Search the Community
Showing results for tags 'błąd'.
Found 41 results
-
Gavin Thomas, który w Microsofcie sprawuje funkcję Principal Security Engineering Manager, zasugerował, że ze względów bezpieczeństwa czas porzucić języki C i C++. Thomas argumentuje na blogu Microsoftu, że rezygnacja ze starszych języków na rzecz języków bardziej nowoczesnych pozwoli na wyeliminowanie całej klasy błędów bezpieczeństwa. Od 2004 roku każdy błąd naprawiony w oprogramowaniu Microsoftu jest przez nas przypisywany do jednej z kategorii. Matt Miller podczas konferencji Blue Hat w 2019 roku zauważył, że większość tych dziur powstaje wskutek działań programistów, którzy przypadkowo wprowadzają do kodu C i C++ błędy związane z zarządzeniem pamięcią. Problem narasta w miarę jak Microsoft tworzy coraz więcej kodu i coraz silniej zwraca się w stronę oprogramowania Open Source. A Microsoft nie jest jedyną firmą, która ma problemy z błędami związanymi z zarządzaniem pamięcią, pisze Thomas. W dalszej części swojego wpisu menedżer wymienia liczne zalety C++, ale zauważa, że język ten ma już swoje lata i pod względem bezpieczeństwa czy metod odstaje od nowszych języków. Zamiast wydawać kolejne zalecenia i tworzyć narzędzia do walki z błędami, powinniśmy skupić się przede wszystkim na tym, by programiści nie wprowadzali błędów do kodu, czytamy. Dlatego też Thomas proponuje porzucenie C++. Jednym z najbardziej obiecujących nowych języków programistycznych zapewniających bezpieczeństwo jest Rust, opracowany oryginalnie przez Mozillę. Jeśli przemysł programistyczny chce dbać o bezpieczeństwo, powinien skupić się na rozwijaniu narzędzi dla developerów, a nie zajmować się tymi wszystkimi pobocznymi sprawami, ideologią czy przestarzałymi metodami i sposobami rozwiązywania problemów. « powrót do artykułu
- 7 replies
-
- błąd
- język programowania C
-
(and 2 more)
Tagged with:
-
Niedawno donosiliśmy o wynikach badań, z których wynika, że oceany ogrzały się bardziej niż dotychczas sądziliśmy. Teraz ich autorzy informują, że popełnili błąd w obliczeniach. Podkreślają przy tym, że pomyłka nie falsyfikuje użytej metodologii czy nowego spojrzenia na biochemię oceanów, na których metodologię tę oparto. Oznacza jednak, że konieczne jest ponowne przeprowadzenie obliczeń. Jak mówi współautor badań, Ralph Keeling, od czasu publikacji wyników badań w Nature, ich autorzy zauważyli dwa problemy. Jeden z nich związany jest z nieprawidłowym podejściem do błędów pomiarowych podczas mierzenia poziomu tlenu. Sądzimy, że łączy efekt tych błędów będzie miał niewielki wpływ na ostateczny wynik dotyczący ilości ciepła pochłoniętego przez oceany, ale wynik ten będzie obarczony większym marginesem błędu. Właśnie prowadzimy ponowne obliczenia i przygotowujemy się do opublikowania autorskiej poprawki na łamach Nature, stwierdza Keeling. Redakcja Nature również postanowiła pochylić się nad problemem. Dla nas, wydawców, dokładność publikowanych danych naukowych ma zasadnicze znaczenie. Jesteśmy odpowiedzialni za skorygowanie błędów w artykułach, które opublikowaliśmy, oświadczyli przedstawiciele pisma. « powrót do artykułu
-
- błąd
- obliczenia
-
(and 4 more)
Tagged with:
-
Słowniki i encyklopedie - nie sposób sobie wyobrazić życia i pracy bez nich. Odruchowo pokładamy w nich zaufanie i uważamy za wiarygodne. Przynajmniej te drukowane, bo choć przykładowa Wikipedia jest narzędziem bardzo wygodnym, większość już zdaje sobie sprawę, że ma swoje ograniczenia, i że z Wikipedią „jak na drodze - obowiązuje zasada ograniczonego zaufania". Tym niemniej szacowne wydawnictwa z wieloletnią tradycją, jak wydawnictwo uniwersyteckie Oxford, cieszą się głębokim zaufaniem. Ale również w nich trafiają się żenujące wpadki, które potrafią uchować się przez niemal cały wiek. Doktor Stephen Hughes, wykładowca fizyki na Uniwersytecie Queensland (QUT) znalazł poważny błąd merytoryczny w znanym słowniku Oxford English Dictionary. Błąd, który powielany był przez 99 lat. Zarówno słownik oksfordzki, jak i niemal wszystkie inne słowniki i encyklopedie sprawdzone przez dra Hughesa, zawierały błędną definicją angielskiego słowa „siphon". Chlubnym wyjątkiem okazała się Encyclopaedia Britannica. „Siphon" (nie mylić z polskim słowem „syfon", które oznacza coś innego) to rodzaj spustu pozwalający opróżniać zbiorniki z cieczą, które inaczej trudno byłoby opróżnić. Przydaje się i w przemyśle do spuszczania paliwa z wielkich zbiorników, i w domu do spuszczania wody z akwarium. Wężyk, którym przelewamy wino z balonu do butelek, to też „siphon". Oxford English Dictionary od 1911 roku podaje, że działa on dzięki sile ciśnienia atmosferycznego. Tymczasem nie jest to prawda. Na ten błąd wykładowca QUT wpadł oglądając ogromny spust wody w Południowej Australii, pompujący wodę z rzeki Murray do jeziora Bonney. Ogromna ilość wody, odpowiadająca czterem tysiącom basenów olimpijskich, przepompowywana była bez użycia pomp. Dziesięć gigalitrów wody przepompowane w ciągu dwóch miesięcy - potrzeba na to tyle energii, ile średni dom zużywa przez cały rok. A tej energii dostarcza po prostu... wcale nie ciśnienie atmosferyczne, lecz grawitacja. Grawitacja działa tu dzięki temu, że woda przepływa na poziom niższy, niż dno opróżnianego zbiornika - tłumaczy dr Hughes. Redaktorzy przygotowywanej do publikacji nowej, ilustrowanej wersji słownika będą musieli skorygować definicję. Oczywiście, po odpowiednim upewnieniu się. Czas na informację od australijskiego fizyka był najwyższy, ponieważ zespół sprawdzający dotarł już do litery „R". „Rura lub wąż ze szkła, metalu lub innego materiału, wygięty w ten sposób, że jedno ramię jest dłuższe od drugiego, używany do spuszczania płynu w wyniku działania siły ciśnienia atmosferycznego, która wtłacza ciecz do krótszego ramienia i przepycha przez wygięcie rury" - tak przez niemal wiek wyglądała definicja, którą za oksfordzkim wydawnictwem powtarzali inni. Osoby, które wiek temu pisały tę definicję, nie były naukowcami - przyznała rzecznik wydawnictwa, Margot Charlton. Jedynie jednotomowa edycja Oxford Dictionary of English z 2005 roku zawiera poprawną definicję. To woda wypływająca pod własnym ciężarem z dłuższego ramienia pociąga za sobą wodę z krótszego ramienia - tłumaczy dr Hughes. - Kolumna wody działa jak łańcuch, dzięki sile przyciągania molekularnego między cząsteczkami wody. Napisał on własną publikację na temat zasady działania. Obecnie zbiera informacje z całego świata na temat poprawności definicji słowa „siphon" w różnych językach.
