Po całym długim i ciężkim roku moja najnowsza książka Liars and Outliers jest gotowa. Przekazałem rękopis wydawcy 1 listopada, tydzień później dostałem uwagi od wynajętego redaktora oraz redaktora z wydawnictwa, kolejny tydzień zajęło mi wprowadzenie poprawek i w końcu wysłałem ostateczną wersję rękopisu do wydawcy tuż przed Świętem Dziękczynienia. Mam szansę sczytać gotowe strony w grudniu i wtedy rozpocznie się drukowanie.

 

Naprawdę cieszę się, że to zrobiłem. Jest to najtrudniejsza z książek które napisałem i jednocześnie najbardziej ambitna. Teraz zobaczę jak zostanie odebrana. Wiem, że powinienem myśleć o przygotowaniu rozmów nawiązujących do książki, ale chcę dać sobie trochę czasu i dystansu do całości. Wrócę do tego w styczniu.

 

Tymczasem razem z wydawcą pracowałem nad okładką. Grafikę i układ ustaliliśmy parę miesięcy temu, ale pozostaje tylna okładka, skrzydełka, biografia autora i notki reklamowe. Jestem bardzo zadowolony z tych notek. Właśnie zdecydowaliśmy co ma iść na front okładki, na tył i na pierwsze strony książki. Większość z tych tekstów będzie wykorzystywana w różnych księgarniach internetowych i na mojej stronie poświęconej książce. Umieszczę tam całą okładkę gdy będzie skończona.

Po tym wszystkim wydawca przygotuje różne formaty e-booków. Nie jestem pewien jak wykresy i tabele zostaną przetłumaczone, ale się dowiem. Publikacja ma się ukazać w połowie lutego, aby pojawić się na konferencji RSA w San Francisco na koniec miesiąca. Mam udzielić wywiadu na temat mojej książki w czymś o nazwie „Author’s Studio” oraz będę podpisywał moją książkę na stoisku podczas konferencji.

Tymczasem mój wydawca drukuje kopie książek do recenzji. Jeśli ktoś ma ważny powód aby otrzymać taką kopię, do napisania recenzji w gazecie, magazynie, popularnym blogu itp., niech wyśle do mnie maila, a ja przekażę go dalej do działu PR Wileya. Myślę, że będą gotowi do wysyłki po Nowym Roku.

Dodatkowo będę miał 10-20 kopii książki, które zamierzam rozdać czytelnikom Crypto-Gramu i mojego bloga. Na razie jeszcze nie wiem jak to zrobię. Rozdawnictwo „pierwszym X osobom, które zostawią komentarz” to dyskryminacja czytelników ze względu na różnice czasowe. Rozdawanie losowe komentatorom wydaje się za łatwe. Osoba odpowiedzialna za PR w wydawnictwie chce, żebym rozdawał książkę losowo ludziom, którzy „lajkną” mnie na Facebooku lub podeślą tweeta swoim znajomym lub zrobią coś w stylu tej durnej nowoczesnej dystrybucji marketingowej, ale wcale nie zamierzam tego robić.

Tak więc zdecydowałem, że dam darmową kopię Liars and Outliers osobie, która podpowie mi najlepszy sposób na darmowe rozdawanie kopi tej książki… Zostawcie swoje propozycje jako komentarze na moim blogu. 

http://www.schneier.com/blog/archives/2011/02/... 

http://www.schneier.com/blog/archives/2011/05/...

http://www.schneier.com/blog/archives/2011/07/... 

http://www.schneier.com/blog/archives/2011/08/...

http://www.schneier.com/blog/archives/2011/09/... 

http://www.schneier.com/blog/archives/2011/10/...

Zostawcie swoje propozycje na rozdawnictwo egzemplarzy recenzenckich książki: 

http://www.schneier.com/blog/archives/2011/12/...

 

 

 

 

Opisuję tu dwa artykuły. Pierwszy z nich jest o rozpowszechnianiu malware na telefonach z Androidem. Nie jestem tym zaskoczony. Platforma Androida to miejsce gdzie takie rzeczy się po prostu dzieją. Wierzę, że smartfony  staną się podstawowym celem ataków cyberprzestępców w najbliższych latach. Telefony integrują się coraz bardziej z życiem ludzi – dostarczają usługi bankowe, stają się elektronicznymi portfelami i tak oto będą najcenniejszymi urządzeniami dla przestępców. I nie wierzę, że iPhone będzie bardziej bezpieczny, z tego powodu, że Apple ma twarde zasady na app storze.

