vermin.eu.org

DI podało, że firma Apple opatentowała technologię, która ma pozwolić na lepszą videokomunikację. Ma to pozwolić na bardziej naturalną komunikację - będzie można popatrzeć w oczy rozmówcy, a nie w umieszczonę gdzieś z boku kamerkę.

Wszystko wydaje się być miłe i przyjemne, niemniej obawiam się o reperkusje takiego użycia technologii. Po pierwsze, skoro mam zainstalowaną niewidoczną dla mnie kamerę, którą mogę zamaskować dopiero zasłaniając caly ekran, która nie wiem, czy jest włączona czy wyłączona, mogę być niezależnie od siebie samego “podglądany”. Niech nikt nie mówi, że to jest niemożliwe, bo skoro jest taka opcja, która się jakoś upowszechni, to dlaczego szkodliwe oprogramowanie, (ze staropolskiego - malware), nie miałoby nas inwigilować? Idealne rozwiązanie dla włamywaczy… i szefów

Drugą sprawą jest rozwój technologii - na szczęście jest to patent, co trochę ograniczy jej rozwój, niemniej jakże prosto takie kamery można wmontowywać w nowe telewizory LCD i wprowadzać w życie wizję przedstawioną przez Orwella w roku 1984… I naprawdę nie jestem paranoikiem - po prostu widzę co się dzieje w niektórych polskich firmach, widzę co można zrobić za pomocą technologii i jak potrafi ona być wykorzystana przeciwko ludziom (biometryka, coraz szersze zbieranie informacji o obywatelach, klientach, etc.) Wolałbym po prostu, żeby mój własny komputer szpiegował mnie mniej, niż jeszcze więcej…

W nowym firefox odnaleziono dziurę, pozwalającą na wywróceine przeglądarki po wejściu na stronę zawierającą specjalnie przygotowany skrypt. Niestety u mnie przeglądarka się nie wywróciła - zadziałał noscript, który domyślnie zablokował niepożądane treści… i uniemożliwił działanie kodu. Stąd, ze względu na coraz częstsze problemy z rzeczami związanymi z obiekatmi skryptowymi lub embedded, polecam instalację rozszerzenia.

Blokuje ono nie tylko java-script, ale także applety javy, multimedialne flashe macromedii oraz pozwala zachować prywatność - blokuje cuda pochodzące ze stron-trackerów, takie jak np. google -syndication, gemius czy inne wynalazki. Oczywiście pozwala także na odblokowywane zaufanych witryn - a te częściowo zaufane odblokowuje tylko na czas trwania sesji przeglądarki. Raz jeszcze gorąco polecam!

UPDATE: wyszła już wersja 1.5.0.3 zawierająca odpowiednie poprawki bezpieczeństwa. Przy okazji wyszedł mi ciekawy bug - dopóki mam otwartego thunderbirda firefox nie może się poprawnie zaktualizować. No, ale to minu skorzystania z tego samego silnika.

Coraz częściej pojawia się konieczność przenoszenia ze sobą danych. Kiedyś nagrywało się je na dyskietki, potem na płytki, teraz używa się dysków USB 2.0 czy też pendrive. No tak, w zasadzie wszystko fajnie i w porządku - bo mamy te dane, ale pozostaje jeszcze problem ich synchronizacji z urządzeniem, tak, żebyśmy mogli z nich bezproblemowo i szybko korzystać.

Uruchomienie firefox/thunderbird wymaga przekopiowania danych w odpowiednie miejsce, przenoszenie haseł wymaga kolejnej aplikacji, która zaszyfruje je, tak, żeby nie można było łatwo ich odczytać. Ponadto człowiek przywyka do środowiska w którym wykonuje pracę - tapeta, ikonki i hc układ i takie tam. Ciekawym krokiem, dla Windows, jest rozwiazanie U3, które pozwala po podłączeniu do komputera spersonalizować go, przerabiając środowisko na nasze, po podłączeniu pendrive’a. Kopiowane są ustawienia, podmieniane ścieżki profili, ba! nawet instalowane są nasze aplikacje (oczywiście wybrane). Po odłączeniu pendrive komputer się desynchronizuje czyszcząc zainstalowane aplikacje, (wraz z wpisami do rejestru), oraz nasze dane. Pokazuje to przykładowa demonstracja.

