Bezpieczeństwo

Public Key Infrastructure w służbie pracownika, czyli jak wygrać z naszym mózgiem

Rafał Jaczynski Rafał Jaczynski
01 lutego 2011
Public Key Infrastructure w służbie pracownika, czyli jak wygrać z naszym mózgiem

Jeden z niedawnych wpisów na Hardcore Security Lab przypomniał mi, że obiecałem Wam kontynuację tematu Bezpiecznej Poczty TP, czyli naszego rozwiązania kryptograficznego, opartego na infrastrukturze klucza publicznego (PKI) . Szyfrowanie i uwierzytelnianie poczty to bowiem tylko jedno z jego zadań.

Konieczność regularnej zmiany haseł, wymuszana przez firmowe polityki bezpieczeństwa, traktowana jest przez użytkowników jako zło – nomen omen – konieczne. Nie dziw więc, że cytowane przez blog HCSL badania trzech naukowców z Uniwersytetu Północnej Karoliny wykazały, iż w znacznej części przypadków monitowani o zmianę użytkownicy dodają do „bazowego” hasła np. kolejne cyfry, zmieniając 1 na 2, potem 2 na 3 i tak dalej. Efekt jest przewidywalny – w przypadku cytowanych badań w 90 proc. przypadków nowe hasło można było odkryć na podstawie poprzednich.

Nie da się ukryć, że mechanizmy działające w ludzkim mózgu niejako niezależnie od nas starają się upraszczać nam życie. Choćby wtedy, gdy na etapie podświadomości filtrują z zalewu wiadomości te, które są dla nas istotne, a odrzucają to, co w IT nazwalibyśmy po prostu spamem. I tu z pomocą, zarówno użytkownikom, jak i pracodawcy, przychodzi Bezpieczna Poczta (BPTP). W TP bowiem w procesie logowania domenowego zamiast nazwy użytkownika i hasła  wystarczy włożyć do portu USB token BPTP i wpisać jego alfanumeryczny PIN. PIN to rzecz jasna też hasło i na tej samej zasadzie można go odgadnąć. W tym przypadku jednak znajomość PINu, osiągnięta w dowolny sposób (podejrzenie, brute force, ukradnięcie użytkownikowi kartki z PINem :) ) bez posiadania tokena nic nie da. Oczywiście można również ukraść token, ale jest to łatwiejsze do odnotowania, niż zwykłe podsłuchanie/złamanie hasła, więc siłą rzeczy uwierzytelnienie jest wyraźnie silniejsze.

BPTP daje użytkownikowi możliwość autoryzacji za pomocą certyfikatu kryptograficznego wszędzie, gdzie są ku temu techniczne możliwości, np. do firmowego VPNa, sieci Wi-Fi, czy też przy szyfrowaniu dysku – wyjaśnia Leszek Gerwatowski, kierownik Działu Bezpieczeństwa Aplikacji, w Telekomunikacji „guru” od systemów opartych na PKI. – Zunifikowanie tych możliwości w jednym kluczu USB nie tylko zmniejsza koszty, ale też ułatwia obsługę systemu i powoduje, że w przypadku problemów z zagubieniem, czy kradzieżą, wystarczy zastrzec tylko jeden token – tłumaczy. Przede wszystkim jednak korzystanie z BPTP (w niektórych przypadkach autoryzacja tokenem jest warunkiem dostępu, czy skorzystania z usługi) znacznie obniża ryzyko nieautoryzowanego dostępu do wrażliwych obszarów sieci korporacyjnej. Kilka dni temu, 7 stycznia, udało się co prawda złamać 768-bitowy klucz RSA, ale szacuje się, iż złamanie kilobitowego (a taki stosowany jest w BPTP) nastąpi najwcześniej w… 2020 roku.


Odpowiedzialny biznes

Smutek króla

Jarosław Konczak Jarosław Konczak
01 lutego 2011
Smutek króla

Są w Warszawie takie dwie knajpki Szpilka i Szpulka - kiedyś (może i teraz) były modne, nawet bardzo modne i jak ktoś z "warszawki" chciał by go zauważono wpadał tam na śniadanko, kawkę, obiadek, drinka i czekał, aż go ktoś zauważy. Widziałem tam kiedyś dwie najsmutniejsze twarze - wówczas były to na świeżo dwie uczestniczki pierwszego Big Brothera, które parę miesięcy po zakończeniu programu dalej w tej Szpilce i Szpulce wyciągały szyje, piły soczki przez słomkę, nerwowo się rozglądając - czy ktoś je zauważy, podejdzie, o autograf poprosi. I coraz smutniejsze oczy rejestrowały przechodniów i gości, którzy nie pamietali, nie widzieli, albo widzieli, ale nie podchodzili, nie podziwiali i nie prosili o autografy. Zapomniane i nie chciane samozwańcze gwiazdki....

