On 2016-03-21 01:10, Rafal Jankowski wrote:
> Hm, miałem się nie czepiać wyciągania klucza ze scalaka, ale caly filmik
> jest o tym jak gościu się onanizuje skrobaniem tego TPMa

Myslę żen ie pojąłeś kuczowego: kazdy kto będzie chciał wydlubać klucz
bedzie musial skrobać scalak. Współczesnie sprzęt do skrobania jest
tylko w kilku(nastu) egzemplarzach i jest to zagadnienie nietrywialne.
Tu jest *powód* dla którego TPM stosuje się w informatyce.

> Kudelskiego. Ale nie ważne, powiedzmy, że to wszystko dotyczy starych
> chipów i że te nowe są już dobre i bezpieczne.

Żaden nie jest bezpieczny. Ale jesli wydlubanie klucza kosztuje 1mln
czegokolwiek to są one *wystarczająco* bezpieczne.

> jeszcze się nie ma co spodziewać. Jedyną rzeczą jakiej mam zamiar się
> przyczepić to sposób użycia i wdrożenia tego cuda, ale czekam aż tą
> procedurę opiszesz.

To proste. Odkładasz katalog z jachtami. Ruszasz swoją tłusta dupe żeby
przeczytać co to jest kryptografia. Prosisz o pomoc kogokolwiek kto ma
pojęcie o naukach ścisłych i aż do bólu starasz się przegryźć te
wszystkie nowe pojęcia. Razem dajecie rade pojąć że technologia istnieje
od bardzo dawana. I teraz najwazniejsze: masz dwie opcje, pierwsza
polega na olaniu tematu i przeglądaniu dalej katalogu z jachtami, druga
polega na zaryzykowaniu. Poniewaz jachty sa bardziej interesujące niż
ryzykowanie to to wdrożenie nie ma szans. No chyba że ktos jest
charyzmatycznym wizjonerem. Ale takich nie znajdziesz w korposzczurach
awansujących do debilomanagerów.

PS. Tak naprawde to proste: zamawiasz kilkaset scalaków, robicie testy i
jak się uda to wprowadzacie rekami chińczyków wersje dla biznesu w
szczotkowanym aluminium reklamując go jako "nawet mafia uzywa" albo coś
w ten deseń. Potem stopniowo dajesz każdemu i już można w TV brylować
jaki ten bank nowoczesny i jak wielu mądrych ludzi ma. I pierś wypinać
po następny medal dyrektora miesiąca. Tak, calośc tego procesu wymaga
obecności elektroników, projektantów, matematyków, administratorów itp
plebsu. Ale przeciez dyrektor doskonale orientujący się w nowinkach
technicznych powinien mieć śladowe o tym pojęcie, więc co ja bedę tlumaczył.

do góry

On 2016-03-22 08:43, Rafal Jankowski wrote:
> jest rozwiązaniem problemu nieautoryzowanych transakcji. Problem w tym,
> że mój przedpiśca mnie wyśmiał

Wyśmiałem pomysły rodem ze średniowecza o ktorych w kółko pisaleś jak to
trzeba klucze wymieniać przez internet. NIE TRZEBA. NIE WOLNO. TMP
działa w taki sposób że klucz istnoeje tylko w nim i jest niewyjmowalny.
Jest to na tyle pewne że spokojnie stosuje się klucze symetryczne i nie
ma w tym nic dziwnego.

>, a sam poza zapodaniem hasła TPM nic
> lepszego w sumie nie zaproponował.

Sami do tego powoli dochodzicie. Wystarczyu zamiast krytykować po prostu
chwile pomyśleć.

TMP może podpisywać kanał komunikacyjny z bankiem i jednoczesnie
wyświetlać na wyswietlaczu dane transakcji. Nie ma tutaj zadnej
aplikacji poza prostym kawalkiem kodu który robi za transparent proxy
internet<->dongle. Komunikacja nawet nie musi być szyfrowana, choć pewno
to wskazane z powodu ochrony danych. TMP tylko podpisuje strumień bajtów
po uprzednim wyświetleniu i potwierdzeniu pinem na własnej klawiaturze.
Wsijo. Ten prymitywny sposób jest wystarczający aby załatwić
*najpopularniejszy* obecnie sposób wykradania pieniędzy z kont. Albo
można udawać idiote, jak robią wszystkie banki.

do góry

On 2016-03-22 00:10, Krzysztof Halasa wrote:
>>> Świetnie, czym więc windows zasłużył na wyróżnienie w tym zestawie?
>> Popularnością malware z powodu popularności OSa. Jest zdecydownie
>> popularnieszy niż cała reszta w kupie.
> Bez znaczenia, ważna jest możliwość uruchamiania softu przez usera, oraz
> stopień komplikacji systemu.

