On Sat, 26 Mar 2016 14:20:22 +0100, Sebastian
Biały<h...@p...onet.pl> wrote:
> Fajnie. Ciekawe dlaczego od jakiegoś czasu państwo PL promuje
podpisy
> elektroniczne które mozna sobie uzyskać z urzedu.

Zapomniałeš dopisać "... i nie mają u nas powszechnego a i więc
praktycznego zastosowania".

Wielokrotnie pogoniłem już paru cwaniaczków, co dokumenty chcieli
przysyłać z "cyfrowym podpisem". Na drzewo.

--
Marek

do góry

W dniu 2016-03-23 o 18:37, Sebastian Biały pisze:

> Może jednak coś przeoczyłem w dyskusji, więc wyostrzę: rozmawiamy o
> donglu dostarczanym przez bank, wpinanym w USB/Whatever. Dongle zawiera
> scalak niekoniecznie TPM, ale o poziomie funkcjonalnym i
> zabezpieczeniami fizycznymi jak TPM. Ma on dodatkowo klawiaturę i
> wyswietlacz co pozwala na pozbycie się problemów z malware
> podmieniającymi widok.

W przyszłości, a nawet już obecnie to nie ma racji bytu,
użytkownicy przesiadają się na urządzenia przenośne,
a nawet w profesjonalnych zastosowaniach używa się prywatnych
urządzeń.

do góry

On 2016-03-26 16:41, MarcinF wrote:
>> Może jednak coś przeoczyłem w dyskusji, więc wyostrzę: rozmawiamy o
>> donglu dostarczanym przez bank, wpinanym w USB/Whatever. Dongle zawiera
>> scalak niekoniecznie TPM, ale o poziomie funkcjonalnym i
>> zabezpieczeniami fizycznymi jak TPM. Ma on dodatkowo klawiaturę i
>> wyswietlacz co pozwala na pozbycie się problemów z malware
>> podmieniającymi widok.
> W przyszłości, a nawet już obecnie to nie ma racji bytu,
> użytkownicy przesiadają się na urządzenia przenośne,
> a nawet w profesjonalnych zastosowaniach używa się prywatnych
> urządzeń.

Przeciez przymusu nie ma. Jesli ktoś na dziurawym androidzie chce mieć
"bezpieczne" szyfrowanie, to proszę.

No chyba że ... producenci hardware do telefonów stworzą technikę
pozwalającą na pewny i bezpiecznyc podpis. Na przykład poprzez zupełnie
osobny tryb pracy cpu który potrafi na wyświetlaczu pokazać przelew w
sposob pewny i niemozliwy do przerobienia przez malware. Obecnie nie
słyszę o takich planach. Wszystkim opłaca się klepać dziadostwo.

do góry

On 2016-03-26 03:12, Rafal Jankowski wrote:
>>> Chociażby dlatego, że mowa była o *nieudanych* próbach wprowadzenia do
>>> kernela backdorów, a z przytoczonych przez Ciebie pewnie coś ok 100%
>>> było udanych?
>> Ja przytoczylem nieudaną, acz znaleziona przypadkiem.
> Ty na pewno wziąłeś te tabletki na schizę? Możemy wprowadzić jakąś
> logikę do tych rozważań?

Nie ma biznesowej logiki. Prawdopodobnie jestes oszołomiony faktem że
dyskutant może wprowadzać argumenty za tezą przeciwnika jako częściowe
potwierdzenie jego słów. Trudno. Podzwigniesz się.

> - Twój przedpiśca pisze o nieudanych próbach wstawienia backdoora do
> jądra.
> - Ty (jako kontrargument) odpisujesz coś o skutecznym wstawianiu backdorów
> przy pomocy urządzeń firewire i dalej faktycznie o próbie wstawienia
> kawałka kodu w CVS, ale wyłapanej co tylko potwierdza postawioną tezę.

Tak. Po pierwsze znam jedną nieudana próbe zbackdorowania linuxa która
zostala przypadkiem odkryta. Po drugie problem z firewire jest *poważny*
ponieważ urzadzenia tego typu mają zmapowany cały ram. Co oznacza że o
ile istnieje tylko jedna nieudana próba wsadzenia backdoora w kernel to
istniejerównież milion innych urządzeń in the wild co do których nie
masz zaufania. Patrząc w ten sposób robi się próby infekowania
sterowników klawiatury, myszek, biosów uważam że wsadzanie trojanów w
kernel jest bez sensu skoro go można ukryć poza dostępem kernela.

