W dniu niedziela, 20 marca 2016 21:13:46 UTC+1 użytkownik Sebastian Biały napisał:
> On 2016-03-20 21:02, Kris wrote:
> >> Bardzo dobrze. Polecam jednak uwadze:
> >> https://zaufanatrzeciastrona.pl/post/jak-zlodzieje-o
kradali-konta-bankowe-klientow-sieci-play/
> > Jeśli ktoś ma jak "Pan Łukasz" na bieżącym rachunku
> > 160tys i do tego jakieś tele play to troche nireprezentatywny przykład.
>
> Pan Łukasz ma taże możliwośc otworzenia lini kredytowej. Zapewne bez
> możliwosci zablokowania, lub z możliwością odblokowania "kanałem
> teleinformatycznym". Panów Łukaszów w PL jest od groma. Byc może masz
> rację, po co przejmować się frajerami mającymi pieniądze na koncie. Co
> innego mała przerwa w managerskiej pracy w celu przeglądniecia katalogu
> z jachtami.
>
> > token to tyko dodatkowy kłopot dla mnie. Szukać trzeba, zgubić można;)
>
> Super. Nikt nie zmusza do używania tokenów. Kupa banków w PL dalej
> potrafi zautoryzować duże przelewy za pomocą podpisu rodem ze
> średniowiecza wspomaganym przypadkową facjatą z masą tapety i zielonym
> kapeluszem (bo czerwone sa zawsze podejrzane!).
Idiotyczne piszesz o bankowych menagerach idiotach w garniturach- dla mnie idiotami
oni by byli gdyby uszczęśliwiali mnie tokenem czy innym tego typu gadżetem da
potwierdzenia płatności za zakup worków do odkurzacza za 20zl na alegro.

do góry

On Sun, 20 Mar 2016 20:56:47 +0100, Sebastian
Biały<h...@p...onet.pl> wrote:
> Przecież to samo można powiedzieć o każdym systemie OpenSource!
Wiesz co
> robi twoje Ubuntu kiedy instaluje setkę aktualizacji? Myslisz że
miliny
> oczu sledzą? Milony ludzi sprawdza każdą linie kodu nastepnego
programu
> do ściągania pornoli? Serio?

Nie chodzi o to, że OS jest "najlepsze" w ogóle, ale "lepsze niż ..."
pod względem security (w miejsce ... wpisz dowolne CS).
To nie chodzi też wcale o te mityczne miliony oczu wpatrujące się w
kod i wyłapujące bugi czy próby kompromitacji.
Jak dotąd wszystkie próby wstaawienia backdorów np. do jądra linuxa
zostały wyłapane, niekoniecznie dzięki milionom oczu.

--
Marek

do góry

On 2016-03-20 21:22, Rafal Jankowski wrote:
> Świetnie, czym więc windows zasłużył na wyróżnienie w tym zestawie?

Popularnością malware z powodu popularności OSa. Jest zdecydownie
popularnieszy niż cała reszta w kupie.

> Nie będę poznawał nowej technologii tylko do tego, żeby prowadzić taką
> dyskusję, bo na razie nie podałeś żadnych konkretów

Konkrety masz przed soba. Internet się to nazywa. Spodziewasz się że
pokaże Ci jak robi się w krzemie detektory światła, jak tworzy się mesh,
co to jest zakłucanie opcodów, jak dzialają bezpieczniki, gdzie są te
"kabelki"? Wybacz. Obejrzyj choć linka ktory podesłalem aby móc pojąć
jak głupim konceptem są te kabelki.

>, a ludzi
> potencjalnie sprytniejszych od Cieie (managerów bankowych doskonale
> orientujących się w dostępnych na rynku technologiach bezpieczeństwa)
> wyzywasz od debiili.

Mam konta w 3 bankach. Kazdy z nich tworzy frontend usera zdecydowanie
glupszy od poprzedniego, bardziej niebezpieczny, generujacy setki
potencjalnych kłopotów i dróg przez ktore może dostać się malware. Po
drugie wiekszość z nich uzyskała śmieciowe technicznie wykształcenie.
Sugerujesz że misiaczek po marketingu bądź bankowości "świetnie
orientuje się w technologii"? Zapewne świetnie orientuje się w kolorach
słupkow idących w góre i w dół. Ale żeby w krzemie, ftu, silikonie?
Szacun, panie. Gdzie nie spojrzeć, ekspert od kryptografii albo fizyki
ciała stałego i jeszcze zarządzać bankiem umi.

> Skoro uważasz że ten TPM jest takim lekarstwem na
> całe zło to powiedz na jakiej podstawie tak twierdzisz?