 

Drugi artykuł jest dobrym uzupełnieniem pierwszego. Autor ma rację. Złośliwe oprogramowanie na urządzeniach przenośnych nie będzie wyglądało ani działało w taki sam sposób jak na komputerach tradycyjnych. Nie będzie rozprzestrzeniało się z telefonu na telefon. Bardziej niepokojące są trojany ukryte w legalnych i nielegalnych aplikacjach, malware wbudowany w strony internetowe, oszukańcze update’y itp. Większość z tych zagrożeń będzie wykorzystywało inżynierię socjalną, ale to nie będzie główny problem.

 

Postrzegam urządzenia mobilne jako cel z wyboru. Najbardziej obawiam się o naruszenie prywatności. Twój telefon wie gdzie jesteś. Twój telefon wie z kim rozmawiałeś i – z użyciem nagrywania – co mówiłeś. A gdy Twój telefon stanie się Twoim cyfrowym portfelem, Twój telefon będzie wiedział jeszcze więcej o Twojej prywatności. Wszystkie te dane i informacje mogą być wykorzystywane przez przestępców i marketerów i będziemy zapewne obserwować wszelkiego rodzaju nielegalne lub prawie-legalne metody wykorzystywania takich informacji przez obie z  tych grup. 

Zabezpieczenie takich urządzeń będzie trudne, ponieważ nie mamy do nich dostępu na takim niskim poziomie jak mamy do komputerów.

Firmy antywirusowe wykorzystują strach użytkowników przed takimi zagrożeniami, aby sprzedawać swoje produkty, ale zagrożenie takie jest prawdziwe. Już czas zacząć prace nad rozwiązaniem tych problemów. 

http://globalthreatcenter.com/?p=2492 

http://www.informationweek.com/news/security/mobile/...

 

 

 

 

Bardzo ciekawy artykuł o samoobronie. Trzy zasady Sama Harrisa to: 1) unikaj niebezpiecznych ludzi i niebezpiecznych miejsc, 2) nie broń swojej własności, 3) reaguj natychmiast i uciekaj

http://www.samharris.org/blog/item/...

 

Naprawdę fajny tekst kryptologa Paula Kochera i jego firmy, Cryptography Research, Inc. 

http://alumni.stanford.edu/get/page/magazine/...

 

Wykrywanie psychopatów po wzorach ich mowy: 

http://vitals.msnbc.msn.com/_news/2011/10/23/... 

 

Obawiam się, gdy ludzie będą oceniani według takich kryteriów. Psychopaci to tylko ok. 1% społeczeństwa, więc nawet mała pomyłka w pozytywnym rozpoznaniu może stanowić poważny problem.

 

Unia Europejska zakazała stosowania rentgenowskich skanerów całego ciała na lotniskach. Skanery fal milimetrowych są dozwolone tylko wtedy, gdy spełniają wymogi prywatności. 

http://europa.eu/rapid/pressReleasesAction.do?...

http://www.scientificamerican.com/article.cfm?... 

 

Dan Boneh z Uniwersytetu Stanforda rozpoczyna w styczniu darmowy kurs kryptografii.

http://www.crypto-class.org/

 

Zawodowa liga piłkarska o zagrożeniach: 

http://www.schneier.com/blog/archives/2011/11/...

 

Pajęczyny zawierające truciznę na mrówki: 

http://www.schneier.com/blog/archives/2011/11/...

 

Istnieje firma, która śledzi ludzi używających swoich telefonów w centrach handlowych. 

http://www.cbc.ca/news/world/story/2011/11/25/...

http://arstechnica.com/business/news/2011/11/... 

 

Dwa centra handlowe używają już tego systemu:

http://money.cnn.com/2011/11/28/news/economy/... 

 

Jeśli coś jest dobrze chronione, to znaczy, że jest oczywiście warte kradzieży. Oto przykład ze świata insektów:

http://www.schneier.com/blog/archives/2011/11/...

 

Nie wiem, czy ta historia o szpiegach CIA w Libanie jest prawdziwa, ale na pewno nigdy nie będzie potwierdzona ani zdementowana: 

http://abcnews.go.com/Blotter/... 

