Wiedza serwerów www o Twoim komputerze
31 Marzec 2007
Przypadkiem natrafiłem na stronę, która pokazała mi mój adres IP, wraz z nazwą hosta i danymi przeglądarki z jakiej korzystam. Nie zaskoczyło mnie, że zapytanie o user-browser zwraca dużo danych, zaskoczyło mnie – jak to jest dużo!
Oto co zobaczyłem:
Browser: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506; Tablet PC 2.0; InfoPath.2; .NET CLR 1.1.4322)
Po kolei: korzystam z IE7, na Windows Vista z zainstalowanymi .Net Framework w wersjach: 1.1, 2.0, 3.0, mam Media Center 5.0 (składnik Vista Ultimate), mój komputer to Tablet PC i mam zainstalowany InfoPath. To bardzo dużo danych i bardzo dużo niebezpiecznych danych. Oczami wyobraźni widzę strony www, które dostosowywują zagrożenia dla komputerów swoich gości na podstawie tego co można wyczytać z user-browser.
Przekonajcie się sami, co serwery www wiedzą o Waszych przeglądarkach i systemach.
Zapomnij o anonimowości
29 Marzec 2007
Dzisiaj przekonałem się jak mało Internet ma wspólnego z anonimowością. Postanowiłem znaleźć starego znajomego, wiedziałem jakiej kiedyś używał ksywki i na tym de facto kończyła się moja znajomość jego obecności w sieci. Na jego nieszczęście, była to bardzo unikatowa ksywka.
Po godzinie szukania wiedziałem jaki miał samochodów w 2005, bo chwalił się wynikami spalania paliwa na forum maniaków samochodowych, znalazłem wszystkie jego profile na wszystkich serwisach randkowych (nie wszędzie używał tego samego pseudonimu, ale udało mi się znaleźć punkty wspólne), poznałem kilka jego adresów emailowych – poprzez serwisy randkowe i komunikatory IM, kilka jego ostatnich adresów IP, łącząc kilka danych zebranych w czasie tej godziny i szukając dalej poznałem jego adres domowy, numer telefonu, i numer … PPS (w Irlandii to coś jak numer PESEL w Polsce, używany przy rozliczeniach z urzędami skarbowymi, ubezpieczalniami, etc; należy go chronić i nie udostępniać osobom trzecim). Znalazłem jego CV, poznałem imię jego dziecka.
Na tym zakończyłem poszukiwania bo nie chciałem znać więcej szczegółów.
Wszystko co zebrałem było poniekąd dobrowolnie udostępnione przez mojego znajomego.
A teraz zastanów się przez chwilkę Drogi Czytelniku: na ilu forach, na które logujesz się ksywką, których używasz jeszcze w innych miejscach piszesz o rzeczach, które mogą pomóc cię zidentyfikować w realnym świecie? Ile serwisów, które odwiedzasz udostępnia logi serwera http (a w stringu URL akurat jest Twój nick)? Na ilu serwisach ofert pracy zostawiłeś swoje CV? Na ilu serwisach randkowych/wspólnotowych używasz tego samego emaila? A teraz zastanów się jaka jest szansa, że prawie wszystko to można znaleźć poprzez zasoby udostępniane na google.com? A czy przypadkiem nie rozmawiałeś na czacie, GG, Skype, IRC czy temu podobnym z jakąś blond 21-latką, której opowiedziałeś to i owo? Socjotechnika to potężna broń …
To nie Redmond…
25 Marzec 2007
Jeśli kiedyś zastanawialiście się czy ktoś z Microsoftu odwiedza Wasze strony i szukaliście Redmond w statystykach jako miejsca skąd mógłby pochodzić czytelnik, jesteście w błędzie. Nazwa, której powinniście szukać to Bellevue. Redmond, gdzie znajdują się prawie wszystkie budynki campusu znajduje się na mapie nieco nad Bellevue. Nie będę wdawał się w szczegóły techniczne sieci, to zbyt skomplikowane.
