Kategorie
Bezpieczeństwo Publicystyka

Graficzne hasze haseł pakietu Lotus Notes

Tak to już jest w systemach komputerowych, że im wygodniej tym mniej bezpiecznie a im bezpieczniej tym mniej wygodnie. Przykładów nie trzeba szukać daleko – logowanie dwuskładnikowe (bezpieczne, niewygodne) czy zapamiętywanie haseł w przeglądarce (mniej bezpieczne, wygodne).

Dziś wspominamy charakterystyczną funkcję pakietu Lotus Notes, która nieznacznie poprawiała użyteczność i nieznacznie obniżała bezpieczeństwo. Była jednak na tyle charakterystyczna, że użytkownicy Notes-a nie zapominają o niej nawet po kilkunastu latach.

Kategorie
Android iOS Publicystyka Zrób to sam

Więcej, niż chcieliście wiedzieć o QR-kodach

Większość z nas zetknęła się z QR-kodami, niewielkimi obrazkami pomagającymi otwierać na komórce stronę internetową bez ręcznego wklepywania adresu. Mało kto jednak zastanowił się, jakie algorytmy odpowiadają za to, że zeskanowanie QR-kodu jest tak szybkie i niezawodne.

Niniejszy artykuł opisuje proces produkcji obrazka z wybranym napisem. Ścieżka będzie jak zwykle prowadziła zakosami, poczytamy więc o nadmiarowym kodowaniu korekcyjnym, steganografii, typach QR-kodów, a nawet zagrożeniach, jakie mogą tkwić w tych niewinnych, czarno-białych obrazkach. Wszystko opisane prostym językiem, zrozumiałym dla osób spoza branży IT. Zapraszam do lektury!

Kategorie
Bezpieczeństwo Publicystyka Zrób to sam

Szyfrowanie dokumentów numerem PESEL nie chroni ich zawartości

Od kilku miesięcy mBank zapowiada, że wkrótce wyciągi i inne dokumenty dostarczane klientom pocztą elektroniczną będą miały postać plików PDF opatrzonych hasłem. Ich zawartość ma być dzięki temu chroniona przed osobami postronnymi, które w ten czy inny sposób weszłyby w ich posiadanie. Postanowiłem sprawdzić, jak można zabrać się do łamania owego zabezpieczenia.

W niniejszym artykule pokazuję, że użycie numeru PESEL jako hasła do dokumentu PDF nie ma żadnego sensu. Na zwykłym domowym komputerze atak siłowy potrwa zaledwie kilkanaście sekund. Jeśli jednak ustawisz hasło samodzielnie, podniesiesz próg trudności ataku z sekund do milionów lat.

Kategorie
Android iOS Publicystyka

Fotografia obliczeniowa

Rok temu byłem z przyjaciółmi na wycieczce w górach. Ja pstrykałem zdjęcia smartfonem, kolega – zaawansowaną lustrzanką cyfrową. Gdy je porównaliśmy, okazało się, że moje są… ładniejsze. Owszem, ujęcia z lustrzanki były technicznie o wiele doskonalsze i obróbka w „cyfrowej ciemni” pozwoliłaby wydobyć z nich naprawdę piękne obrazy. Nie było jednak wątpliwości, że komórka z obiektywem wielkości łebka od szpilki dostarczała na poczekaniu fotografie przyjemniejsze w odbiorze od tego, co rejestrował aparat za milion monet.

Przez długi czas chciałem napisać artykuł opisujący ten fenomen. Okazało się, że nie muszę – tekst taki przygotował rok temu Wasilij Zubariew prowadzący bloga vas3k.com. Oryginał dostępny jest w języku rosyjskim, tutaj znajdziesz wersję angielską. Poniżej prezentuję polskie tłumaczenie, w którym – za zgodą autora – wprowadziłem kilka zmian. Zapraszam do lektury!

Kategorie
Publicystyka Zrób to sam

O tym, jak rozdawałem bitcoiny w social mediach ale nikt ich nie chciał

“W życiu nie ma nic za darmo” – tę mądrość słyszał w dzieciństwie chyba każdy, czasem podczas konsumpcji darmowego loda lub gofra. Także w dorosłym życiu zdarza się czasem dostać od nieznajomego gratisową fajkę lub piwo. Ja postanowiłem podarować dziś czytelnikom trochę bitcoinów ale okazało się, że NIKT ICH NIE CHCE.

Dobra, zachowując sceptycyzm mieliście trochę racji. Kilka dni temu darmowe bitcoiny obiecali na Twitterze Elon Musk, Bill Gates, Barack Obama, Warren Buffet i kilka innych znanych osób. Pisali, żeby wpłacać bitcoiny na ich konto a oni odeślą podwojoną kwotę – potem się okazało, że pisali to złodzieje, którzy włamali się do Twittera i przejęli kilkadziesiąt kont ważnych ludzi. Moja oferta była jednak uczciwa i nie zawierała żadnych ukrytych pułapek. Gratisowe bitcoiny tu i teraz. Wymyślając niniejszy tekst założyłem, że ktoś schyli się po nie w ciągu kilkunastu minut a ja będę mógł napisać, że o rany jak szybko. Plany sobie, życie sobie. Tekst publikuję za minutę, social media przeczytało ponad 2100 osób, kryptowaluta czeka na chętnego jak portfel na środku chodnika.

