Pomiędzy bitami

6 marca, 201517 kwietnia, 2018

Jakość niektórych narzędzi security Linuksie

Był sobie ciekawy wpis dotyczący siły haseł i narzędzi do automatycznego jej sprawdzania. Szykowałem się do dokładniejszej zabawy i testów, ale jakoś się rozeszło po kościach, więc krótko o tym, co zauważyłem.

Wnioski na temat jakości narzędzi do generowania haseł i automatycznego sprawdzania nie są zbyt optymistyczne. Narzędzia do haseł mają błędy. Smutne błędy. Spójrzmy na następujące wynik dotyczące haseł wygenerowanych przez pwgen i sprawdzanych cracklib-checki. Za każdym razem generowane było 100 tys. haseł, o zadanej długości (poczynając do 10 i kończąc na 20). Liczba podaje, ile nie było OK wg cracklib-check.

LANG=C pwgen -s -1 10 100000 | LANG=C /usr/sbin/cracklib-check | LANG=C fgrep -cv ': OK' 
79LANG=C pwgen -s -1 11 100000 | LANG=C /usr/sbin/cracklib-check | LANG=C fgrep -cv ': OK' 
122LANG=C pwgen -s -1 12 100000 | LANG=C /usr/sbin/cracklib-check | LANG=C fgrep -cv ': OK' 
16LANG=C pwgen -s -1 13 100000 | LANG=C /usr/sbin/cracklib-check | LANG=C fgrep -cv ': OK' 
27LANG=C pwgen -s -1 15 100000 | LANG=C /usr/sbin/cracklib-check | LANG=C fgrep -cv ': OK' 
59LANG=C pwgen -s -1 16 100000 | LANG=C /usr/sbin/cracklib-check | LANG=C fgrep -cv ': OK' 
98LANG=C pwgen -s -1 17 100000 | LANG=C /usr/sbin/cracklib-check | LANG=C fgrep -cv ': OK' 
141LANG=C pwgen -s -1 18 100000 | LANG=C /usr/sbin/cracklib-check | LANG=C fgrep -cv ': OK' 
215LANG=C pwgen -s -1 19 100000 | LANG=C /usr/sbin/cracklib-check | LANG=C fgrep -cv ': OK' 
275LANG=C pwgen -s -1 20 100000 | LANG=C /usr/sbin/cracklib-check | LANG=C fgrep -cv ': OK' 
373

Jak widać, ilość słabych haseł spada, osiągając minimum w okolicy dwunastoznakowych, by następnie systematycznie rosnąć. Rzut oka na generowane hasła i… wszystko jasne:

HiGFYedy6gHG: it is too simplistic/systematicnowuTUtOon4W: it is too simplistic/systematicO4rstUX43Bef: it is too simplistic/systematic1mMTsIHZyHIH: it is too simplistic/systematicSeVw3MnMnOpp: it is too simplistic/systematic

Domyślnie(?) cracklib-check uznaje powtórzenie znaków za oznakę słabego hasła. Kurtyna.

Kolejne narzędzie, które znam, lubię i którego używam często (zwykle modyfikując wynik, jednakowoż) to gpw. Okazuje się, że posiada ono brzydki błąd, który powoduje, że czasami hasło nim wygenerowane jest krótsze, niż planowaliśmy, tj. niż podane w stosownym parametrze. Przykład: 100 tys. haseł szesnastoznakowych (niby!):

gpw 100000 16 | LANG=C /usr/sbin/cracklib-check | LANG=C fgrep -v ': OK' | grep -i shortaqs: it is WAY too short

I hasło typu aqs. Jest nawet zgłoszony błąd w Debianie w tej sprawie. Też mam mieszane uczucia co do poziomu istotności błędu, ale… sprawdzanie długości otrzymanego wyniku to przecież trywialna sprawa, więc jakie inne błędy może mieć soft?

Ogólnie: mam wrażenie, że nie warto zbytnio ufać gotowym narzędziom. Może nawet nie to, żeby od razu pisać coś własnego, ale warto sprawdzić gotowce (bezpieczne! wolnoźródłowe!), nim się z nich skorzysta.

