Bezpieczeństwo

Mirek Maj zaprosił mnie dzisiaj do podcastu fundacji bezpieczna cyberprzestrzeń aby skomentować ostatni “komunikat pełnomocnika rządu ds. cyberbezpieczeństwa”. pozwolę sobie to oświadczenie przytoczyć w całości bo nie jest długie: W związku z rosnącym zagrożeniem atakami typu DDoS (niedostępność usługi) CSIRT GOV przekazał na przełomie lutego i marca bieżącego roku wytyczne dotyczące działań wyprzedzających mających na celu minimalizację skutków ewentualnego cyberataku. W związku z kolejnymi informacjami, które wpłynęły do instytucji odpowiedzialnych za cyberbezpieczeństwo, w dniu 23 marca do instytucji administracji państwowej i operatorów infrastruktury krytycznej została przekazana rekomendacja dotycząca wdrożenia ww....

…ale narzędzi należy używać odpowiedzialnie. po pierwsze, niech wolno mi będzie złożyć pewne oświadczenie - dla tych, którzy mnie nie znają, żeby uniknąć nieporozumień, które może zrodzić pobieżna lektura tego postu: jestem wielkim fanem dyskusji o zaletach technologii. wierzę głęboko, że możliwość tworzenia sieci, rozwiązań które naprawdę pozwalają ludziom zbliżyć się do siebie i komunikować na odległość to coś co robię i mogę robić przez resztę życia z całym zaangażowaniem...

w związku z epidemią COVID-19, zostaliśmy dosłownie zalani prośbami o pomoc we wdrożeniu połączeń RA VPN. u niektórych naszych Klientów, ilość zdalnych pracowników w ciągu tygodnia podskoczyła z 0 do 7000. inni świadczą już dzisiaj usługi dla ponad 30,000 użytkowników. a w Cisco pracujemy dzisiaj prawie wszyscy zdalnie - to ponad 100,000 użytkowników na całym świecie skupionych wokół paru wysoko dostępnych i wysokowydajnych koncentratorów VPN. dzięki bardzo szybkiej mobilizacji, napisaliśmy i opublikowaliśmy wraz z inżynierami i specjalistami z wielu różnych organizacji poniże poradniki, opisy wdrożeń - w oparciu zarówno o rozwiązania sprzętowe i wirtualne:...

ARPA, założona w 1958, była pierwszą i w obecnych czasach jedyną agencją kosmiczną w Stanach Zjednoczonych. do dzisiaj rozbudza fantazje i jest jednoznacznie utożsamiana z powstaniem Internetu, ale czy wiedzieliście, że ARPA (jeszcze zanim stała się w 1972’gim roku DARPA), prowadziła prace nad wybuchami jądrowymi pod ziemią (sejsmologia pozwalała ustalić czy inne kraje gdzieś na Ziemi prowadziły swoje testy jądrowe), walką partyzancką (przedstawiciele ARPA jeździli i przebywali w Wietnamie, Tajlandii, Laosie i innych krajach regionu długo zanim Stany Zjednoczone pod sfingowanym pretekstem napadły na Wietnam Północny) czy budową karabinka, który w przyszłości miał być znany jako M16?...

…gdy wszyscy się na Ciebie czają. parę tygodni temu odświeżyłem FreeBSD na którym stoi mój prywatny serwer pocztowy. od pewnego czasu ilość spamu po prostu rosła. stary spamassassin nieco nie dawał już sobie rady z poprawnym markowaniem. enter spamd z projektu OpenBSD. uaktualniony postfix ma wbudowany serwer realizujący greylisting działający dosyć dobrze. osobiście delikatnie go dopasowałem zwiększając znacznie czas, który musi upłynąć od ostatniej próby dostarczenia maila (1200 sekund, czyli 20 minut):...

w trakcie dyskusji z jednym z naszych Klientów, miałem ostatnio okazję porozmawiać trochę o wykorzystaniu anycastu oraz skalowaniu treści przez CDN. ponieważ jednak coraz więcej reklam serwowanych nawet na popularnych stronach to tak naprawdę oprogramowanie złośliwe (ang. malware), w tym minery różnych kryptowalut, powstaje naturalne pytanie - jak mam się przed tym zabezpieczyć? skorzystanie z renomowanego CDNu to dobry pierwszy krok. innym ciekawym, o którym nie wiedziałem (choć gdyby się nad tematem zastanowić, wydaje się jednym z prostszych do wdrożenia) jest sprawdzanie skrótów kryptograficznych dołączanych zasobów....

