Fighting the automation paradox || Deployment θα κάνουμε φωνάζοντας "αέρα"
The one true way to avoid (critical) Data Loss is to not generate critical data at all.
The above statement is not to be taken as not to invest in DLP. You have to. It simply means that you have to understand (unforeseen) limitations in such solutions. To paraphrase the Internet robustness principle:
Be conservative in the data that you generate (collect); be liberal in how you process them.
For if you generate it, eventually it will fly.
Όταν μια εταιρία συγκεντρώνει τα στοιχεία που γνωρίζει από τις συναλλαγές μου, το κάνει γιατί έχει ως στόχο το οικονομικό της όφελος, τη βελτίωση των υπηρεσιών που προσφέρει προς εμένα κ.ο.κ.
Όταν το Κράτος (που δεν είναι επιχειρηματίας) κάνει το ίδιο, τότε έχει στα χέρια του false positives πιθανών μελλοντικών εγκλημάτων:
“As governments widen their definitions of just who is a potential threat it makes increasing sense for citizens engaged in previous innocuous activities (especially political and financial privacy) to protect their data from being useful if seized.”
(Σκέψου τώρα τι σημαίνει να έχεις παρόμοιες αγοραστικές συνήθειες με κάποιον που φέρεται να συμμετέχει σε μια τρομοκρατική οργάνωση.)
Η ακεραιότητα του χαρακτήρα των σημερινών διαχειριστών των δεδομένων δεν μου λέει τίποτε. Ούτε η ικανότητα. Δε θα είναι στη θέση τους σε 5 ή σε 10 χρόνια έτσι κι αλλιώς. Καλό είναι καμιά φορά οι άνθρωποι που παίρνουν αποφάσεις να σκέφτονται και πέρα από το χρονικό ορίζοντα της θητείας τους.
Εγώ δε θέλω να είμαι false positive. Και φυσικά εάν δεν πάρω την φοροκάρτα κάποια στιγμή θα είμαι. I will play along. Μπορεί να μη μου αρέσει το μέτρο αλλά θα το εφαρμόσω. Και απλά θα περιμένω χρόνια μετά να σκάσει το false positive στον εμπνευστή του. Μπορεί να μην το μάθω ποτέ αλλά δεν έχει σημασία, έτσι κι αλλιώς δε θα χαρώ με το βάσανό του. Θα ήθελα όμως να μπορώ να του πω “eat your own dogfood”.
Το Κράτος κάνει ότι μπορεί για να βγάλει αληθινούς τους γραφικούς. Ποιος είναι πιο γραφικός τώρα;
Πρώτα έφυγαν οι ιδιωτικοί υπάλληλοι
και δεν είπα τίποτε · δεν ήμουν ιδιωτικός υπάλληλος
Μετά έφυγαν οι συμβασιούχοι
και δεν είπα τίποτε · δεν ήμουν συμβασιούχος
Μετά ήρθε η σειρά μου
και δεν υπήρχε κανείς να πει κάτι για μένα
Από το άρθρο 51 του Ν.4002/2011:
“5. Απαγορεύεται στους παρόχους υπηρεσιών διαδικτύου (ISPs) με καταστατική έδρα ή έδρα πραγματικής διοίκησης ή μόνιμη εγκατάσταση στην Ελλάδα σύμφωνα με τις γενικές διατάξεις του ν. 2238/1994, να επιτρέπουν την πρόσβαση σε παράνομους παρόχους τυχερών παιγνίων μέσω του διαδικτύου, όπως αναφέρονται στον οικείο κατάλογο (black list) που τηρεί η Ε.Ε.Ε.Π.. Στον πάροχο υπηρεσιών διαδικτύου που παραβαίνει την υποχρέωση αυτή επιβάλλεται πρόστιμο που ορίζεται με τον Κανονισμό Διεξαγωγής και Ελέγχου Παιγνίων.”