 

Debata dotycząca całkowitej jawności w zabezpieczeniach komputerowych trwa co najmniej od dwóch dekad. Stawka jest jeszcze wyższa jeśli chodzi o biologię. 

http://www.schneier.com/blog/archives/2011/11/...

 

Zdaniem badaczy szyfrowanie całych dysków utrudnia działania śledcze policji. 

http://www.physorg.com/news/...

http://www.sciencedirect.com/science/article/pii/...

 

Ciekawe opracowanie o barierach i płotach oraz ich wpływie na myślenie o zabezpieczeniach: 

http://opinionator.blogs.nytimes.com/2011/11/27/... 

 

Wygląda na to, że doniesienia prasowe o włamywaniu się do drukarek HP i wywoływaniu w nich pożaru są raczej fikcją niż rzeczywistością.

http://www.engadget.com/2011/11/29/...

http://redtape.msnbc.msn.com/_news/2011/11/29/... 

http://consumerist.com/2011/11/...

http://www.hp.com/hpinfo/newsroom/press/2011/...

 

Nowy konkurs włamywania GCHQ to forma rekrutacji. 

http://www.canyoucrackit.co.uk/

http://www.bbc.co.uk/news/technology-15968878 

http://news.cnet.com/8301-17938_105-57335287-1/... 

 

Konkurs został złamany, ale tylko dlatego, że administratorzy nie ukryli strony z rozwiązaniem przed automatami wyszukiwarek.

http://www.theregister.co.uk/2011/12/03/...

 

Inwazyjne amerykańskie program śledzące, takie jak nielegalny podsłuch NSA łącz telefonicznych AT&T czy zalegalizowane w ramach ustawy Patriot, powodują, że zagraniczne firmy dwa razy się zastanowią zanim umieszczą swoje dane w amerykańskich rozwiązaniach w chmurze. Uważam, że obawy takie są uzasadnione. Nie wierzę amerykańskiemu rządowi, że legalnie czy nielegalnie nie będzie szpiegował moich danych jeśli uzna to za dobry pomysł. Ciekawsze jest jednak pytanie jakiemu innemu rządowi mógłbym zaufać w tej kwestii?

http://www.politico.com/news/stories/1111/69366.html

http://www.wired.com/cloudline/2011/12/us-cloud/

 

W Montrealu policja oznaczała protestantów niewidzialnym tuszem aby móc ich później zidentyfikować. Następnym krokiem będzie spryskiwanie ludzi w sposób niejawny, może z użyciem niewidzialnej farby SmartWater. 

http://news.sympatico.ctv.ca/home/...

http://spvm.qc.ca/fr/documentation/...

 

Nowa dziura w Skype: 

http://www.csoonline.com/article/695631/...

http://www.csoonline.com/article/686252/... 

http://www.poly.edu/press-release/2011/10/18/... 

 

Zawody DARPA i ich zwycięzca. 

http://www.darpa.mil/NewsEvents/Releases/2011/12/...

http://www.shredderchallenge.com/ 

http://www.shredderchallenge.com/puzzlefiles/...

http://www.shredderchallenge.com/Download.aspx

 

W sam raz na Święta, pamięć USB zamknięta w prawdziwym zamku szyfrowym. 

http://www.gizmag.com/crypteks-usb-flash-drive/20693/

 

Napad na bank w ramach testu zabezpieczeń – śmieszne. 

http://www.youtube.com/watch?v=RJVHTQSvUIo

 

Choć te zapiski osoby prześwietlającej ludzi na lotnisku są od kilku lat, nie podawałem tego linka wcześniej. 

http://www.cntraveler.com/travel-tips/... 

 

Najgłupszy zakaz fotografowania: oczywiście w Londynie. „Zakazy fotografowania są dość powszechne, ale ta stacja zdecydowała się zakazać robienia zdjęć cyfrowymi lustrzankami z powodu ich dużej czułości w połączeniu z wysoką rozdzielczością. Zdjęcia pozostałymi aparatami są dozwolone jeśli tylko aparaty nie wyglądają na duże i robiące dobre zdjęcia”. 

http://www.petapixel.com/2011/12/05/...

 

Ten artykuł o bezpieczeństwie lotów potwierdza to, o czym mówię od lat. 

http://www.ctc.usma.edu/posts/... 

