|
2012-01-31 19:35
Oceń wpis
Hejo! ;-) Na prośbę moich czytelników postanowiłem kontynuować pisanie w języku ojczystym. Deklaracji częstszego pisania niestety nie będzie bo jak dotąd - od momentu zarejestrowania się tutaj w 2006 roku - średnio udawało mi się dotrzymywać słowa :-)
Nie sposób przemilczeć powołania przez Szefa MAC, Michała Boniego - "Zespołu zadaniowego ds. ochrony portali rządowych" :-) Będę ironizował kontekst niniejszego wpisu gdyż treść dokumentu mnie po prostu w niektórych fragmentach śmieszy :-) Od ok. 10 lat staram się uzmysłowić polityce w sieci, prasie i mediach, że znaczna większość portali rządowych oraz serwerów w domenie .gov.pl pisząc ładnie - pozostawia wiele do życzenia. Zawsze starałem się postępować ideologicznie w kontekście bezpieczeństwa IT, być zgodnym z zasadami i etyką; stąd też może pokazywałem tą problematykę zbyt łagodnie. Cieszy mnie zatem fakt obrotu ostatnich wydarzeń, wynikających z wpadki Rządu z ACTA, gdyż dzięki temu zainicjowano kolejne kroki mające na celu poprawienie infrastruktury informatycznej w Polsce. Niestety na podstawie doświadczenia z wcześniejszych spektakularnych inicjatyw cybernetycznych RP, a także z treści aktualnych, śmiem powątpiewać w efektywność kolejnych...
No nic, wracając do wytycznych MAC'u.
 Czemu ten trendy ostatnio, dwustronnicowy dokument mi się nie podoba? Bo już zanim doszedłem do punktów z wytycznymi zdążyłem się zdenerwować :-)
Quote 1:
 Quote 2:
 Quote 3:
 Pierwsze zdanie to stylistyczna perełka... :-) Pewnie była burza mózgów! Wynika bowiem z niej, że jednym z wyciągniętych wniosków jest "brak możliwości zapewnienia monitorowania". Zdanie to zatem świadczy o tym, że nie mogą monitorować ruchu... a mogą. Myślę, że wywalenie słowa "możliwości" ułatwiło by sprawę :-) Zrozumiano kwestię przydatności CERT o czym świadczyć może drugie zdanie. Trzeba się było słuchać ABW... Trzecie zdanie zdenerwowało mnie chyba najbardziej. Od lat zwracam na to uwagę... Przypomina mi się dialog z Koterskim z Dnia Świra, "... i wszystko to jak krew w piach" ;-) SERWERY STRON, POCZTY, PLIKÓW, SERWISY, ITD. MUSZĄ ZNAJDOWAĆ SIĘ W INFRASTRUKTURZE INFORMATYCZNEJ DANEJ PLACÓWKI PAŃSTWOWEJ.
Czemu wciąż bezmyślnie praktykuje się outsourcowanie spraw Państwa? Dlaczego dopuszcza się do sytuacji, w której można czytać sobie pocztę rządową? Finalnie - Czemu po dziesiątkach wpadek firm hostingowych w dalszym ciągu nikt nie myśli? Nie rozumiem. Nie ma pieniędzy? To nie będzie strony instytucji i poczty. Proste. Niech Rząd się martwi. A autorzy wytycznych, mają oczywiście swoją wizję :-)
Czyli znowu, zamiast pomyśleć i zrealizować infrastrukturę IT dla .gov.pl w sposób bezpieczny i profesjonalny, wymyśla się kolejne d***chrony w postaci możliwości zrzucenia odpowiedzialności na firmy hostingowe. Ręcę opadają... :-)
 Brzmi bardzo elitarnie :-) a co tak na prawdę kryje się za tym "super" pomysłem? Chcecie wyfiltrować ruch z RBLi, DNSBLi i ogólnodostępnych list TOR node'ów, serwerów, etc? :-) Czy może "system eliminacji ruchu" htaccessem, na którym "wymusza się aktualizację" z list? A może będziecie skanować każdy odwiedzający stronę IP? Wimia? ;-) Wydajnie, powodzenia. Dla mnie ten pomysł jest chybiony bo i tak jeśli ktoś będzie się chciał wejść z innego adresu IP na stronkę, zrobi to bez problemu... i żadna baza wiedzy, wykrywanie proxy Wam nie pomoże. Mam nadzieję, że pomysł zdejmowania proxy nie wynika też przy okazji z chęci efektywniejszego radzenia sobie z DDoS :-) Bo skutek będzie odwrotny.