Δεν έχω λόγια, καθώς στο άρθρο 52 γίνεται καλύτερο:
“10. Από την έναρξη ισχύος του παρόντος νόμου, απαγορεύεται στους παρόχους υπηρεσιών διαδικτύου (ISPs) με καταστατική έδρα ή έδρα πραγματικής διοίκησης ή μόνιμη εγκατάσταση στην Ελλάδα σύμφωνα με τις γενικές διατάξεις του ν. 2238/1994, να επιτρέπουν την πρόσβαση σε παρόχους τυχερών παιγνίων μέσω του διαδικτύου, οι οποίοι δεν έχουν λάβει άδεια σύμφωνα με τις διατάξεις του παρόντος νόμου. Αν παραβιάζεται η διάταξη του προηγουμένου εδαφίου τα πρόσωπα που ορίζονται στην παράγραφο 11 τιμωρούνται με φυλάκιση τουλάχιστον δύο ετών και με χρηματική ποινή από εκατό χιλιάδες (100.000) ευρώ μέχρι πεντακόσιες χιλιάδες (500.000) ευρώ ανά παράβαση.
11. Προκειμένου περί νομικών προσώπων, ως αυτουργοί των αδικημάτων των προηγουμένων παραγράφων θεωρούνται οι διευθύνοντες, εντεταλμένοι και συμπράττοντες σύμβουλοι ή οι πρόεδροι των διοικητικών συμβουλίων ή οι γενικοί διευθυντές και διευθυντές ή εν γένει κάθε εντεταλμένο πρόσωπο είτε άμεσα από το νόμο είτε από ιδιωτική βούληση είτε με δικαστική απόφαση στη διοίκηση ή στη διαχείριση του νομικού προσώπου. Εάν ελλείπουν όλα τα παραπάνω πρόσωπα, ως αυτουργοί θεωρούνται τα μέλη των διοικητικών συμβουλίων των νομικών προσώπων αυτών, εφόσον ασκούν πράγματι προσωρινά ή διαρκώς ένα από τα ως άνω καθήκοντα.”
Όλο το κείμενο του νόμου εδώ. Οι ρυθμίσεις που ενδιαφέρουν είναι από το άρθρο 25 έως το 55.
Earlier this morning I watched William Gibson tweeting about attribution decay:
To which I replied that:
attribution can be seen as a signal and therefore behave accordingly
The cyber warfare literature is full of writings on the demand for proper attribution and the problems it poses when action (kinetic or not) is needed. However I have not yet seen a proper term describing the (instinctive) strategy employed by attackers who want to leave no proper attribution trace behind (usually hopping from system to system). “Attribution decay” seems to fit perfectly.
We have a user that wishes to have messages sent from sender@host-xyzw.etp.eu.example.com discarded by our mailservers. The natural choice for such blocks seems to be FEATURE(compat_check). In fact we had a number of other users with similar requests that were serviced this way. The problem in this case was that the xyzw part of host-xyzw.etp.eu.example.com was not constant or predictable and finite. Naturally I thought that a local version of the check_compat ruleset would suffice, since $*.eu.etp.example.com matches all possible such hostnames. But it seems that according to the bat book this cannot be done while also using FEATURE(compat_check):
Note that although with V8.12 and later you can still write your own check_compat rule set, doing so has been made unnecessary by the FEATURE(compat_check) (§7.5.7 on page 288). But also note that, as of V8.12, you cannot both declare the FEATURE(compat_check) and use this check_compat rule set.
Since I did not wish to tamper with our sendmail.mc this time, MIMEDefang came to the rescue: filter_relay is called with arguments both the sender and the receiver and that took care of it. But again, had I chosen to write this using sendmail’s language, it might have looked ugly, but it would also have been a one-liner (ugly but elegant in its own way).
The Internet Society (ISOC) posted its views on DNS filtering. They are excellently summed up by the ISOC in a single phrase:
The real solution is international cooperation.
The reality though is that DNS filtering is here to stay. And it is here to stay because its initial deployment is far more easier than attacking the problem to its source via international cooperation.
So until DNS filtering (and supporting users mainly) starts costing Service Providers a lot, as in costing that much that it makes international cooperation cost less (even with the bureaucracy involved) it is a fact of everyday life that we have to get used to. Just imagine debugging not being able to access a single site, while at the same time all antivirus vendors run their own private, and allowed to be queried only by machines running their products (a “value added service”), resolvers.
Sad but true.
“the one thing government seldom gets is honest advice from consultants. Let’s face it, many consultants will say anything they have to in order to be called back.”
Gene Woolsey, from Real World Operations Research.
(←)
“Figure it out, Cliff, and you’ll amaze everyone”, Dave said.
Or, how a $0.75 imbalance can markedly change your life.
The Cuckoo’s Egg, page 5
Amazing advice from Bob Metcalfe advice on public speaking. I shamelessly copy it here:
[via]
Managing organized complexity 