idziemy w ciekawą stronę jako ludzkość. kolejny dowód na to, że żyjemy w ciekawych czasach. AI uczy się rozmawiać jak zmarły na podstawie archiwum z Telegram a CIA używa już tego typu mechanizmów do określenia parę dni przed wybuchem niepokojów społecznych, że takie faktycznie wybuchną. zakładam zatem, że nauczania maszynowego używa się już dzisiaj do innych zadań - nie wszystkich opisanych gdziekolwiek w internecie :) w ciągu najbliższych latach zobaczymy kolejny etap ‘spłaszczania’ świata - coraz więcej pracy możliwej do zautomatyzowania będzie automatyzowane, a wartością ludzi przestaną być proste wyniki pracy - jak również proste analizy....

trudno nie zgodzić się z artykułem Bruce’a. czy rozwiązaniem, które warto rozważyć, nie byłoby zastosowanie rozwiązań opartych o blockchain? spisanych dostępach do danych, spisanych transakcjach… coś się musi zmienić. nie radzimy sobie z danymi.

ta dyskusja toczy się od dłuższego czasu. kto zapłaci za dziury w sofcie? do tej pory z reguły mówiło się trudno i żyło się dalej, zwykle żądając dodatkowych pieniędzy, żeby problemy spowodowane przez wadliwe oprogramowanie dodatkowo załatać. powoli oprogramowanie zaczyna jeździć samochodami. samo. i trzeba zacząć rozwiązywać trudne problemy. na razie liczba opcji jest prosta do wyobrażenia. a co będzie za 10 lat?

…rządom. a w szczególności tym, którym udowodniono masowy i nieuprawniony dostęp do danych swoich i zagranicznych obywateli. warto przeczytać ten artykuł żeby zrozumieć, jak PR (tutaj rękami autorki przemówień Camerona) próbuje obrócić projektujących i używających zabezpieczenia w tych, którzy pomagają terrorystom. bo teraz już wystarczy rzucić na kogoś epitet - ’terrorysta’ i mamy pozamiatane. bombardowanie, podsłuchiwanie, śledzenie - wszystko jest nagle dozwolone i poprawne. na szczęście rządy nie mają pomysłu na matematykę....

ciekawy artykuł bloggera o tym jak stworzyć alternatywne źródło prawdziwie niecenzurowanego wolnego słowa. wygląda na to, że ostatni problem reddita spowodował wznowienie dyskusji o wolnym słowie i kryptograficznej niezaprzeczalności głoszonych tez - w kontekście coraz silniejszych nacisków w Stanach Zjednoczonych na wbudowanie tylnych furtek może to jakieś rozwiązanie problemu? jak o tym pomyśleć… a nie, nie trzeba myśleć. pomyślano za nas - są już ludzie wierzący, że Bitcoin (protokół, nie elektroniczne pieniądze) będzie niebawem podstawą całej komunikacji internetowej....

warto rzucić okiem. a potem ze zdziwienia otworzyć oczy szerzej. bardzo szacowne sieci (i hosty) się na mapkach pojawiają: SenderBase malware SenderBase spam ogólne raporty z SenderBase, największej rozproszonej sieci zbierającej dane o zagrożeniach: SenderBase

temat stary jak świat, ale właśnie musiałem zrobić trochę porządków i trafiłem na problem z kluczami… 4096 bitowymi. bardziej dla własnej informacji, ale być może komuś to zebrane w jednym miejscu się przyda. klucze do Cisco IOS importuje się bez specjalnego problemu: router#conf t Enter configuration commands, one per line. End with CNTL/Z. router(config)#ip ssh pubkey-chain router(conf-ssh-pubkey)#username TEST router(conf-ssh-pubkey-user)#key-string router(conf-ssh-pubkey-data)#AAAAB3NzaC1yc2EAAAADAQABAAACAQDCiLBaopUwsFb9YJNhGqVYqBajlrH S/zwD6/yR6N8VcRzrpqMMNCFXe1q5GMGM[...]ANWInd9GHBjTzbJWVwavxy1ooQewii8ErofZuv1l/SXSdXLzfL p0zMoZ0L+BNPS0j4XBS0N3t8Vl8oVixqIeG2BNTCNaDDt6hx2Q== lukasz@bromirski.net router(conf-ssh-pubkey-user)#exit router(conf-ssh-pubkey)#exit dla Cisco ASA klucze powyżej 2048 bitów trzeba zaimportować używając formatu pkf - ponieważ linia poleceń ma ograniczenie do 512 bajtów....

