Dnia 05.08.2019 Wojciech Bancer <w...@g...com> napisał/a:

> Tym niemniej jak już masz już apkę z zaufanego vendora (np. przejdziesz
> do niej ze strony banku), to nie ma opcji żeby Ci coś ją podmieniło,
> czy (w przypadku iOS) dostało się do jakichkolwiek jej danych.

W przypadku Androida też- piaskownica jest zrealizowana porządnie.

Fakt, aplikacja może (za pozwoleniem użytkownika) np. czytać esemesy,
dzięki czemu możesz sobie obsługiwać esemesy przez inną aplikację,
jak dajmy na to fejsbukowego mesendżera.
A jeśli ktoś instaluje "bitcoin pro trader" i daje mu uprawnienia
do czytania sms- no cóż...

Dużo więcej zastrzeżeń można mieć do samego sklepu (jak choćby
aplikacje pseudobankowe), ale i tak chyba gros malware
Androidowego to wirusy (niemalże) albańskie- zainstaluj
apk spoza sklepu i nadaj uprawnienia administratora urządzenia...

--
Dominik Ałaszewski (via raspbianowy slrn)
"W życiu piękne są tylko chwile..." (Ryszard Riedel)
Wyrażam wyłącznie prywatne poglądy zgodnie z Art. 54 Konstytucji RP
Pisząc na priv zmień domenę na gmail.

do góry

On 2019-08-05, Krzysztof Halasa <k...@p...waw.pl> wrote:

[...]

>> Absolutnie nie. Podstawowym wektorem ataku jest człowiek i próba jego
>> zmianipulowania.
>
> Obecnie. Ale te problemy można wyeliminować stosunkowo łatwo (jeśli
> jeszcze występują) - problemów ze sprzętem i systemem nie da się
> skutecznie wyeliminować w sensownym czasie, zresztą ich liczba wydaje
> się rosnąć.

Mogą się pojawić problemy ze sprzętem, których nie da się załatać (obecnie
chyba to Spoiler, ale nie dotyczy procków mobilnych), ale raczej nie
z oprogramowaniem. A i nie są istotne "wszystkie" błędy, tylko
błędy które można wykorzystać przez złośliwy atak. Nie wystarczy
"dziura w sprzęcie". Większość błędów sprzętowo-systemowych może
być wykorzystana jedynie "lokalnie" i przy bardzo dużej wiedzy
o docelowym systemie ofiary, więc są nie do wykorzystania na masową
skalę.

[...]

> Praktyka niczego takiego nie może pokazać. Praktyka może pokazać, że
> obecnie wysiłki złodziei są skierowane w listy papierowe itp. - ponieważ
> są najłatwiejsze do pokonania (wystarczy nieświadomy user). Ale jeśli to
> źródło wyschnie, to złodzieje podepną się do innego. Tak było zawsze
> i nie ma powodu by teraz nagle miało się to zmienić.

Zapominasz o starej, dobrej zasadzie: zabezpieczenie jest na tyle dobre,
na ile opłaca się go złamać. Jak na przełamanie zabezpieczeń wydasz 1mln$,
zadziała przez dobę i uda Ci się w tym czasie może skubnąć ofiary na 100k$,
to się to nie opłaca. Przy takich kosztach to się już wybiera ofiary
świadomie (np. targetuje się osoby mające duże portfele BTC).

Z dużą dozą pewności można stwierdzić, że większość ataujących "za pomocą
fałszywych SMS/maili" na masową skalę nie ma wiedzy/środków by przeprowadzić
bardziej zaawansowane ataki.

>>> A procesor i w ogóle sprzęt. Czy wykluczasz możliwość, że sam procesor
>>> posiada błędy, które pozwolą np. na podniesienie uprawnień? Albo
>>> np. "młotkowanie" RAM, sprzęt Apple jest odporny na wszystko?
>>
>> Teoretyznie nie. Ale praktycznie tak. Ataki z wykorzystaniem tego
>> rodzaju błędów są nieopłacalne.
>
> Skąd taki pomysł? Mówimy o włamaniach bankowych, pojedyncze włamanie
> to mogą być setki tysięcy "zysku".

Jak chcesz wykorzystać bład systemu, to musisz mieć człowieka,
który ten błąd odkryje (bo raczej na te odkryte to już nic nie
wymyślisz), zatrudnić ludzi którzy zbiorą informacje o celu,
odkryją słabe punktu (potencjalnie przekupstwo). Tak na dzień
dobry to ja widzę, że setki tysięcy to masz na dzień dobry
"kosztów". Jak nie więcej.