 

Rozmowa Wired z byłym doradcą linii Delta. 

http://www.wired.com/dangerroom/2011/12/unsafe-skies/

 

Kolejne straszne doniesienia amerykańskiego Departamentu Bezpieczeństwa Narodowego (DHS): Al Kaida zaszywa bomby w ludziach. Właściwie niezupełnie. To jest jedynie możliwe zagrożenie terrorystyczne, co oznacza, że ktoś bredził o tym po pijaku w jakimś barze. Oczywiście nie powstrzymało to Departamentu Bezpieczeństwa przed terroryzowaniem ludzi tym pomysłem i sprzedawaniu nam odpowiedniego „rozwiązania” tego problemu. Wired: „A więc destrukcyjna i droga panika z powodu prawdopodobnego scenariusza? To brzmi całkiem jak Al Kaida. I jak Administracja Bezpieczeństwa Transportu (TSA) w USA.” 

http://www.wired.com/dangerroom/2011/07/... 

 

Ja: "Nie dać się sterroryzować." 

http://www.schneier.com/essay-124.html

 

Gdy wróble czują sie zagrożone, przeżywa mniej z ich potomstwa, niezależnie od tego czy zagrożenie jest realne. Wygląda na to, że wróble też są podatne na odczuwanie braku bezpieczeństwa. 

http://www.schneier.com/blog/archives/2011/11/...

 

Dobra analiza ataku Buckshot Yankee na tajną wojskowa sieć komputerową w 2008. Zawiera ona wiele szczegółów, o których wcześniej nie wiedziałem. 

http://www.washingtonpost.com/national/...

 

 

 

 

W zeszłym miesiącu pojawiło się doniesienie o włamaniu do systemu SCADA, który kontroluje pompy wodne w stanie Illinois. Pompy miały zostać zniszczone, a dokonać tego mieli prawdopodobnie Rosjanie. Potem okazało się, że wszystko jest nieporozumieniem. 

 

Końcówka drugiego artykułu podnosi moim zdaniem najważniejsze:

Joe Weiss mówi, że był zszokowany tym, jak taki raport mógł zostać wydany bez wcześniejszego sprawdzenia i potwierdzenia zawartych w nim informacji.

„Jeśli nie możesz zaufać informacjom z centrum informacyjnego, to jaki jest sens posiadania takiego centrum rozsyłającego cokolwiek? I o to właśnie chodzi” powiedział Weiss. „Gdy czytasz ten raport, czytasz bardzo przerażające informacje. Jak Departament Bezpieczeństwa Narodowego mógł nie wspomnieć o tym, że te informacje są niesprawdzone?”

 

Rzeczniczka centrum informacyjnego zapytana dlaczego nie sprawdzono tych informacji i umieszczono je w raporcie odpowiedziała, że za to odpowiada Departament Bezpieczeństwa Narodowego i agencje odpowiedzialne za raport. Panią rzecznik Bond bardziej interesowało jak Weiss zdobył raport, którego kopii nigdy nie powinien zobaczyć.

„Bardzo obawiamy się wycieku kontrolowanych informacji” podkreśliła Bond. „Badamy wewnętrznie jak wydostały się te poufne i kontrolowane informacje oraz w jaki sposób dotarły do rąk użytkowników, którzy nie powinni ich dostać. I to jest nasz priorytet.”

 

Zauważcie, że problemem nie jest nagłośnienie nieistniejącego zagrożenia w poufnym raporcie, ale upublicznienie tego raportu. Nie jest ważne czy raport został upubliczniony, ale to, że nigdy nie został uznany za błędny. Jak wiele innych takich raportów służy do ustanawiania praw, które są tak samo błędne jak dane na podstawie których powstały?

http://www.wired.com/threatlevel/2011/11/... 

http://www.wired.com/threatlevel/2011/11/...

 

 

 

 

Spyware na wielu smartfonach monitoruje wszystko co robisz, w tym nawet każde naciśnięcie klawisza. Firma, która przygotowuje takie oprogramowanie dla różnych operatorów, Carrier IQ, wpadła w popłoch gdy odszedł jeden z jej pracowników od zabezpieczeń. Firma na początku twierdziła, że nie śledzi przyciśnięć klawiszy – co łatwo było obalić - a w końcu zagroziła pozwem byłemu pracownikowi. W sprawę zaangażowała się Electronic Frontier Foundtion. 