…bo google znowu padło przez błąd z akceptowaniem prefiksów. konfiguracja jest banalna - przykłady na cisco IOS-XE, IOS-XR, na Juniperze można znaleźć w pół sekundy. trzeba odwiedzić RIPE i wycertyfikować swoje zasoby, potem jest już z górki. każdy prefiks i system autonomiczny, który zacznie podejmować decyzje o routingu pomaga. każdy.

…przeczytałem właśnie krótki wywiad z Matem Prince’m, który jest jednym z założycieli CloudFlare. w jego odpowiedziach zwróciłem uwagę na dwie rzeczy - że lubi opowieści, a to sprawdzony sposób, żeby ludzie zapamiętali, co do nich mówimy. po drugie, jest skromny, ale pokazuje jedną ważną rzecz - w CloudFlare, dzięki skupieniu na jednym zadaniu, robią lepiej wiele rzeczy związanych z infrastrukturą, niż potężni tego świata - w szczególności Amazon i Google....

jakiś czas temu zamieniłem w domu BINDa na Unbound, w związku ze zmianą domyślnego serwera DNS w FreeBSD (tak, mam w domu swój serwer DNS i serwuje z niego odpowiedzi na wszystkie zapytania; stoi sobie na wirtualce). właściwie, mam teraz cztery ;) za czasów BINDa korzystałem z wielu skryptów dopisujących strefy zawierające przekierowanie do 127.0.0.1 dla domen serwujących reklamy. za czasów Unbounda…. zupełnie o tym zapomniałem. w związku z ostatnimi ciekawymi doniesieniami o tzw....

…wspiera BGP. właśnie wyszła. lubicie BGP na swoich firewallach? ja nie. czy warto mieć takie narzędzie w ręce? przyznaje, czasem warto. ale wracając do pierwotnego pytania - lubicie BGP na swoich firewallach?

funkcje związane z zarządzaniem pamięcią i/lub CPU w świecie IPv6 stanowią poważne wyzwanie nawet dla nowoczesnego sprzętu. wygląda jednak na to, że podstawowe praktyki programistyczne, oraz zdrowy rozsądek… nie idą w parze (a jakże). właśnie natknąłem się na opis problemu jaki ma Microsoft Windows (i nie tylko - z obsługą IPv6 RA. wygląda na to, że nie chodzi tylko o pakiety RA, ale w ogóle o całą komunikację sieciową odbywającą się za pomocą adresów link-local - ponieważ funkcje wbudowane w te systemy zajmują sobie pamięć dosyć swobodnie....

fenomen Jennifer Lawrence (nie rozumiem popularności Hunger Games ale kocham Silver Linings Playbook, jak się powinno robić prawidłowo identyfikatory na konferencje (oj tak, uczymy się, uczymy), Departament Obrony przekazuje na 10 lat w zarządzanie prywatnej firmie swoje archiwum obrazów i filmów, RSA zgodziła się promować słabszy algorytm szyfrowania w zamian za 10M$ ‘łapówki’ od NSA i w końcu wizja DARPA z lat osiemdziesiątych XX wieku autonomicznego rozwiązania a’la SkyNet. a na koniec pół-żartem, pół-serio, jak poradzić sobie z tym, że to co robimy w pracy nie zawsze jest tym, co kochamy najbardziej robić....

wywiad z Michaelem Haydenem, byłym szefem NSA o tym jakim zagrożeniem stało się Blackberry (oraz jak to było ze słuchaniem rozmów Angeli Merkel), na jakiej zasadzie uważa, że NSA może czytać komunikację obywateli USA, że Izraelczycy byli na tyle uprzywilejowani, że mogli wnosić do siedziby NSA swoje laptopy i komórki i wiele innych stwierdzeń. z drugiej strony - rekomendacje przygotowane dla prezydenta Obamy. przy okazji okazuje się, że w grupie roboczej IETF zajmującej się kryptografią, siedzi pracownik NSA, który w dodatku zachowuje się nieco dziwnie i rzuca pomysły lekko amatorskie - specjalnie?...