Oczywistym problemem jest zaufanie stacji, na której się pracuje, więc rozwiązanie to nie może służyć osobom, których praca wiąże się z bezpieczeństwem i zabezpieczeniami, niemniej jest to rozwiązanie ciekawe i na pewno krok w dobrą stronę. Jeśli będę posiadał nadmiar gotówki to może sobie takie coś sprawię? A przynajmniej fajnie by było przetestować…

Na moim systemie, na dysku systemowym, procent wolnego miejsca spadł poniżej progu akceptowalności. Oczywiście trzeba było zwolnić tyle miejsca ile to miało sens. Dotychczasowe metody - przekierowane Documents and Settings, aplikacje instalowane w innych ścieżkach, przestały już wystarczać. Nadszedł czas na katalogi z serii %systemroot%!

Typowymi zawalikatalogami są ServicePackFiles, zawierający, zaktualizowane przez instalację niezintegrowanego Service Pack, wersje plików systemowych używane np. przez ochronę systemu plików Windows. Ponadto jest tam dość duży Driver Cache, zawierający to co mówi sama nazwa, czyli kopię plików sterowników. Najprościej jest oczywiście skasować zawartość obydwu katalogów i mieć problem z głowy… tyle, że przy instalacji/reinstalacji usług czy też dodawaniu urządeń pojawią się problemy.

Rozwiązaniem tej sytuacji jest grzebanie w rejestrze (Standardowy disclaimer, o tym, że grzebanie jest trudne i niezalecane, i że zrobię to za 80zł/h + dojazd ). W zasadzie wystarczy wyedytować klucz HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup, a dokładniej zmienić wartości ServicePackSourcePath, ServicePackCachePath oraz DriverCachePath ustalając nowe, wskazujące na przemieszczone katalogi.

Ponadto pozostaje sprawa dllcache wykorzystwanego przez WFP. Tu, bez wyłączenia SPF osiągalnego poprzez edycję klucza HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Winlogon\SFCDisable i wartość 0xffffff9d, dużo nie zdziałamy - możemy za to ograniczyć wielkośc katalogu dllcache. Uczynimy to znów za pomocą edycji rejestru, (jakież azskoczenie) - a dokładniej opcji HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Winlogon\SFCQuota, wyrażonej w megabajtach. Żeby przekierować katalog dllcache, istnieje niby opcja HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Winlogon\SFCDllCacheDir, typ regexp string… ale to już niezalecany hack.

Po tytule widać, jak świat IT lubuje się w TLA, (nie chodzi mi tu o domeny). Niemniej nie o tym tu mowa. Otóż dowiedziałem się o ciekawych adresach RSS - głównie dotyczących Small Business Server, chociaż nie tylko. Poniżej kilka z nich:

RSS
• KB SBS 2003
• KB SBS 2000
• KB Exchange 2003
• Most Popular Developer Downloads

A może znacie jeszcze jakieś?

Standardowo pisane skrypty PHP nie zaczynają linii kodu od @ wyłaczającej drukowanie błędów w kodzie HTML. Standardowo za to serwery PHP konfigurowane są tak, żeby takie błędy w kodzie strony pokazywać. Standardowo aplikacje PHP, nawet te dokonujące zmian konfiguracyjnych w .htaccess też nie dopisują odpowiednich dyrektyw mogących to zmienić. Ba! Nie dają nawet takiej opcji, (sidenote: trzeba by zgłosić taki feature request).

Czym właściwie coś takiego grozi? Cóż - to już zależy od tego, co jest zaimplementowane w kodzie. W wypadku wordpressa wypluwa zapytania SQL, (swoją drogą - całe mnóstwo, ale o tym już pisałem w jednej z poprzednich notek, tag wordpress, sql) a także np. ścieżkę, gdzie znajdują się fizycznie w danej konfiguracji serwera niektóre pliki. Źle napisana aplikacja/plugin potrafi zwrócić dużo więcej informacji, (np zapytanie mające w sobie hasło albo inne wrażliwe informacje.

