Od kilku dni we wszystkich mediach szeroko komentowana jest sprawa wycieku dużej ilości CV i listów motywacyjnych z programu stażowego banku Pekao S. A. Sprawa została omówiona przez blog WebFan, AntyWeb opisał reakcję PeKaO na całą sprawę, a VaGla przeanalizował sprawę od strony odpowiedzialności – tak więc chyba nie trzeba więcej dodawać.
Przy jej okazji tej sprawy, opublikowana została wypowiedź pana Arkadiusza Mierzwy, dyrektora biura prasowego Pekao, który zapowiadał przekazanie Policji adresów IP osób, które pobierały CV. Osoby te miały by zostać pociągnięte do odpowiedzialności karnej, gdyż wykorzystali błąd informatyków i bezprawnie ściągali na swoje komputery prywatne dane z serwera banku PEKAO SA. Ten sam pan powiedział, że dane były ukryte, gdyż trzeba było przecież specjalnie wstukać określony adres.
Pomijając wszystkie inne kwestie związane z brakiem zabezpieczeń, przychodzi mi do głowy inne pytanie – czy otwarcie jakiegokolwiek URLa może być traktowane jako włamanie?
Do sprawy bezpieczeństwa można podchodzić jak pan z Pekao, dla którego katalog, do którego nie ma linku, jest zabezpieczeniem – klasyczny przykład security through obscurity. Założenie, że takie działanie zapewnia “bezpieczeństwo”, jest błędne, z wielu powodów. Pan Mierzwa doszedł do wniosku, że pomysłowość internautów doprowadziła do odkrycia “schowanych” katalogów (błędny wniosek, ale o tym później) – tak więc jeśli ktokolwiek miał w którymkolwiek momencie projektowania/konfigurowania aplikacji na myśli bezpieczeństwo, wiedziałby, że prędzej czy później ktoś spróbuje wpisać adres ze zmienionym ID, spróbuje wylistować katalog, czy poszuka katalogów “tmp”.
W podobnej atmosferze rozegrała się “afera” wycieku raportu kwartalnego spółki Intentia International, który to raport został omówiony przez agencję Reuters jeszcze przed jego oficjalnym opublikowaniem. Oczywiście raport był niezabezpieczony, a jedynie “niepodlinkowany”. Intentia oskarżyła Reutersa o stosowanie hackingu w celu wykradnięcia tajnych danych. Widać ostatnio dużo łatwiej jest zostać hakerem niż kiedyś – wystarczy zmienić “raport_kwartalny_2″ na “raport_kwartalny_3″ w pasku przeglądarki. Dziwne tylko, że Intentia nie wstydziła się chwalić wszystkim, że przechowuje niezabezpieczone dane.
Ale w sprawie Pekao sprawa była jeszcze prostsza. Nikt nie musiał “hakować URLi”. Glucio, osoba która odkryła sprawę i ją trochę nagłośniła, wcale nie kombinowała z adresami. Otóż Glucio, w celach rozrywkowych, szukał w Google osób o takim samym jak on nazwisku – przypadek chciał, że takie nazwisko miała jedna z osób, która przesłała swoje CV do programu stażowego Pekao. Jeśli wejście na stronę znalezioną przez wyszukiwarkę wg. przedstawicieli Pekao jest przestępstwem, to jest to świetny sposób na nielubianych znajomych i wrednych szefów. Wystarczy podrzucić takiej osobie link do jakiegoś CV, najlepiej jeszcze zakryć link przez jakiegoś skracacza URLi, i już, kłopoty “wroga” murowane.
Jakim cudem GoogleBot trafił na strony, do których podobno nie było linków? Prawdopodobnie któryś z programistów projektu miał Google Toolbar, który przekazuje dane do wyszukiwarki – co pokazuje, że musieli być świadomi, że można wyświetlić listing katalogu (na razie teorie o włamaniu pomijam jako niepotwierdzone). W jakim świetle to stawia oskarżenia pana Mierzwy? Zastosował on spychologię, ale najwyraźniej oskarżył nie tych co trzeba – powinien zapowiedzieć podanie do sądu robaka Google’a.
W takich sytuacjach pojawia się kilka pytań. Na przykład, czym wpisanie adresu http://example.com/tajne_dane/" href="http://example.com/tajne_dane/">http://example.com/tajne_dane/ różni się od wpisania samego http://example.com/" href="http://example.com/">http://example.com/, i trafienia tam na tajne dane, “ukryte”? W podobnych sytuacjach kilka razy słyszałem dziwne “analogie” i porównania do sytuacji, kiedy to ktoś nie zamknie drzwi od domu na klucz, a ktoś obcy skorzysta z tego i wejdzie do środka. Ciężko strony WWW ciężko traktować jak “dom” – do obejrzenia strony (a przynajmniej tej niezabezpieczonej hasłem) nie trzeba “zaproszenia”. Jeśli już bym się silił na jakieś porównanie, to prędzej bym porównał tą sytuację do prób otwierania drzwi sklepów lub biur, ale chyba wchodzenie do sklepu bez zaproszenia nie jest ani zakazane ani naganne moralnie. Ale nawet co do domów sprawa wygląda ciekawie. Otóż według prawa, aby doszło do włamania, drzwi muszą być zabezpieczone zamkiem, i to takim, który stanowi faktyczne zabezpieczenie, a nie tylko symboliczne – klamka czy dostępny od zewnątrz “haczyk” nie jest takim zabezpieczeniem:
Podstawową istotą włamania jest wtargnięcie sprawcy do zamkniętego pomieszczenia, przez usunięcie przy użyciu siły fizycznej przeszkody zamykającej dostęp do danego pomieszczenia. Pomieszczenie musi być zamknięte, tj. w taki sposób zabezpieczone przed wtargnięciem osób powołanych by normalne wejście było niemożliwe.