Matematycznej. Niestety nie twierdze że na całe, bo na przykład
upierniczylo mi wczoraj miernik przepiecie i na to nie poradzi. Na
Pawłowicz w Sejmie też. Jest duzo przypadków gdzie sobie nie poradzi.
tak, że nie wszystkie. Ale na autoryzację/autentykację czy inną cykację
ma szanse lepszą niż panienka żądająca nazwiska panieńskiego babki.

> Że niby generuje
> się w nim niemożliwy do wyciągnięcia klucz prywatny i wszystkie operacje
> są nim podpisywane?

Nie. Tak. Może. Zależy. W końcu to producent decyduje co można tym
zrobić. Można tez powoli migać diodą co może byc interesującą dodatkową
opcją security dla biznesmenów.

> Że aplikacja, która żąda tego podpisu też musi być
> podpisana?

A po ch... Zasadą działania TPM jest to że może pracować w kompie z
milionem wirusów, trojanów, malware. I nic. Dalej jest trusted i pozwala
na bezpieczne przeprowadzanie operacji. Zabawne jak ten zdrowy rozsądek
nijak nie pasuje do rzeczywistości, nie?

> Nie wiem jak w takim wypadku przebiega przekazanie klucza
> publicznego do banku.

Nie jest przekazywany. Zmartwie Cie jednak: od jakiś 30 lat przekazujemy
klucze przez nieszyfrowany internet i robimy to bezpiecznie. Ale tutaj
nie musimy.

> Pewnie bank sam tego TPMa używa żeby dostać klucz
> publiczny i potem wysyła z już wygenerowanym prywatnym

Nie masz pojecia o kryptografii.

>, ale nie jestem
> pewien czy można ufać jakiemuś chińskiemu scalakowi przy którym
> manipulowali bankowcy

Ufasz zatem:
a) bandzie studentów impelemntujacych systemy bankowe "na produkcji"
b) stadzie prawników ktorych głownym powodem istnienia jest egzekwowanie
sprawiedliwości w sposób mądry i jakże bezinteresowny
b) kasjerom ktorzy autoryzują milionowe przelewy koslawym znaczkiem
nazywanym podpisem i własna oceną jakości makijażu

>, bo jak poznam czy to co dostałem nie jest czymś o
> tym samym API ale z już wyciągniętym kluczem prywatnym?

Nie masz pojecia o kryptografii.

do góry

On 2016-03-20 21:43, Marek wrote:
> Jak dotąd wszystkie próby wstaawienia backdorów np. do jądra linuxa
> zostały wyłapane, niekoniecznie dzięki milionom oczu.

A po co komu malware w jądrze? Zdecydowanie najwięcej atakow
przeprowadza się przez byle jak naklepane aplikacje z gatunku albańskich
(uruchom mnie, jestem waznym wir^M^M^Mfakturą).

do góry

On 2016-03-20 21:39, Kris wrote:
> dla mnie idiotami oni by byli gdyby uszczęśliwiali mnie tokenem

Nie chcę żeby Ciebie uszczęśliwiali. Już jesteś szczęśliwy. Chcę zeby
mnie uszczęśliwili. Ale niestety im ze slupków wyszło że szczęśliwy Kris
jest tańszy niż nieszczęśliwy Biały. Ot, takie cutting edge of security.

Przełknął bym to gdyby nie stada debili w mediach pieprzyli o tym jak
ich bank jest bezpieczniejszy niż sąsiedni, prowadzony przez
identycznych debili wprowadzających identyczny poziom security który z
powodu mułu jest dobrze ukryty i przestępcy nic o nim nie wiedzą! Ale
sprytne!

do góry

W dniu niedziela, 20 marca 2016 21:43:39 UTC+1 użytkownik Marek napisał:
> On Sun, 20 Mar 2016 20:56:47 +0100, Sebastian
> Biały<h...@p...onet.pl> wrote:
> > Przecież to samo można powiedzieć o każdym systemie OpenSource!
> Wiesz co
> > robi twoje Ubuntu kiedy instaluje setkę aktualizacji? Myslisz że
> miliny
> > oczu sledzą? Milony ludzi sprawdza każdą linie kodu nastepnego
> programu
> > do ściągania pornoli? Serio?
>
> Nie chodzi o to, że OS jest "najlepsze" w ogóle, ale "lepsze niż ..."
> pod względem security (w miejsce ... wpisz dowolne CS).
> To nie chodzi też wcale o te mityczne miliony oczu wpatrujące się w
> kod i wyłapujące bugi czy próby kompromitacji.
> Jak dotąd wszystkie próby wstaawienia backdorów np. do jądra linuxa
> zostały wyłapane, niekoniecznie dzięki milionom oczu.
A o tych niewyłapanych kto wie?

do góry

On Sun, 20 Mar 2016, Sebastian Biały wrote:

> On 2016-03-20 21:22, Rafal Jankowski wrote:
>> Świetnie, czym więc windows zasłużył na wyróżnienie w tym zestawie?
>
> Popularnością malware z powodu popularności OSa. Jest zdecydownie
> popularnieszy niż cała reszta w kupie.