27 lutego, 201517 kwietnia, 2018

Monitoring w pracy

Nadzór w pracy istnieje od zawsze. Jakby nie było, jest to jedna z funkcji kadry kierowniczej. Zastanawiałem się ostatnio, jak to wygląda obecnie, co się zmieniło. O tym, że coraz więcej zakładów ma zamontowane kamery powszechnie wiadomo. Zresztą rejestratory video staniały i spowszedniały na tyle, że spora część znajomych ma je zamontowane w samochodach czy na rowerach. Opinie na ich temat w miejscach pracy są różne, część pracowników jest (była?) zdecydowanie niechętna, ale IMO tak naprawdę wszystko zależy, jak są wykorzystywane i umieszczone. Pracuję w miejscu, gdzie są kamery i raz mi osobiście jako pracownikowi się przydały.

Sprawa trywialna, coś z laptopem i dyskiem było. Kumpel przyniósł czyjegoś służbowego lapka, ja wyjąłem z niego dysk, podłączyłem do kieszeni, IIRC zrobiłem diagnostykę, wkręciłem dysk z powrotem, oddaję lapka. No i przychodzi kumpel, pokazuje zdjętą zaślepkę, pusto, i pyta „a gdzie dysk?”. Szukamy. Tak całkiem pewien, że go wsadziłem z powrotem to nie byłem, bo raczej odruchowo działałem, więc sprawdzam biurko, szuflady. Jak się tak rozglądam, to jestem coraz bardziej przekonany, że włożyłem z powrotem. Kumpel upiera się, że dostał ode mnie, otworzył i było pusto. Zgrzyt.

No to wzięliśmy nagranie z rejestratora. I widać jak wyjmuję, podłączam do kieszeni, wkładam z powrotem, przykręcam. Kumpel obraca lapka tak, jak jest na kamerze i pokazuje pustą dziurę po lewej. Patrzymy w monitor, wkręcam po prawej. WTF? Patrzymy na lapka i w śmiech. Ano tak, laptop był 17″ i miał dwa sloty na dysk, ale to zupełnie nie przyszło nam do głowy.

Tak czy inaczej, nagrania z kamer są dość dokładne (no dobrze, zależy od kamery i ustawień jeszcze), ale raczej trudno je analizować automatycznie. Forma strawna dla komputera to raczej osoba, timestamp, określenie miejsca. Oczywiście da się zrobić, bo pozycjonować można choćby smartfona (i aktywnie, przy pomocy aplikacji na smartfonie, i pasywnie, z wifi), no ale nie każdy pracownik w zakładzie musi mieć smartfona, włączonego, z wifi itd.

Niedawno dostałem namiar na stronę https://www.autoid.pl/ czyli dostawcy systemów do automatycznego… praktycznie wszystkiego – identyfikacji osób, przedmiotów, pojazdów itp. i dostałem odpowiedź na moje pytanie, jak można w sposób łatwo przetwarzalny komputerowo monitorować miejsce przebywania pracownika w firmie. Technologia opiera się na RDIF, które mogą służyć nie tylko do jako karty dostępu do drzwi (de facto standard w firmach, kto nie ma karty?), ale w wersji „dalekiego zasięgu” (do 12 m) mogą być odczytywane bez przykładania do czytnika. Wygląda na prostsze i tańsze od smartfona u pracownika, prawda?

Producent podpowiada nawet sposoby umieszczenia – zaszycie w ubraniu roboczym, oraz jako karta. No i w tym momencie można automatycznie sprawdzić… wszystko. Na przykład to, czy dany pracownik pracuje na swoim stanowisku, czy siedzi i flirtuje z sekretarką. Z których pomieszczeń korzysta. Albo jak często wychodzi do toalety.

