Dnia Tue, 6 Aug 2019 12:41:39 +0200, Wojciech Bancer napisał(a):
> On 2019-08-06, Dominik Ałaszewski <D...@g...pl.invalid> wrote:
> [...]
>> A tak BTW to ja wolę, żeby mnie producent OSa (czy to mobilnego,
>> czy to stacjonarnego) traktował jak dorosłego, świadomego
>> swoich wyborów i ich konsekwencji, niż jak dziecko, którego
>> trzeba pilnować, żeby sobie krzywdy nie zrobiło :-)
>
> Sam też naprawiasz sobie samochód, telewizor,

Kiedys chetnie, teraz "sie nie da".

> kładziesz kafelki?

Jak to kolega rzekl "krzywo polozyc kafelki to i ja potrafie" :-)

> Sam też zarządzasz własnym serwerem email?

A widzisz ... i potem klne, ze poczta nie przychodzi, a ona gdzies w
spamie ...

> Banki mają podobną sytuację, bo sądy orzekają, że to banki są
> winne temu, że użytkownik dał się nabrać. Z tych powodów, nie sądzę
> by kiedykolwiek upowszechniła się autoryzacja na komputerach.

W zasadzie to juz sie upowszechnila, teraz moze byc kwestia
przyszlosci i powrotu :-)

Swoja droga - na ile rozumiem, to unijna dyrektywa wymusila "silna
autoryzacje", banki sie dostosuja ... i czy nie bedzie w sadzie
argumentu, ze autoryzacja zgodna z unijnymi wymogami, wiec bank
niewinny ?


J.

do góry

Dnia 06.08.2019 Wojciech Bancer <w...@g...com> napisał/a:

> Sam też naprawiasz sobie samochód, telewizor, kładziesz kafelki?
> Sam też zarządzasz własnym serwerem email?

Ale po co sprowadzać sprawę do absurdu? Nie, telefonu sobie
nie produkuję, systemu operacyjnego na niego też nie piszę.

Ale jak już mam takowe, to wolę więcej funkcji (nawet
potencjalnie niebezpiecznych, ale użytecznych) niż
wykastrowany, ale super bezpieczny system.

> Ja się znam na IT w dużym stopniu, ale moja wiedza leży bardziej
> po stronie "dev" niż "ops", przez co wybór urządzenia które
> ode mnie wymaga mniejszej wiedzy jest lepszym wyborem.

Ależ Android nie wymaga żadnej wiedzy technicznej.
Wystarczy wiedzieć, co się akceptuje. Ładnie jest to
opisane w wielu miejscach, np.
https://plblog.kaspersky.com/android-8-permissions-g
uide/9820/

Zatem na przykład wolę mieć funkcję wyświetlania
przez aplikację treści nad inną, dzięki czemu mam pływającą
ikonę Yanosika na Google Maps, licząc się z tym, że malware
może wykorzystać te uprawnienia (które user musi mu jawnie
nadać), żeby wyświetlić treść nad aplikacją bankową i przejąć
hasło. Wolę taką funkcję, niż jej brak.

Co tu jest niezrozumiałe?

> A jakbyś odpowiadał za cudze urządzenia i cudze wykorzystanie
> szarych komórek, (np. jako administrator/manager w firmie),
> to jakie byś wybrał? :P

Jeden pies. MDMy są też na Androida (np. Airwatch) i można
telefony tak pozabezpieczać, że user za przeproszeniem nie pierdnie
bez pozwolenia ;-)

> Banki mają podobną sytuację, bo sądy orzekają, że to banki są
> winne temu, że użytkownik dał się nabrać. Z tych powodów, nie sądzę

Sądy orzekają na podstawie prawa. A prawo stanowi, że to bank
odpowiada za nieautoryzowaną transakcję, chyba że użytkownik
dopuścił się _rażącego niedbalstwa_. Rażącego, czyli np.
z premedytacją dał komuś kartę z pinem, a nie dał się nabrać
na fiszing. Wystarczy zmienić prawo.


