). Kazda metoda, ktora ma spowodowac pokazuwanie niechcianych elementow spowoduje reakacje i metody usywania takich elementow. Rozwiazaniem, jakie przyniosloby wiekszy sukces sa takie reklamy, ktore ludzie chca ogladac, a nie sa do tego zmuszani.
Ciekawy raport (PDF, ok 20 stron, po angielsku) pokazuje mozliwosci wykorzystania roznic w sposobie parsowania zapytan HTTP przez serwery i oprogramowanie miedzy nimi a uzytkownikami.
Autorzy pokazuja na przyklad jak zatruc pamiec podreczna (ang. cache poisoning) serwera proxy, tak aby pokazywal inna strone niz powinien. Wykorzystuja do tego tylko jednego, odpowiednio skonstruowanego zapytania.
Przedstawione techniki sa ciekawe, ale odnosza sie tylko do specjalnych kombinacji oprogramowania. Tego typu ataki moga sie jednak okazac bardziej niebezpieczne w praktyce, gdyby okazalo sie, ze sa powszechniejsze niz obecnie sadzimy i/lub moga wykorzystac wieksza liczbe programow.
Gartner opublikowal (po angielsku) liste najbardziej przereklamowanych, ich zdaniem, zagrozen bezpieczenstwa. Oto ona z moimi komentarzami:
Jak donosi hacking.pl Eurobank ciagle nie ma w palni dzialajacego systemu informatycznego po burzy w zeszly poniedzialek. A wydawaloby sie, ze banki maja systemy zapasowe i taka awaria powinna trwac maksymalnie kilka godzin...
Uaktualnienie: Dzisiaj wydaje sie, ze awaria zostala naprawiona. Jest to najdluzsza, o jakiej slyszalam w odniesieniu do banku. Ciekawe kiedy (bo czy, to nie mam watpliwosci) rekord zostanie poprawiony.
Hacking.pl (za Slashdotem) pisze o kontrowersyjnej stronie na Wikipedii zaiwerajacej osoby z takimi samymi haslami. Dla slabych hasel (a to jednak dosc czeste zjawisko) oznacza to ujawnienie hasla.
najciekawsza sprawa jest jednak to, ze strona zostala usunieta dluugo po tym jak zostala opublikowana.
W izraelskich mediach pisze sie (takze w innych miejscach) o skandalu z oprogramowaniem typu spyware uzywanych przez niektore duze formy do szpiegowania konkurencji.
Ten przypadek zostal ujawniony. Interesujace byloby wiedziec, ile jest podobnych w rzeczywistosci.
BTW Z opisow uzytego programu (instalacja z e-maila itd) wynika, ze infekuje on tylko maszyny z systemem Windows. Zgaduje, ze tylko z nim.
SecurityFocus pisze o problemach ze sterownikami urzadzen. Nie sa one pisane zazwyczaj przez autorow systemu, ale przez producentow sprzetu. To powoduje wieksze ryzyko problemow i, co gorsza, bledow rzeczywiscie jest wiecej.
NetworkWorld pisze o sfrustrowanym wlascicielu firmy zajmujacej sie bezpieczenstwem (mozna takze o tym poczytac w jego blogu) zmieniajacym system w swojej firmie z Windows na Mac OS. Glowne powody to plagi takie jak wirusy czy spyware i problemy z kompatybilnoscia sprzetu.
Nie twierdze, ze Windows to bezpieczniejszy system niz Mac, bo tak przeciez nie jest, ale zmiana wszystkiego (i zwiazane z tym koszty - wymiana calego sprzetu) to posuniecie radykalne. Problemy z bezpieczenstwem sa z kolei w bardzo duzym stopniu wina uzytkownikow. Sprzet z kolei bywa wadliwy (patrz sprawa z plonacymi akumulatorami w komputerach Apple sprzed roku).
Dodatkowo nie napisal, czemu nie zdecydowal sie na Linuksa (wymiana sprzetu nie bylaby konieczna, a wiec operacja bylaby znacnzie tansza).
W .pl cos takiego by sie nie udalo. Powod? Na przyklad rozliczenia z ZUS.