Pamiętaj że sam błąd nie wystarczy, musisz jeszcze mieć spełnione
warunki do jego wykorzystania (np. dostęp lokalny do konkretnej
maszyy i dużo czasu). Jak Twój jedyny dostęp to interfejs www,
to błędu sprzętowego nie wykorzystasz.

Życie to nie film, gdzie Tom Cruise sobie przepełznie wentylacją
i wisząc 20 cm nad ziemią, efektownie wsadzi pendrive w komputer,
który zacznie mu sam ochoczo przesyłać wszystko co sobie tamten
zażyczył. :)

--
Wojciech Bańcer
w...@g...com

do góry

On 2019-08-06, Dominik Ałaszewski <D...@g...pl.invalid> wrote:

[...]

>> Tym niemniej jak już masz już apkę z zaufanego vendora (np. przejdziesz
>> do niej ze strony banku), to nie ma opcji żeby Ci coś ją podmieniło,
>> czy (w przypadku iOS) dostało się do jakichkolwiek jej danych.
>
> W przypadku Androida też- piaskownica jest zrealizowana porządnie.
>
> Fakt, aplikacja może (za pozwoleniem użytkownika) np. czytać esemesy,
> dzięki czemu możesz sobie obsługiwać esemesy przez inną aplikację,
> jak dajmy na to fejsbukowego mesendżera.

Piszę o czymś w tym stylu:
https://www.mbank.pl/informacje-dla-klienta/post,796
9,szkodliwa-aplikacja-atakujaca-smartfony-z-systemem
-operacyjnym-android.html

> A jeśli ktoś instaluje "bitcoin pro trader" i daje mu uprawnienia
> do czytania sms- no cóż...

Ja pamiętam aplikację latarki, która prosiła o uprawnienia literalnie
do wszystkiego, a to jeszcze było w czasach gdy uprawnienia były
udzielane na etapie instalacji :-)

> Dużo więcej zastrzeżeń można mieć do samego sklepu (jak choćby
> aplikacje pseudobankowe), ale i tak chyba gros malware
> Androidowego to wirusy (niemalże) albańskie- zainstaluj
> apk spoza sklepu i nadaj uprawnienia administratora urządzenia...

No i to jest chyba clue. Na iOS nie możesz fizycznie nadać
takich uprawnień. Z jednej strony są narzekania użytkowników,
że nie mogą np. podmienić ikonek wszystkich aplikacji, czy
zmienić aplikacji do SMS, ale z drugiej strony jest to
bezpieczniejsze środowisko.


--
Wojciech Bańcer
w...@g...com

do góry

On 2019-08-05, Krzysztof Halasa <k...@p...waw.pl> wrote:

[...]

> Zdjęcie twarzy, zdaje się, udało się obejść bardzo prosto i efektownie?

Jeśli masz na myśli "zdjęcie" to nie FaceID od Apple nie da się oszukać
zdjęciem. A przygotowanie maski może i jest tanie, ale wymaga dania ofiarze
obuchem w czerep, żeby móc ją spokojnie pomierzyć. Raczej mało skuteczna
praktyka w atakach masowych.

> Zakładam że można wymagać określonych akcji od użytkownika (by nie dało
> się pokazać kamerze zdjęcia), ale symulowany model także może dokładnie
> takie same akcje wykonywać - to obecnie domowa technologia.

Zdjęcie nie wystarczy.

> Odciski palców również można zdjąć i podrobić. W przypadku czytników
> komputerowych powinno to być nawet łatwiejsze niż w tradycyjnej metodzie.

Ale znowu wyklucza zastosowanie na masową skalę jak to jest w przypadku
fałszywych SMS/email.