>> Niewiele. Chyba że dodamy androida. Ale w androidzie jest tak wiele
>> dziur w user space że nie ma to sensu.
> Nie liczę androida

Szkoda, bo to linux.

> , ale liczę że spora część użytkowników androida
> przechowuje gdzieś swoje dane (bankowe czy jakiekolwiek inne) na
> serwerach gdzie jest kernel linuksa.

Na serwerach nie zmienia się kernela na codzień. Zawsze możesz
przedstawić backdora w kodzie przylapanego gdzieś na serwerze. Nie ma go
bo nie ma po co. Natomiats jak chcesz troche większy hardcore to co
powiedz na algorytmy które za pomoca pomiarów latency cache (z user
space) potrafią wykradać sekrety z pracującej rownolegle maszyny wirtualnej?

>> Intefejsy białkowe siedzace przy złomach od jakiś 15 lat mają średnie
>> IQ w okolicy 100. Czyli to tylko kwestia napisania maila. Ostatnie
>> kampanie mailowe sa bardzo interesujące. Sądząc po ilościach - zapewne
>> przynoszą spore zyski.
> OK, do wyłudzania kasy z konta tym bardziej jak cel nie jest jasno
> określony tylko dowolny to faktycznie łatwiej jest wysłać milion maili z
> wygaszaczem ekranu. Ale w zastosowaniach bardziej uniwersalnych ta
> metoda albańskiego wirusa może nie spełnić oczekiwań.

Masz przykłady bardziej uniwersalnych?

do góry

Dnia Sat, 26 Mar 2016 19:58:45 +0100, Sebastian Biały napisał(a):
> On 2016-03-26 03:12, Rafal Jankowski wrote:
>> - Twój przedpiśca pisze o nieudanych próbach wstawienia backdoora do
>> jądra.
>> - Ty (jako kontrargument) odpisujesz coś o skutecznym wstawianiu backdorów
>> przy pomocy urządzeń firewire i dalej faktycznie o próbie wstawienia
>> kawałka kodu w CVS, ale wyłapanej co tylko potwierdza postawioną tezę.
>
> Tak. Po pierwsze znam jedną nieudana próbe zbackdorowania linuxa która
> zostala przypadkiem odkryta. Po drugie problem z firewire jest *poważny*
> ponieważ urzadzenia tego typu mają zmapowany cały ram. Co oznacza że o
> ile istnieje tylko jedna nieudana próba wsadzenia backdoora w kernel to
> istniejerównież milion innych urządzeń in the wild co do których nie
> masz zaufania. Patrząc w ten sposób robi się próby infekowania
> sterowników klawiatury, myszek, biosów uważam że wsadzanie trojanów w
> kernel jest bez sensu skoro go można ukryć poza dostępem kernela.

Ale wiesz - myszka ma niewielkie mozliwosci. Kernel olbrzymie.
No chyba, zeby tak zgrabnie myszke oprogramowac, ze gdzies w nocy
zacznie sama tak klikac, ze kernela zmieni :-)

A propos, o czlowieku ktory "almost broke the Internet"
http://www.businessinsider.co.id/npm-left-pad-contro
versy-explained-2016-3/#.VvbkQebIh1g

Pokazuje, jak to dzis wyglada, choc na szczescie - chyba nie w
bankach.

J.

do góry

Dnia Sat, 26 Mar 2016 19:08:56 +0100, Sebastian Biały napisał(a):
> On 2016-03-26 16:41, MarcinF wrote:
>>> Może jednak coś przeoczyłem w dyskusji, więc wyostrzę: rozmawiamy o
>>> donglu dostarczanym przez bank, wpinanym w USB/Whatever. Dongle zawiera
>>> scalak niekoniecznie TPM, ale o poziomie funkcjonalnym i
>>> zabezpieczeniami fizycznymi jak TPM. Ma on dodatkowo klawiaturę i
>>> wyswietlacz co pozwala na pozbycie się problemów z malware
>>> podmieniającymi widok.

>> W przyszłości, a nawet już obecnie to nie ma racji bytu,
>> użytkownicy przesiadają się na urządzenia przenośne,
>> a nawet w profesjonalnych zastosowaniach używa się prywatnych
>> urządzeń.
> Przeciez przymusu nie ma. Jesli ktoś na dziurawym androidzie chce mieć
> "bezpieczne" szyfrowanie, to proszę.
>
> No chyba że ... producenci hardware do telefonów stworzą technikę
> pozwalającą na pewny i bezpiecznyc podpis. Na przykład poprzez zupełnie
> osobny tryb pracy cpu który potrafi na wyświetlaczu pokazać przelew w
> sposob pewny i niemozliwy do przerobienia przez malware. Obecnie nie
> słyszę o takich planach. Wszystkim opłaca się klepać dziadostwo.

