W dniu 2020-12-22 o 23:00, Zdzichu500 pisze:
>
> To jak sobie radzi z PC? Tam przecież każdy program uruchomiony na
> koncie użytkownika ma dostęp co najmniej do wszystkich danych tego
> użytkownika i może robić co chce z połączeniem sieciowym, kamerą,
> mikrofonem itp.

No właśnie "statystycznego" ochroni przed strata kasy BARDZIEJ drugi
KANAŁ/URZADZENIE.

do góry

Użytkownik "_Master_" napisał w wiadomości grup
dyskusyjnych:5fe3286e$0$526$6...@n...neostrada.
pl...
W dniu 2020-12-22 o 23:00, Zdzichu500 pisze:
>> I jak możesz jeszcze spać spokojnie?

>Ja śpię. Bo robię przelew na blaszaku z windowsem czy nawet z
>linuksem a potwierdzam go SMSem. Kto wie czy nie wrócę do symbiana
>czy Windowsa.

Do Symbiana prawie na pewno nie wrocisz.

Ale moment - liczysz, ze twoje sms sa bezpieczne ?
Na jaki telefon je odbierasz
... a probowales isc do salonu "zgubilem portfel i telefon, jak moge
uzyskac nowa karte SIM do starego numeru " ?

J.

do góry

> Na jaki telefon je odbierasz
> ... a probowales isc do salonu "zgubilem portfel i telefon, jak moge
> uzyskac nowa karte SIM do starego numeru " ?

To kiedy ostatnio Ci się coś takiego udało?


Ale Ale... Oprócz przejęcia mojego SIMA trzeba jeszcze czegoś więcej.

Próbowałeś uzyskać dostęp do konta w banku na imię, nazwisko i pesel?

Wystarczyło? ;-)

do góry

A to wszystko w kontekście np. tego:

https://www.telepolis.pl/wiadomosci/bezpieczenstwo/g
oogle-project-zero-iphone-airdrop-exploit-dziura

do góry

Użytkownik "_Master_" napisał w wiadomości grup
dyskusyjnych:5fe3385e$0$540$6...@n...neostrada.
pl...
>> Na jaki telefon je odbierasz
>> ... a probowales isc do salonu "zgubilem portfel i telefon, jak
>> moge uzyskac nowa karte SIM do starego numeru " ?

>To kiedy ostatnio Ci się coś takiego udało?

Ja nie probowalem, ale najwyrazniej paru osobom sie udalo ...

>Ale Ale... Oprócz przejęcia mojego SIMA trzeba jeszcze czegoś więcej.
>Próbowałeś uzyskać dostęp do konta w banku na imię, nazwisko i pesel?
>Wystarczyło? ;-)

Jakos tak niewiele wiecej bylo trzeba.
W kazdym badz razie ci co potrafili SIM uzyskac, to i reszte obeszli.

J.

do góry

Zdzichu500 <n...@n...org> writes:

> Pegasus to przede wszystkim ładnie opakowane możliwości skorzystania z
> dziur zero day. I to wyklucza masowe korzystanie bo to działa dopóki
> dziura jest tajemnicą.

Absolutnie nie. Dopiero załatanie dziur dawałoby taki efekt. Niektórzy
producenci nie łatają naprawdę kosmicznych dziur w telefonach, które są
w dalszym ciągu używane. Trudno sobie chyba także wyobrazić, by takie
osoby miały używać nieoficjalnych wersji systemu (z łatami).

> Z tego co podaje niebezpiecznik.pl AFAIR to za jedną
> taką dziurę zapewniając do niej support itp. można całkowicie legalnie
> dostać ok. 1M$ od twórców Pegasusa czy innych podobnych firm.

Podają źródło tej informacji? Nie żebym kwestionował, i nigdy z żadnym
Pegasusem nie miałem do czynienia - przynajmniej od tej strony :-)
Ale "normalnie" (nie w rozmowach z bandytami) stawki wydają się być
znacznie niższe.

> Gorzej jak ktoś ma telefon bez aktualizacji bo nie dość, że mu dziury
> producent nie załata to jeszcze dziura znana wąskiemu gronu osób po
> jakimś czasie może być szerzej znana i wtedy może będą nawet skrypty
> do włamań.