--
Wojciech Bańcer
w...@g...com

do góry

W dniu 2019-08-05 o 17:02, J.F. pisze:
> Użytkownik "Wojciech Bancer"  napisał w wiadomości grup
> dyskusyjnych:slrnqkgb1c.1jsq.wojciech.bancer@pl-test
.org...
> On 2019-08-05, J.F. <j...@p...onet.pl> wrote:
> [...]
>>>>> a jak apki nagle zabraknie ?
>>>> Nie rozumiem.
>>
>>> No telefon wpadnie do kibla. Albo ukradli.
>>> Kupujesz nowy, trzeba apke zainstalowac, autoryzowac ... a tu
>>> narzedzie autoryzacji splynelo do kanalu ...
>
>> No weź już nie wymyślaj jakiejś fikcji, tylko zapytaj w banku. :)
>
> Jaka fikcja, normalne przeciez :-)
>
>> Na to istnieją odpowiednie procedury przecież.
>
> No i w sumie napisali, ze moga poprosic o pin do apki ... tej starej ?
> Albo haslo do strony ...
>
>> Wpisanie złego hasła 3x też Ci blokuje dostęp, niezależnie od tego ile
>> urządzeń do weryfikacji masz i jakie, i musisz przejść wtedy procedurę
>> pdzyskiwania dostępu. Jest to ciut bardziej upierdliwe, bo wymaga
>> kontaktu,
>> ale do zrobienia.
>
> Pytanie czy to nie jest dziura w bezpieczenstwie.
>
>>>>>> albo załóż sobie numer wirtualny np. w Skype i odbieraj SMSy
>>>>>> "czymbądź".
>>>>>> https://support.skype.com/pl/faq/FA34884/jak-otrzyma
c-wiadomosci-sms-w-programie-skype
>>>>>>
>>>
>>>>> Ciekawe ... ale robia apke tokena, to czemu nie na peceta ?
>>
>>>> Przychodzą mi do głowy co najmniej 3 powody:
>>>> 1) smartfon jest urządzeniem o wiele bardziej osobistym
>>
>>> Owszem, ale czesto komputer tez jest osobisty.
>
>> Jest dużo większa szansa, że skorzystasz z cudzego komputera (np, kiosku
>> w banku)
>
> No to tam przeciez nie bede instalowal takiej apki, skorzystam z
> autoryzacji na telefon.
>
>> niż że skorzystasz z cudzego smartfona.
>
> A propos - gdybym chcial kilka kont klienta obslugiwac, to sie da z
> jednego telefonu ?
> Np swoje, firmowe, rodzicow ...
>
>> No i smartfona masz w kieszeni dużo częściej niż komputer w teczce.
>
> Temat wyplynal, bo widac ktos woli na komputerze :-)
>
>> Jeśli z bankowości korzystasz wyłącznie z własego komputera, to myślę,
>> że nie będziesz
>> miał roblemów z dodaniem go jako "zaufanego urządzenia" (banki to
>> zapowiadają)
>> i logowania się tam bez dodatkowej autoryzacji i której mowa w
>> dyrektywie.
>
> Zapowiadaja, a wyjdzie ... zobaczymy.
> I zauwaz ze ja nie proponuje "bez autoryzacji",  tylko autoryzacja za
> pomoca programu na komputerze.
>

Już dawno temu, w nieistniejącym już systemie Pl@net ś.p. Fortis Banku
trzeba było mieć wgrany do przeglądarki swój certyfikat, żeby móc się
zalogować na swoje (i tylko swoje) konto z tej przeglądarki.
Z innej się nie dało.


--
Pete

do góry

Dnia Tue, 6 Aug 2019 09:53:42 +0200, Wojciech Bancer napisał(a):
> On 2019-08-05, Krzysztof Halasa <k...@p...waw.pl> wrote:
> [...]
>> Zdjęcie twarzy, zdaje się, udało się obejść bardzo prosto i efektownie?
> Jeśli masz na myśli "zdjęcie" to nie FaceID od Apple nie da się oszukać
> zdjęciem. A przygotowanie maski może i jest tanie, ale wymaga dania ofiarze
> obuchem w czerep, żeby móc ją spokojnie pomierzyć. Raczej mało skuteczna
> praktyka w atakach masowych.

Policja sie wlasnie chwali aresztowaniem grupy, ktora 330 ton pigulek
gwaltu mogla przemycic.

Skanery 3D, a moze i nie skanery tylko z kilku zdjec odtworzy.

A w sumie czemu zwykle zdjecie nie dziala ?

>> Odciski palców również można zdjąć i podrobić. W przypadku czytników
>> komputerowych powinno to być nawet łatwiejsze niż w tradycyjnej metodzie.
>
> Ale znowu wyklucza zastosowanie na masową skalę jak to jest w przypadku
> fałszywych SMS/email.

Ale odciski zostawiasz masowo :-)

J.

do góry

Dnia 06.08.2019 Wojciech Bancer <w...@g...com> napisał/a:

> Piszę o czymś w tym stylu:
> https://www.mbank.pl/informacje-dla-klienta/post,796
9,szkodliwa-aplikacja-atakujaca-smartfony-z-systemem
-operacyjnym-android.html

No właśnie, klasyk- szemrana aplikacja prosząca o uprawienia
do wszystkiego.

