Paweł Goleń, blog

Od dłuższego czasu staram się nie używać pojęcia "test penetracyjny" do określenia tego, czym się głównie zajmuję. Wolę określenia typu security assessment, czy coś w stylu testowanie bezpieczeństwa lub weryfikacja mechanizmów bezpieczeństwa. Nie chodzi mi o pogłębianie/porządkowanie chaosu pojęciowego (walka z używaniem pojęcia "audyt" w kontekście, do którego kompletnie nie pasuje to taka współczesna wersja walki z wiatrakami), chodzi mi natomiast o podkreślenie różnic w celach.

Jest sobie pewien problem. Polega on na tym, że wbrew temu co twierdzą niektórzy, nie mam pamięci absolutnej. Ponieważ to dość częsta przypadłość (brak pamięci absolutnej), podejrzewam, że problem również nie dotyczy tylko mnie. Ciekawy jestem jak sobie z nim radzicie?

Idę sobie spokojnie po osiedlu, a tu w uszy rzuciły mi się strzępki rozmowy:

Panie, czy przez rok złodzieja jakiego złapali? (...) a może choć tego, co szlaban dewastuje (...) Policja powiedziała, że obraz (...) się nie nadaje.

O jejku, jejku! A czego się można było spodziewać? Przypomnę: Obiekt monitorowany - czujesz się bezpieczniej? (pomyliłem się tylko w tym, że kamer nie ukradli). I ze szlabanem: Krótka historia szlabanu oraz Kolejne życie szlabanu.

Odczuwam złośliwą satysfakcję. Taką z gatunku a nie mówiłem?

Co jakiś czas powraca temat haseł maskowanych i ich rzekomo większego bezpieczeństwa, niż haseł "tradycyjnych". Nie specjalnie monitoruję te dyskusje, bo swoje zdanie na temat tego typu haseł mam, wiele razy je przedstawiłem i nie spodziewam się zmiany swojej opinii na ich temat. Echa tych dyskusji docierają do mnie przez to, że część dyskutantów odwołuje się do moich wpisów na ten temat.

Jednym z banków, które nie korzystają z haseł maskowanych jest mBank. Część klientów uważa to za wadę, w związku z czym pojawiają się różne dyskusje, na przykład takie:

• forum: hasło logowania do modułu transakcyjnego,
• w komentarzach do informacji o zmianach w serwisie i nowej stronie logowania,
• forum: Trojan czyszczący konta (najnowszy),

Wątki te przeglądam głównie po to, by poznać argumenty zwolenników haseł maskowanych i móc się do nich odnieść. Zajmę się tylko najnowszym wątkiem.

Dziś demonstracja strasznej hakerskiej sztuczki, która pozwala odczytać z dokumentu dane, których autor wolałby nie ujawniać. Bójcie się!

W roli tajnych danych gościnnie wystąpił payload do jednego z moich przykładów z przewodnika po bezpieczeństwie aplikacji internetowych, który zawiera w sobie SQLi i XSS z (trywialnym) obejściem filtra anti-XSS w Google Chrome.

Wyjaśnienie: czytam sobie ja spokojnie instrukcję obsługi pewnej aplikacji, w której screeny były zaciemnione w ten właśnie sposób. Miałem wiele radości, choć "wartość" zaciemnionych danych była przyzerowa. I nie wiem, czy bardziej śmieszy mnie ten przykład, historia o tym, jak nieumiejętnie "zaciemniono część danych" w udostępnianych dokumentach (patrz np.: Niedokładna “cenzura” PDF-a ujawnia zastrzeżone informacje), czy może przypadek odwrotny, w którym dane z dokumentów papierowych zostały usunięte zbyt dokładnie (Nie mogę znaleźć teraz informacji na temat tego ostatniego przypadku. Coś mi się jednak po głowie kołacze, że pewna agencja tak skutecznie zamazała dane w dokumentach w obawie przed ich opublikowaniem, że teraz sama nie jest w stanie ich odczytać.).

Z podobnych akcentów humorystycznych: Jak nie ukrywać swojej twarzy.