Właśnie.
--
Krzysztof Hałasa

do góry

Wojciech Bancer <w...@g...com> writes:

> A, mówisz o tych kluczach, generowanych sprzętowo, do których trzeba
> podać komponent użytkownika (np. pin) aby potwierdzić autentyczność,
> ale do których nawet system nie ma dostępu? No do Secure Enclave (iOS)
> jest póki co znany jeden exploit, na procki starsze niż A12, ale wymaga
> fizycznego dostępu do urządzenia.
>
> Podobny mechanizm ma oczywiście android i jak masz nowe urządzenie,
> to jest spora szansa że tam takie rzeczy siedzą. Tu również tych
> exploitów specjalnie za dużo nie ma.

Pytanie tylko, czy bankowe apki mogą z tego korzystać, i czy korzystają?

BTW nie mam zaufania do kluczy "generowanych sprzętowo" (bez dokładnego
wyjaśnienia i możliwości weryfikacji co to oznacza). Zdecydowanie
korzystniejsze wydają mi się klucze, które można wygenerować dowolnym
sposobem, a następnie umieszcza się je w takiej czarnej skrzynce,
i tylko nie można ich (łatwo) stamtąd wyciągnąć. Jakoś przeżyje ten
moment, w którym klucze są w zwykłej pamięci RAM, i to, że można mieć
ich backup.

Podobnie nie wierzę w bezpieczeństwo szyfrowania w wielu aplikacjach -
np. ostatnio, konferencyjnych, w sytuacji, gdy nie mam żadnej kontroli
nad używanymi kluczami (są ściągane z serwera usługodawcy) itd.

> Oczywiście że nie, ale to diametralnie inna sytuacja.
> Po pierwsze malware bazuje na tym, że go uruchamiasz (socjotechnika),
> najczęściej z kontekstu usera administracyjnego (pod windows
> standardowe) i że przyklepiesz podniesienie uprawnień.
> "samo się" to nic się nie zainstaluje.

Z tym, że wiele razy właśnie "samo" się instalowało. Wykorzystując błędy
w przeglądarce czy w innym flashu. Np. demonstrowano wyciąganie danych
innych procesów (lub kernela) z RAMu przy użyciu JS w przeglądarce.
Problemy sprzętowe są trudne do załatania, zwłaszcza w telefonach, gdzie
każdy procent np. mocy obliczeniowej CPU jest istotny.

> Po drugie Windows nie odpala aplikacji w sandboxie,
> a iOS/Android i owszem, a w tym sandboksie użytkownik
> nie ma prawa dać aplikacji uprawnienia root.

Tak piszesz, jakby nie można było uzyskać roota w żadnym takim
przypadku.

Stare powiedzenie mówi, że jeśli ktoś (człowiek) uzyska dostęp lokalny
do czegokolwiek, to uzyska też prawa roota. Owszem, może się zdarzyć, że
to w danym przypadku będzie niemożliwe. Ale chodzi o to, by w każdym
przypadku było to niemożliwe, albo przynajmniej niepraktyczne.

> Więc jeśli chcesz wykorzystywać exploity by sobie zrootować
> urządzenie (do tego jeszcze zdalnie), to wersja systemu jak
> najbardziej się liczy, bo te dziury są łatane dość na bieżąco
> i nawet konkretna podwersja robi różnicę.

Ale wersja systemu jest ostatnia. Ostatnia wspierana. Wszędzie
w praktyce jednakowa.

Np. 4.1.2. I co wtedy?
No bo chyba nie myślisz, że mało ludzi takich używa?

Ja wiem, że można wyprodukować token, który będzie wystarczająco
bezpieczny. Zupełnie nie o to chodzi.
--
Krzysztof Hałasa

do góry

On 2020-12-23, _Master_ <M...@...pl> wrote:
> A to wszystko w kontekście np. tego:
> https://www.telepolis.pl/wiadomosci/bezpieczenstwo/g
oogle-project-zero-iphone-airdrop-exploit-dziura

"Od razu zaznaczę, że nie każdy iPhone i iPad mają tę lukę. Przeciwnie - ma ją
mniejszość, korzystająca
ze starszego systemu iOS. Wiele wskazuje na to, że jeśli masz zainstalowaną
aktualizację z maja 2020
roku, Twojego urządzenia nie da się tak łatwo przejąć."

Więc już załatane - to po pierwsze (na iOS aktualizacje są praktycznie automatyczne,
a adaptacja na iOS14, bez tego błedu jest na poziomie 81%).
Po drugie musisz być w zasięgu "hackerskiej" sieci WiFI.