Kiedyś rozmawiałem ze znajomą, która pracuje w tym samym zespole co ja, tyle że w Redmond, na temat ich dojazdów do pracy. Kiedy powiedziałem jej, że dojeżdzam bez korków w 10 minut do biura, nie mogła uwierzyć jak można tak blisko firmy mieszkać. Sama dojeżdza codziennie 40 mil, co zajmuje jej czasami nawet do 1.5 godziny. Inny znajomy też nie ma bliżej – 60 mil. Biedron na swoim blogu całkiem fajnie opisał jak wygląda typowe amerykańskie commuting, tyle że w San Francisco. W Redmond dochodzi jeszcze czynnik pogodowy i reakcje ludzi podobne do tych, które już znam z Dublina – niewielka ilość śniegu i mała gołoledź – transport praktycznie stoi, zamykane są szkoły a telewizje nadają 24-godzinny przekaz z 5-cio pasmowych autostrad. W Irlandii jedynie to pierwsze ma miejsce, bo o 5-cio pasmówkach można tylko pomarzyć.
Ilu potrzeba by wkręcić żarówkę?
25 Marzec 2007
- Ilu PM‘ów potrzeba by wkręcić żarówkę?
- trzech – jeden do wkręcenia, drugi do zmiany żarówki, trzeci do ponownej zmiany żarówki
- Ilu programistów potrzeba do wkręcenia żarówki?
- pięciu – jeden do wkręcenia i czterech do przemodelowania systemu elektrycznego
- Ilu tech-bloggerów potrzeba do wkręcenia żarówki?
- siedmiu: jeden do napisania o tym bloga, dwóch do blogowania o tym blogu i czterech, którzy będą blogować o blogowaniu
Zastrzeżenie: z powyższego nie wynika wcale, że PM wykonują swoją pracę najbardziej efektywnie!
Programowanie vending machine
25 Marzec 2007
Nie wiem kto programuje te maszyny, szczególnie te, które stoją w budynku Atrium w Sandyford w Dublinie – w budynku Microsoftu, ale najwyraźniej nie jest najlepszym programistą.
Powód? Maszynka wita nas komunikatem: Out of cups, insert mug. Wszystko OK – maszyna sama kubków nie ma, więc trzeba podstawić własny. Na zakończenie informuje: Please take your cup. Czyli wynika z tego, że mój mug nagle stał się cup ?! WTF?!
Programista nie patrząc na dane wejściowe (out of cups) zaprogramował wyświetlanie takiego samego komunikatu (take your cup). Eh, logika poszła w las.
A dlaczego piszę to w niedzielę o 08:50 nad ranem? Słówka kluczowe powinny być podpowiedzią: projekt, Infopath, zaległy, zmiana czasu, farma serwerów, Sharepoint, terminy, kalendarz, goście z USA i powód wizyty vending machine: kawa.
A pisząc już o vending machines … jaki jest polski odpowiednik nazwy “vending machine”?
Shutdown Day
25 Marzec 2007
Nie zauważyłem ani głośnej promocji ani dużej ilości postów na blogsferze dot. dnia bez komputera – Shutdown Day. Po prostu przeszło ot tak sobie, bez oddźwięku.
W imię walki o zmniejszenie zużycia energii pochłanianej przez komputery co rzekomo prowadzi pośrednio do efektu cieplarnianego, w imię walki z nałogiem, który staje się coraz większym i większym problemem, oświadczam, że ignoruję wszelkie tego typu inicjatywy, mało tego – będę je zwalczał jako swoistą schizofrenię!
Komputer w 2007 roku zainstalowany jest już wszędzie: w TV, pralce, samochodzie, komórce, aparacie fotograficznym, w biurach czuwa nad klimatyzacją, pod wpływem pętli indykcyjnych zmienia światła na skrzyżowaniach. Zaryzykujemy i wyłączymy wszystkie?
A może po prostu określimy komputer jako urządzenie zdolne do uruchomienia systemu operacyjnego na kształt Windows, Linux czy MacOS? W takim razie też nie przyłączę się do tej manifestacji, bo mój NAS działa przez 24/h i tak ma pozostać. A komputer jest dla mnie tak oczywisty jak bieżący dostęp do wody, gazu, prądu. Zaryzykuję porównanie PC do powietrza. Ja nie jestem w stanie bez tego przeżyć …
Amen
Czy to spam czy jawa?