--
Dominik Ałaszewski (via raspbianowy slrn)
"W życiu piękne są tylko chwile..." (Ryszard Riedel)
Wyrażam wyłącznie prywatne poglądy zgodnie z Art. 54 Konstytucji RP
Pisząc na priv zmień domenę na gmail.

do góry

Szymon <...@w...pl> writes:

>> Absolutnie nie należy tego zakładać.
>> BTW zgodnie z "powszechną wiedzą", większość ataków jest dokonywanych
>> z wewnątrz (sieci, instytucji itd).
>
> A nie wydaje Ci się, iż ilość ataków może się przełożyć na ich
> skuteczność? Przy takim założeniu niewątpliwie komputer w Internecie
> jest bardziej zagrożony niż w LAN.

Skuteczność ataków z wewnątrz jest znacznie większa, oczywiście.
Miałem na myśli skuteczne ataki, bo ataki w ogóle jakiekolwiek - na
dowolny komputer w publicznej sieci - przeprowadzane są cały czas.
--
Krzysztof Hałasa

do góry

Wojciech Bancer <w...@g...com> writes:

> Mogą się pojawić problemy ze sprzętem, których nie da się załatać (obecnie
> chyba to Spoiler, ale nie dotyczy procków mobilnych), ale raczej nie
> z oprogramowaniem.

Przede wszystkim z oprogramowaniem. Nie dlatego, że to jest wycięte
w szkle, tylko ze względu na liczbę powstających błędów.
Faktem jest, stosunek liczby błędów do wielkości softu jest coraz
korzystniejszy (co jest zasługą edukacji programistów, oraz m.in.
automatów testujących), ale wielkość softu rośnie szybciej.

> A i nie są istotne "wszystkie" błędy, tylko
> błędy które można wykorzystać przez złośliwy atak. Nie wystarczy
> "dziura w sprzęcie". Większość błędów sprzętowo-systemowych może
> być wykorzystana jedynie "lokalnie" i przy bardzo dużej wiedzy
> o docelowym systemie ofiary, więc są nie do wykorzystania na masową
> skalę.

Akurat w realiach telefonicznych, to wiedza o sprzęcie ofiary jest
bardzo dobra. Kwestia prawdopodobieństwa * liczba użytkowników
chociażby.

> Zapominasz o starej, dobrej zasadzie: zabezpieczenie jest na tyle dobre,
> na ile opłaca się go złamać. Jak na przełamanie zabezpieczeń wydasz 1mln$,
> zadziała przez dobę i uda Ci się w tym czasie może skubnąć ofiary na 100k$,
> to się to nie opłaca.

Owszem. Ale jeśli ktoś wyda na to $50k (realna kwota), uda mu się przez
miesiąc okraść 200 kosób średnio na $300 (i to też są realne wartości),
to nie wiem jak to się może nie opłacać.

> Z dużą dozą pewności można stwierdzić, że większość ataujących "za pomocą
> fałszywych SMS/maili" na masową skalę nie ma wiedzy/środków by przeprowadzić
> bardziej zaawansowane ataki.

Są ludzie, których można wynająć, i którzy mają potrzebną wiedzę.

> Jak chcesz wykorzystać bład systemu, to musisz mieć człowieka,
> który ten błąd odkryje (bo raczej na te odkryte to już nic nie
> wymyślisz),

Zdziwiłbyś się jak wiele jest starych, od dawna nie wspieranych
telefonów. Takich, które można załatwić zdalnie błędem znanym od lat.

> Pamiętaj że sam błąd nie wystarczy, musisz jeszcze mieć spełnione
> warunki do jego wykorzystania (np. dostęp lokalny do konkretnej
> maszyy i dużo czasu).