Usunięcie takiej przeszkody jest wyraźnym obejściem woli właściciela pomieszczenia niedopuszczenia osoby trzeciej do tegoż pomieszczenia. Zaznaczyć tu należy, iż wola ta musi być w poważny sposób wyrażona. Zamknięcie pomieszczenia na zwykły haczyk, który bez większej trudności każdy może odsunąć czy też zwykłą klamkę bez użycia klucza nie może być traktowane jako zamknięcie pomieszczenia i w takich wypadkach wejścia doń sprawcy i dokonanie kradzieży nie można traktować jako włamania.
(Wyrok SN z 24 kwietnia 1958 r., IV KRN 170/58.)
Poszukiwanie niezabezpieczonych, “tajnych” katalogów, na chybił-trafił, czy też mając jakieś wskazówki, to jedna strona problemu. Druga, to “ataki”, które przeprowadza się teoretycznie na formularze (np. logowania), a poprzez błędną ich konstrukcję (tj. akceptowanie parametrów GET), możliwe jest zrobienie tego po prostu przez wpisanie odpowiedniego URLa. W ten sposób można wykonywać m. in. ataki SQL-injection. Na ten temat można znaleźć w Internecie kilka historii. Na przykład znany jest przypadek Mateusza, który odkrył błąd w oprogramowaniu pewnej firmy informatycznej (prawdopodobnie CMS, ale nie zostało to nigdzie jasno napisane), z którego korzystało wiele firm. Błąd ten pozwalał w prosty sposób uzyskać dostęp do konta dowolnego użytkownika – wystarczyło wpisać w formularzu logowania ' or 1=1 --. Jeśli dodatkowo formularz akceptował parametry GET, można było to wpisać w pasku adresu. Mateusz poinformował o błędzie firmę programistyczną oraz jej klientów, z propozycją zajęcia się poprawą tego błędu, za co dostał nagrodę w postaci aresztowania i oskarżenia o wymuszenie rozbójnicze (!). Sprawa jest długa i zawiła, została dokładnie opisana przez zainteresowanego, i ciągnie się od 1,5 roku. Rzecz w tym, że prawnicy analizujący tą sprawę, a także poproszony przez prokuraturę o opinię rzeczoznawca, doszli do wniosku, że w tym przypadku nie doszło do żadnego przestępstwa. Specjaliści doszli do wniosku, że takie zabezpieczenie to żadne zabezpieczenie (dosłownie!), więc nie można mówić o omijaniu zabezpieczenia, a co dopiero jego przełamywaniu.
Kwestia różnicy między omijaniem a przełamywaniem zabezpieczenia w kontekście systemów informatycznych jest dla mnie bardzo niejasna. Co nieco mówią na ten temat dwa cytaty:
Reasumując, o popełnieniu przestępstwa określonego w art. 267 par 1 kk decyduje sposób uzyskania zastrzeżonej informacji, nie zaś samo jej uzyskanie. Jeżeli następuje to bez przełamywania zabezpieczeń – przestępstwa nie ma. Jeżeli sprawca wykorzystuje dziurę w konfiguracji lub oprogramowaniu systemowym po to, by uzyskać znajdującą się w systemie informację – nie można mu nawet przypisać usiłowania przestępstwa, o którym mówi art. 267 par 1 kk. Jeżeli wykorzystanie słabości systemu nie wymaga od hackera ingerencji w zapis na komputerowym nośniku informacji lub korzystania ze specjalnego oprogramowania – zachowanie takie w ogóle nie jest karalne.
(dr Andrzej Adamski, „Prawo karne komputerowe” (str.53), na temat art. 267 kk)
Nie można natomiast uznać za przełamanie zabezpieczenia obejścia mechanizmów lub procedur postępowania uniemożliwiających zapoznanie się z informacją osób nieuprawnionych. Przełamanie zabezpieczenia następuje wyłącznie wówczas, gdy sprawca swoim działaniem wpływa na funkcjonowanie tego zabezpieczenia. Jeżeli istnieje taki sposób dostępu do informacji, który nie został objęty szczególnym zabezpieczeniem, to skorzystanie z tego sposobu nie stanowi realizacji znamion z art. 267 § 1, choćby nawet osobie zapoznającej się z informacjami wiadoma była wola ich zabezpieczenia przed osobami postronnymi.