- 13 replies
-
- QUT
- Stephen Hughes
-
(and 6 more)
Tagged with:
-
Sędzia Judith Potter orzekła, że sądowy nakaz zajęcia pieniędzy, pojazdów i posiadłości Kima Dotcoma jest nieważny,i nie powinien zostać wydany i nie niesie ze sobą skutków prawnych. Właściciel Megaupload może zatem spodziewać się, że jego własność zostanie mu zwrócona, a konta odblokowane, gdyż policja i prawnicy z rządowego biura prawnego popełnili poważny błąd proceduralny. Sędzie Potter stwierdziła, że komisarz Peter Marshall złożył do sądu wniosek o taki typ nakazu zajęcia majątku, który nie dawał Dotcomowi możliwości przygotowania obrony. Już po policyjnej akcji i aresztowaniu Dotcoma Marshall zorientował się, że popełnił pomyłkę i wystąpił o właściwy nakaz. Został on wydany, ale tylko tymczasowo. Dlatego też sędzia Potter wkrótce będzie musiała orzec, czy błąd policji oznacza, iż Dotcomowi należy zwrócić majątek. Już 30 stycznia do sądu trafiła informacja z rządowego biura prawnego, które przygotowuje takie wnioski, iż popełniono błąd proceduralny. Jako, że sąd wydał wspomniany już właściwy nakaz, śledczy twierdzą, że dowodzi to, iż pierwotna pomyłka niczego nie zmienia. Innego zdania są obrońcy Dotcoma. Ich zdaniem majątek mężczyzny powinien zostać mu zwrócony, gdyż został zajęty bezprawnie. Profesor Ursula Cheer z Canterbury University mówi, że prawo dopuszcza pomyłki, a powyższa sprawa może stać się drugim poważnym zwycięstwem Dotcoma - pierwszym było jego zwolnienie z aresztu - pod warunkiem, iż jego prawnicy udowodnią policji złą wolę.
- 2 replies
-
- Kim Dotcom
- Megaupload
-
(and 2 more)
Tagged with:
-
Na licznych forach internetowych pojawiły się adresy, pod którymi można podglądać ludzi... w ich własnych mieszkaniach. Okazało się, że kamery amerykańskiej firmy Trendnet, stosowane w domach w celach bezpieczeństwa, zawierają błąd. Pozwala on na oglądanie obrazu z kamery bez znajomości hasła dostępu. Firma Trendnet wysłała do swoich klientów e-maile, w których ostrzega o problemie. Wiadomość dotarła jednak do niewielkiej liczby poszkodowanych, gdyż zaledwie 5% nabywców kamer zarejestrowało je u producenta. Firma nie wydała jeszcze oficjalnego komunikatu, gdyż ciągle trwają badania. Trendnet wie o problemie od 12 stycznia. Dotychczas zidentyfikowano 26 modeli kamer, w których występuje błąd. W przypadku 7 modeli przeprowadzono już testy i przygotowano poprawki. Przedstawiciele Trendnetu twierdzą, że do końca bieżącego tygodnia znajdą i załatają błędy we wszystkich modelach. Zak Wood, dyrektor Trendnetu ds. marketingu mówi, że problem dotyczy prawdopodobnie mniej niż 50 000 kamer. Trafiły one do klientów na całym świecie. Dziurę odkrył jeden z klientów Trendnetu, który stwierdził, że po ustawieniu hasła może oglądać przez internet obraz ze swojej kamery bez konieczności logowania się. Wystarczyło tylko wpisać adres, pod którym znajdowała się kamera. Dzięki wyszukiwarce Shodan zidentyfikował on 350 innych kamer domowych, które mógł podglądać. Inne osoby też znalazły ten sam błąd i w ciągu dwóch dni w internecie pojawiło się aż 679 adresów, pod którymi można podglądać innych ludzi.
-
Badacze z Ruhr-Universität Bochum twierdzą, że specyfikacja XML Encryption, która definiuje sposób szyfrowania elementów w komunikacji między usługami sieciowymi, jest podatna na atak. XML Encryption wykorzystują m.in. tacy giganci jak IBM, Microsoft czy Red Hat. Juraj Smorovsky i Tibor Jager znaleźli sposób na przeprowadzenie ataku na komunikację szyfrowaną za pomocą DES i AES w trybie wiązania bloków zaszyfrowanych (CBC). Obaj uczeni informują, że na atak podatne są wszystkie algorytmy szyfrujące wykorzystywane w standarcie XML-Enc. Atak polega na wysłaniu do serwera zmodyfikowanego kryptogramu, a następnie przeanalizowaniu występujących błędów. Takiej techniki użyli w bieżącym roku Juliano Rizzo i Thai Duong do przeprowadzenia ataku na ASP.NET, co zapewniło im nagrodę Pwn2Own dla znalazców najlepszego błędu po stronie serwera. Niedawno pokazali, że można w ten sposób zaatakować również protokół SSL/TLS. Niemieccy badacze zawiadomili już o problemie konsorcjum W3C, które jest autorem standardu XML-Enc. Rzecznik prasowy Microsoftu stwierdził, że koncern również został poinformowany. Sprawdzamy nasze produkty, by sprawdzić, które z nich używają tej implementacji - dodał. Na razie firma nie wydała żadnych zaleceń. Tam, gdzie będzie to konieczne, przekażemy instrukcje dotyczące microsofowej implementacji XML-a - stwierdził rzecznik. Odkrywcy luki twierdzą, że nie da się jej łatwo naprawić i konieczna będzie zmiana standardu.