Napisałeś "Windows, bo o nim tu domyslnie mowa, jest pod tym wzgledem
praktycznie niemożliwy do oceny." To jakby sugerowało że Windows różni się
czymś od reszty i o ile popularność malware na windowsa nie budzi
zastrzeżeń to trudność w ocenie czy taki malware był czy go nie było nie
ma z Windowsem nic wspólnego.

>
>> Nie będę poznawał nowej technologii tylko do tego, żeby prowadzić taką
>> dyskusję, bo na razie nie podałeś żadnych konkretów
>
> Konkrety masz przed soba. Internet się to nazywa. Spodziewasz się że pokaże
> Ci jak robi się w krzemie detektory światła, jak tworzy się mesh, co to jest
> zakłucanie opcodów, jak dzialają bezpieczniki, gdzie są te "kabelki"? Wybacz.
> Obejrzyj choć linka ktory podesłalem aby móc pojąć jak głupim konceptem są te
> kabelki.

Ja się pytam o model użycia TPMa w którym absolutnie byłbyś w stanie
udowodnić, że jakąś operację wykonałeś lub nie.
Chwilę dalej piszesz o kryptografii, matematyce informatyce a Ty
nawijasz coś o kabelkach i kryształkach krzemowych. Dobra, załóżmy że nie
da się wyciągnąć danych z tego scalaka. Nie będę się o to spierał.

Pytam o model użycia TPMa w którym absolutnie byłbyś w stanie udowodnić,
że jakąś operację wykonałeś lub nie. Niezaprzeczalność i integralność to
cechy charakterystyczne niektórych operacji kryptograficznych, ale nie
napisałeś jak zastosować TPMa, gdzie dostajesz go w kopercie z banku (a
może nie z banku) i bank absolutnie nie może Ci zarzucić, że pewne
operacje nie były przez Ciebie autoryzowane.

>> , a ludzi
>> potencjalnie sprytniejszych od Cieie (managerów bankowych doskonale
>> orientujących się w dostępnych na rynku technologiach bezpieczeństwa)
>> wyzywasz od debiili.
>
> Mam konta w 3 bankach. Kazdy z nich tworzy frontend usera zdecydowanie
> glupszy od poprzedniego, bardziej niebezpieczny, generujacy setki
> potencjalnych kłopotów i dróg przez ktore może dostać się malware. Po drugie
> wiekszość z nich uzyskała śmieciowe technicznie wykształcenie. Sugerujesz że
> misiaczek po marketingu bądź bankowości "świetnie orientuje się w
> technologii"? Zapewne świetnie orientuje się w kolorach słupkow idących w
> góre i w dół. Ale żeby w krzemie, ftu, silikonie? Szacun, panie. Gdzie nie
> spojrzeć, ekspert od kryptografii albo fizyki ciała stałego i jeszcze
> zarządzać bankiem umi.

Widocznie wyliczyli, że taniej im zapłacić 10 razy w roku po 20 tysięcy
niż milion razy po 5 dolarów. Konta z tokenami zapewne na rynku istnieją
dla chętnych.

>> Skoro uważasz że ten TPM jest takim lekarstwem na
>> całe zło to powiedz na jakiej podstawie tak twierdzisz?
>
> Matematycznej. Niestety nie twierdze że na całe, bo na przykład upierniczylo
> mi wczoraj miernik przepiecie i na to nie poradzi. Na Pawłowicz w Sejmie też.
> Jest duzo przypadków gdzie sobie nie poradzi. tak, że nie wszystkie. Ale na
> autoryzację/autentykację czy inną cykację ma szanse lepszą niż panienka
> żądająca nazwiska panieńskiego babki.
>
>> Że niby generuje
>> się w nim niemożliwy do wyciągnięcia klucz prywatny i wszystkie operacje
>> są nim podpisywane?
>
> Nie. Tak. Może. Zależy. W końcu to producent decyduje co można tym zrobić.
> Można tez powoli migać diodą co może byc interesującą dodatkową opcją
> security dla biznesmenów.