Jak sobie z tym radzić? W zasadzie warte uwagi jest w tym zakresie kilka dyrektyw. W php.ini możemy umieścić:

Pierwsza linia wyłączy wyświetlanie błędów. Ponieważ jednak nawet na maszynie produkcyjnej warto zauwazyć, czy coś się nie psuje, druga linia włącza logowanie na zewnątrz, zaś trzecia dokładnie określa cel, do którego zdarzenia mają się logować. Celem nie musi być plik - może to być syslog, czyli albo log systemowy Linuxa albo Event Log
Dla administratorów, którzy nie mogą niestety wyłączyć tej funkcjonalności na poziomie całego serwisu, proponuję w konfiguracji Virtual Host albo w .htaccess następujące zapisy:

Oczywiście innym problemem jest wyświetlanie użytkownikowi informacji o tym, że błąd nastapił, co zazwyczaj, szczególnie jesli kaleczy to funkcjonalność serwisu w sposób znaczący. Powinny być to jednak przypadki zdefiniowane, (nawet niezdefiniowane w wypadku dodania handlera ogólnego uznaję za zdefiniowane) i obsłużone komunikatem błędu czytelnym dla użytkownika a bezpiecznym dla systemu. Ten temat w całosci jednak pozostawię developerom

Do poczytania: Error Handling and Logging Functions.

Ja tu piszę o zbieraniu informacji, słuchaniu sieci, analizie danych, i innych technicznych sposobach wchodzenia do sieci, a tu The Register podał za Infosecurity, że 81% osób jest w stanie za tabliczkę czekolady oddać dane osobowe, które mogą, przy odrobinie szczęścia, umożliwić podszycie się pod daną osobę lub ułatwić włamanie do firmy, w której ona pracuje.

Read more »

W kilku poprzednich postach zdałem relację z twydarzenia, które miało miejsce w hotelu Gromada w Warszawie. Nie napisałem o jednym, bo to dziś już oczywistość, o bezprzewodowym internecie. 4AP na piętro, nienajgorsza przepustowość, sieć oczywiście niezabezpieczona - bo i tak przecież każdy musiałby dostać klucz…

No właśnie - w takim tłumie, gdzie już lekko licząc na 1000 osób uczestniczących w konferencji, circa 8% miało przenośne urządzenia wyposażone w urządzenie nadawczo-odbiorcze, zabezpieczenie stacji roboczej wyjętej z firmowej sieci gdzieś zaginęło. Słuchałem sobie sieci pisząc notki, około 4 razy dziennie, w sesjach 3-6 minut, zmieniając APki. Cóż ciekawego można było podłuchać?
Pierwszym grzechem, choć już zdecydowanie mniej powszechnym niż nie tak dawno było używanie wysyłania i odbierania poczty przesyłając hasło otwartym tekstem. Albo kodowane odbieranie… przy czym przy SMTP brak TLS No tak - to jest oczywistość. Analiza HTTP też okazała się ciekawa - praktycznie rzecz biorąc miałem ciasteczka autoryzujące tu i ówdzie, dane z formularzy… Znalazłem także SBSy postawione w Polsce, na stałych i dynamicznych IP.
Inną ciekawostką było przyjrzenie się paru danym broadcastowym - nie ukrywam, tu sam siałem dośc mocno, niemniej można było posłuchać jakie są schematy nazewnictwa w sieciach, kto uzywa proxy, jaki jest w danej sieci DC i jaki jest schemat adresacji wewnętrznej. Teraz tylko firewalking i można naprawdę zrobić kilka brzydkich rzeczy… A przynajmniej miec pewną fazę analizy wrogiej sieci za sobą.