Kategorie
Publicystyka Zrób to sam

Wysyłamy plik pocztówką czyli do czego służy kodowanie Base64

Załóżmy, że wysyłamy komuś pocztówkę z wakacji i koniecznie chcemy zamieścić w treści pozdrowień… plik komputerowy. Nie jest to szczególnie częste, ale skoro ludzie tworzą mieszczące się na wizytówce gry i programy generujące grafikę 3D to kartka pocztowa jako nośnik plików nie może być AŻ TAK egzotyczna.

W tym tekście zastanowimy się, w jaki sposób zapisać treść pliku przy użyciu jak najmniejszej liczby znaków. Dzięki temu będziemy mieć satysfakcję, że nie narobiliśmy się niepotrzebnie a na pocztówce zmieszczą się możliwie duże pliki. Na końcu artykułu będzie miał miejsce nagły zwrot akcji, w którym okaże się, że wcale nie chodziło nam o pocztówki.

Kategorie
Publicystyka Statystyki

Czasopismo Informatyk Zakładowy i kulisy bloga po raz pierwszy

Dzisiaj dwa tematy. Pierwszy: Informatyk Zakładowy jest od początku kwietnia czasopismem wpisanym do rejestru dzienników i czasopism prowadzonym przez Sąd Okręgowy we Wrocławiu a ja jestem jego redaktorem naczelnym i wydawcą. Szczegóły w dalszej części tekstu.

Drugi – niniejszy blogasek będzie prowadzony w sposób przejrzysty i otwarty, co oznacza, że dziś po raz pierwszy macie okazję zajrzeć w statystyki oglądalności i wynik finansowy. Do tematu będę cyklicznie powracał, dziś opiszę dodatkowo pierwotną koncepcję serwisu, porzuconą pół roku temu.

Kategorie
Bezpieczeństwo Publicystyka

Usterka w serwisie transakcyjnym mBanku – zgłoszona i naprawiona

Tym razem historyjka krótka i z życia wzięta: znalazłem usterkę w serwisie transakcyjnym mBanku. Nie szukałem jej aktywnie, natrafiłem na nią podczas przeszukiwania historii operacji. Pamiętałem, że w przelewie, który chciałem powtórzyć, występował uśmieszek z dwukropka, minusa i nawiasu, więc taki ciąg znaków wpisałem w pole wyszukiwania operacji. Po sekundzie od wpisania ostatniego znaku startowało automatyczne podpowiadanie, z którego byłem natychmiast wyrzucany na następującą stronę:

Komunikat błędu sugeruje usterkę klasy input validation, najwyraźniej wpisywany przeze mnie tekst był interpretowany przez mechanizm wyszukiwania jako część wyrażenia regularnego, tymczasem powinien być traktowany literalnie jako tekst wzorcowy. Nie próbowałem eksplorować błędu, bo ewentualna blokada podstawowego konta bankowego byłaby dla mnie problematyczna. Zamiast tego napisałem do zespołu bezpieczeństwa instrukcję odtworzenia błędu:

Kategorie
Administracja publiczna Epidemia Publicystyka

Znamy treść umowy na wykonanie aplikacji Kwarantanna Domowa. Czy rząd przepłacił?

Dostałem z Ministerstwa Cyfryzacji kopię umowy na wykonanie aplikacji Kwarantanna Domowa – części mobilnej, przeglądarkowej i serwerowej, wraz z informacją o zakresie i długości trwania wsparcia serwisowego. Spieszmy się czytać umowy, tak szybko wygasają. Ministerstwo Cyfryzacji będzie pozbawione wsparcia producenta jeszcze przed końcem tegorocznych matur – chyba, że dokupi je ze ćwierć miliona… miesięcznie.

Dodamy to oczywiście do już wydanych dwóch i pół miliona za program i prawie miliona na SMS-y. Dużo to czy mało? Zgroza i hańba czy jednak okazja? Na to pytanie nie odpowiedzą wam dziennikarze. Ja odpowiem. Poniżej znajdziecie oszacowanie, ile kosztowałoby napisanie takiego oprogramowania od zera. Same umowy są na końcu tekstu i pamiętajcie – to informacja publiczna, zapraszam do kopiowania.

Kategorie
Android Epidemia iOS Publicystyka

Skąd wiadomo, co robi aplikacja mobilna

Ten artykuł piszę z myślą o osobach, które interesują się tematem aplikacji śledzących kontakty społeczne, ale nie mają ugruntowanej wiedzy z zakresu IT i programowania. Aplikacje wspomagające walkę z koronawirusem są obecnie przedmiotem wielu dyskusji i opracowań a nie wszyscy dyskutanci dobrze rozumieją charakterystyczne cechy ekosystemów Android i iOS. W tekście nawiążę do postulatów “7 Filarów Zaufania”, o których można przeczytać na stronach Fundacji Panoptykon.

Zastrzeżenie: Ministerstwo Zła, które pojawi się w tekście, nie ma nic wspólnego z żadnym istniejącym ministerstwem tego czy owego rządu i służy wyłącznie jako figura retoryczna. W rozważaniach dotyczących praw człowieka często rozważa się rozwój wydarzeń według najgorszego scenariusza – i nasze Ministerstwo Zła realizuje taką właśnie ścieżkę.