23 Marzec 2007
Dostaję codziennie najprzeróżniejsze wiadomości email. Skrzynek pocztowych mam łącznie 6, staram się zachowywać porządek w tym komu jaką skrzynkę podaję, przez co wiem, czego mogę się w każdej z nich spodziewać. Mam też pewność, że adres, który podaję najczęściej jest dobrze chroniony przez systemy antyspamowe.
Dziś jednak dostałem niespodziankę. Email przyszedł z University of California, Berkeley. Był skierowany do … absolwentów i przyjaciół uniwersytetu. Czy to spam czy jawa? Uczestniczę w programie Seti@Home, który jest przecież administrowany przez UC Berkeley, byłem także w LA, ale na innym uniwesytecie (UCLA) ale tylko po to by kupić sobie koszulkę z napisem UCLA, ale czy to wystarczy by zostać przyjacielem innej, też kalifornijskiej uczelni? Nie podejrzewam się o status absolwenta, chyba że coś przeoczyłem …
A skoro już o USA mowa, oto jedno z moich starych zdjęć z Chicago. Odgrzebane i odkurzone, potraktowane w PS z całkiem niezłym końcowym efektem.
Nowa forma ataku: drive-by pharming
22 Marzec 2007
Sid Stamm, Zulfikar Ramzan i Markus Jakobsson wymyślili nowy, sprytny sposób wykorzystania niezabezpieczonych domowych routerów sieci bezprzewodowych. Metoda polega na przekierowaniu ruchu DNS domowego routera na własny serwer DNS. Później tylko wyobraźnia jest granicą…
Problemem jest jedynie złamanie hasła w routerze. Jak się jednak okazuje, bardzo duża część użytkowników nie zmienia pre-definiowanych haseł, a także nie zabezpiecza swojej sieci choćby poprzez wykorzystanie najprostszego do złamania WEP. Cisco potwierdza, że 77 routerów ich produkcji może być użytych do tej formy ataku. Nie trzeba być specjalistą, by od razu wymienić inne firmy, których produkty będą równie podatne.
Wykorzystując tą metodę łącznie z łamaniem WEP (packet injection, fake auth i temu podobne) “haker” siedząc w samochodzie i przemieszczając się z miejsca na miejsce jest w stanie przejąć kontrolę nad całkiem pokaźną ilość komputerów. Niedaleko stąd do tworzenia botnetów.
W jaki sposób uchronić się przed takim atakiem? Kilka rad: WPA2, zmiana hasła na routerze, może nawet update firmware i przede wszystkim świadomość działania sieci bezprzewodowych.
Literatura: [1] [2]
Źródło: Schneier on Security: Drive-By Pharming
Dyktowanie skryptu
21 Marzec 2007
Przy tym wideo uśmiałem się do łez. Z drugiej jednak strony kto przy zdrowych zmysłach próbowałby dyktować jakikolwiek skrypt używając nawet najlepszego programu do rozpoznawania mowy? To jest z góry skazane na porażkę.
MSS & Dev 2007? I'm there!
21 Marzec 2007
25 i 26 kwietnia w Warszawie odbędzie się konferencja Microsoft Security Summit & Developer Days 2007 (rejestracja do 13-tego kwietnia). W hotelu Gromada, niedaleko lotniska Okęcie przez dwa będzie można posłuchać i sprawdzić w działaniu zagadnienia bezpieczeństwa w systemie Longhorn, Forefront for Exchange i Sharepoint, zobaczyć System Center Essentials i porozmawiać w gronie programistów o trustworthy computing.
Dzisiaj okazało się, że gościem specjalnym będzie Steve Ballmer.
Zapraszam do uczestnictwa w tej konferencji, nie tylko by zobaczyć Steve’a w akcji ale też by spotkać się i porozmawiać. Przylatuję do Warszawy w kwietniu tylko i wyłącznie na konferencję. Mam nadzieję, że będę miał okazję spotkać się z innymi blogerami.
Update:
Zatrzymam się w hotelu Gromada, tym samym gdzie jest konferencja więc nie będę musiał daleko chodzić 