Ma znaczenie. Pojawienie się jednego malware na Linuxa to sensacja na
skale madialna. W miedzyczasie powstaje setka malware dla windowsa w
kilkuset tysiącach mutacji. Skala ma znaczenie. Miedzy innymi obecnie
bezpieczniej jest wykonywać transakcje na Lin/OS X nie z powodu że są
bezpieczne, tylko z powodu że większe powodzenie przestępcy mają na win
i nie bedą zajmowali się hakowaniem tych kilku nerdów uwalonych pizzą bo
tam nie ma kasy a przede wszystkim jest mało idiotów.

>> A po ch... Zasadą działania TPM jest to że może pracować w kompie z
>> milionem wirusów, trojanów, malware. I nic. Dalej jest trusted i
>> pozwala na bezpieczne przeprowadzanie operacji.
> Sam TPM jest wtedy może "trusted" :-), ale to zbyt wiele nie daje.

To daje *wszystko* co potrzebujesz aby zaimplementować bezpieczną bankowość.

> TPM może jest fajny w warunkach firmowych, gdy chcesz uniemożliwić pani
> Kasi grzebanie w Windows.

Może jednak coś przeoczyłem w dyskusji, więc wyostrzę: rozmawiamy o
donglu dostarczanym przez bank, wpinanym w USB/Whatever. Dongle zawiera
scalak niekoniecznie TPM, ale o poziomie funkcjonalnym i
zabezpieczeniami fizycznymi jak TPM. Ma on dodatkowo klawiaturę i
wyswietlacz co pozwala na pozbycie się problemów z malware
podmieniającymi widok.

do góry

On Wed, 23 Mar 2016, Sebastian Biały wrote:

>> A więc
>> jest możliwy (bardzo trudny do zrealizowania, ale mówimy o "absolutnej
>> pewności") scenariusz, że ten klucz zostanie wyskrobany a transakcja
>> przeprowadzona w momencie gdy użytkownik jest w posiadaniu tokena.
>
> Tak, podobnie jak pierdolnięcie meteorytu. Musimy to brać pod uwage, prawda?
> To kluczowe że z TPMa mozna wyskrobać hasło do konta kowalskiego już za tylko
> 1mln dolarów. To calkowicie dyskwalifikuje tą technologię. No i jak zwykle
> zostają podpisy i panienki od interesujących pytań.

Widzę, że nie rozumiesz słów których używasz - "absolutna pewność" w
odniesieniu do czegoś co jest niepewne przy zainwestowaniu czegoś co
kosztuje (jak twierdzisz) $1MUSD. Ale zdaje się, że co gorsze nie
rozumiesz zbytnio linków które sam podsyłasz:

8:52 - I removed this shield with hydrofluorid acid in about two minutes
15:45-15:55 - you don't even need high tech equipment to image this ROM
44:20 [to repeat the process] on infineon it took me 6 hours, on ST(?)
significantly less

>
> PS. Tak wiem, zaraz napiszeszm maila o tym jakim chamem jestem że takie
> chamskie mam odzywki. Ale przepraszam, na Twoj poziom absurdu traktowany
> poważnie jedyną odtrutką jest poziom absurdu do kwadratu.

Nie, nie jesteś chamem. Jesteś zwykłym głupkiem.

do góry

On Wed, 23 Mar 2016, Sebastian Biały wrote:

> On 2016-03-22 08:43, Rafal Jankowski wrote:
>> jest rozwiązaniem problemu nieautoryzowanych transakcji. Problem w tym,
>> że mój przedpiśca mnie wyśmiał
>
> Wyśmiałem pomysły rodem ze średniowecza o ktorych w kółko pisaleś jak to
> trzeba klucze wymieniać przez internet. NIE TRZEBA. NIE WOLNO. TMP działa w
> taki sposób że klucz istnoeje tylko w nim i jest niewyjmowalny. Jest to na
> tyle pewne że spokojnie stosuje się klucze symetryczne i nie ma w tym nic
> dziwnego.

Symetryczny klucz niewyjmowalny? Szkoda tylko, że bank nie będzie miał jak
odszyfrować tego co TPM zaszyfruje.