Firewall (lub sciana ogniowa) to termin dosc czesto wpisywany w wyszukiwarki. Dzisiaj sprawdzilam, ze otrzymywane wyniki nie sa wiele warte. Na przyklad, po wpisaniu 'firewall' otrzymuje sie glownie strony producentow, a nie wyjasnienia.
Firewall lub sciana ogniowa (co nie jest najlepszym tlumaczeniem, ale lepszego nie wymyslono, zapora sieciowa z polskiej Wikipedii to chyba jedno z lepszych tlumaczen) to sprzet albo oprogramowanie (lub jedno i drugie), ktore blokuje niepowolany dostep do sieci czy komputera, ktorego broni. Zapora zazwyczaj filtruje ruch i przepuszcza tylko ten zgodny z regulami. Moze filtrowac zarowno od jak i do celu.
Tego typu rozwiazanie moze byc zarowno bardzo proste, jak i bardzo skomplikowane (na przyklad dostosowujace sie do tego, co sie dzieje). Wszystko zalezy od tego, czego kto potrzebuje.
W zastosowaniach domowych firewallem nazywa sie zazwyczaj dosc prosty program blokujacy wybrane porty i/lub aplikacje.
Bledy w zabezpieczeniach przegladarki Firefox (o ktorych pisalam kilka dni temu) sa juz poprawione w nowej wersji 1.0.4. Potwierdzenie mozna znalezc w uwagach o wydaniu i stronie o bezpieczenstwie Firefoxa.
BBC pisze (po angielsku) o mozliwosci (?) infekcji samochodu wirusem z telefonu komorkowego. W artykule zatytulowanym "Cars safe from computer viruses" ("Samochody bezpieczne od wirusow") stwierdza, ze skoro podjeta proba zainfekowania jednego(!) modelu samochodu jednym(!) wirusem (napisanym na inny system niz ten zainstalowany w samochodzie) nie powiodla sie, to samochody sa bezpieczne...
Dodam tylko, ze infekcja jednego systemu wirusem napisanym dla innego jest mozliwa tylko w bardzo specyficznych przypadkach. Zazwyczaj to po prostu nie dziala.
A przeprowadzony test pokazuje tylko ze tego samochodu nie udalo sie zainfekowac tym wirusem. I nic wiecej.
Zdnet pisze (po nagielsku) o exploicie dostepnym w sieci, ktory wykorzystuje dwie wczesniej nie znane luki w przegladarce Firefox. W momencie kiedy to pisze nie jest jeszcze dostepna poprawka.
Ciekawi mnie jaki bedzie czas miedzy ujawnieniem bledu a pojawieniem sie poprawki.
Uaktualnienie: poprawka (wersja 1.0.4) wlasnie sie ukazala.
CERT opublikowal artykul o bezpieczenstwie. Tekst jest dostepny po angielsku, nie znalazlam polskiego tlumaczenia.
W jasny sposob opisuje wyjasnia niektore techniczne terminy i przedstawia metody zwiekszenia bezpieczenstwa.
Ma tez niestety zle strony: po pierwsze jest za dlugi. Nie wierze ze wiele osob przeczyta go w calosci. Po drugie jest bardzo skierowany na Windows. Mowi wyraznie o instalacji programu antywirusowego, ale nie wspomina, ze niektore systemy (Linux, MacOS) go nie wymagaja.
BBC pisze (po angielsku) o technologi, ktora ma zabezpieczac plyty DVD przed skopiowaniem. Dlaczego nie wierze, ze to zadziala? A nawet jesli zadziala, to szybko zostanie znalezione obejscie?
Nowy produkt Google, Web Accelerator, pojawil sie w wersji beta i od razu spowodowal pojawienie sie skrajnie roznych opinii. Jak stwierdza hacking.pl ma w zalozeniu przyspieszac przegladanie stron WWW. I prawdopodobnie to robi. Problem polega na tym, ze wielu uzytkownikow (artykul po angielsku) narzeka, ze zbyt wiele informacji jest gromadzonych. Podaje sie przyklad zalogowania na forum jako inna osoba (najprawdopodobniej przy pomocy zachowanych na serwerze Google plikow cookies, ktore moga zawierac hasla i inne tego typu dane).