> Ja pamiętam aplikację latarki, która prosiła o uprawnienia literalnie
> do wszystkiego, a to jeszcze było w czasach gdy uprawnienia były
> udzielane na etapie instalacji :-)

Niestety, Google był swego czasu stanowczo za mało restrykcyjny
i poniekąd przyzwyczaił userów do takich sytuacji.

Obecnie wytyczne są jasne: aplikacja może prosić tylko o takie
uprawnienia, które jawnie wynikają z jej przeznaczenia.

https://play.google.com/about/privacy-security-decep
tion/permissions/

> No i to jest chyba clue. Na iOS nie możesz fizycznie nadać
> takich uprawnień. Z jednej strony są narzekania użytkowników,

No, jak to powiada sudo, "with great power comes great
responsibility". Choć warto nadmienić też, że istnieje coś
takiego jak MDM- dla iOS też- i bodajże w Indiach swego
czasu był atak fiszingowy wymierzony w jabłkochwalców
z jego wykorzystaniem ;-)

A tak BTW to ja wolę, żeby mnie producent OSa (czy to mobilnego,
czy to stacjonarnego) traktował jak dorosłego, świadomego
swoich wyborów i ich konsekwencji, niż jak dziecko, którego
trzeba pilnować, żeby sobie krzywdy nie zrobiło :-)

> że nie mogą np. podmienić ikonek wszystkich aplikacji, czy
> zmienić aplikacji do SMS, ale z drugiej strony jest to
> bezpieczniejsze środowisko.

Tak, bezpieczniejsze (bo mniej funkcjonalne). Ale ani w 100%
bezpieczne, ani też nie znacząco bardziej bezpieczne
od Androida, gdy wykorzystuje się choć odrobinę swoich
szarych komórek.

--
Dominik Ałaszewski (via raspbianowy slrn)
"W życiu piękne są tylko chwile..." (Ryszard Riedel)
Wyrażam wyłącznie prywatne poglądy zgodnie z Art. 54 Konstytucji RP
Pisząc na priv zmień domenę na gmail.

do góry

On 2019-08-06, Dominik Ałaszewski <D...@g...pl.invalid> wrote:

[...]

> A tak BTW to ja wolę, żeby mnie producent OSa (czy to mobilnego,
> czy to stacjonarnego) traktował jak dorosłego, świadomego
> swoich wyborów i ich konsekwencji, niż jak dziecko, którego
> trzeba pilnować, żeby sobie krzywdy nie zrobiło :-)

Sam też naprawiasz sobie samochód, telewizor, kładziesz kafelki?
Sam też zarządzasz własnym serwerem email?

Ja się znam na IT w dużym stopniu, ale moja wiedza leży bardziej
po stronie "dev" niż "ops", przez co wybór urządzenia które
ode mnie wymaga mniejszej wiedzy jest lepszym wyborem.

Podobnie jak to, że zrzucam część obowiązków w systemach które
projektuję na dostawcę cloud, bo nie chcę zajmować się
zabezpieczaniem wszystiego, tylko wolę czas i wiedzę pożytkować
na tworzenie nowych usług, a zestaw reguł zabezpieczających
które muszę opanować to 1% tego co bym musiał wiedzieć jakbym
miał taką usługę świadczyć na klasycznych platformach.

>> że nie mogą np. podmienić ikonek wszystkich aplikacji, czy
>> zmienić aplikacji do SMS, ale z drugiej strony jest to
>> bezpieczniejsze środowisko.
>
> Tak, bezpieczniejsze (bo mniej funkcjonalne). Ale ani w 100%
> bezpieczne, ani też nie znacząco bardziej bezpieczne
> od Androida, gdy wykorzystuje się choć odrobinę swoich
> szarych komórek.

A jakbyś odpowiadał za cudze urządzenia i cudze wykorzystanie
szarych komórek, (np. jako administrator/manager w firmie),
to jakie byś wybrał? :P

Banki mają podobną sytuację, bo sądy orzekają, że to banki są
winne temu, że użytkownik dał się nabrać. Z tych powodów, nie sądzę
by kiedykolwiek upowszechniła się autoryzacja na komputerach.

--
Wojciech Bańcer
w...@g...com

do góry

On 2019-08-06, J.F. <j...@p...onet.pl> wrote:

[...]