 Taaak, wytnijcie cały ruch ICMP, super pomysł :-)
 Hmm... Ten punkt by mi się z pewnością spodobał... gdybym widział w nim sens pokazywania strony statycznej :-) Punkt wskazuje na kwestię obciążenia łącza - zakładam zatem, iż chodzi o DDoS. Jaki jest sens pokazywania strony z informacją o przerwie technicznej? Skoro nastąpił udany atak, serwer nie odpowiada, po co przełączać na stronę z informacją o przerwie technicznej? Przecież ją też można "zdjąć". Chodzi tylko o poinformowanie internautów, że nie poradziliśmy sobie z atakiem? Może lepiej pomyśleć o zaimplementowaniu takich rozwiązań, urządzeń, parametrów i konfiguracji aby utrzymać redundantnie stronę dynamiczną? :-)
Pkt z kontrolą modyfikacji treści strony mi się nawet spodobał. Choć zrealizowanie tego byłoby rzeźbą, w zależności od złożoności portalu i sposobu wykonania. Z pewnością minusem będzie spora dawka false / positives dla serwisów, które często się zmieniają i aktualizują. Od strony serwera można by mielić np. zwykłym, oskryptowanym dodatkowo Tripwire i triggerować zmiany do weryfikacji. Ja bym tutaj jednak skupił się na bezpieczeństwie bazy danych portalu - gdyż częściej "zmiana treści strony" bowiem wynika właśnie z możliwości pisania do niej... :-) Z drugiej strony - jeśli już ktoś nieautoryzowany zmieni treść strony WWW, to i tak jest finał, różnica tylko w prędkości wyłączenia do analizy powłamaniowej :-)
Punkt z zamknięciem web-accessów do poczty z sieci Internet mi się spodobał. Róbcie VPN i pozamiatane. Polityka haseł, brawo! :-) admin1 be. Generalnie to pomimo ironicznego podejścia do tego dokumentu cieszę się jednak, że coś się ruszyło w kwestii govek. A Wy jesteście zadowoleni z wytycznych? :-)
"Rząd jest analogowy, a społeczeństwo już cyfrowe" -- Michał Boni
PJ
kategoria:
Bezpieczeństwo
Komentarze (0)
kategoria:
Bezpieczeństwo
Komentarze (0)
2011-06-24 18:35
Oceń wpis
It was a beautiful free day...
 PJ
kategoria:
Warsaw
Komentarze (1)
2011-06-14 22:01
Oceń wpis
The idea of traveling on public transportation today wasn't a good one :-) God bless cabs.
 PJ
kategoria:
Warsaw
Komentarze (1)
2011-05-22 14:50
Oceń wpis
Hi folks. Today I wanted to write a new blog post about Android programming but a funny and sad at the same incident occured, which I considered to have a higher priority than the coding one. That's why I decided to write about it and warn some of you until something bad might happen. So here's the story.
I'm recently looking to buy a new car. On Tablica.pl I came across a very good and I'd say "occasional" advertisement of BMW, whose price was suprisingly low.