Daj spokój. Dostęp lokalny do maszyny w ogóle dyskwalifikuje taką
sytuację.
--
Krzysztof Hałasa

do góry

"J.F." <j...@p...onet.pl> writes:

> To "infrared" niekoniecznie ma zwiazek z cieplota ... ale co za
> problem podgrzac maske ?

Zwłaszcza biorąc pod uwagę rozdzielczość detektorów IR.
No bo raczej nie wstawiają tam sprzętu za $$$$ o kosmicznej
rozdzielczości 640x480? :-)

Nie żeby to miało pomóc, temperatury m.in. twarzy nie są stałe przecież.
Liczba możliwości w przypadku twarzy jest, wbrew pozorom, mocno
ograniczona, brutalne przeszukiwanie da dobre efekty. Tak jak napisałem,
to jest zabezpieczenie klasy podobnej co PIN.

> -nie uda sie zlamac tego chipa ? nie trzeba bedzie twarzy, maski,
> telefonu, tylko bank bedzie myslal, ze to dobre dane,

Z takimi scalakami jest większy problem, producenci w końcu się czegoś
nauczyli (w N-tej interacji). Aczkolwiek ludzie wciąż trawią scalaki
w kwasie azotowym, dotykają igłami do ścieżek (podobno miało to być
wykrywane) itd. - ale to nie ta dziedzina.
--
Krzysztof Hałasa

do góry

On 2019-08-06, J.F. <j...@p...onet.pl> wrote:

[...]

>>> Skanery 3D, a moze i nie skanery tylko z kilku zdjec odtworzy.
>>
>> Skaner 3d w FaceId widzi głębię obrazu, poza tym skaner FaceId
>> działa też w podczerwieni, a zdjęcie nie ma ciepłoty ludzkiej
>> głowy.
>>
>> "The Face ID hardware consists of a sensor with three modules; one
>
> Ale to jakby osobne urzadzenie, czy mozna wstawic w telefon ?

Mówimy o module wsadzonym w iPhone X oraz nowszych.

>> projects a grid of small infrared dots onto a user's face whose
>> name is dot projector, the other module called the flood illuminator
>> reads the resulting pattern and generates a 3D facial map, and the
>> third one is the infrared camera which takes an infrared picture
>> of the user"
>
> To "infrared" niekoniecznie ma zwiazek z cieplota ... ale co za
> problem podgrzac maske ?

Żaden. Ale maska to nie zdjęcie.
No i to tylko jeden z elementów zabezpieczeń.

> Tylko ... skoro to podczerwien, to nawet nie zauwazy jak mu taka fotke
> zrobisz. A potem wyprodukujesz maske, ktora ma pasujace wymiary 3D.

No jakoś się nikomu przez "zdjęcie" nie udało, ale możesz być pierwszy. :)

>> No i musisz podpieprzyć użytkownikowi telefon, bo dane autoryzacyjne
>> do faceid / touchid są przechowywane wyłącznie na telefonie,
>> w specjalnym chipie.
>
> i to sa te dane z twarzy, czy jakies losowe klucze identyfikujace
> telefon ?

To są te dane z twarzy.

> Ale nadal widze pare mozliwosci ataku:
> -nie uda sie zlamac tego chipa ? nie trzeba bedzie twarzy, maski,
> telefonu, tylko bank bedzie myslal, ze to dobre dane,

iphone jest dość mocno zabezpieczony. Swego czasu było głosno o tym,
że Apple aktualizacją zablokowało część telefonów. Okazało się, że
wszystkie miały wymieniany ekran (a co za tym idzie przycisk touch
id) w serwisach nieautoryzowanych.

> -a apka z urzadzeniem jak polaczone ?

Przez wewnętrzne SDK.

> Moze wirusa zainstalowac, co przekaze dane z urzadzenia dalej ...