(Włodzimierz Wróbel – “Komentarz do art. 267 kodeksu karnego”, “Kodeks karny. Część szczególna. Tom II. Komentarz do art. 117-277 k.k.”, Zakamycze 2006)
Z powyższych informacji wynika, że jeśli ktoś ma zbyt wyluzowane podejście do technik bezpieczeństwa, to to jest to tylko i wyłącznie jego wina jeśli coś “wycieknie”. Jeśli SQL injection, który jest już dosyć aktywnym atakiem, w pewnym, dosyć szerokim kontekście, nie może zostać uznany za przestępstwo, to co myśleć o wejściu na wyguglany adres?
Czy 550W to za mało na mój komputer? Czy “udźwignie” dodatkową kartę graficzną, jeśli bym miał fantazję podłączyć trzeci monitor? Żeby się przekonać, a także żeby przeprowadzić jeden drobny test (o którym później), kupiłem watomierz – jeden z wielu dostępnych na Allegro. Może nie najtańszy, ale firmy o której coś jednak słyszałem. Efekty sprawdzania były ciekawe. “W stresie”, czyli pracując pod obciążeniem, komputer (sama jednostka centralna) zużywał 170-175W, a nudząc się – ok. 135W. Moja płyta główna, Gigabyte GA-EP45-DS3R, zawiera technologię “Dynamicznego Oszczędzania Energii DES Advanced w systemie 6-trybowym”, co ogólnie oznacza, że komponenty które aktualnie nie są obciążone dostają mniej prądu – co najprawdopodobniej powoduje dużą rozbieżność między zużyciem energii w czasie obciążenia i luzu (ale nie mam porównania, więc może wszystkie komputery tak mają). Jak widać, zasilacz ma jeszcze duży zapas mocy, więc mogę spać spokojnie.
sziwan, and 
Kolejny z postów z serii “Poszukuję smartfonu dla siebie”, tym razem z bonusową wartością nostalgiczną.
Ale kluczowa w tym tekście była praca w zakładkach.
pshm, 
Wojciech Zachary and 2 others are discussing. 
. Potem były Linux-y cała ich masa ostatecznie zainstalowała się Fedora 6, ładna całkiem, jednak próby wgrywania łatek i nowych wersji – całkowita porażka. Linux jest w/g mnie niedorobiony całkowicie. Pościg za Windowsem w temacie kreatorów i ułatwień powoduje, że człowiek czuje się tak samo niepewnie. Dodatkowo te wszystkie “dystrybucje” pomieszanie w pakietach skryptach i katalogach systemy zajmujące 3-5 GB. To jakieś całkowite nieporozumienie. Wszyscy w imię wolności lubią sobie pomieszać i potem tracić czas na udowadnianie, że to co zrobili jest super. Przed Linux-em dłuuuga droga i oby nie była do nikąd. A tak nawiasem gdzie można znaleźć jakieś testy wydajności Win XP i Visty?
Rozszerzenia dla webmasterów będę później 
Heavenly 21:41 on 2009-11-24 Permalink |
Robiłem takie pomiary dla pewnego serwera który kilka lat temu zbudowałem do celów domowych, w oparciu o Compaq Deskpro EN. Wywaliłem mu zbędne elementy, pracował bez monitora i klawiatury – w trybie ciągłej pracy częstował się maksymalnie 40W. Czyli jak na domowy serwer – wyśmienicie. Nie ma sensu do takiej maszyny pakować PIV czy innego Core Duo, bo i tak nie wykorzysta się jego mocy.
Leszek Krupiński 21:50 on 2009-11-24 Permalink |
Też ładnie. Muszę sprawdzić ile połyka mój domowy serwerek, oparty na Compaq EVO (coś takiego http://is.gd/52P2V ) – na razie ma ponad rok uptime’u, więc nie będę go wyłączał, ale rodzice dostali taki sam na word-internet, więc tam sprawdzę
sziwan 18:31 on 2009-11-25 Permalink |
Różnicę rzędu 35-40 W pomiędzy idle a obciążeniem masz prawdopodobnie na samym procesorze, choć możliwe że karta graficzna się minimalnie dokłada. Praktycznie każda część komputera ma teraz możliwość takiego czy innego oszczędzania energii, ale bardzo rzadko jest to poprawnie zaimplementowane w systemie czy w sterownikach (poza CPU i kartą właśnie, a i to bardziej z powodów ochrony przed przegrzaniem). Spadek zużycia o 20% to raczej kiepski wynik
ATSD, standby, suspend to RAM i hibernacja w stacjonarkach obecne są od dawna i powinny działać poprawnie na każdym komputerze wyprodukowanym po 2002 r. Miałem desktopa Fujitsu-Siemens z P3 na chipsecie i815 (2000 r.?) na którym to działało
Leszek Krupiński 00:20 on 2009-12-03 Permalink |
Oczywiście że ta różnica zużycia prądu to sam procesor – w testach “stresowych” obciążałem tylko CPU
Może kiedyś zrobię obciążenie całościowe (czyt. odpalę jakąś gierkę), ale na razie nie czuję potrzeby.
Co do reszty – hibernacja oczywiście działała mi wcześniej, ale suspend to RAM był “udawany”, tak jak napisałem wyżej. Nie wiem z czym się to wiązało.