I didn't want to buy it, but as a curious person I wrote an e-mail to the address visible on screenshot. I asked if this car is still available. His answer was:
"Witam. Cena samochodu 5000 EUR. Samochód jest w idealnym stanie, nigdy nie mial wypadku lub problemów mechanicznych.Prosze pisac z powrotem w jezyku angielskim, jesli jest to mozliwe ( Nie znam bardzo dobrze polski, uzywam programu tlumaczenie ). To jest moja ostatnia cena, samochód nie jest w leasingu tak musisz zaplacic tylko ta cena i nic wiecej. Mam wszystkie dokumenty ( ksiazki serwisowej oraz ). Jesli jestes zainteresowany napisz do mnie e-mail w celu wiecej szczególów."
Well, he wrote that he uses a language translator and he prefer to write english. The car is in perfect condition with a price of 5000 EURO, bla, bla. The fun part is just about to start. I asked him if the car is located in Poland. His next anwser:
"The car is located in London/England and i am located in United States with my work. Few weeks ago somebody from England told to me that he will buy my car. I told him that it's Ok, we will meet in London and we will make the deal. The next day i was in London but there was no buyer. Never responded to my emails or to my calls so here is what i am suggesting you: There is a service named Western Union. With this service i will be sure that you have the money to buy the car and that you will come for sure in London. You must find the nearest Western Union agency and you will go there with a friend or a relative etc. Your friend will be the sender and you will be the receiver in London/England. I want to be 100 % sure that you will be in London because once the money are sent you have to be in London to get the money. Right now i am located in United States but as soon as the transfer will be made and i will have the receipt from Western Union so i can verify, i will immediately fly to London, meet with you and finish the deal. That's why i need to see the receipt because i already had a bad experience and i don't want that to happen again. If i will see the receipt then i will be sure that you will come and i will go to buy the ticket plane for London. When we will meet in London we will go to a mechanic to confirm you that the car is OK and to the Police so they can tell you that the car it's not stolen. We will make all the documents and complete the sale process and after that we will both go to Western Union office, you will get the money sent by your wife or friend and pay me there. If something is wrong with this car then i will give you 1000 Euro for your trip and for your time so please trust me because the car is like new. Here you have my phone number : 001/9255266822"
At this moment I was sure that he's a scammer. I did some Google research. I was shocked. Well, maybe not in fact, that he is a scammer, but the number of people he successfully cheated. I just don't get it, how naive one could be.
I was too lazy to count them all but there is more than ~100 people scammed all over my country, and as I later discovered - it's just a top of a mountain. I was just about to answer him to f*** off... and I almost clicked a "send" button :-) ...but since there was a cloudy Sunday and I was kinda bored... I have made him a surprise.
First I have read all posts of people that sent (and lost) him money using Western Union. I have noticed that he was scamming based of few cars like BMW, Skoda Octavia, etc. I used Tablica.pl to trace all his car offers and Hotmail e-mails:
I've "checked" ;-) few e-mails (you woudn't believe in the scale of this scam)
I've traced his IP address (12/Jun/2011:02:42:33): 86.164.***.*** (FBI)
host86-164-***-***.range86-164.btcentralplus.com
At this time I wasn't sure if it's TOR'ed or not. I wanted to see occasionally if he is stupid enough not to use it... so I used Western Union (since I guess - that was the sphere of his interest) to find out. I've quickly made a normal looking "website":
which is only responsible for grabbing some stuff ;) and forwarding to Zumi.pl's list of Western Union Warsaw based Branch Offices... then I wrote him an e-mail:
"Okay, sounds like a plan. I feel sorry someone cheated on you. We've got some Western Union Offices - http://[some address]/western-union-warsaw/ Which one do you prefer from the list above? Greets, Pawel"
An hour later there it was (host86-164-***-***.range86-164.btcentralplus.com - a little bit different than the previous one, dynamic addressing) (FBI):
86.164.***.*** - - [12/Jun/2011:14:24:41 +0200] "GET /western-union-warsaw/ HTTP/1.1" 302 5 www.[address].pl "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0)" "-"
Few hours later (***.ipt.aol.com), a logical connection with Hotmail (FBI).