Ja programu sprawdzic (za pomoca sniffera) nie moge, bo jest on przeznaczony do pracy tylko pod Windows.
Jak donosza hacking.pl oraz CyberCrime serwis firmy hostingowej webd.pl zostal skompromitowany, a dane klientow (ich strony, bazy itd) utracone. Jak sie okazalo firma nie miala kopii zapasowych (swoja drga przeczytalam regulamin i rzeczywiscie o kopiach ani tam, ani w ofercie nie ma nic).
Ta wpadka wplywa negatywnie nie tylko na image tej firmy, ale takze wszystkich innych mniej znanych przedsiebiorstw oferujacych hosting za niezbyt duze pieniadze.
Wpadlo mi w rece opracowanie IETF Making the world (of communications) a better place (PDF, po angielsku, 140KB). Opisuje 10 idei, ktore, zdaniem autorow, powinny znalezc sie w sieciach za 10-15 lat.
Nie ze wszystkim sie zgadzam, szczegolnie ze sprawami zwiazanymi z bezpieczenstwem. Autorzy proponuja 'nowa architekture' dla bezpieczenstwa. Nikt nie wie tylko, co to mogloby byc (i co to znaczy). Zgadzam sie, ze bezpieczenstwo to mieszanina techonologii, ekonomii i spraw spolecznych. moim zdaniem kuleje najbardziej ta trzecia czesc - dla bezpieczenstwa ludzie nie chca z niczego rezygnowac. A tak sie nie da. Wszystko kosztuje. Moze w ciagu 10 lat uda sie zmienic dzisiejsze podejscie. A to juz bedzie osiagniecie.
Wracajac do artykulu, to dobra podstawa do dyskusji na rozne tematy.
Scientific American publikuje artykul o walce ze spamem (po angielsku). Rzecz ciekawa, przeznaczona dla raczej mniej technicznie zawansowanego czytelnika.
Co moim zdaniem nie zostalo wystarczajaco uwypuklone bylo to, ze spam jest bardzo tani w wysylaniu oraz to, ze bardzo czesto do wysylania go sa uzywane komputery nieswiadomych ofiar wirusow i podobnych plag (to nie zostalo wspomniane, czyzby dlatego ze autorzy pochodza z Microsoftu?).
Warto tez bylo powiedziec, ze najniebezpieczniejszy spam to taki, ktory nie zostanie odfiltrowany, bo za bardzo przypomina prawdziwa wiadomosc. Wezmy dla przykladu wiadomosc, ktora dostalam nie tak dawno, a ktora wygladala jak z ebaya, tyle ze link wskazywal na inna strone. Jesli taki spam wydaje sie pochodzic z firmy lub instytucji, ktora rzeczywiscie powiadamia klientow elektronicznie, a uzytkownik rzeczywiscie jest jej klientem, to prawdopodobienstwo zadzialania takiego ataku znaczaco wzrasta. Jesli jeszcze spam zostanie skorelowany z atakiem DNS cache poisoning (zatrucia pamieci serwera DNS, co w skrocie spowoduje, ze wpisujac poprawny adres uzytkownik mzoe trafic na podstawiona strone), to sytuacja robi sie niebezpieczna. Jak zwykle, szczegolnie dla mniej zaawansowanych. Wyglada na to, ze walka ze spamem bedzie jeszcze dluga...
Zdecydowalam sie sprawdzic czy popularne strony uzywaja poprawnego kodu HTML (albo XHTML itd.). Uzylam walidatora W3C.
Sprawdzilam portale. Nie mam danych, ktore by mi powiedzialy, ktore sa najpopularniejsze. Dlatego tez musialam zgadywac. Strony portali sa generaowane dynamicznie, wiec wynik walidacji bedzie rozny w roznych momentach. Wiecej stron - moze niedlugo.
Zaczelam od google. Prosta strona, nie powinno byc problemow. Blad. Brak definicji typu i inne bledy. W sumie, przy domyslnych ustawieniach, 51.
