An idiot security auditor

At my current professional position, I am concerned by I.T. security, including auditing (PCI-DSS). PCI-DSS requires the audit to be realized by a Qualified Security Assessor (QSA). This is to say I know a little about the topic.

Now I've just found out about the following story titled "Our security auditor is an idiot, how do I give him the information he wants?" which was certainly a big source of headache, anger and frustration for its writer.

I do not expect to meet the same kind of issues with our QSA, hopefully.

A law enforcement to make camera phones "click"

What is it ? A new anti-terrorist and/or anti-pedophile thing ? A law proposal to force cell phones with a camera to make a tone when shotting :

• H.R 414 at the Library of Congress of the USA
• A New Law Will Require Camera Phones to ’Click’

I think this is the kind of idea some of our representatives at the French Parliament could try to come with. Too sad to make me laught.

In wide or open area, what about long-range opticals to safely shot from far ? And for small and closed places, what about opening the cell phone box to unplug the speaker ? This is worthy for any real hunter seeking for a target (a person or a place).

This will only affect common people that would quielty and peacefully take some pictures in the middle of others that would have done it without disturbing every one or yet getting people angry just for the tone, not the pictures done.

La CNIL déclare : le STIC plus dangeureux qu’EDVIGE

On a parlé à grand renfort de blabla avec de belles idioties dans les médias du fichier EDVIGE.

Or la CNIL vient de déclarer que le fichier STIC est plus dangeureux qu’EDVIGE. En effet, à peine 17% des fiches des personnes mises en cause sont exactes. Sans compter que pour les années 2005 à 2007, les tribunaux n’auraient pas transmis au moins un million de décisions de classement sans suite. C’est pourquoi la CNIL s’adresse tout particulièrement au Ministère de la Justice afin de redresser le tir.

Il est facile d’imaginer les conséquences désastreuses auxquelles ces fiches erronées peuvent mener. La CNIL explique que ça peut mener à la perte d’un emploi ou encore un refus d’embauche ou de concours administratif.

Il est à remarquer que la CNIL ne remet pas en cause le fichier STIC lui-même, mais les moyens mis en oeuvre pour le maintenir et le manque de rigueur. On peut trouver ici les conclusions du contrôle du STIC.

Ca me fait penser au bazar qu’on peut avoir dans les systèmes d’information des sociétés. Ici, c’est la vie de millions de personne qui peut être amener à en dépendre.

Plutôt effarant.

Des vols de moto à main armée (un mort, des blessés)

Ces toutes dernières semaines ont vu au moins deux actes d’une extrême violence se produire pour la sphère des motards.

D’abord à Toulouse un homme a été poignardé pour lui voler sa moto. Il est décédé des suites de ses blessures. Une manifestation a d’ailleurs été organisée le week-end dernier au départ de Bercy. Puis dans le Vaucluse, un couple d’agresseurs ont braqué un autre homme et volé sa moto. Ne parvenant pas à démarrer sa Buel bien qu’il leur ait remis la clé (menacé d’une arme), ils lui ont tiré dessus (au genou, puis à la tête - ce second tir ayant heureusement été raté). Cette victime a été opérée du genou et a quelques bleus. Chanceux diront certains ? Ces criminels ne sont visiblement pas focalisés sur les motos, ayant tenté ou réussi d’autres braquages dans les heures et jours suivants (station service, magasin).

A présent, il ne faut pas déclarer soudainement que les motards sont en grand danger d’agression partout, il faut éviter de généraliser. Mais en tant que motard, affectivement, il est impossible de ne pas se sentir concerné. C’est mon cas.

Le plus gros impact néfaste qu’on risque de voir est une drastique diminution de la solidarité motarde entre pilotes qui ne se connaissent pas. En effet, le scénario typique consiste à avoir un deux-roues soi-disant en panne arrêté au bord d’une route, des complices restant cachés à proximité. Lorsqu’un véhicule deux-roues s’arrête pour lui proposer son aide, les complices se précipitent sur lui et la moto à voler.  Ça s’est vu et ça se verra encore.

Pour ma part, je me suis déjà arrêté. Je m’arrêterai encore, mais en ouvrant mes yeux très très grand et en observant ce qui pourrait bien me tomber dessus. Je suis également assez vigilant lorsque je suis arrêté au feu et lorsque je gare ou reprend mon véhicule. Qui plus est, en fonction de la moto (tape à l’œil ou au contraire vieux roadster peu reluisant) le risque n’est pas le même.