Co więc robić, żeby nie było tak brzydko? Cóż - po pierwsze szyfrować te rzeczy, które sa wrażliwe - strony logowania, formularze zawierające dane prywatne, pocztę. Po drugie - jeśli nie chcemy, żeby ktoś widział jakie rzeczy odwiedzamy pracując zdalnie, to warto zastanowić się nad postawieniem tunelu. Wiem, że to spowalnia zazwyczaj transfer, ale naprawdę wzmacnia bezpieczeństwo… o ile nikt nie dorwie się fizycznie do włączonego laptopa. Cóż, każdy kij ma dwa końce, ale i możliwości tworzenia VPN dla telepracowników też jest wiele. Ostatnie i w sumie najmniej ważne - dobry firewall. Wyłączony broadcast, wyłączone udostępniania, jeśli nie ma tuneli, to zablokowane wyszukiwanie komputerów będących w sieci wewnętrznej, wyłączenie autoproxy…

Oczywiście wszystko zależy od tego, jak daleko w stronę paranoi możemy pójść… Normalnie powiedziałbym, że niedaleko, w końcu niestety usability stoi zazwyczaj w sprzeczności ze słowem safety. Niemniej ta grupa docelowa, Ci użytkownicy, posiadający szersze uprawnienia - dla nas nie ma wytłumaczenia. Bo jak to wygląda, jak atak na sieć zaczyna się od komputera admina?

Ponieważ moje “wspaniałe” łącze powoli się coraz bardziej wysyca, a operator internetowy jest niechętny zmianie na ine tłumacząc to brakiem możliwości technicznych, zmuszony zostałem do zaktualizowania adresu feeda i wykorzystania feedburnera. Proszę o aktualizację adresu.
Ponoć feedburner ma rozbudowane możliwości analityki ruchu na feedzie - czasem się może tego dowiem, a na razie zauważalnym minusem zmiany jest niestety struktura permalinks, która uległa przebudowie.

Nie ukrywam, że wynikło to z powodu problemów z wordpress. Nie rozumiem, dlaczego z jednej strony permalinks działały, (custom), a jednocześnie .htaccess był pusty? I to pomimo restartów apache, (sprawdzałem lsof, że apache wcale nie czyta tego pliku, ale najmniej spodziewane rzeczy czasem pomagają…). Najprawdopodobniej zawinił mechanizm cache wbudowany w wordpressa 2.x. Taaak, ciekawe co ten ambitny cache jeszcze potrafi popsuć? Niemniej struktura permalinks od dziś pozostanie bez zmian (ten index.php w adresie nigdy mi się nie podobał i nie pamiętam czemu go tam zostawiłem…).

Za wszelkie utrudnienia w odbiorze redakcja bloga przeprasza i życzy dalszej miłej lektury.

Ktoś, zapytał w swoim blogu kim właściwie jest specjalista IT. Pytanie takie, na jakby nie było blogu pod takim wezwaniem nie może pozostać bez echa!
Specjalista IT w typowej polskiej firmie, to taki “Pan Zenon Złota Rączka” pracujący na pojedyńczym stanowisku w małym/średnim przedsiębiorstwie. W firmie, gdzie IT ma rolę służebną, gdzie jedna osoba musi spełniać za wiele ról i znać za wiele technologii, (niestety, często zbyt pobieżnie).
Osoba, które nie może wpisac sobie na raz: administrator systemu (bo jakiś serwer czy inna infrastruktura, nawet na zewnątrz); serwisant (bo komputery maja tendencję do psucia się. Ponoć same); help desk (bo pani Hania ma problem z komputerem…); kierownik IT (bo trzeba pomagać wytyczac kierunki, gdzie informatyka może pomóc firmie i przysporzyć jej oszczędności), mały programista, który oskryptuje coś dla firmy na szybko, potworzy bardziej zaawansowane arkusze, coś doda do sharepointa; administrator baz danych, zajmujący się zgodnie z dyrektywą ochroną informacji niejawnej; opiekun aplikacji i pierwsz instancja do dostania po tyłku gdy coś z nimi idzie nie tak i wiele wiele innych ról…

Tak - jestem specjalistą IT.