Nie masz dostępu do danych, tylko wynik autoryzacji.
A wirusa jak chcesz zainstalować na iPhone? Bo procesu
review nie przejdzie. :)

Wiesz, teoretycznie to wszystko można, ale może się okazać,
że łatwiej odstrzelić komarowi skrzydkła ze 100 metrów za pomocą
kuli armatniej niż taką sytuację w praktyce wywołać. :)

--
Wojciech Bańcer
w...@g...com

do góry

On 2019-08-06, Krzysztof Halasa <k...@p...waw.pl> wrote:

[...]

> Nie żeby to miało pomóc, temperatury m.in. twarzy nie są stałe przecież.
> Liczba możliwości w przypadku twarzy jest, wbrew pozorom, mocno
> ograniczona, brutalne przeszukiwanie da dobre efekty. Tak jak napisałem,
> to jest zabezpieczenie klasy podobnej co PIN.

Apple twierdzi, że to zabezpieczenie jest trudniejsze do złamania niż
touch id i jak na razie (2 lata od wypuszczenia tego na rynek) nic
temu nie przeczy.

Jeden "słynny" eksperyment z maską za $150 również potwierdza jego
skuteczność, bo tam złamanie odbyło się w warunkach laboratoryjnych,
co przyznali sami autorzy.

Za wiki:
https://en.wikipedia.org/wiki/Face_ID#Issues

"Many people have attempted to fool Face ID with sophisticated
masks, though most have failed.[22] In November 2017, Vietnamese
security firm Bkav announced in a blog post that it had created
a $150 mask that successfully unlocked Face ID, but WIRED noted
that Bkav's technique was more of a "proof-of-concept" rather
than active exploitation risk, with the technique requiring a detailed
measurement or digital scan of the iPhone owner's face, putting the
real risk of danger only to targets of espionage and world leaders"

--
Wojciech Bańcer
w...@g...com

do góry

On 2019-08-06, Krzysztof Halasa <k...@p...waw.pl> wrote:

>> Mogą się pojawić problemy ze sprzętem, których nie da się załatać (obecnie
>> chyba to Spoiler, ale nie dotyczy procków mobilnych), ale raczej nie
>> z oprogramowaniem.
>
> Przede wszystkim z oprogramowaniem. Nie dlatego, że to jest wycięte
> w szkle, tylko ze względu na liczbę powstających błędów.

Ale mówiłeś o tym że się tego "nie da załatać".
Oprogramowanie da się załatać i jest łatane.

>> Zapominasz o starej, dobrej zasadzie: zabezpieczenie jest na tyle dobre,
>> na ile opłaca się go złamać. Jak na przełamanie zabezpieczeń wydasz 1mln$,
>> zadziała przez dobę i uda Ci się w tym czasie może skubnąć ofiary na 100k$,
>> to się to nie opłaca.
>
> Owszem. Ale jeśli ktoś wyda na to $50k (realna kwota),

Nierealna kwota. Tyle zarabia przeciętny dev na legalu,
a Ty chcesz specjalistę z wiedzą niskopoziomową o systemie.
Dodaj zero na końcu.

> uda mu się przez miesiąc okraść 200 kosób średnio na $300
> (i to też są realne wartości), to nie wiem jak to się może
> nie opłacać.

No to się nie zgadzamy co do kwot.

>> Z dużą dozą pewności można stwierdzić, że większość ataujących "za pomocą
>> fałszywych SMS/maili" na masową skalę nie ma wiedzy/środków by przeprowadzić
>> bardziej zaawansowane ataki.
>
> Są ludzie, których można wynająć, i którzy mają potrzebną wiedzę.

Jasne. Tylko oni moga legalnie zarobić więcej niż podałeś wyżej.

Jak pisałem: o ile nie są to służby wywiadowcze, szpiegostwo lub
atak personalizowany na jakiegoś milionera, to takie eksploity
pozostają poza zasięgiem cenowym przeciętnych grup przestępczych.