Nastepna strona to Yahoo. Bardziej skomplikowana, wiec wiecej mozliwosci popelnienia bledu. I wiecej bledow - 253.
Nastepna strona, MSN, identyfikuje sie jako XHTML strict. Nie jest poprawna. Zawiera 22 errors, w wiekszosci niezbyt powazne i latwe do naprawienia. Dlaczego wiec sa?
Kod strony BBC wyglada nieco dziwnie. Ma sporo pustych wierszy i puste znaczniki. Bledy? Niezbyt wiele w porownaniu z konkurencja - tylko 65.
CNN ma strone z wieksza iloscia bledow (106). Wiele z nich dotycz brakujacych podpisow zdjec i innych ilustracji. Kod strony jest czytelniejszy niz poprzedni.
Przenosze sie teraz na strony po polsku.
Kod strony Onetu jest co najmniej dziwny, a szczegolnie sposob uzycia styli. Bladow 144.
Wirtualna Polska w moim Firefoxie wyglada zle - niektore elementy na siebie nachodza. natomiast liczba bledow - 0. Gratulacje dla tworcow. Okazuje sie, ze jednak mozna...
Na gazeta.pl ciekawostka. Niezgodne kodowanie w dokumencie (8859-2) z tym w naglowku HTTP (8859_2). Ciekawy blad. Zwyklych bledow walidatora duzo - 535.
Na Interii tez ciekawie. Dziwne znaczniki, wartosci pisane z duzej litery, kiedy powinny byc z malej itd. Bledow 63.
Wyglada wiec na to, ze ciezko znalezc portal z poprawnym HTML-em. Wiekszosc bledow dalaby sie poprawic zmieniajac jeden czy dwa znaki. A to juz moze znaczyc, ze sie po prostu nie chce tego sprawdzic i poprawic. Mozliwe ze tak jest.
Przetlumaczylam na polski moj artykul How to ask a question and be secure.
Polska wersja jest nieco inaczej sformatowana - wg mnie czytelniej.
Sondaz wykonany dla AOL UK, ktorego wyniki prezentuje BBC, pokazuje ze uzytkownicy nie rozumieja terminow zwiazanych z bezpieczenstwem sieciowym.
84 procent nie wie co znaczy jeden z najnowszych terminow, phishing. To mozna zrozumiec. Ale fakt, ze 3/4 nie wie co to spyware? Do tego jeden na dziesieciu z tych, ktorym sie wydaje, ze wiedza, nie ma racji. Tylko 39 procent wie co to trojan... A 16 procent - co to spam.
Mozliwe, ze czesc z tych osob po prostu nie zna fachowego terminu, a z samymi zjawiskami sie spotkala. Taka sytuacja sprawia jednak, ze trudniej im uzyskac pomoc, bo nie wiedza o co pytac.
Artykuly takie jak ten na BBC sa potrzebne, tak samo jak ksztalcenie dziennikarzy. Obok tego artykulu znajduja sie wyjasnienia. Tak wiec od dzis firewall to oprogramowanie do ochrony przed hakerami.
Bezpieczenstwo sieci bezprzewodowych jest krytykowane juz od dawna, mimo to wiekszosc sieci nie jest w ogole zabezpieczona. Te ktore sa mozna zlamac w kilka minut jak ostatnio pokazano. Nie zostaly przy tym uzyte specjalne narzedzia, a programy dostepne dla kazdego.
CRN publikuje artykul , w ktorym Jimmy Kuo (ktory wytropil autora wirusa Melissa z 1999 roku) stwierdza, ze w zeszlym roku nastapil szczyt aktywnosci wirusow i podobnych programow rozprzestrzeniajacych sie za pomoca poczty elektornicznej.
Sczyt, jak wiadomo, oznacza, ze dalej danej rzeczy powinno byc mniej. Ja nie widze, aby ilosc wirusow czy ogolnie programow znanych jako malware sie zmniejszala. Popularne programy nadal maja bledu, uzytkownicy nie konfiguruja ich prawie w ogole, a botnety maja sie swietnie. Ciekawe skad autor ma dane, ktore go przekonaly, ze jest tak jak mowi...