>> Jeśli masz na myśli "zdjęcie" to nie FaceID od Apple nie da się oszukać
>> zdjęciem. A przygotowanie maski może i jest tanie, ale wymaga dania ofiarze
>> obuchem w czerep, żeby móc ją spokojnie pomierzyć. Raczej mało skuteczna
>> praktyka w atakach masowych.
>
> Policja sie wlasnie chwali aresztowaniem grupy, ktora 330 ton pigulek
> gwaltu mogla przemycic.

Nie widzę związku :)

> Skanery 3D, a moze i nie skanery tylko z kilku zdjec odtworzy.

Skaner 3d w FaceId widzi głębię obrazu, poza tym skaner FaceId
działa też w podczerwieni, a zdjęcie nie ma ciepłoty ludzkiej
głowy.

"The Face ID hardware consists of a sensor with three modules; one
projects a grid of small infrared dots onto a user's face whose
name is dot projector, the other module called the flood illuminator
reads the resulting pattern and generates a 3D facial map, and the
third one is the infrared camera which takes an infrared picture
of the user"

No i musisz podpieprzyć użytkownikowi telefon, bo dane autoryzacyjne
do faceid / touchid są przechowywane wyłącznie na telefonie,
w specjalnym chipie.

> A w sumie czemu zwykle zdjecie nie dziala ?

Bo ktoś pomyślał jak to zabezpieczyć.
Podobnie jak Touch Id nie zadziała jak komuś
odetniesz dłoń i będziesz próbował posłużyć
się martwym kikutem (jak w filmach), albo
odciskiem palca na taśmie klejącej (też
jak w filmach).

>> Ale znowu wyklucza zastosowanie na masową skalę jak to jest w przypadku
>> fałszywych SMS/email.
>
> Ale odciski zostawiasz masowo :-)

99% z nich się nie nadaje, bo nie jest kompletna, czy nieuszkodzona.
A urządzenie mam przy sobie.

--
Wojciech Bańcer
w...@g...com

do góry

Dnia Tue, 6 Aug 2019 12:50:26 +0200, Wojciech Bancer napisał(a):
> On 2019-08-06, J.F. <j...@p...onet.pl> wrote:
> [...]
>>> Jeśli masz na myśli "zdjęcie" to nie FaceID od Apple nie da się oszukać
>>> zdjęciem. A przygotowanie maski może i jest tanie, ale wymaga dania ofiarze
>>> obuchem w czerep, żeby móc ją spokojnie pomierzyć. Raczej mało skuteczna
>>> praktyka w atakach masowych.
>>
>> Policja sie wlasnie chwali aresztowaniem grupy, ktora 330 ton pigulek
>> gwaltu mogla przemycic.
>
> Nie widzę związku :)

A ja widze :-)

>> Skanery 3D, a moze i nie skanery tylko z kilku zdjec odtworzy.
>
> Skaner 3d w FaceId widzi głębię obrazu, poza tym skaner FaceId
> działa też w podczerwieni, a zdjęcie nie ma ciepłoty ludzkiej
> głowy.
>
> "The Face ID hardware consists of a sensor with three modules; one

Ale to jakby osobne urzadzenie, czy mozna wstawic w telefon ?

> projects a grid of small infrared dots onto a user's face whose
> name is dot projector, the other module called the flood illuminator
> reads the resulting pattern and generates a 3D facial map, and the
> third one is the infrared camera which takes an infrared picture
> of the user"

To "infrared" niekoniecznie ma zwiazek z cieplota ... ale co za
problem podgrzac maske ?

Tylko ... skoro to podczerwien, to nawet nie zauwazy jak mu taka fotke
zrobisz. A potem wyprodukujesz maske, ktora ma pasujace wymiary 3D.

> No i musisz podpieprzyć użytkownikowi telefon, bo dane autoryzacyjne
> do faceid / touchid są przechowywane wyłącznie na telefonie,
> w specjalnym chipie.

i to sa te dane z twarzy, czy jakies losowe klucze identyfikujace
telefon ?

Ale nadal widze pare mozliwosci ataku:
-nie uda sie zlamac tego chipa ? nie trzeba bedzie twarzy, maski,
telefonu, tylko bank bedzie myslal, ze to dobre dane,

-a apka z urzadzeniem jak polaczone ? Moze wirusa zainstalowac, co
przekaze dane z urzadzenia dalej ...


J.

do góry