…ostatnio zaimplementował też twitter. i bardzo dobrze. zachęcam do zakładania u siebie. ja właśnie kupuje sobie certyfikaty…

wpadł mi właśnie w ręce arcyciekawy dokument. cytuję go: As remarked in this table the Windows version of TrueCrypt 7.0a deviates from the Linux version in that it fills the last 65024 bytes of the header with random values whereas the Linux version fills this with encrypted zero bytes. From the point of view of a security analysis the behavior of the Windows version is problematic. By an analysis of the decrypted header data it can’t be distinguished whether these are indeed random values or a second encryption of the master and XTS key with a back door password....

już w najbliższy czwartek, 10’ego października o 19, poprowadzę wspólnie z Maciejem Broniarzem z UW krótką pogadankę o bezpieczeństwie w ujęciu nie do końca tradycyjnym. zapraszamy do zapisywania się i do zobaczenia w auli Akademii Leona Koźmińskiego.

Maciej Broniarz zaprosił nas do uczestnictwa w nowej konferencji poświęconej bezpieczeństwu sieciowemu. Aegis (tak jak system pola walki dla krążowników rakietowych :P) odbędzie się 2/3 lipca na UW i mam nadzieję, że biorąc pod uwagę agendę, ściągnie wiele z Was na miejsce. razem z Maćkiem mamy również ambicję poprowadzić drugiego dnia panel o DDoSach oraz potem wspólną prezentację nawiązującą nieco do prowadzonych przeze mnie kiedyś na CONFidence serii sesji pt. “Bezpieczeństwo za pomocą taśmy klejącej” ....

bardzo ciekawe badanie wykonane w dobrej wierze na tysiącach elementów sieciowych. polecam pociągnięcie 596GB danych i przejrzenie ich, lub choćby rzucenie okiem na mapkę hostów - Polska jest wyraźnie widoczna. o czym to świadczy nie muszę mówić.

…w następny czwartek, 11-ego kwietnia, pojawię się na zaproszenie Macieja Broniarza na Uniwersytecie Warszawskim o 18:30 aby porozmawiać z Wami trochę o bezpieczeństwie sieci IP “klasy operatorskiej”. chodzi o uwolnienie się od konkretnych pudełek i konkretnych firm, a porozmawianie raczej o mechanizmach - nie tylko o blackholingu, ale również :P - w luźnej atmosferze. zamierzam przytargać trochę paciorków w postaci gadżetów i książek - może warto się zaktywizować i zadać jakieś pytanie będąc na miejscu :) zapraszam - i do zobaczenia!...

ostatni DDoS na CloudFlare pokazał, że 300Gbit/s przestało być magiczną barierą dla atakujących. przy takich przepustowościach można spokojnie odciąć kraj wielkości Polski od Internetu. pojawiają się w tej sytuacji kwestie takie jak ‘infrastruktura krytyczna’, stabilność finansowa kraju, etc. w maju na RIPE 66 poświęconym mechanizmowi opisanemu w BCP 38 będę miał swoje pięć minut - to kolejna rzecz, z tzw. ‘dobrych praktyk’, które po prostu trzeba robić. zamykanie otwartych resolverów DNS również....

wracamy do organizacji jesiennej konferencji poświęconej rozwiązaniom Cisco związanym z bezpieczeństwem. jak łatwo możecie się przekonać, będziemy się starali opowiedzieć o całościowym podejściu Cisco do kwestii bezpieczeństwa, a całość dwudniowej konferencji przepleść dużą ilością praktycznych prezentacji, pokazów i dem. agenda już w zasadzie zbudowana, co ciekawe będę miał przyjemność z Gawłem poopowiadać trochę na żywo o bezpieczeństwie w chmurze i Centrach Przetwarzania Danych - dotkniemy (i pokażemy!) takie rzeczy jak CSR 1000v, ASA 1000v i różne inne ciekawostki - zrobimy to na koniec, ponieważ przed nami koledzy będą pokazywać dużo więcej i to zapewne dużo ciekawszych rzeczy....

polecam ten artykuł z Wired - dopóki szansa, że niezależnością takich instytucji jak ITU będą potrząsać magnaci tacy jak Kaspersky, dopóty każdego dnia trzeba wstać i pracować nad tym, żeby Internet był wolny. brzmi jak naiwne wezwanie do broni? trochę tak, ale konsekwencje posiadania dużej ilości pieniędzy, a w konsekwencji - dostępu do władzy - przerażają mnie codziennie na nowo.

bardzo miłe spotkanie. dziękuje wszystkim, którzy przybyli, zadawali pytania i organizatorom, którzy zaopiekowali się mną na miejscu :) mam nadzieję, że to co pokazałem i to o czym rozmawialiśmy wydało się Wam ciekawe. materiały jak zwykle w sekcji prezentacje. do zobaczenia… wkrótce?