-
Błędy dzisiejszych sędziów sportowych prowadzą czasem do zamieszek. Kiedyś, w czasach gladiatorów, nie było komu zgłaszać skarg, bo główny zainteresowany już nie żył. Najnowsze badania doktora Michaela Cartera z Brock University dały głos jednemu z pokrzywdzonych - Diodorusowi, który poległ w 13. walce w wyniku niesprawiedliwego werdyktu sędziego najwyższej rangi (summa rudis). Carter bada rzymskie widowiska, a szczególnie zajmuje go ich wpływ na kulturę grecką. Dzięki jego pracom nad epitafiami nagrobnymi zdobyliśmy dowody, że wbrew obiegowej opinii gladiatorzy nie byli bestiami walczącymi do upadłego i zdarzało im się oszczędzać przeciwnika. Wszystko wskazuje na to, że obowiązywały precyzyjne zasady i walki odbywały się z udziałem sędziów. Dzięki tablicom wiemy więc, że spektakle gladiatorskie nie powinny być uznawane za symbol upadku cywilizacji rzymskiej, gdyż bardzo przypominały wydarzenia sportowe organizowane współcześnie, np. gale boksu. Z epitafiów można wyczytać, że niektórzy gladiatorzy odchodzili na emeryturę ze sporym majątkiem. Podawano też liczbę stoczonych przez nich walk oraz liczbę oszczędzonych przeciwników. Tablica sprzed 1800 lat, którą zajmował się ostatnio Kanadyjczyk, została odkryta 100 lat temu w Turcji. Tuż przed pierwszą wojną światową trafiła do Musée du Cinquantenaire w Brukseli. Przez długi czas nikt nie umiał odcyfrować inskrypcji w grece. Ponieważ na płycie widać zwycięskiego gladiatora z dwoma mieczami uniesionymi nad głową siedzącego na ziemi pokonanego, dotąd zakładano, że płaskorzeźba przedstawia dimachaerusa - gladiatora walczącego dwoma sztyletami. Carter uważa jednak, że napis w pierwszej osobie l.p. odnosi się do jawnej niesprawiedliwości i błędu sędziego. Po pokonaniu mego przeciwnika Demetriusa nie zabiłem go od razu. Uśmierciły mnie przeznaczenie i perfidna zdrada summa rudis. Napis na nagrobku ufundowanym zmarłemu przez rodzinę nie pozostawiał zatem wątpliwości, kto ponosi winę za zaistniałą sytuację. Carter jest przekonany, że mężczyzna z dwoma mieczami to Diodorus, któremu w pewnym momencie udało się odebrać miecz leżącemu Demetriusowi. Wystarczyła jednak chwila zwłoki i werdykt sędziego, że Demetrius przewrócił się przez przypadek, by niedoszły przegrany stanął na nogach, odzyskał tarczę oraz broń i walka zaczęła się na nowo. Co dokładnie się stało? Z opisu wynika, że 22-letni Diodorus z miejscowości Amisus w Turcji walczył z Demetriusem. Podczas walki Demetrius legł na ziemi w dogodnej do dobicia pozycji, ale Diodorus nie zadał mu śmiertelnego ciosu, a wycofując się, miał nadzieję, że sędzia ogłosi jego zwycięstwo. Jak się okazuje, popełnił fatalny w skutkach błąd, o którym można przeczytać w artykule opublikowanym przez doktora Cartera w Zeitschrift für Papyrologie und Epigraphik. Sędzia stwierdził, że upadek Demetriusa był przypadkiem i zarządził, by kontynuować bój. Koniec końców to Demetrius zabił Diodorusa.
-
Systemy komputerowe na całym świecie zużywają coraz więcej energii. Dotychczasowe wysiłki zmierzające do ograniczenia jej konsumpcji skupiały się na efektywniejszym chłodzeniu oraz implementacji w układach scalonych trybów oszczędzania energii. Tymczasem uczeni z University of Washington uważają, że nowy model programowania, bardziej tolerancyjnego dla błędów, może zaoszczędzić nawet 90% energii. Stworzyli oni system zwany EnerJ, który pozwala na uzyskanie 50-procentowych oszczędności energii w symulacjach komputerowych, a potencjalnie umożliwia redukcję jej zużycia nawet o 90%. EnerJ zostanie zaprezentowane podczas dorocznego spotkanie Programming Language Design and Implementation. EnerJ wykorzystuje fakt, że w większość zastosowań można tolerować drobne błędy, gdyż nie pogarszają one wyniku pracy komputera. Na przykład w streamingu audio, wideo czy w grach niewielkie błędy są niezauważalne. „Jeśli możesz tolerować jeden błąd na 100 000 operacji, to jesteś w stanie zaoszczędzić sporo energii" - mówi Luis Ceze, jeden z autorów badań. EnerJ to framework, który dzieli kod na dwa rodzaje. Pierwszy to taki, w którym potrzebna jest precyzja, jak np. algorytmy szyfrujące hasła. Drugi to taki, w którym drobne błędy nie przeszkadzają. EnerJ ma za zadanie szczelnie oddzielić oba rodzaje kodu i dopilnować, by błędy nie zdarzały się tam, gdzie ich nie powinno być. Symulacje wykazały, że zastosowanie EnerJ pozwala na zaoszczędzenie średnio 25-30 procent energii. W przypadku jednego programu osiągnięto 50-procentową oszczędność. Zdaniem autorów już obecnie można zastosować EnerJ, by osiągnąć znaczne oszczędności. Jeśli natomiast użyjemy EnerJ wraz z odpowiednio zaprojektowanym sprzętem, zużyjemy 10-krotnie mniej energii niż obecnie. W odniesieniu do urządzeń przenośnych oznacza to 10-krotne wydłużenie czasu pracy na bateriach.
- 7 replies
-
- tolerancja
- błąd
-
(and 2 more)
Tagged with:
-
Microsoft postanowił bardziej zaangażować się w zwiększanie bezpieczeństwa rynku IT. Pracownikom koncernu polecono, by zgłaszali błędy znalezione w oprogramowaniu firm trzecich. Informacje takie mają trafiać do zespołu Microsoft Vulnerability Research, a stamtąd będą przekazywane producentom wadliwego oprogramowania. Po jakimś czasie, jeśli producent nie naprawi błędów i nie będzie odpowiadał na ponaglenia, Microsoft będzie upubliczniał luki. Uważamy, że po wypuszczeniu produktu lub usługi na rynek, wszyscy odpowiadamy za bezpieczeństwo. We współpracy pomiędzy specjalistami ds. bezpieczeństwa a producentami oprogramowania chodzi o zapobieganie atakom i ochronę ekosystemu informatycznego. Prowadząc skoordynowane działania po odkryciu luki możemy zminimalizować ryzyko ataku do czasu opracowania łaty - stwierdził Matt Thomlinson, menedżer ds. bezpieczeństwa w grupie Trustworthy Computing. W ubiegłym roku w ramach rozpoczętego programu Co-ordinated Vulnerability Disclosure, Microsoft ujawnił informacje o dwóch błędach w Chrome i jednym w Operze. Koncern od pewnego już czasu zmienia podejście i jest obecnie zwolennikiem raczej wcześniejszego niż późniejszego upubliczniania informacji o lukach. Nawet, jeśli nie ma dla nich jeszcze łat.