>> , a sam poza zapodaniem hasła TPM nic
>> lepszego w sumie nie zaproponował.
>
> Sami do tego powoli dochodzicie. Wystarczyu zamiast krytykować po prostu
> chwile pomyśleć.
>
> TMP może podpisywać kanał komunikacyjny z bankiem i jednoczesnie wyświetlać
> na wyswietlaczu dane transakcji. Nie ma tutaj zadnej aplikacji poza prostym
> kawalkiem kodu który robi za transparent proxy internet<->dongle. Komunikacja
> nawet nie musi być szyfrowana, choć pewno to wskazane z powodu ochrony
> danych. TMP tylko podpisuje strumień bajtów po uprzednim wyświetleniu i
> potwierdzeniu pinem na własnej klawiaturze. Wsijo. Ten prymitywny sposób jest
> wystarczający aby załatwić *najpopularniejszy* obecnie sposób wykradania
> pieniędzy z kont. Albo można udawać idiote, jak robią wszystkie banki.

Czyli mam wierzyć, że ten kawałem plastiku z krzemem, który dostałem w
kopercie od banku jest bezpiecznym urządzeniem przy którym nikt nie
majstrował, a tą aplikację co wgrywał do TPMa bank pisali dobrzy ludzie?

do góry

On 2016-03-23 19:02, Rafal Jankowski wrote:
> Widzę, że nie rozumiesz słów których używasz - "absolutna pewność" w
> odniesieniu do czegoś co jest niepewne przy zainwestowaniu czegoś co
> kosztuje (jak twierdzisz) $1MUSD. Ale zdaje się, że co gorsze nie
> rozumiesz zbytnio linków które sam podsyłasz:
> 8:52 - I removed this shield with hydrofluorid acid in about two minutes
> 15:45-15:55 - you don't even need high tech equipment to image this ROM
> 44:20 [to repeat the process] on infineon it took me 6 hours, on ST(?)
> significantly less

Może nalezy wobec tego obejrzeć inny:

https://www.youtube.com/watch?v=62DGIUpscnY

a) aktywny mesh
b) sensory światła
c) manglowane opcody
d) detekcja kombinowania z rejestrami
e) pierdyliard innych zabezpieczeń przed fizycznym ingerowaniem w chip

Po drugiej stronie siedzi sliniacy się wpierniczacz pizzy który
odpowiada za 99% ataków na konta Kolwaskiego przez maile z fakturami.

Masz tam swoje mln dolarów, podczas prezentacji pada kwota jaka jest
potrzebna do wyjęcia tego co chcesz. Nie, tym razem nie używa się szkla
powiększającego, zaostrzonego ołówka ani kilku przylutowanych drucików
Lutolą.

Tak, koleś podnieca się domieszkowanym krzemem z naplutym aluminium. To
dalece odbiega od podniecania się kolorowymi słupkami w power poincie,
rozumiem to.

No i zawsze pozostaje ewentualnośc że może pierdalnąć meteoryt i klucz
się wysypie z krzemu na podlogę!

> Nie, nie jesteś chamem. Jesteś zwykłym głupkiem.

Kilka razy pytalem lekarzy czy da się takie zaświadczenie wystawic, ale
zazwyczaj pukali się w głowe że chyba glupi jestem. Więc niestety nie
mogę potwierdzić. Ale żem cham - to chyba mogę bez zaświadczeń.

do góry

On 2016-03-23 19:10, Rafal Jankowski wrote:
> Symetryczny klucz niewyjmowalny? Szkoda tylko, że bank nie będzie miał
> jak odszyfrować tego co TPM zaszyfruje.

Ale te krypotologi głupie głupki. Cale szczęscie dowiedzieli się na
newsach że kryptografia symetryczna polega na posiadaniu jednego
ezemplarza niewyjmowalnego klucza. A te głupki myslały że klucz posiada
rowniez bank! Haha.

> Czyli mam wierzyć, że ten kawałem plastiku z krzemem, który dostałem w
> kopercie od banku jest bezpiecznym urządzeniem przy którym nikt nie
> majstrował, a tą aplikację co wgrywał do TPMa bank pisali dobrzy ludzie?

Tak. Tak samo jak wierzysz że kasjer w twoim banku jest zawodowym
grafologiem. W profesjonalnej bankowości słowo harcerza jest niezwykle
ważnym składnikiem bezpieczeństwa!

https://zaufanatrzeciastrona.pl/post/prawie-udany-sk
ok-na-150-milionow-dolarow-za-pomoca-podrobionego-fa
ksu/

PS. Kawałek plaskiku który masz obecnie w portfelu był projektowany
przez imbecyli:

https://niebezpiecznik.pl/post/karty-kredytowe-z-chi
pem-podatne-na-atak/

do góry

On 2016-03-21 00:20, Rafal Jankowski wrote:
>> A po co komu malware w jądrze? Zdecydowanie najwięcej atakow
>> przeprowadza się przez byle jak naklepane aplikacje z gatunku
>> albańskich (uruchom mnie, jestem waznym wir^M^M^Mfakturą).
> Po co komu malware w jądrze? Np. po to, żeby nie było konieczności
> wysyłania mailem takich albańskich aplikacji i czekania aż ktoś kliknie.