Rafał Łukawiecki w pierwszej sesji drugiego dnia na MSS 2006 opowiadał o Windows Vista. A szczególnie o nowościach, które są w tym systemie i dają ogromną wartość dodaną, która po prostu zmusi nas, IT Specialists do nacisków na zarząd w celu zmiany systemu. Dlaczego w notce o MSS 2006 nazwałem wymienione przez Rafała nowości ciekawostkami wymuszonymi?

Read more »

Dzień drugi Microsoft Security Summit rozpoczął się możliwością wyboru - dwie sale, w każdej po 4 sesje. Innymi słowy 16 możliwości. Moja ścieżka na ten dzień przewiduje zapoznanie się z systemem Vista, posłuchanie ciekawostek o wdrożeniu PKI w Polkomtel S.A., Implementację zabezpieczeń w sieci WiFi… lub poznanie Antigena. Na sam koniec zostawiłem sobie Microsoft Exchange, które niechcący zamieniłem na RMS.

Read more »

W cyklu imprez sponsorowanych przez Microsoft pojawiła się ciekawa propozycja, pokazująca zmieniające się nastawienie tej firmy do bezpieczeństwa - Microsoft Security Summit. Konferencja skierowana głównie do specjalistów IT, chociaż także ciut do developerów. W zasadzie pierwszy dzień powinien być także dla developerów, ze względu na dość holistyczne przedstawienie kwestii bezpieczeństwa. Właśnie - holistyczne, bo głównym i jedynym prelegentem pierwszego dnia był autor znanych showcastów “Holistic security” - Rafał Łukawiecki.

Read more »

W swoim blogu Susan Bradley napisała krótki tekst wyjaśniający, których jej zdaniem kreatorów należy używać korzystając ze Small Business Server. Chociaż mając przyjemność kontaktu z 2k3 server nie cierpię używać wszelkich kreatorów, to jednak ze względu na upakowanie wielu elementów, które zazwyczaj, na dużym pudełku konfiguruje się niezależnie, (a raczej wręcza na kilku pudełkach…), to co proponuje wydaje się być dość sensowne: kreator zmiany IP, który automagicznie poprawi wpisy exchange, ISA (to mi się średnio podoba) i SQL server; kreator tworzenia połączenia, który wstępnie ustali polisy na serwer exchange oraz masę innych cudów; no i kreator instalacji, który doda wszystko co mu jest potrzebne… Swoją drogą to odnośnie tego ostatniego - w sumie nie testowałem jeszcze mocnej customizacji instalacji - czyżby były z nią takie problemy jak z rolą kontrolerów domen w NT4? (dla nie-dinozaurów: w NT4 promocja do roli PDC/BDC odbywała się w trakcie instalacji. Po tym fakcie zmiana roli serwera bez reinstalacji była niemożliwa… Niemożliwe wydaje się, prawda?)
Z ciekawostek zaskoczyło mnie, iż SBS domyślnie pozostawia użytkownikom uprawnienia lokalnego admina na stacji roboczej. Może jestem faszystą, ale to chyba jakieś nieporozumienie?

Wordpress domyślnie publikuje posty korzystając w szablonach z opcji pokazujących datę jedynie w pierwszym, (najświeższym, pierwszym w loopie), poście z danego dnia. Niestety, aktualnie używany przeze mnie szablon artsmerging nie za bardzo korzysta z tego ficzera. Ba, jego działanie wywołało u mnie znak zapytania - dlaczego właściwie tak się dzieje.

Odpowiedź i fix są jednak bardzo brzydkie - wyłączają w stronach korzystających z własnoręcznie zmodyfikowanego szablonu formatowanie daty skonfigurowane w opcjach ogólnych, ergo opcję używania wieluszablonów jednocześnie.
Jak brzmi rozwiązanie? Otóż jest banalnie proste w swojej brzydocie - należy usunąć pole the_date() z loopa, zaś wykorzystywane formatowanie wprowadzić w pole the_time(). Działa to z oczywistego powodu, iż obie funkcje tak naprawdę maskują funkcje PHP obrabiającą timestamp - date. Ciekawe czy Wordpress zamieści opcję w konfigu pozwalającą na zmianę tego zachowania?