Napisałeś już w dyskusji ze mną z 5 długich postów. Albo przestań pisać
albo opisz konkretny przypadek użycia tego TPMa. Ja opisałem jeden:
"Bank wysyła urządzenie do klienta z już wygenerowanym kluczem prywatnym
(którego nigdy nie opuszcza scalaka), sobie zostawia publiczny. Wszystkie
operacje są podpisywane (w urządzeniu) przez klucz prywatny. Aplikacja
bamnkowa jest podpisana żeby było wiadomo, że żaden malware nie prosi o
podpis."

To jeden z możliwych scenariuszy. Wyśmiałeś go i OK, ale sam nie podałeś
lepszego.

>> Że aplikacja, która żąda tego podpisu też musi być
>> podpisana?
>
> A po ch... Zasadą działania TPM jest to że może pracować w kompie z milionem
> wirusów, trojanów, malware. I nic. Dalej jest trusted i pozwala na bezpieczne
> przeprowadzanie operacji. Zabawne jak ten zdrowy rozsądek nijak nie pasuje do
> rzeczywistości, nie?

Opisałem wyżej po co aplikacja bankowa ma być podpisana. Pewnie da się i
bez tego, ale nie opisałeś więc tego nie wiemy.

>> Nie wiem jak w takim wypadku przebiega przekazanie klucza
>> publicznego do banku.
>
> Nie jest przekazywany. Zmartwie Cie jednak: od jakiś 30 lat przekazujemy
> klucze przez nieszyfrowany internet i robimy to bezpiecznie. Ale tutaj nie
> musimy.

Owszem, klucza publicznego nie musisz szyfrować. Jeśli jednak go nie
podpiszesz (a nie masz go czym podpisać, bo dopiero ustanawiasz relację z
bankiem) to bank nie może mieć pewności, że należy on do Ciebie.


>> Pewnie bank sam tego TPMa używa żeby dostać klucz
>> publiczny i potem wysyła z już wygenerowanym prywatnym
>
> Nie masz pojecia o kryptografii.

O Twojej faktycznie nie mam pojęcia.

>> , ale nie jestem
>> pewien czy można ufać jakiemuś chińskiemu scalakowi przy którym
>> manipulowali bankowcy
>
> Ufasz zatem:
> a) bandzie studentów impelemntujacych systemy bankowe "na produkcji"
> b) stadzie prawników ktorych głownym powodem istnienia jest egzekwowanie
> sprawiedliwości w sposób mądry i jakże bezinteresowny
> b) kasjerom ktorzy autoryzują milionowe przelewy koslawym znaczkiem nazywanym
> podpisem i własna oceną jakości makijażu

Nigdy nie poddawałem w wątpliwość tego, że TPM (czy jakakolwiek inna
podobna technologia, odwołałem się wcześniej do SGX i HSM) podnosi
bezpieczeństwo, ale zakwestionowałem Twoje słowo "absolutnie" w stosunku
do oferowanego poziomu bezpieczeństwa.

>
>> , bo jak poznam czy to co dostałem nie jest czymś o
>> tym samym API ale z już wyciągniętym kluczem prywatnym?
>
> Nie masz pojecia o kryptografii.

Powtarzasz się.

do góry

On Sun, 20 Mar 2016 22:11:48 +0100, Sebastian
Biały<h...@p...onet.pl> wrote:
> A po co komu malware w jądrze?

Nie wiem, nie to było clue tej odpowiedzi.

--
Marek

do góry

W dniu 2016-03-20 o 00:22, Marek pisze:
> http://orzeczenia.lodz.sr.gov.pl/content/$N/15251010
0000603_II_C_000383_2015_Uz_2015-09-28_001
>
>
> W skrócie, poszkodowana straciła kasę (19k) z konta podając swoje dane
> autoryzacyjne na podstawionej stronie udającej oryginalną stronę banku.

Właściwy kierunek, klient banku jest praktycznie bezbronny wobec
zaawansowanych ataków, za to bank ma potencjalne możliwości
by je udaremniać. Oczywiście utrzymanie odpowiednich systemów
zabezpieczeń kosztuje, ale jeśli podobne orzeczenia staną się regułą
to w końcu banki zaczną ich używać.

do góry

On Sun, 20 Mar 2016, Sebastian Biały wrote:

> On 2016-03-20 21:43, Marek wrote:
>> Jak dotąd wszystkie próby wstaawienia backdorów np. do jądra linuxa
>> zostały wyłapane, niekoniecznie dzięki milionom oczu.
>
> A po co komu malware w jądrze? Zdecydowanie najwięcej atakow przeprowadza się
> przez byle jak naklepane aplikacje z gatunku albańskich (uruchom mnie, jestem
> waznym wir^M^M^Mfakturą).

Po co komu malware w jądrze? Np. po to, żeby nie było konieczności
wysyłania mailem takich albańskich aplikacji i czekania aż ktoś kliknie.

do góry