>> Jak chcesz wykorzystać bład systemu, to musisz mieć człowieka,
>> który ten błąd odkryje (bo raczej na te odkryte to już nic nie
>> wymyślisz),
>
> Zdziwiłbyś się jak wiele jest starych, od dawna nie wspieranych
> telefonów. Takich, które można załatwić zdalnie błędem znanym od lat.

Na Androidzie na pewno. Na iPhone iOS12 był w lutym na ponad 80% urządzeniach.
https://www.cultofmac.com/608798/ios-12-adoption-80-
percent/

A iOS 10 (ostatnia wersja 10.3.4 wyszła 22.07.2019) i 11 też jest aktualizowany
w zakresie security. Tego rodzaju małe poprawki się instalują najczęściej same,
jak podłączasz telefon do ładownia (często nie wymagają nawet
restartu).

--
Wojciech Bańcer
w...@g...com

do góry

On 2019-08-06, Dominik Ałaszewski <D...@g...pl.invalid> wrote:

[...]

> Ale jak już mam takowe, to wolę więcej funkcji (nawet
> potencjalnie niebezpiecznych, ale użytecznych) niż
> wykastrowany, ale super bezpieczny system.

Tuż gdzieś obok było podane info, że tylko 5% użytkowników
wie co robi. :)

>> Ja się znam na IT w dużym stopniu, ale moja wiedza leży bardziej
>> po stronie "dev" niż "ops", przez co wybór urządzenia które
>> ode mnie wymaga mniejszej wiedzy jest lepszym wyborem.
>
> Ależ Android nie wymaga żadnej wiedzy technicznej.
> Wystarczy wiedzieć, co się akceptuje. Ładnie jest to
> opisane w wielu miejscach, np.
> https://plblog.kaspersky.com/android-8-permissions-g
uide/9820/

To nie jest wiedza z gatunku "wystarczy".
Telefon to nie jest urzędzenia dla specjalistów, którzy
sobie będą szukać po necie sposobów na jego zabezpieczenie.

> Zatem na przykład wolę mieć funkcję wyświetlania
> przez aplikację treści nad inną, dzięki czemu mam pływającą
> ikonę Yanosika na Google Maps, licząc się z tym, że malware
> może wykorzystać te uprawnienia (które user musi mu jawnie
> nadać), żeby wyświetlić treść nad aplikacją bankową i przejąć
> hasło. Wolę taką funkcję, niż jej brak.
>
> Co tu jest niezrozumiałe?

Nic, ale po co to mówisz? Dorosły jesteś, masz zdolność do czynności
prawnyc i używaj czego chcesz. Tylko zauważam, że takich "myślących
że wiedzą" jest więcej niż realnie coś wiedzących.

>> Banki mają podobną sytuację, bo sądy orzekają, że to banki są
>> winne temu, że użytkownik dał się nabrać. Z tych powodów, nie sądzę
>
> Sądy orzekają na podstawie prawa. A prawo stanowi, że to bank
> odpowiada za nieautoryzowaną transakcję, chyba że użytkownik
> dopuścił się _rażącego niedbalstwa_. Rażącego, czyli np.
> z premedytacją dał komuś kartę z pinem, a nie dał się nabrać
> na fiszing. Wystarczy zmienić prawo.

Znaczy wg Ciebie zamiast zabezpieczać lepiej systemy
najlepiej zmienić prawo tak by użytkownik był wszystko-wiedzącą,
za-wszystko-odpowiedzialną istotą? No jakaś myśl to jest. :-)

--
Wojciech Bańcer
w...@g...com

do góry

On 2019-08-06, J.F. <j...@p...onet.pl> wrote:

[...]

> Swoja droga - na ile rozumiem, to unijna dyrektywa wymusila "silna
> autoryzacje", banki sie dostosuja ... i czy nie bedzie w sadzie
> argumentu, ze autoryzacja zgodna z unijnymi wymogami, wiec bank
> niewinny ?

No w sumie ciekawe. Zobaczymy pierwsze rozstrzygnięcia. :)

--
Wojciech Bańcer
w...@g...com

do góry