Producentom telefonu niekoniecznie zalezy.
Ale to w sumie bankom powinno zalezec na bezpieczenstwie.
Szczegolnie, jak sady zaczna uwazac, ze transakcje autoryzowane przez
wirusa haslem sms to z winy banku.

Ale banki cwane - policza straty, ubezpiecza, i przerzuca skladke na
klienta :-)

J.

do góry

On 2016-03-26 20:40, J.F. wrote:
> Ale wiesz - myszka ma niewielkie mozliwosci. Kernel olbrzymie.
> No chyba, zeby tak zgrabnie myszke oprogramowac, ze gdzies w nocy
> zacznie sama tak klikac, ze kernela zmieni :-)

M.in o to chodzi w najprostszej wersji:

http://www.tripwire.com/state-of-security/security-d
ata-protection/danger-usb/
http://www.scmp.com/news/world/article/1563822/keybo
ards-mice-and-thumb-drives-used-hide-malware-and-com
puters-powerless
http://www.extremetech.com/computing/187279-undetect
able-indefensible-security-flaw-found-in-usb-its-tim
e-to-get-your-ps2-keyboard-out-of-the-cupboard

Co do uefi to jest to o tyle wygodne że w pewnym sensie kernel jest
slave biosu:

http://www.pcworld.com/article/2948092/security/hack
ing-teams-malware-uses-uefi-rootkit-to-survive-os-re
installs.html

Dochodzi do takiego poziomu absurdu że producenci sprzętu w ich
mniemaniu legalnie instalują malware be design:

https://zaufanatrzeciastrona.pl/post/tylna-furtka-w-
laptopach-lenovo-tym-razem-w-uefi/

I teraz sprobuj mając do czynienia z takim typem malware dyskutować
sobie w sądzie na tematy techniczne z misiem który z trudem przeczytal
by ksiązkę z zakresu techniki dla podstawówki.

do góry

Rafal Jankowski <j...@o...wsisiz.edu.pl> writes:

> Inna sprawa, że w wersji z tokenem, który ma kamerkę i tą kamerką
> zczytuje kod QR z zawirusowanego systemu też mamy problem tego typu,
> że na tym tokenie musi być aplikacja zaufana, więc jak bank nie jest
> zaufany to mamy dokładnie ten sam problem. Pewnie i to da się jakoś
> rozwiązać, ale mi się już chyba nie chce kombinować, bo ja tu miałem
> być od czepiania się a nie od podawania rozwiązań.

Jeśli nie ufamy bankowi, to niestety problem jest nierozwiązywalny -
przynajmniej do momentu, w którym sami jesteśmy w stanie zbudować sobie
system do podpisywania zleceń. Ale to nie jest nasz aktualny problem.

Zakładamy, że bankowi możemy jednak ufać. To m.in. dlatego nie wymagamy
od klienta bezpiecznego podpisu cyfrowego, a jedynie jakieś tam kody
autoryzujące.
Bank może dać nam (klientowi) bezpieczne urządzenie (token), który
będzie wyświetlał nam na ekranie szczegóły zlecanej właśnie operacji,
oraz (w przypadku akceptacji) będzie informował bank, np. wyświetlając
kod jednorazowy, który wklepiemy w przeglądarkę. To jest rozwiązanie
bezpieczne (wystarczająco).

Jeśli coś takiego będziemy mieć w np. telefonie, albo w ogóle w pececie,
to niestety nie będzie to bezpieczne, ponieważ na tych urządzeniach
instalujemy nie wiadomo jaki soft, i nie możemy mieć do nich żadnego
zaufania. TPM ani nic podobnego też nam go nie zapewni. Musimy mieć
urządzenie, na którym w praktyce nie można nic zainstalować, najlepiej
odporne na zanurzanie w wodzie, na upadki na podłogę itd.

Stąd (często wykorzystywana) koncepcja kamery z kodem QR, trzeba jedynie
zadbać by program czytający QR przypadkiem nie wykonał tego, co
przeczyta (a tylko wyświetlał to, liczył odpowiednie m.in. hashe
i generował odpowiedź).
--
Krzysztof Hałasa

do góry

Sebastian Biały <h...@p...onet.pl> writes:

> Więc zainteresuj sie faktem że od groma mikrokontrolerów implementuje
> różnego rodzaju TouchWhatever za friko. Innymi słowy dotarliśmy do
> momentu kiedy klawiatura kosztuje tyle co napylenie grafitu na plastik
> i jest niezniszczalna.