A jak sie niby ten malware ma dostać do jądra? Telepatycznie? Akuratnie
w remote exploit przodował kiedyś Win (Blaster). Obecnie cieżko mówić o
dziurach remote z systemu OOtB.

do góry

On 2016-03-22 00:01, Krzysztof Halasa wrote:
> Ale TPM to nie jest żadne panaceum, to tylko jeden z elementów
> układanki, i nic on nie da, jeśli w systemie ogólnego przeznaczenia
> będzie wiele dziur (a tak właśnie jest i będzie).

Nie jest to prawda. Możesz mieć dowolna ilość dziur. Do momentu ataku
fizycznie na chip bedzie on podpisywał w sposób bezpieczny i pewny (od
początku zakładam wyświetlacz i pin). Jedyną forma ataku jest wtedy DoS
czyli nic.

do góry

Marek napisał(a) w wiadomości: ...
>On Sun, 20 Mar 2016 15:29:54 +0100, Sebastian
>Biały<h...@p...onet.pl> wrote:
>> No właśnie. Po zastosowaniu prostackich środkow technicznych
>problem
>> udowaniania nie istnieje. Bo problem malware, złodziei, wyłudzania
>nie
>> istnieje. Tadaaaam!
>
>Kraje cywilizowane dawno z tym sobie poradziły stosując chargeback
>dla transakcji nieautoryzowanych. I żadnych wyrafinowanych środków
>technicznych do tego nie trzeba.


Płacą za złodziei, "Cywilizacja". Jakież to budujące moralnie...
Tzn. płacą w efekcie inni klienci banków - ci bardziej rozgarnięci.

>> Bicie piany w tym wypadku jest zasadniczo istotne: ludzie nie mają
>> pojęcia że ich banki wcale nie stosują zaawansowanych srodkow
>> technicznych a jedynie kupe gówna nazywaną security a tak naprawdę
>> przerzucają co moga ze swojej odpowiedzialności na klienta w posob
>> często ordynarny. Być może ta świadomość wygeneruje kiedyś zwrot w
>> kierunku prawdziwego security. Ale nie, nie jestem aż tak głupi
>żeby
>> zakładać że kiedyś debilomanagerzy zostaną zwolnienie z pracy, więc
>to
>> utopia.


Co to jest "prawdziwe security"? Jakiś absolut?
Tak, można teoretycznie zaprojektować system dość bezpieczny, ale
drogi i niewygodny (jak na dzisiejsze czasy wygodnictwa).

>Więc jaki sens jest wyrażanie konkluzji utopijnych, co ostatnio się
>Ci dość często zdarza :)? Nie, nie zostaną zwolnieni z pracy i będą
>za wszelką cenę próbować przy każdej okazji przerzucać
>odpowiedzialność na klienta.

>Dlatego prawo powinno chronić obywateli przed banksterami, bez
>względu jak wyrafinowane technicznie metody stosują.


1. Nie ma znaczenia jak "zaawansowane" bedą techniki zabezpieczania.
Na końcu jest klient i jak go jakiś Kevin Mitnick przekona żeby podał
co trzeba to poda (zgodnie z tytułem ksiązki: "Łamałem ludzi, nie hasła").
2. O ile klient może jakoś przekonać sąd, że to nie on, to bank nie ma
żadnej możliwości udowodnić, ze to klient. Kwestia niskiej asertywności
klientów.
3. To państwo zachęca, a czasem już zmusza do korzystania z usług
bankowych. Zmusza do ryzyka, więc niech odpowiada... Oczywiście
po złodzieju, który w przypadku złapania powinien w kazamatach
zasuwać aż spłaci z odsetkami.

W skrócie: sąd, być może postraszony atmosferą obecnej władzy
uznał, że banki można okradać. Podac znajomemu co trzeba a samemu
twierdzić, że to nie ja autoryzowałem.
Podobne przypadki z kartami już były. To ma być "cywilizacja"?

Jeżeli przegram w trzy karty to kto ma oddawać kasę? Bank z którego
te akurat banknoty wypłaciłem? A może pracodawca, który tego dnia
nimi zapłacił?

Arek

do góry