AgiBlok

31.1.05
  Klíče od auta v alobalu


Přesně tak by se mohli zachovat někteří majitelé vozů Ford, Toyota nebo Nissan, až se dočtou o prolomení kódu RFID čipu, který je schovaný v klíčcích s imobilizérem. Ono to spíš vypadá na boj mezi Texas Instruments a konkurencí z RSA Laboratories, která financovala výzkumný tým na Johns Hopkins University. Těch vozů, které mají v klíči RFID čip se slabinou jezdí údajně po světě 150 miliónů. Uvnitř těch automobilů je čtečka v imobolizéru, která čeká na svůj klíč. Pro profesionální zloděje není sériový imobilizér velkou překážkou. Vyžaduje to ale jistý čas. Kolem a kolem je to jen zpochybnění bezkontaktní čipové technologie firmy Texas Instruments. Stejnými čipy se může platit v USA u čerpacích stanic. Takových bazmeků je na 6 miliónů.
 
28.1.05
  MySQL Bot


Ten, kdo používá databázi MySQL MS Windows na stroji, který je vystaven přímo do internetu, měl by zabrousit na stránky SANS institutu. Účet jménem "root", má-li slabé nebo žádné heslo, může pomoct novému internetovému červu změnit počítač na zombie. Základní příčinou je tedy slabé heslo. Jestliže je heslo snadno odhadnutelné, může vás ochránit dobře nastavený firewall. Možná si všimnete aktivity na portu 3306.

Po celém světě se nachází více jak pět miliónů instalací MySQL. Živnou půdou pro červa jsou jen ty na Windows. Linux/Unix jako základ pro populární LAMP skládačku je proti této potvoře imunní. Počítám, že SQL Slammera nepřekoná.
 
26.1.05
  Od Netbanky k páté větě na straně dvacet tři


Včera jsem zaznamenal od několika počítačově zběhlých autorit nářky nad internetovým bankovnictvím Živnostenské banky. Jestliže bojují s certifikáty u Marigoldů a ve výzkumném ústavu čarují a kouzlí, potom není divu, že tento skvost on-line bankovnictví byl Geeklandií pasován na software roku.

Programátoři v BSC a jejich GEMINI, na kterém je Netbanka postavena, se klientům Živnostenské banky vzdalují kosmickou rychlostí.

Kamojedov uzavřel v dubnu loňského roku lapálie s Netbankou pátou větou na straně dvacet tři. A tak skončím i já dnes. O Šustovi povedal T.G.M., že z našich historikov má nesporne najväčší svetový rozhľad. Anna Gašparíková-Horáková, U Masarykovcov (Spomienky osobnej archivárky T.G. Masaryka)
 
24.1.05
  Změna PINu platební karty


Je to bezpečné? Ve Velké Británii v lednu odstartovala pro kreditní karty postupná obměna z magnetického proužku na čip. Nejen u bankomatů, ale i při platbě v obchodě bude nutno zadat PIN místo dřívější praxe podpisu účtenky. Ve Francii už jsou na čipy zvyklí. Tam začali s přechodem před více jak 10 lety. Angličani mají jednu vychytávku. Možnost změny PINu, tedy čtyřmístného číselného kódu. Ta možnost není vůbec špatná, kdyby... Kdyby nebyly inzeráty tohoto druhu, ve kterých radí změnit si PIN na něco, co si dobře pamatujeme, například na datum narození.

Nebezpečí číhá též v tom, že čipové karty nejsou čistě čipové, ale jsou hybridní. Mají totiž kvůli zpětné kompatibilitě i magnetický proužek. Na tom by se různí podvodníci mohli přiživit. Krátce řečeno. Čipové karty jsou bezpečné. Pro banky. Mohou být ale za určitých okolností nebezpečné. Pro klienty, kteří jsou náchylní podlehnout různým druhům sociotechnik.
 
18.1.05
  Večeře s produktovou manažerkou Googlu


To bych si dal líbit. Marissa Mayerová je v Googlu od roku 1999. Byla u mnohého, co se objevilo během let minulých v uživatelském rozhraní vyhledávače. Jestli ona není i za patentem zvýraznění výsledků? To by u mě měla jedno malé mínus. On se jí tam na ty patenty skutečně někdo zeptal. Odpověď byla prý vyhýbavá. Ale k té večeři. Nebyla to večeře ve dvou. Ta večeře byla jen úvodem zajímavého povídání o filosofii, o zkušenostech při vývoji uživatelského rozhraní. Její prezentace je k dispozici i ve strukturované podobě. Je zajímavé, že málokdo používá tlačítko I'm Feeling Lucky. Většina uživatelů Googlu ani neví k čemu je, ale nechtějí, aby bylo odstraněno.
 