 

Carrier IQ zareagowało w bardzo zły sposób. Straszenie swojego byłego pracownika to efekt paniki, ale uważam, że to także efekt przywiązania firmy do polityki trzymania szczegółów tego co robi w tajemnicy i ukrywania się za marketingowymi sloganami.

Pojawia się tu parę istotnych kwestii: 1) Jakie dane aplikacja Carrier IQ gromadzi w telefonie, 2) jakie dane Carrier IQ przesyła regularnie operatorom, 3) jakie dane aplikacja Carrier IQ może wysłać operatorom na życzenie. Czy operator może mieć dostęp do wszystkiego na żądanie FBI? Nie mamy pojęcia.

Spodziewam się, że ta sprawa będzie jeszcze sie rozwijać w ciągu najbliższych tygodni. Każdy tu wskazuje innego winnego i senator Franken poprosił zaangażowane firmy o szczegóły.

 

Jeszcze jeden szczegół wart jest wspomnienia. Apple ogłosiło, że w iOS5 nie będzie już używać aplikacji Carrier IQ. Jestem pewien, że to oznacza zastosowanie ich własnego oprogramowania śledzącego, a nie rezygnację z monitorowania aktywności swoich użytkowników.

http://www.theregister.co.uk/2011/11/30/... 

http://www.informationweek.com/news/security/mobile/...

http://www.wired.com/threatlevel/2011/11/... 

https://www.eff.org/mention/...

http://www.engadget.com/2011/12/01/... 

http://www.geek.com/articles/mobile/...

http://www.informationweek.com/news/security/mobile/... 

http://www.pcmag.com/article2/0,2817,2397156,00.asp

Apple i Carrier IQ: 

http://allthingsd.com/20111201/... 

 

Doskonały skrót wszystkiego co wiadomo o Carrier IQ: 

http://security.stackexchange.com/q/9416/971

 

 

 

 

Dużo piszę o altruizmie, uczciwości i współpracy w mojej nowej książce (wychodzi w lutym!), więc połączenie altruizmu i uczciwości bardzo mnie ciekawi. Eksperyment odkrył taką korelację pomiędzy zaledwie 15-miesięcznymi niemowlakami.

Zarówno psychologia jak i neurologia mają wiele do powiedzenia na te tematy i w efekcie można dojść do wniosku, że wszystko sprowadza się do pytania „Czy istnieje coś takiego jak wolna wola?”. Myślę, że ci co wierzą, że wolna wola nie istnieje, źle zdefiniowali całe zagadnienie.

Co to wszystko ma do kwestii bezpieczeństwa? Wszystko. Trzeba zrozumieć, że istnieje naturalna ludzka skłonność do uczciwości i altruizmu oraz, że są ludzie potrafiący wykorzystywać te skłonności dla własnych celów. Systemy powinny być tak budowane, aby chroniły przed wykorzystywaniem takich skłonności.

http://www.theatlantic.com/life/archive/2011/11/... 

http://www.plosone.org/article/... 

Esej o wolnej woli: 

http://opinionator.blogs.nytimes.com/2011/11/13/... 

Podobne badanie z psami: 

http://www.newscientist.com/article/...

 

 

 

 

Dwa tygodnie temu otrzymałem honorowy tytuł doktorski londyńskiego Uniwersytetu Westminster. Wcześniej miałem na ten temat mieszane uczucia, ale przeczytałem świetną poradę: „To wielki zaszczyt, ale to zaszczyt nie stopień."

http://www.cso.com.au/article/408522/...

 

 

 

 

Iran przechwycił amerykański samolot bezzałogowy, tzw. drona. Nikt nie wie jak to się stało. Patrząc na zdjęcia drona widać, że nie został on ani zestrzelony, ani się nie rozbił. Wygląda na to, że liczne mechanizmy zabezpieczające na wypadek awarii zawiodły, bo inaczej samolot wróciłby do domu. Amerykanie twierdzą, że to była zwykła awaria, ale to nie ma większego sensu.