-
- zgłaszanie
- błąd
-
(and 1 more)
Tagged with:
-
Podczas konferencji dla analityków, przedstawiciele Intela ujawnili kolejne szczegóły dotyczące błędu w chipsecie dla platformy Sandy Bridge. Wiceprezes Steve Smith zapewnił, że wszystkie układy przeszły rygorystyczne testy zarówno samego Intela jak i OEM. To nie jest problem funkcjonalny. W rzeczywistości to problem statystyczny - mówił. Intel ocenia, że w ciągu trzech lat degradacji może ulec około 5% z dostarczonych od 9 stycznia układów. Jednak jak na razie brak informacji o tym, by rzeczywiście doszło do takiego przypadku. Przypomnijmy, że w chipsetach z rodziny Series 6 (nazwa kodowa Cougar Point) może dochodzić do zwiększenia się stosunku liczby błędów do prawidłowych bitów (BER - bit-error rate) w module obsługującym interfejs SATA. Z czasem błędów może być tak dużo, że SATA przestanie działać.
- 4 replies
-
- Cougar Point
- błąd
-
(and 3 more)
Tagged with:
-
Intel poinformował o znalezieniu błędu projektowego w chipsetach dla platformy Sandy Bridge. Układy z rodziny Series 6 (nazwa kodowa Cougar Point) zawierają błąd w module obsługującym interfejs SATA. Może to prowadzić z czasem do pogorszenia się wydajności urządzeń, które z niego korzystają. Intel zatrzymał wysyłkę wadliwych chipsetów ze swoich fabryk, poprawił projekt i rozpoczął produkcję układów pozbawionych tego błędu. Wadliwe kości po raz pierwszy opuściły fabryki Intela 9 stycznia, więc mogły trafić do rąk stosunkowo niewielkiej liczby użytkowników. Tym bardziej, że Cougar Point sprzedawano klientom końcowym tylko z czterodzeniowymi platformami Core i5 oraz Core i7 drugiej generacji.
-
Firma Coverity, specjalizująca się w poszukiwaniu luk bezpieczeństwa w kodzie źródłowym programów, która już w przeszłości badała programy opensource'owe, tym razem przyjrzała się kodowi systemu Android. Specjaliści znaleźli w jądrze Androida 359 dziur, z czego 88 oceniono jako wysoce niebezpieczne, a 271 jako średnio niebezpieczne. Wśród wysoce niebezpiecznych dziur 20 związanych jest z możliwością zakłócenia pracy podsystemu pamięci, 29 umożliwiają napastnikowi uzyskanie dostępu do pamięci, 11 dotyczy wycieków w pamięci, a 28 - niezainicjalizowanych zmiennych. Złą wiadomością dla Google'a, twórcy Androida, jest fakt, że mimo iż bazuje on na linuksowym jądrze, to w komponentach specyficznych dla Androida odsetek błędów jest wyższy, niż w Linuksie. Z kolei dobra informacja jest taka, że średnia dziur w Androidzie jest i tak niższa od średniej w przemyśle IT i wynosi 0,47 luki na 1000 linii kodu. Jeśli weźmiemy pod uwagę kod specyficzny dla Androida to średnia ta wzrasta to 0,78 dziury na 1000 linii. Specjaliści Coverity zauważają przy tym, że Android zmaga się tutaj z podobnym problemem, jaki ma całe środowisko opensource'owe. Filozofia tworzenia tego oprogramowania powoduje, że odpowiedzialność się rozmywa i nie wiadomo, do kogo należy poprawianie błędów. Czy powinien się zająć tym Google, czy developer, który jest autorem konkretnego kodu, czy też np. producent sprzętu, oferujący Androida.
-
W Zero Day Initiative (ZDI) firmy Tipping Point, największym programie w ramach którego odkrywcy luk otrzymują wynagrodzenie, wprowadzono poważne zmiany. Teraz producenci dziurawych programów będą mieli 6 miesięcy na ich załatanie. Po pół roku informacje o dziurach zostaną upublicznione. Tipping Point kupuje od niezależnych badaczy informacje, przekazuje je producentom wadliwego oprogramowania i sama opracowuje też zabezpieczenia oferowane w swoich własnych aplikacjach. Dotychczas w ramach ZDI informacje o dziurach utajniano do czasu publikacji łaty. Tylko od woli producenta zależało, jak szybko udostępni poprawkę. Teraz uległo to zmianie. Producenci mają jedynie pół roku na przygotowanie łat. Innymi słowy, dziury, które obecnie znajdują się w bazie danych ZDI powinny zostać załatane do 4 lutego przyszłego roku. Po sześciu miesiącach Tipping Point będzie wywierało nacisk na producentów publikując "ograniczone informacje" o luce. To "ograniczenie" będzie inne dla każdej luki. Jak zapewniają przedstawiciele Tipping Point zmiana zasad programu ZDI nie ma nic wspólnego z szeroko dyskutowanym postępowaniem Tavisa Ormandy'ego z Google'a, który upublicznił informację o dziurze zaledwie pięć dni po tym, jak poinformował o jej istnieniu Microsoft. Obecnie w bazie danych ZDI znajdują się informacje o 31 krytycznych dziurach, o których twórcy wadliwego oprogramowania wiedzą co najmniej od roku.