J’ai pu lire par endroit "aux armes". C’est ridicule et inconscient. Je suis personnellement contre le port d’arme en dehors des stands de tir, et ça ne me fera pas changer d’avis. N’adoptons pas l’état d’esprit états-uniens sur ce thème. Soyons prudents, mais ne rentrons pas dans un état de panique. Le bénéfice est bien inférieur au mal qui serait induit.

Tactique "non-violente" d’anti-terrorrisme

Les méthodes employées par les groupuscules terrorristes sont parfois très futées et elles surprennent lorsqu’on les découvre. Peut-être en est-il de même pour la lutte anti-terrorriste mais on le sait moins. Auquel cas, pour une fois, une de ces méthodes apparait au grand jour.

Simple, efficace, sans violence (jusqu’au moment des interpellations, ne rêvons pas non plus) : De l’anti-terrorrisme intelligent.

L’interface homme-ordinateur tricotée

<mode idiotie="on">

Comment se tenir au chaud tendu qu’on utilise un ordinateur portable dans un lieu public, en conservant la confidentialité ? Voici la solution

Libre traduction d’un extrait : « fournir à l’utilisateur confidentialité, chaleur et concentration pour l’usage d’un ordinateur d’un lieu public ».

</mode>

Fear is also what our leaders may wish

Last year, I’ve published a short article titled “Fear is what terrorrists want” with a reference to Bruce Schneier. I also think fear may might what our leaders may wish, as a way to have more control on the people, as a way to justify privacy violation by the gouvernments in many countries with the main consequence to have our freedom reduced.

Today, on the same topic, Bruce Schneier he tells us to «Refuse to be Terrorized», by Schneier, referencing the action «I am not afraid», which proposes to contact your officials and tell them to «stop being afraid, and stop acting out of fear». This action is specific to the USA, but I think it may apply to other countries, including France and the UK.

De l’anti-terrorrisme intelligent

L'article sur le Washington Post.

70,000 ballots canceled during a Scottish election

On the 3rd of September, the BBC revealed that during the last recent Scottish elections in May, about 70,000 ballots have been automatically canceled by the counting machines with no human oversight.

Actually, about 140,000 ballots were counted as spoilt and some of them were automatically rejected. What were the conditions to reject these 70,000s ? Is it « we take randomly an half of the spoilt ballots and we reject them » ? Or yet « we reject 50% of the spoilt ballot for each possible result » ? What is the method ? This is a public election concerning all Scottish people, so it should be definitely released and broadcasted to the citizens.

Apart of that, « the Conservative Party condemned the Scotland Office for being slow to release the information ». If the BBC investigation did not lead to this announce, would it have ever been released ?

In 2003, in Belgium, 4096 ballots that were cancelled. Wikipedia article says «The error was only detected because she had more preferential votes that her own list which is impossible in the voting system. The official explanation was The spontaneous creation of a bit at the position 13 in the memory of the computer».

What’s next ? A million of canceled/forgotten/changed ballots ?

Anonymity and the Tor Network

Anonymity and privacy are two separate things. Do not confuse.

Here

Spam topics

Today, I was cleaning some mail servers’ queues, deleting as much spam as I could in a reasonable amount of time and effort.

"As much" means several thousands per server and "reasonable amount of time and effort" means no more than 2 or 3 hours (doing other stuff at the same time).

Ok, you will tell me "hey guys, where have you been for the last couple of years ?" Most of the spam I’ve quickly identified, targeted and deleted was about:

• sex (get a bigger one and so)
• congratulations for being the winner of a game you have never participated to (lottery, heritage, ...)
• assistance requests
• urgent ! things

So, here again, yes, spam stuff is around sex and money.

Yeah, I know this for a while. I personally receive thousands of spam each month (just a few missed, hopefully). But well ... really seeing this in from of your eyes, make you wonder a little bit more about our world.

Fear is what terrorrists want

For almost five years now, we can’t spend a day without one news about some arrested terrorrists, an avoided plot, a false positive alarm to explosive or chemicals in an airport or whatever maintaining a state of fear.

For five years now, terrorrism is the big thing of the politicians, police, army, and news industry.

For five years now, fear is what news industry fed us with in its daily menu, helping politicians to achieve their goals, finally helping terrorrists goal: make us fear.

Bruce Schneier wrote an excellent article about this. I share his thoughts about what is happening these days and refuse to fall into this state of fear. Everyone must be careful, as you are careful not to cross the street when a car is coming, but we must not be scared «oh a car is going to suddenly drive on me if I decide to cross the street, what am I going to do !!!».

We must live our lifes, and not play this game. Damn it, let’s just live.