Uczucia, podobnie jak w przypadku kamer mam mieszane. Oczywiście wyobrażam sobie nadużycia ze strony pracodawcy z wykorzystaniem tego typu technologii, ale… nie dajmy się zwariować. Równie dobrze może wykorzystywać tego typu rozwiązania do optymalizacji rozmieszczenia narzędzi/pomieszczeń… Tworzący prawo będą mieli kolejny trudny orzech do zgryzienia.

Czyli klasyczne: narzędzia nie determinują wykorzystania. Pozostało życzyć wszystkim normalnych AKA ludzkich pracodawców, którzy rozsądnie korzystają z narzędzi. I pracowników, których nie trzeba kontrolować na każdym kroku.

22 lutego, 201517 kwietnia, 2018

Statystyki luty 2015, era przedmobilkowa

Niedawno zauważyłem, że Blox przy starym szablonie mobilnym nie tylko narzuca wygląd (i reklamy), ale co gorsza nie wyświetla skryptów dodatkowych, szpalty bocznej itp. W tym skryptów stat4u i Piwika, których używam. Oznacza to, że wszystkie statystyki dotyczyły tylko wersji pełnej i zupełnie pomijały klientów korzystających z wersji mobilnej.

Dla pamięci:

Wg Piwika, którego mam podpiętego do moich stron, tablety + smartfony w lutym na Blox to 1,7% urządzeń. I to są ci użytkownicy, którzy przełączyli się na wygląd normalny. Na starym blogu w analogicznym okresie tablety + smartfony to 14% urządzeń. Zupełnie ostrożnie mogę założyć, że „mobilków” jest tu minimum 14%. Stawiałbym bardziej na 20-25%.

Ponieważ wczoraj zmieniłem szablon, to najwyższy czas, żeby zrobić statystyki blog, tym bardziej, że zauważyłem, że właśnie minął ponad rok od ostatnich statystyk. Najwyższy czas zrobić snapshota.

Dominujący system (i wzrost udziału) to nadal Windows 7 – 35,79%, na drugim nadal XP 25% (ewidentnie zaszłość). Vista spada na 6,2%. Minimalny wzrost udziału Linuksa – do 23,9%, podobnie wzrasta Mac OS X – 2,6%. Windows łącznie nadal 71%. Czyli praktycznie bez zmian.

W przypadku przeglądarek minimalny spadek udziału Firefoksa do 50,4%. Chrome wzrasta do 27,5%. Prawdopodobnie kosztem Opery, bo jej udział spadł do 7,7%. Podobnie jak w przypadku Windows XP głównie za sprawą starszych danych się trzyma. Najpopularniejsza z przeglądarek Microsoftu to MSIE 8.0 z udziałem 3,7% (spadek). Łączenie różne wersje IE to 8,5%, czyli delikatny spadek.

Jeśli chodzi o rozdzielczość ekranu, 1280×800 i 1280×1024 znowu spadają, tym razem na 19,5%. 1366×768 ma już 16,1% udziału. Spadek 1024×768 wyhamował – 5,8% (też pewnie w znacznej mierze zaszłości). Gwałtownie rośnie popularność 1920×1080 – 6,2%. 1680×1050 – 4.3%, 1440×900 – 3,9%.

Pagerank bez zmian – 4 tu, 3 na starym, blog muzyczny N/A.

Jeśli chodzi o reklamy Google, to zmieniłem sposób wyświetlania – podpięte są tylko do starych wpisów, na których są wejścia z wyszukiwarki. Za to w większej ilości. W ten sposób stali czytelnicy nie dostają reklam, a nadal są one wyświetlane i klikane. W sumie spadek w przychodach minimalny, a uciążliwość mniejsza.

Oczywiście dane powyżej nadal ze stat4u. Na Piwika patrzę sobie na bieżąco bardziej, pewnie za miesiąc czy dwa spojrzę, ilu tak naprawdę było użytkowników na mobilkach (tablet, smartfon).

UPDATE Cierpliwy nie jestem, spojrzałem już po tygodniu. Przestrzeliłem, bo tu też jest około 14% na mobilkach. Konkretnie 11,9% na smartfonach i 1,8% na tabletach.