--
Wojciech Bańcer
w...@g...com

do góry

On 2020-12-23, Krzysztof Halasa <k...@p...waw.pl> wrote:

[...]

>> Podobny mechanizm ma oczywiście android i jak masz nowe urządzenie,
>> to jest spora szansa że tam takie rzeczy siedzą. Tu również tych
>> exploitów specjalnie za dużo nie ma.
>
> Pytanie tylko, czy bankowe apki mogą z tego korzystać, i czy korzystają?

Mogą i korzystają.

> Podobnie nie wierzę w bezpieczeństwo szyfrowania w wielu aplikacjach -
> np. ostatnio, konferencyjnych, w sytuacji, gdy nie mam żadnej kontroli
> nad używanymi kluczami (są ściągane z serwera usługodawcy) itd.

Ale ta wiara ma niewielkie znaczenie w kontekście seryjnego włamywania
się na aplikacje bankowe, prawda? Włamu nie dokonują agencje rządowe
zdolne wymusić coś na podmiotach gospodarczych.

>> najczęściej z kontekstu usera administracyjnego (pod windows
>> standardowe) i że przyklepiesz podniesienie uprawnień.
>> "samo się" to nic się nie zainstaluje.
>
> Z tym, że wiele razy właśnie "samo" się instalowało. Wykorzystując błędy
> w przeglądarce czy w innym flashu. Np. demonstrowano wyciąganie danych
> innych procesów (lub kernela) z RAMu przy użyciu JS w przeglądarce.
> Problemy sprzętowe są trudne do załatania, zwłaszcza w telefonach, gdzie
> każdy procent np. mocy obliczeniowej CPU jest istotny.

Ale wtedy istotna była wersja przeglądarki, czy wersja flasha.
No nie ma "to tamto" jak chcesz się bawić w zdalne włamy, to niestety
nie ma złotego grala.

>> Po drugie Windows nie odpala aplikacji w sandboxie,
>> a iOS/Android i owszem, a w tym sandboksie użytkownik
>> nie ma prawa dać aplikacji uprawnienia root.
>
> Tak piszesz, jakby nie można było uzyskać roota w żadnym takim
> przypadku.

Piszę, że nie można stworzyć rozwiązania generycznego, które będzie
odporne na wersję systemu.

> Stare powiedzenie mówi, że jeśli ktoś (człowiek) uzyska dostęp lokalny
> do czegokolwiek, to uzyska też prawa roota. Owszem, może się zdarzyć, że
> to w danym przypadku będzie niemożliwe. Ale chodzi o to, by w każdym
> przypadku było to niemożliwe, albo przynajmniej niepraktyczne.

No więc jest niepraktyczne, przynajmniej na iOS..

>> Więc jeśli chcesz wykorzystywać exploity by sobie zrootować
>> urządzenie (do tego jeszcze zdalnie), to wersja systemu jak
>> najbardziej się liczy, bo te dziury są łatane dość na bieżąco
>> i nawet konkretna podwersja robi różnicę.
>
> Ale wersja systemu jest ostatnia. Ostatnia wspierana. Wszędzie
> w praktyce jednakowa.
>>
> Np. 4.1.2. I co wtedy?
> No bo chyba nie myślisz, że mało ludzi takich używa?

Myślę. Sprzęty konsumenckie wymienia się zazwyczaj co rok/dwa,
bo tak przypada odnowienie umowy na telefon.

Jelly Bean (4.1.x jest używany przez 0.6% urządzeń, w znakomitej
większości są to urządzenia dedykowane (np. ebooki, czy urządzenia
używane w przemyśle).

--
Wojciech Bańcer
w...@g...com

do góry

Wojciech Bancer <w...@g...com> writes:

> On 2020-12-23, Krzysztof Halasa <k...@p...waw.pl> wrote:

[...]

>> No bo chyba nie myślisz, że mało ludzi takich używa?
>
> Myślę. Sprzęty konsumenckie wymienia się zazwyczaj co rok/dwa,
> bo tak przypada odnowienie umowy na telefon.

Obawiam się, że tak różówo nie jest.
1. patrząc o swoich znajomych, zwłaszcza starszych, to nie mają pędu do
wymiany telefonu jak najczęściej. Wolą mieć to co już znają.
2. Telefon po wymianie całkiem często trafia na "rynek wtórny" (dzieci,
rodzina) i dalej działa.

KJ


--
http://wolnelektury.pl/wesprzyj/teraz/

do góry