Paweł Goleń, blog

Dzisiaj oglądnąłem trzecią część Piratów z Karaibów. Muszę szczerze powiedzieć, że uczucia mam mieszane... ale ogólnie fajne było.

Zajmując się tematyką bezpieczeństwa wielokrotnie spotykałem się z problemem jak oszacować skalę zagrożenia. Fakt, że nie ma systemów w 100% bezpiecznych jest dość dobrze znany, ale już mniejsza ilość ludzi zdaje sobie sprawę, że na przykład celem banku wcale nie jest posiadanie najbezpieczniejszego systemu informatycznego, lecz raczej posiadanie systemu, dla którego ryzyko związane z jego wykorzystaniem ma akceptowalną wartość. W świecie, gdzie rządzą pieniądze, a nie wzniosłe idee, konieczne jest wykazanie, że usunięcie danej podatności opłaca się, bo może się okazać, że zamiast inwestować pieniądze w poprawę systemu, bardziej opłaca się wykupić stosowną polisę, lub (o zgrozo) wprowadzić stosowną modyfikację do warunków użytkowania danej usługi, tak, by użytkownik to ryzyko wziął na siebie...

W takich zastosowaniach najczęściej stosowane są wyliczenia oparte na dwóch parametrach, prawdopodobieństwie wystąpienia zdarzenia oraz ich koszcie.

Ponieważ prawdopodobieństwo jest często ciężkie do precyzyjnego określenia, często zamiast jego wartości stosowany jest wskaźnik z zakresu (na przykład) 1-5, który określa subiektywne prawdopodobieństwo wystąpienia (1 - prawie na pewno nie wystąpi, 5 - prawie na pewno wystąpi).

Wymierny koszt wystąpienia zdarzenia również jest często ciężki do oszacowania, w związku z czym tu również stosuje się subiektywny wskaźnik określający skutek na zasadzie 1 - prawie nic się nie stało, 10 - trzeba zamykać biznes...

Osobiście nigdy nie lubiłem tego podejścia, zwłaszcza, gdy wartości do wyboru było zbyt dużo, ponieważ wówczas metoda staje się doskonałym narzędziem do udowadniania własnych tez. Zawsze dążyłem do tego, by ograniczać stopnie swobody (prawdopodobieństwo do 3, koszt do 5) i przedstawić ogólne wytyczne do przyznawania danej wartości.

Dzisiaj chcę napisać kilka słów o metodologii DREAD, którą uważam za bardzo pomocną w przypadku określenia stopnia zagrożenia dla podatności znalezionych w aplikacjach webowych.

...do tej pory tylko mnie irytowały, ale po ostatniej akcji poszukiwania ukrytych treści, wkurzają mnie...

...zmień parametry kernela... A poważnie - jeśli uruchomi się linuksa z kernelem 2.6 w środowisku wirtualizowanym (ja akurat mam doświadczenia w chwili obecnej z VirtualPC 2007), może okazać się, że czas pędzi jak oszalały. Wystarczy jednak zmienić algorytm wyliczania czasu stosowany przez kernel i wszystko zaczyna wyglądać sensowniej. Jest nawet artykuł w MSKB na ten temat.

Znaczy, zmęczony jestem... Ale w Bieszczadach było fajnie, choć przeszliśmy trochę mniej, niż pierwotnie było planowane. Bez Smereka i zamiast Tarnicy i przyległości - Rawki. Z Krzemieńca przegonił nas deszcz. Muszę powiedzieć, że bardzo odpowiadała mi ta pora wizyty w górach, mało ludzi, na połoninie Wetlińskiej spotkaliśmy (nie licząc dwóch wycieczek) może z 20 turystów, co "w sezonie" zdarza się spotkać w 5 minut... Nocleg, kolejny raz nocowaliśmy w pensjonacie AGA w Wołosatem. Uważam, że warunki są tam naprawdę przyzwoite, jak na 25PLN za osobę. Jest też gdzie co zjeść (bar Pod Tarnicą), dają rewelacyjny żur z jajkiem :) I wiecie co? ZNAKI KŁAMIĄ! W Ustrzykach Górnych jest znak - Wołosate 6Km. Kawałek dalej jest znak - Wyboje 8Km. Postanowiłem sprawdzić - oba znaki są nieprecyzyjne, wybojów (a co za tym idzie w praktyce odległości Wołosatego od Ustrzyk Górnych) jest 5,5Km.