  Ministr pro vnitřní bezpečnost na výletě po Evropě


Tom Ridge, který je ještě šéfem amerického úřadu pro bezpečenost vlasti, byl minulý týden na návštěvě v několika zemích Evropy. Připravuje půdu pro svého následníka. Toho si v těchto týdnech vybírá prezident George Bush. Samotné ministerstvo vzniklo po 11. září 2001 a má za úkol bránit teroristům celého světa vstoupit na území USA. To ministerstvo má minimálně 170 tisíc úředníků. Všichni ti úředníci mají v rukou zákon. Tím zákonem je PATRIOT Act.

Zpátky k evropské cestě Toma Ridgeho. Při cestě navštívil nizozemskou ministryni pro integraci a imigraci. Na amsterodamském mezinárodním letišti Schiphol mu ukázali identifikační systém, který provozují od roku 2001. Jak je vidět na fotce, jedná se o identifikaci na základě rozpoznávání oční duhovky. Sejmutá data jsou nahrána na čipovou kartu. Majitelům karty je po zaplacení 100 eur umožněno předbíhat při odbavovacích kontrolách na letišti. Taktéž mají zaručena prioritní parkovací místa pro svoje automobily, ze kterých převalí svoje těla do útrob letadel a zpět. Doufám, že čipová karta slouží k verifikaci. To znamená, že se pouze ověří, zda držitel karty je ten, čí oko zírá na senzor.

Ministrovi přes americkou vnitřní bezpečnost se to tak líbilo, že by něco podobného rád viděl i na letištích, přístavech a hraničních přechodech v celých Státech. Velká letiště jako je newyorské JFK umožní průchod cestujících na mrknutí oka možná brzy. Je tu ale dvojí možný vývoj.

Bude tu mnoho různých identifikačních systémů vyvinutých v různých zemích světa. Budou tu kontaktní i bezkontaktní čipy, bude se snímat a ukládat fotka, dva nebo deset otisků prstů, duhovka nebo sítnice. Prostě mnoho Velkých Bratrů.

Nebo tu bude univerzální ID systém pro verifikaci, který bude řídit přístup přes hranice, do vládních budov a chránit kritickou infrastrukturu, dopravní systémy. Prostě Big Brother.
 
12.1.05
  Doktor Ping a pan TCP v IP světě


packet V roce 1999 se partička tří šikovných lidí ve firmě Ericsson jala uskutečnit nápad Thomase Stephansona. Původní myšlenkou bylo přiblížit lidem z oboru telekomunikací minulého století, jak to chodí v Internetu. To se jim povedlo skvostně. Pravda, je to hodně zjednodušené - ale to provedení. S animovaným, necelých 13 minut trvajícím filmem se jim zdařilo vyhrát první cenu The Pirelli Internetional Award.

Proč Pirelli? Já jsem znal tuto italskou firmu jako výrobce pneumatik. Oni ale mají také na svědomí kabely a optická vlákna, která jsou určena pro svět informačních a komunikačních technologií. Autoři filmu už nepracují u Ericssonů. Ericsson se kamarádí se Sony a IP pakety čím dál víc putují od počítačů k počítačům mimo kabely.

Máte-li dost trpělivosti nebo rychlé sosáky na internetových přípojkách, stahujte legálně 121MB ve vysoké kvalitě nebo 73MB v dobré kvalitě. Díky Jindřichu Michalovi existují i české titulky. Ke stažení je také soundtrack. Nakonec můžete vytvořit pěkný dárek ve formě vypáleného CD. Grafický obal je k dispozici.
 
8.1.05
  Password Aging


Je začátek roku. Zamysleme se, jak stará hesla používáme. Kolik z nás si nemůže vzpomenout, kdy jsme si je naposledy změnili. Pokud změnu po nás tvrdě vyžaduje systém, máme po starosti jen zdánlivě. Musíme si tvořivě vymyslet heslo nové.

Hesla jsou jako spodní prádlo... Často je měňte.
Hesla jsou jako spodní prádlo... Nenechávejte je pohozena kolem sebe.
Hesla jsou jako spodní prádlo... Nesdílejte je se svými přáteli.
Hesla jsou jako spodní prádlo... Skrývají tajemství.
Hesla jsou jako spodní prádlo... Čím delší, tím lepší.

Poznámka: Výše uvedená pravidla byla součástí bezpečnostní informační kampaně, kterou provedlo IT oddělení na Michiganské univerzitě. Já jsem to objevil na security diáři lidí ze SANS.
 