Kiedyś takie rzeczy kosztowały tyle, co dodatkowy mały scalaczek.

Tak czy owak za $0.5 takiego tokena nie da się obecnie wykonać. Za ok.
$0.5 to obecnie banki kupują "zepsute" pendrivy 8GB, takie z chińskim
kontrolerem i pamięcią NAND flash z wy-XXX-wanym logo producenta
("zepsute" w sensie: potrzebne jest zapuszczenie programu
inicjalizującego pendrive, a to zbyt długo trwa).

Tak czy owak, gdyby banki na poważnie brały kwestie bezpieczeństwa, to
koszt tokena nie byłby problemem. Możliwe jednak, że jeśli banki nie
będą mogły przerzucać na klientów odpowiedzialności za takie fraudy, to
takie tokeny zaczną być używane (trzeba też zauważyć, że to przerzucanie
odpowiedzialności nie jest uczciwe, gdyż to banki wybierają mechanizm
autoryzacji, klient nie ma tu wiele do powiedzenia).

Zobaczymy.
--
Krzysztof Hałasa

do góry

Sebastian Biały <h...@p...onet.pl> writes:

> Ma znaczenie. Pojawienie się jednego malware na Linuxa to sensacja na
> skale madialna. W miedzyczasie powstaje setka malware dla windowsa w
> kilkuset tysiącach mutacji. Skala ma znaczenie. Miedzy innymi obecnie
> bezpieczniej jest wykonywać transakcje na Lin/OS X nie z powodu że są
> bezpieczne, tylko z powodu że większe powodzenie przestępcy mają na
> win i nie bedą zajmowali się hakowaniem tych kilku nerdów uwalonych
> pizzą bo tam nie ma kasy a przede wszystkim jest mało idiotów.

Mogę zgodzić się tylko z tym, że Linux jest bezpieczniejszy. Ale tu nie
chodzi o to, by się pastwić nad Windows (które BTW podobno też jest
coraz bezpieczniejsze), tylko o rozwiązanie _bezpieczne_. Nie tylko nie
aż tak bardzo niebezpieczne.

Rozmaitego "softu" na Linuksa jest bardzo dużo. Myślisz że botnety to
tylko na Windows działają?

Weź też takiego Androida.

Jeszcze raz, normalny system ogólnego przeznaczenia nie jest
"wystarczająco bezpieczny" (ani "bezpieczny"). Tzn. poszczególne
egzemplarze mogą być, ale nie można stwierdzić, że wszystkie (lub
znaczna większość) są.

>> Sam TPM jest wtedy może "trusted" :-), ale to zbyt wiele nie daje.
>
> To daje *wszystko* co potrzebujesz aby zaimplementować bezpieczną
> bankowość.

Nic z tego:

>> TPM może jest fajny w warunkach firmowych, gdy chcesz uniemożliwić pani
>> Kasi grzebanie w Windows.
>
> Może jednak coś przeoczyłem w dyskusji, więc wyostrzę: rozmawiamy o
> donglu dostarczanym przez bank, wpinanym w USB/Whatever.

To może zainteresuj się tym, czym jest TPM ("Trusted Platform Module").
To nie jest dowolne urządzenie kryptograficzne, TPM to jest
ustandaryzowana konkretna implementacja, w szczególności pozbawiona
interfejsu użytkownika. W praktyce główne zastosowanie TPM to jest
zapewnienie (względnie) "bezpiecznego" (podpisanego) startu systemu.
Niektórzy trzymają tam klucze do szyfrowania dysków, ale nie jest to
bezpieczne (klucze służące do szyfrowania blokowego wychodzą z TPMa, bo
ten nie ma wystarczającej wydajności).

> Dongle
> zawiera scalak niekoniecznie TPM, ale o poziomie funkcjonalnym i
> zabezpieczeniami fizycznymi jak TPM. Ma on dodatkowo klawiaturę i
> wyswietlacz co pozwala na pozbycie się problemów z malware
> podmieniającymi widok.

W tak zmienionych warunkach rzeczywiście można to zrobić bezpiecznie,
co zresztą od początku pisałem. Z tym że proponuję skasować USB
i zastosować małą kamerę - jest to bardzo dobre rozwiązanie, sprawdzone
w praktyce. Oprócz poprawy bezpieczeństwa mamy wtedy dużo większą
funkcjonalność, właściwie nawet korzystanie z icafe byłoby wtedy
względnie bezpieczne (z ryzykiem "tylko" ujawnienia informacji).

No i nie łącz tego z TPM.
--
Krzysztof Hałasa

do góry