-
Z danych firmy Secunia wynika, że Apple zostało światowym liderem pod względem liczby dziur w firmowym oprogramowaniu. Koncern Jobsa wyprzedził pod tym względem dotychczasowego lidera - Oracle'a. W pierwszej połowie 2010 roku w programach Apple'a znaleziono więcej dziur niż u jakiegokolwiek innego producenta, Oracle spadł na drugie miejsce, a na trzecim znalazł się Microsoft. Secunia prowadzi ranking Top-10 od 2005 roku. Firma zauważa, że przedsiębiorstwa znajdujące się na tej liście odpowiadają za 38% wszystkich znajdowanych dziur. Już pierwszy ranking pokazał, że najwięcej luk znajduje się w oprogramowaniu Apple'a, następny uplasował się Oracle, a na trzecim miejscu był Microsoft. Rok później w programach Apple'a znaleziono mniej dziur niż u dwóch wyżej wymienionych producentów producentów. Jednak już w roku 2007 Apple wyprzedził Microsoft i od tamtej pory ranking wyglądał następująco: 1. Oracle, 2. Apple, 3. Microsoft. Obecnie Apple wysunął się na prowadzenie. Na liście znajdziemy też HP, Adobe, IBM-a, VMware, Cisco, Google'a i Mozillę. Taka też była kolejność w pierwszej połowie bieżącego roku. Z raportu Secunii dowiadujemy się również, że od 5 lat praktycznie nie zmienia się odsetek luk w różnych kategoriach zagrożenia. Firma stosuje 5-stopniową skalę, od "nie krytyczna" do "skrajnie krytyczna". W latach 2005-2009 ponad 50% luk znajdowało się w kategorii "wysoce krytyczna" i "umiarkowanie krytyczna", 32% zaliczono do "mało krytycznych", a tylko 0,2% zyskało notę "skrajnie krytyczna". Najwięcej dziur daje atakującemu dostęp do systemu. Średnio za lata 2005-2009 luki takie stanowiły 33% wszystkich. Warto jednak zauważyć, że w ciągu ostatnich dwóch lat ich liczba nieco spadła. Regularnie rośnie za to liczba dziur pozwalających na przeprowadzenie ataków XSS (cross-site scripting). Wszystkie zmiany są jednak stosunkowo niewielkie i od roku 2005 wśród 29 000 programów badanych przez Secunię nie zauważono żadnego znaczącego spadku czy wzrostu liczby luk. Warto jednak zauważyć, że w latach 2007-2009 liczba dziur, na jakie narażony jest przeciętny użytkownik komputera zwiększyła się dwukrotnie, z 220 do 420. Dane z pierwszej połowy bieżącego roku sugerują, że będziemy świadkami kolejnego wzrostu, tym razem do 760 dziur. Secunia zaleca również, by zwrócić szczególną uwagę na oprogramowanie firm trzecich działających pod kontrolą systemu Windows. Okazuje się bowiem, że na przeciętnym pececie zainstalowanych jest 50 programów, w tym 26 wyprodukowanych przez Microsoft i 24 od innych producentów. W programach Microsoftu znajduje się tymczasem 3,5-krotnie mniej dziur, niż w innych programach. Prawdopodobnie w bieżącym roku stosunek dziur w programach Microsoftu do dziur w programach firm trzecich zmieni się na 1:4,4.
-
Miliony użytkowników serwisów społecznościowych i wielu innych witryn, na których wymagane jest logowanie, jest narażonych na atak. Nate Lawson i Taylor Nelson odkryli prosty błąd w dziesiątkach opensource'owych bibliotek, w tym takich, które są wykorzystywane do implementacji standardów OAuth i OpenID. Uwierzytelnianie dokonywane za ich pomocą jest akceptowane m.in. przez Twittera i Digga. Dziury powodują, że możliwe jest przeprowadzenie znanego od 25 lat ataku (timing attack) polegającego na analizie czasu potrzebnego do wykonania algorytmów kryptograficznych. Dotychczas sądzono, że ich przeprowadzenie przez sieć jest niezwykle trudne. Lawson i Nelson wykazali, że nie w tym przypadku. Timing attack wymaga przeprowadzenia niezwykle precyzyjnych pomiarów. Informacja o błędnym haśle jest bowiem zwracana natychmiast po napotkaniu pierwszego nieprawidłowego znaku. Oznacza to, że informacja, iż używamy hasła, w którym niewłaściwy jest pierwszy znak zostanie przekazana nieco szybciej, niż wówczas, gdy błędny będzie np. 3. znak. Specjaliści uważali, że przeprowadzenie ataku, w którym ważne są różnice liczone w milisekundach, jest niemal niemożliwe w przypadku, gdy nie mamy fizycznego dostępu do atakowanego systemu. Lawson i Nelson opracowali jednak algorytm, który pozwala na przeprowadzanie zdalnych ataków, gdyż uwzględniają one wszelkie zakłócenia związane z działaniem sieci komputerowych. Obaj specjaliści mają zamiar ujawnić szczegóły swoich badań na najbliższej konferencji Black Hat. Eran Hammer-Lahav z Yahoo!, który bierze udział w pracach OAuth i OpenID uważa, że przeciętny użytkownik nie ma czym się martić. "Nie sądzę, by jakikolwiek duży provider używał po stronie swojego serwera opensource'owych bibliotek. A jeśli nawet to robi, to atak nie jest łatwy do przeprowadzenia". Lawson i Nelson nie ujawnili, w których bibliotekach tkwi błąd. Powiadomili już ich twórców. Poprawienie luk jest niezwykle proste i nie powinno zająć więcej niż napisanie 6 linijek kodu. Wystarczy bowiem poinstruować oprogramowanie, by w identycznych odstępach czasu informowało zarówno o prawidłowych jak i nieprawidłowych hasłach. Metoda Lawsona i Nelsona została przetestowana w internecie, sieci lokalnej i chmurach obliczeniowych. Co ciekawe, chmury są bardziej narażone niż "zwykła" sieć, gdyż "przybliżają" napastnika do celu ataku, a zatem występują mniejsze zakłócenia spowodowane pracą w sieci.
- 4 replies
-
- timing attack
- Taylor Nelson
-
(and 5 more)
Tagged with:
-
Nowo odkryty błąd w microsoftowym Help and Support Center pozwala na zdalne zaatakowanie systemu Windows. Do ataku dochodzi, gdy użytkownik odwiedzi specjalnie spreparowaną witrynę używając Internet Explorera. Problem leży w błędnej implementacji mechanizmu whitelist, który pozwala sprawdzić, czy przywołany przez użytkownika dokument pomocy pochodzi z zaufanego źródła. Błąd powoduje, że atakujący może pominąć sprawdzanie przez whitelist i jest w stanie podsunąć użytkownikowi dokument z dowolnego źródła. Dzięki temu jest np. w stanie uruchomić klienta FTP, który pobierze na komputer ofiary szkodliwy kod. Przeprowadzenie ataku jest dość skomplikowane i wymaga sporej wiedzy, gdyż konieczne jest ominięcie alertów wyświelanych przez przeglądark. Można to uczynić wykorzystując mechanizm ActiveX Windows Media Playera. Odkrywca dziury uważa jednak, że cały proces można uprościć. Na razie zademonstrowano jego skuteczność na Windows XP SP3 z IE8 oraz Windows Media Playerem. Błąd zagraża też użytkownikom Windows Server 2003. Bezpieczni są za to posiadacze Windows 7 z IE8. Microsoft został poinformowany o istnieniu luki przed tygodniem.