172.130.***.*** - - [12/Jun/2011:17:51:22 +0200] "GET /western-union-warsaw/ HTTP/1.1" 302 5 www.[address].pl "http://co105w.col105.mail.live.com/mail/Inbox Light.aspx?n=1225085824" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; InfoPath.3)" "-"
I've made a notice script, that scanned his IP address just few seconds after he entered the "Western Union Warsaw" address.
 
Guess how hard was to knock at it and grab some more local storage data, scam evidences and bunch of funny things? ;-)
You've probably noticed (FBI) string above, it's related with the fact that I reported it and can not publish any "horny" things yet, but it's worth to wait :-) I'm wondering how the heck his connection in UK was able to cash out the money without ID or a special WN number. Maybe a corrupt WN employee? I don't get it, we're living in a world of CCTV ffs. It smells from a miles away!
Conclusion:
- If the offer is too beautiful to be the truth -- it is!
- Do not try to scam itsec guys ;-)
PJ
kategoria:
Cyberterrorism
Komentarze (3)
2011-05-21 20:27
Oceń wpis
I hate bad written Android applications!
A lot of Android Market apps are buggy cause of developers, that don't take heavy testing seriously, they're just publishing it to make me angry :-) There are ways to test it during development, using f.ex. JUnit. I will cover those aspects soon. I've decided to refresh my blog a little bit, starting to write some things about stuff I'm working on. I will also share some of my Android development progress over SDM Project, that I'm lately working on. I can not tell you the business logic and background of SDM, since it hasn't been released yet. Well, I can only tell that it is not related with security :-) I hope for you to come along and consult some of the technical issues and troubles I'm facing sometimes. I also do realize that my English isn't fluent, so please forgive me for any language mistakes I might make. You should focus on a technical background anyways ;-) I've moved to English based blog cause lots of people I'm co-operating with don't understand Polish.
Not sure if all knows but Android 3.1 platform has been released some time ago and it's downloadable component for the Android SDK. Google made an excellent job and implemented a lot of useful functionalities, fixed some old issues, etc. 3.1 has a new APIs for integrating connected peripherals with the applications on the platform using USB, among with others like MTP/PTP, RTP and much more.
Oh well, just noticed :-) I came out with the idea of developing SDM using Android 2.1-update on 5th October 2010, when I first installed Android SDK. Anyways, it took me few months to catch some free time and make an development kick-off.
paul@phobos:/opt/android-sdk$ ls -l SDK Readme.txtBahh, I'm sentimental. Occasionally, if you have any interesting ideas for an new AM applications and you don't have a budget for making it, drop me an e-mail.
PJ
kategoria:
Android
Komentarze (3)
Najnowsze wpisy
Najnowsze komentarze
2011-07-23 13:28
srebrnooka do wpisu:
The Palace of Culture and Science
The last day of sunshine summer this year?
2011-07-05 15:38
freeze do wpisu:
Look out for car selling scammer
Przesylasz oszustowi potwierdzenie, on podmienia dane w programie graficznym, i idzie odebrac[...]
2011-07-02 17:20
expel22 do wpisu:
Look out for car selling scammer
Nie istnieje w języku angielskim wyrażenie "a top of a mountain". To samo znaczenie jednak[...]
2011-06-14 17:21
Spencer13@o2.pl do wpisu:
Look out for car selling scammer
Nie można by tego jakoś nagłoścnić w tvn ?? Prawie mnie przerobił
2011-06-03 09:30
K.O.R.E.K do wpisu:
Arrrrgh!
No Tak Racja Zgodze się z Pawłem powyżej @UP/\ z jego wypowiedzą :-> to zależy jak ktos ma czas[...]
2011-05-24 12:09
paweljablonski do wpisu:
Arrrrgh!
No to gratulować :-) Niektórzy mają dobre pomysły, a nie mają czasu na pisanie lub opłacenie[...]
2011-05-24 07:50
kredyt-bez-bik do wpisu:
Arrrrgh!
Budget for making applications? Kto potrzebuje pieniędzy do programowania? Pracuje w tym 15 lat[...]
|
Copyright © Money.pl