Samozwańczy i przez większość niechciany, choć nie dający o sobie zapomnieć jest Andrzej Bobo Bobowski, samozwańczy "Król Kibiców", który od kilkudziesięciu lat pokazuje się na stadionach piłkarskich, a teraz próbuje podbić Facebook (na razie z umiarkowanym skutkiem). Król do skromnych nie należy i z pewnością mógłby kandydować do korony w kategorii "samochwała". Prezentuje się jako najwierniejszy kibic. Z tymi, którzy są pierwszy raz na stadionie i wszystko jest  atrakcją robi sobie zdjęcia. Pojawia się bez zaproszenia lub z zaproszeniem na galach i generalnie kręci się tam gdzie kręci się piłka nożna.

Widziałem go dziesiątki razy i gdy patrzyłem na niego z bliska zawsze przypominały mi się te oczy ze Szpilki i Szpulki, smutne oczy świadczące o samotności "Króla", którego nikt nie poważa, nikt nie słucha, nikt nie podziwia i który stoi sam w koronie, płaszczu, szalu i gdy je zdejmie pozostaje nierozumianym, nierozpoznawalnym starszym panem.

I to zawsze jest dla mnie smutne


Odpowiedzialny biznes

To nie są frędzle na czapce Małysza

Michał Rosiak Michał Rosiak
31 stycznia 2011
To nie są frędzle na czapce Małysza

Zanosi się na to, że Kamil Stoch zaczął siebie - i kibiców - przyzwyczajać do miejsc w czołówce Pucharu Świata, a i pozostali Polacy coraz systematyczniej wzbogacają swoje pucharowe konta o kolejne punkty. Jeszcze niedawno poważnie obawiałem się, że po zakończeniu kariery przez Adama Małysza skoki narciarskie wrócą w naszym kraju na sportowy margines, a tymczasem rosną nadzieje przed mistrzostwami świata w Oslo.

Jak Małysz skoczy w Zakopanem? Czy Małysz zbliży się do Morgensterna? Czy niesamowity doping zakopiańskiej publiczności doda skrzydeł Adamowi? Medialne tytuły przed konkursami na Wielkiej Krokwi skupiały się niemal w stu procentach wokół "Orła z Wisły", a tu nagle okazało się, że - to nie moje określenie, ale ładne - upadł król, niech żyje król. W miniony weekend okazało się, że na razie mamy nie tylko dwuwładzę, ale przede wszystkim - nie do wiary - realne szanse walki o medal nadchodzących mistrzostw świata w dru-ży-nie!

A jeszcze niedawno, gdyby wierzyć mediom, wydawało się, że mimo iż w biało-czerwonych barwach skacze wielu "młodych zdolnych", a wszystko miało być piękne, skończy się jak zawsze. Gdy kadrę prowadził Heinz Kuttin, dziennikarze potrafili mówić o nim jako o "trenerze Adama Małysza" (sic!), młodzież latała mocno chimerycznie, występami "grupy pościgowej" z liderem Stochem interesowano się w zasadzie tylko w przypadku konkursów drużynowych. Łukasza Kruczka odsądzano od czci i wiary, ironicznie komentując fakt, iż Małysz przeniósł się pod indywidualną opiekę Hannu Lepistoe. Ogólnie rzecz ujmując warunki nie najlepiej sprzyjające rozwojowi.

Tym milej było przyglądać się występom Polaków w Willingen. Małysz i Stoch na równym wysokim poziomie, goniący ich Hula i jeszcze chimeryczny, ale coraz częściej latający daleko Żyła - czy to jest drużyna na medal MŚ? Oceniając po liczbie skoczków w "10" Pucharu Świata to nawet na srebrny - po raz pierwszy od niepamiętnych czasów mamy wśród najlepszych dwójkę skoczków, a z czwórką biją nas tylko bezkonkurencyjni Austriacy. Jedno jest pewne - wolałbym, żeby nikt nic nie mówił o medalowych nadziejach, bo wtedy - jak pokazuje przykład piłkarzy ręcznych - wszystko źle sie kończy. A najlepiej w ogóle dać chłopakom spokój. Jakoś sobie radzili, gdy przez te wszystkie lata traktowano ich jak ozdobniki Małysza, niczym frędzle na jego czapce, to teraz też sobie poradzą. A tym, którzy postawili na nich kreskę, będzie głupio.

Scroll to Top