-
Błąd w konfiguracji sieci spowodował, że chiński Wielki Firewall zaczął cenzurować komputery z... USA i Chile. Użytkownicy Facebooka, Twittera i YouTube'a byli przekierowywani na chińskie serwery. Eksperci wciąż nie są pewni, co się stało. Podejrzewają jednak, że co najmniej jeden z dostawców sieci, szwedzki Netnod, zaczął pobierać informacje DNS z root servera znajdującego się w Chinach. To spowodowało, że nagle zasięg Wielkiego Firewalla przekroczył granice Państwa Środka i ocenzurował obywateli innych krajów. O problemie poinformował Mauricio Erche, administrator serwerów DNS z Chile, który zauważył, że wielu użytkowników Facebooka, Twittera i YouTube'a jest odsyłanych do nieistniejących adresów. Erche stwierdził, że internauci, których ruch przechodził przez dwa specyficzne punkty w Chile oraz jeden w Kalifornii zostali ocenzurowani przez Wielki Firewall. Problem szybko został rozwiązany. Danny McPherson, odpowiedzialny za bezpieczeństwo w firmie Arbor Networks uważa, że szwedzcy administratorzy przez nieuwagę źle skonfigurowali BGP (Border Gateway Protocol). To pierwszy znany przypadek rozszerzenia się zasięgu Wielkiego Firewalla, jednak nie pierwszy przypadek problemów ze źle skonfigurowanym BGP. W 2008 roku miliony osób nie mogło dostać się na YouTube'a, gdyż przypadkiem pobrano informacje z BGP w Pakistanie, który właśnie ocenzurował znany serwis wideo.
-
Eksperci odkryli niezwykle groźną dziurę w OpenSSL - najpopularniejszym pakiecie kryptograficznym. Problem jest o tyle poważny, że opensource'owy pakiet jest wykorzystywany przez olbrzymią liczbę oprogramowania i wiele systemów operacyjnych. Otwarta implementacja SSL jest używana do tworzenia kluczy kryptograficznych, zarządzania certyfikatami, obliczania funkcji skrótu czy szyfrowania danych. Naukowcy z University of Michigan, którzy odkryli dziurę, pracują właśnie nad stworzeniem dla niej łaty. Uczeni wykazali, że wywołując niewielkie zaburzenia w źródle zasilania urządzenia podczas przetwarzania przezeń prywatnego klucza szyfrującego można odgadnąć jego fragmenty. W ten sposób wystarczy niewiele ponad 100 godzin, by uzyskać cały 1024-bitowy klucz szyfrujący. To nie tyle zagrożenie dla systemów serwerowych, co dla urządzeń konsumenckich. Dziurę można będzie wykorzystać gdy będziemy chcieli zaatakować np. odtwarzacz Blu-ray - mówi Todd Austin, jeden uczonych, którzy znaleźli dziurę. Dodaje, że atak jest możliwy, gdy np. pożyczymy komuś odtwarzacz. Napastnik może wówczas zdobyć prywatny klucz szyfrujący chroniący własność intelektualną. Znacznie trudniej będzie zaatakować serwery, co nie oznacza, że jest to niemożliwe. Gdy maszyna zacznie się przegrzewać, bądź doświadczy jakichś wahań napięcia, możliwe będzie zdobycie kluczy kryptograficznych. Uczeni z Michigan manipulowali napięciem procesora, wywołując błędy podczas mnożenia. Dzięki temu, że podczas takich operacji wykorzystywany jest algorytm Fixed Windows Exponentation, możliwe jest wykorzystanie błędów do odgadnięcia czterech bitów. Podczas eksperymentu wykorzystano aż 8800 błędnych podpisów i klaster 81 pecetów z 2,4-gigahercowymi procesorami Pentium 4. Odgadniecie 1024-bitowego klucza zajęło im 104 godziny. Badacze mówią, że podobną technikę ataku można wykorzystać przeciwko wielu innym bibliotekom kryptograficznym. Szczegóły ataku zostaną zaprezentowane w przyszłym tygodniu.
- 4 replies
-
- klucz kryptograficzny
- dziura
-
(and 2 more)
Tagged with:
-
Jeden z użytkowników serwisu Heise znalazł zadziwiająco banalny błąd w zabezpieczeniach systemu openSUSE 11.2. Okazało się, że aby uzyskać nieautoryzowany dostęp do komputera zablokowanego przez użytkownika wystarczy... nacisnąć i przytrzymać klawisz Enter. Dochodzi wówczas do awarii blokującego monitor wygaszacza, który w ciągu kilku sekund znika z ekranu, a napastnik może w pełni korzystać z systemu. Błąd znajduje się w gnome-screensaver-2.28.0-2.3, który jest dostarczany wraz ze standardowymi repozytoriami. Niewykluczone, że dziurawe są też starsze pakiety. Testy wykazały, że blokada w dystrybucjach Ubuntu i Fedora działa bez zarzutu. Prawdopodobnie błędu nie ma również w SUSE Enterprise, które bazuje na openSUSE 11.1. Użytkownicy openSUSE 11.2, do których komputerów mogą mieć dostęp inne osoby, powinny zainstalować nowszą wersję gnome-screensaver. Na razie nie jest ona dołączana do standardowych repozytoriów, a więc konieczna jest jej ręczna instalacja.