 

Irańczycy twierdzą, że użyli „elektronicznego sprzętu wojskowego” do przechwycenia drona, sugerując, że przejęli kontrolę nad samolotem w powietrzu i sprowadzili go na ziemię. Jeśli to prawda, oznacza to poważną lukę w projekcie systemu bezpieczeństwa tego urządzenia. Dwa lata temu pojawiła się informacja, że Al Kaida potrafi przechwytywać sygnały wideo z dronów. Kanał sterowania i kontroli jest jednak odmienny i sądzę, że zabezpieczony mocnym szyfrowaniem.

 

http://www.bbc.co.uk/news/world-us-canada-16095823 

http://www.schneier.com/blog/archives/2009/12/...

 

Zdjęcia przechwyconego drona: 

http://aviationintel.com/?p=4322

 

 

 

 

Niedawno odbyłem długą rozmowę z Robertem Lemos dotycząca jego artykułu o całkowitej  jawności. Zauważył on, że wcześniej firmy reagowały bardziej negatywnie na publikowanie informacji o dziurach w zabezpieczeniach ich produktów.

Dyskusja o całkowitej jawności jest tak stara jak komputeryzacja, pisałem już o tym. Ujawnianie luk w zabezpieczeniach jest dobre dla kwestii bezpieczeństwa i dla społeczeństwa, ale producenci tego nienawidzą. Dla nich oznacza to złą prasę, wydawanie pieniędzy na naprawianie dziur, a wszystko dzieje się z zaskoczenia. W ciągu ostatniej dekady udało się jednak uzyskać niełatwy rozejm pomiędzy badaczami bezpieczeństwa i dostawcami oprogramowania. Wydaje się, że rozejm ten się chwieje. 

Lemos uważa, że problem pojawił się ponieważ celem dzisiejszych badaczy nie są tradycyjne firmy komputerowe, tylko firmy produkujące telefony lub systemy wbudowane i te firmy nie mają świadomości całej dyskusji, wypracowanego rozejmu, a ich reakcje są raczej instynktowne. Dobrym przykładem jest firma Carrier IQ strasząca pozwem swojego pracownika. Przypomniałem sobie też reakcję ślusarzy na ujawnienie słabych stron zamków przez Matta Blaze. Za publiczne ujawnienie stuletnich słabości w systemach zamknięć potraktowano go jak diabła wcielonego. Podobna dyskusja na temat jawności, opublikowana niedawno na moich stronach, pojawiła się w kontekście wirusologii.  

Lemos wskazuje tylko na część problemów, a dzieje się znacznie więcej. Uważam, że firmy komputerowe i niekomputerowe próbują utrzymać kontrolę nad całą sytuacją. Przykładem to potwierdzającym jest reakcja Apple wobec badacza Charlie Millera. Z jednej strony Apple powinien wiedzieć jak to zrobić lepiej, z drugiej jest to działanie w najlepszym interesie marki: im mniej badaczy szuka dziur, mniej dziur trzeba załatać.

Łatwo jest uwierzyć, że jeśli ludzie przestaną odkrywać problemy, będziemy udawać, że one nie istnieją i wszystko będzie lepsze. Takie właśnie stanowisko przyjął Departament Bezpieczeństwa Narodowego (DHS) w sprawie terroryzmu: publiczne poinformowanie o problemie jest gorsze niż sam problem. Podobne jest to do przyzwolenia Amerykanów dla Busha i Obamy na dowolne aresztowanie i przetrzymywanie bez procesów każdego innego Amerykanina. To w dużej mierze wyjaśnia ogólną niechęć dla demaskatorów. To o czym nie wiemy, nie może nas skrzywdzić, a to o czym wiemy będzie także znane tym, którzy zechcą nas skrzywdzić.

Mamy tu do czynienia z głęboko zakorzenionymi psychologicznymi barierami i nie jestem pewien ich następstw. Warto na to zwrócić uwagę. Bezpieczeństwo wymaga przejrzystości i jawności, a jeśli dobrowolnie z tego zrezygnujemy - będziemy mniej bezpieczni jako społeczeństwo. 

http://www.darkreading.com/security/... 

 

Mój poprzedni esej o pełnej jawności:

http://www.schneier.com/blog/archives/2007/01/...

 

Carrier IQ uspokaja się: 

https://www.eff.org/mention/... 

 

Zamki i całkowita jawność: 

http://www.schneier.com/essay-012.html

 

Odwet Apple’a na Charlie Millerze: 

http://www.huffingtonpost.com/2011/11/16/...