7.1.05
  Vysvětlení k předchozímu zápisku


Stalo se vám někdy, že jste natrefili na zajímavý zdroj na internetu a chtěli jste poslat odkaz e-mailem? Adresát, nepříliš zběhlý Běžný Franta Uživatel, zkráceně BFU, vás později informoval, že se na ten link nedostal. Předchozí větu berte bez urážky. On ten odkaz byl totiž dlooouhý, a tak došlo k zalomení na konci řádku nebo se do něj někde vloudila nenápadná%20mezera.

Službu tinyurl lze využít pro různé účely. Třeba poslat link tinyurl.com/4coho prostřednictvím sms. Ne každý má dnes chytrý mobil;) Existuje varianta s javascriptem. Nakonec, můžete si to sami hned vyzkoušet.
Enter a long URL to make tiny:
 
  Kratky link - tinyurl.com
Kdyz posilam odkaz na konkretni webovou adresu esemeskou, hodi se mi sluzba tinyurl.com (sent via sms)
 
4.1.05
  Slunce zapadá za Passportem


V roce 1998 koupil Microsoft firmičku Firefly. Důvod? Produkt pro správu identit, autentizační proces pro přihlašování do různých systémů. Jméno toho produktu? Passport. Microsoft měl velké plány, mluvilo se o univerzálním vrátném ve světě internetu. Nyní tuto technologii opouští poslední spojenec v této oblasti - aukční server eBay.

Na konci ledna budou používat Passport hlavně uživatelé webmailové služby Hotmail a těch je téměř 200 miliónů, potom zákazníci MSN, blogeři na Spaces a některé další služby pod deštníkem Microsoft. Proklamovaná řada serverů v adresáři nepřibývá, neboť byl samotný adresář zrušen. Problémy s rozšířením má Passport už několik roků. V březnu 2003 byla ukončena služba rychlého nákupu. Služba měla několik bezpečnostních slabých chvilek a nakonec neodolala všeobecné averzi vůči centralizované autentizační autoritě.

Projekt Liberty Alliance Passport není zcela mrtev, bude ale nadále uzavřen v microsoftím světě. Možná se bude dál vyvíjet. Možná se vizionáři z Redmondu připojí ke konkurenční Liberty Alliance. Tento projekt zatím nemá příliš viditelných výsledků, ale bohdá vyjde slunce nad federativní síťovou identitou. Kupříkladu SAML je nadějný pokus. Je to vlastně XML standard pro výměnu autentizačních a autorizačních dat mezi bezpečnostními systémy. Spolupráce takových firem jako je Sun, IBM, Entrust, RSA, Novell, Open Source komunity a - světe div se - Microsoftu, by v této oblasti mohla být představitelná.
 
<<<<<<< Víceméně pravidelné zápisky o řízení identity občas prokládané zmínkami o kořenech našince jako jsou: jhv > jinan > jin > jer > jantar > jang >


Jméno: Co je po jménu. I jinak zváno, vypadalo by stejně.
Domov: Prague, Bohemia, Czechia

Romantik bez iluzí. To jsem já. Kafka & Hašek & Forman & Kryl & Bach & Dylan & Gabriel & Edison & Kolben. To jsou osobnosti. Z jedné každé mám v sobě střípek.
Tyto zápisky pochází z internetu. Jejich původce může nebo nemusí být tím, za koho se vydává a informace obsažené na této stránce a v případných diskuzních příspěvcích mohou nebo nemusí být přesné.
Pozři na celý profil

Předchozí zápisky
Žebříček technologických mistrů
Skrytý půvab evoluce
Penetrační testy aneb interní hacking
Indičtí defraudanti v Citibank
Dynamický a akční Gmail
Gross bude balit svých 5 švestek
Rybaříci se blíží k modré zátoce
Vlastimil Klíma pohřbívá MD5
Keylogger - tentokrát malý hardware
Porovnání SUSE Linux a Mandrakelinux

Archiv
září 2004 / října 2004 / listopadu 2004 / prosince 2004 / ledna 2005 / února 2005 / března 2005 / dubna 2005 / května 2005 /

Info, zprávy, přehledy
Co se děje ve světě?
Co se děje u nás
Přehled tisku
NEprehled.netE
Lupa
Root
Mozek
Wikipedia česká?
Novinky ze světa kryptologie
SANS diary
Wikipedia original
Slashdot /.

Kam často chodí­m
blogportál
aKB@large
Festival super mall
Laco bloguje
Marigold
Pooh (security)
Neviditelný pes
Viditelný Macek
WELL.DONE





Weblog Commenting and Trackback by HaloScan.com



NAVRCHOLU.cz



TOPlist

Powered by Blogger

Creative Commons License