-
mTajemnica "czarnego ekranu śmierci", trapiącego od kilku dni użytkowników systemów Windows, wciąż pozostaje nierozwiązana. Microsoft oświadczył właśnie, że winy za awarie nie ponoszą ostatnio opublikowane poprawki. Przed kilkoma dniami firma Prevx poinformowała, że niektórzy użytkownicy systemów Windows 7, Vista, XP, NT, Windows 2000, 2003 i 2008 oraz ich wersji serwerowych, są świadkami dziwnych objawów. Są one na tyle różne, że ciężko znaleźć wspólny mianownik, jednak już po zalogowaniu się oczom użytkownika ukazuje się czarny ekran, na którym widać tylko ikonę Mój komputer. Specjaliści z Prevx oświadczyli, że problemy dotykają tylko osoby, które zainstalowały najnowszy zestaw poprawek i są prawdopodobnie związane z jakimiś błędami popełnionymi przez programistów Microsoftu podczas edycji kluczy rejestru dla nowej listy kontroli dostępu. Nie potrafili jednak powiedzieć, jak wiele osób może mieć kłopoty, gdyż błędy pojawiają się w bardzo różnych okolicznościach. Microsoft, który o problemach dowiedział się z informacji w prasie, rozpoczął śledztwo. Teraz Christopher Budd z Redmond opublikował na swoim blogu wpis, w którym czytamy, zmiany w kluczach, które doprowadziły do występowania błędów, nie zostały dokonane przez ostatni zestaw poprawek. Śledztwo wykazało, że żadna z poprawek nie przeprowadziła żadnych zmian w zezwoleniach rejestru. Nie sądzimy zatem, by to poprawki były odpowiedzialne za występowanie błędu - czytamy na blogu. Budd informuje też, że trudno stwierdzić, ilu klientów dotyczy problem, ale nie ma sygnałów, by była to jakaś znaczna liczba. Przypomniał, że "czarny ekran śmierci" może być oznaką działalności niektórych rodzajów złośliwego kodu, takich jak np. rodzina Daonol. W związku z tym Budd poradził użytkownikom Windows, którzy doświadczają podobnych problemów, by skontaktowali się z microsoftowym serwisem technicznym, który pomoże w stwierdzeniu, co jest przyczyną błędu. Aktualizacja: Firma Prevx wycofała się ze swoich stwierdzeń, jakoby to poprawki były przyczyną błędów. W wydanym oświadczeniu czytamy, że szczegółowe badania wykazały, że łat nie można winić za występowanie "czarnego ekranu śmierci". Przedstawiciele Prevx sugerują, że objaw ten może być wynikiem infekcji szkodliwym kodem i przepraszają Microsoft za swoje wcześniejsze stwierdzenia.
- 4 replies
-
- Daonol
- czarny ekran śmierci
- (and 4 more)
-
Wiele mówi się o konieczności przestrzegania standardów w Internecie. W założeniu powinny one ułatwiać nam wszystkim życie. Stąd też zwykle duże zainteresowanie towarzyszy wydaniu kolejnych edycji przeglądarek. Wówczas wiele pisze się o tym, czy dana przeglądarka w sposób zgodny ze standardami interpretuje witryny WWW. Podawane są wyniki ACID, który jest najważniejszym testem na rynku przeglądarek. Jednak większość osób skupiających się na przestrzeganiu standardów przez przeglądarki, nie zadaje sobie prostego pytania. A brzmi ono: Czy jest sens skupiać się tylko na przeglądarkach, pomijając sprawdzenie, czy interpretowane przez nie witryny spełniają standardy? Postanowiliśmy sprawdzić, jak wygląda przestrzeganie standardów przez najpopularniejsze w Polsce i na świecie witryny internetowe. W tym celu wykorzystaliśmy oficjalny walidator organizacji W3C, którym sprawdziliśmy 200 witryn. Sto z nich to strony cieszące się największą popularnością w światowej Sieci, a 100 - w polskiej. Listę witryn ułożyliśmy na podstawie danych serwisu Alexa.com. Z powodu występujących błędów wykonanie walidacji było niemożliwe na 6 spośród 100 światowych liderów. Na pozostałych 94 witrynach znaleźliśmy w sumie 13 589 błędów! Jedynie 9 spośród badanych stron było napisanych bezbłędnie. Są to: MSN.com, Wikipedia.org, Wordpress.com, Yandex.ru, Skyrock.com, BBC.co.uk, Craiglist.org, Free.fr oraz Yahoo.com.cn. Tylko 7 witryn mogło pochwalić się nie więcej niż 9 błędami: Live.com (4), Youporn.com (8), Odnoklassniki.ru (1), Mininova.org (2), Naver.com (8), Apple.com (1) i Metroflog (1). Znacznie więcej było takich, na których walidator znalazł od 100 do 500 błędów. Tutaj trzeba wymienić: YouTube.com (104), Microsoft.com (177), eBay.com (230), Hi5.com (292), Mail.ru (165), Imdb.com (186), Go.com (164), RedTube.com (261), eBay.de (273), Espn.go.com (494), Livedoor.com (243), Rediff.com (163), Veoh.com (436), Deviantart.com (218), Goo.ne.jp (153), eBay.co.uk (195), Mediafire.com (200), Download.com (263), NYTimes.com (328) i Wretch.cc (256). Chociaż trudno w to uwierzyć, są i takie witryny, których autorzy zdołali na stronie głównej popełnić więcej niż 500 błędów. Znajdziemy tutaj: AOL.com (858), Perfspot.com (578), Gamespot.com (563). To jednak nie koniec. Absolutnymi zwycięzcami w rankingu liczby błędów są bowiem: Amazon.com (1355), 163.com (1405), Uol.com.br (1007). Nie lepiej wygląda sytuacja wśród witryn najpopularniejszych w Polsce, co nie znaczy, że polskich. Walidacja była niemożliwa na trzech witrynach. W sumie na pozostałych 97 występuje 9087 błędów. Bezbłędnie napisane witryny to: WP.pl, Wikipedia.org, OtoMoto.pl, MSN.com, FilmWeb.pl, Gratka.pl, Money.pl, Nazwa.pl, DarkWarez.pl i Wordpress.com. Są też witryny, których twórcy dołożyli starań by nie popełnić więcej niż 9 błędów: Nasza-klasa.pl (5), Interia.pl (6), Orange.pl (4), Chomikuj.pl (5), WyspaGier.pl (4), Home.pl (1), Live.com (4), mBank.com.pl (4), YouPorn.com (8), Wykop.pl (4), PKT.pl (9). Jednak, jak się możemy domyślić, znowu więcej jest witryn, na których występuje 100-500 błędów: Allegro.pl (243), YouTube.com (104), Fotka.pl (190), Wrzuta.pl (215), Gazeta.pl (488), Pudelek.pl (570), RedTube.com (261), Microsoft.com (177), Torrenty.org (120), Fora.pl (155), Blox.pl (116), Republika.pl (363), JoeMonster.org (311), Gumtree.pl (104), IDG.pl (170), nocoty.pl (114), odsiebie.com (130), Wyborcza.pl (144), Kafeteria.pl (228), Deviantart.com (218), MojaGeneracja.pl (176), Rozklad-PKP.pl (189), Neostrada.pl (208), Wizaz.pl (242). Ponad 500 błędów popełnili twórcy witryn: Pudelek.pl (570) i SFD.pl (534). Najgorzej jednak wypada strona DobreProgramy.pl z 1117 błędami znalezionymi przez walidator. Oczywiście testy przeprowadzone za kilka dni mogą dać odmienne wyniki, gdyż na wymienionych powyżej witrynach bez przerwy jest coś zmieniane. Warto więc zadać sobie pytanie, czy jest sens, by twórcy przeglądarek starali się spełniać standardy, podczas gdy powszechnym zjawiskiem jest nieprzestrzeganie ich przez twórców witryn.
-
W ostatni piątek na jednym z forów internetowych pojawił się post zatytułowany "IE7", który zawierał kilka linijek kodu HTML. Autor zamieścił go bez komentarza, jednak wygląda na to, że mamy do czynienia z nieznanym dotychczas poważnym błędem w Internet Explorerze. Kilka firm zajmujących się bezpieczeństwem przetestowało kod i odkryło, że może on prowadzić do awarii przeglądarki Microsoftu. Z testów jednej z firm wynika, że IE6 oraz IE7 pracujące pod kontrolą Windows XP SP3 są podatne na atak, który pozwala przestępcy na uruchomienie dowolnego kodu w systemie. Na razie kod nie stanowi prawdziwego zagrożenia, jednak bardzo szybko na jego podstawie może powstać złośliwy program, który będzie stanowił bardzo poważne zagrożenie. Dotychczasowe badania wykazały, że prawdopodobnie kod wykorzystuje błąd w metodzie JavaScript getElementsByTagName. Jeśli tak jest naprawdę, to użytkownicy mogą chronić się przed atakiem wyłączając Active Scripting. Dziura najprawdopodobniej dotyczy microsoftowej biblioteki mshtml.dll, co oznacza, że nie powinna pojawić się w innych przeglądarkach. Microsoft na razie nie odniósł się do informacji o błędzie.
- 7 replies
-
- Windows XP
- błąd
-
(and 2 more)
Tagged with:
-
Microsoft potwierdził występowanie krytycznej luki typu zero-day w Internet Explorerze, o znalezieniu której informowaliśmy wczoraj. Specjaliści koncernu badają obecnie znalezioną dziurę. Nasze dotychczasowe śledztwo wykazało, że Internet Explorer 5.01 SP4 i Internet Explorer 8 na wszystkich wspieranych platformach Windows nie są zagrożone. Dziura występuje natomiast w programach Internet Explorer 6 SP1 na platformie Windows 2000 SP4 oraz Internet Explorer 6 i 7 na wszysktich wspieranych wersjach Windows XP, Server 2003, Vista i Server 2008 - czytamy na stronach Microsoftu. Firma informuje, że przyczyną błędu są nieprawidłowe odwołania w Internet Explorerze. Można je wykorzystać do uruchomienia szkodliwego kodu w zaatakowanym systemie. Koncern z Redmond pisze, że na razie nie zauważono żadnych ataków. Jak już informowaliśmy wczoraj, dotychczas udostępniony szkodliwy kod nie jest groźny, jednak zdaniem specjalistów bardzo szybko na jego podstawie może powstać niebezpieczny złośliwy program. Microsoft nie wyklucza, że po stworzeniu odpowiedniej łaty zostanie ona wydana poza zwyczajowym cyklem poprawek. Firma przypomina, że skuteczne włamanie daje przestępcy takie same uprawnienia, jakie ma lokalny użytkownik, a zatem osoby pracujące na koncie użytkownika są narażone na mniejsze zagrożenie, niż pracujące na koncie administratora.
-
Firma Cenzic, specjalizująca się w tworzeniu aplikacji bezpieczeństwa, opublikowała swój raport za pierwszą połowę 2009 roku. Czytamy w nim, że przeglądarką, w której znaleziono najwięcej luk, był Firefox. Produkt Mozilli był odpowiedzialny za 44% wszystkich dziur znalezionych w przeglądarkach. Na drugim miejscu uplasowało się Safari, którego luki stanowiły 35% wszystkich. Trzecie miejsce przypadło Internet Explorerowi (15%), a czwarte Operze (6%). Warto przypomnieć, że w raporcie za II połowę 2008 roku pierwsze miejsce na niechlubnej liście przypadło IE (43% dziur), a Firefox był wówczas na drugiej pozycji (39%). Lars Ewe, prezes ds. technicznych firmy Cenzic mówi, że duża liczba luk w Firefoksie jest efektem kilku zjawisk. Przeglądarka przyciąga coraz więcej uwagi, co jest dla niej dobre, ale z drugiej strony im jest bardziej popularna, tym więcej błędów się w niej znajduje. Ponadto dużo luk występowało we wtyczkach. To właśnie architektura wtyczek jest tym, co przyczynia się do popularności przeglądarki i są one jednym z powodów, dla których uwielbiam Firefoksa. Jednak [Mozilla - red.] nie jest w stanie kontrolować bezpieczeństwa wszystkich wtyczek i jest to uboczny efekt popularności - stwierdza Ewe. Jednak fakt, że w Firefoksie znaleziono największą liczbę błędów nie oznacza, że jest to najmniej bezpieczna przeglądarka. Ewe informuje, że jego firma korzysta właśnie z technologii Mozilli w swoich produktach, co świadczy o tym, że można jej zaufać. Wyjaśnia również, w jaki sposób liczono liczbę błędów. Przygotowując raport oparto się na wielu różnych statystykach i uśredniono ich wyniki. W zależności bowiem od źródła można znaleźć kilkuprocentowe różnice w liczbie raportowanych błędów. Można mówić, że błędów jest 40% lub 42%, w zależności od tego, jak się je liczy, ale na pewno różnice w różnych statystykach nie są duże.
-
Niemal 10% otyłych osób nieprawidłowo ocenia rozmiary swojego ciała, uznając je za mieszczące się w granicach normy. W związku z tym nie widzą one potrzeby odchudzania się, mimo że mają nadciśnienie, podniesiony poziom cholesterolu i cierpią na cukrzycę. Badanie objęło ludzi biorących udział w Dallas Heart Study. Ochotników proszono o zaklasyfikowanie się do kategorii wagowej (poniżej normy, normalnej lub powyżej normy). Okazało się, że jedna na osiem otyłych osób sądziła, że jej rozmiary są prawidłowe i zdrowe. Działo się tak, choć w grupie popełniającej fatalną w skutkach pomyłkę aż u 35% stwierdzono nadciśnienie tętnicze, u 15% podwyższony cholesterol, a u 14% cukrzycę. To nie tylko kwestia błędu oceny, ponieważ percepcja wpływa na zachowanie – podkreśla Tiffany Powell, kardiolog z University of Texas Southwestern Medical Center. Otyli przekonani o przynależności do grupy z prawidłową masą ciała rzadziej odwiedzali lekarza: 44% nie widziało go od roku, w porównaniu do 26% wspominających o konieczności odchudzania się.
-
- zachowanie
- percepcja
-
(and 6 more)
Tagged with: