Wojciech Bancer <w...@g...com> writes:

> On 2019-08-06, Krzysztof Halasa <k...@p...waw.pl> wrote:
>
> [...]
>
>>> No jakoś się nikomu przez "zdjęcie" nie udało, ale możesz być
>>> pierwszy. :)
>>
>> No właśnie był spektakularny przykład, że się udało.
>
> Wskażesz? Bo z maską i owszem, ale zdjęciem niespecjalnie.
> Przy czym sami autorzy zastrzegli, że "udało się" w warunkach
> laboratoryjnych, a to nie to samo.

Czy to:

https://niebezpiecznik.pl/post/tasma-i-okularami-osz
ukali-skaner-twarzy-iphonea/?utm_source=feedburner&u
tm_medium=feed&utm_campaign=Feed%3A+niebezpiecznik+%
28Niebezpiecznik.pl+-+wszystko%29

jest wysterczająco proste i tanie?
KJ

--
http://wolnelektury.pl/wesprzyj/teraz/
Honesty is the best policy, but insanity is a better defense.

do góry

On 2019-08-09, Kamil Jońca <k...@p...onet.pl> wrote:

[...]

>> Wskażesz? Bo z maską i owszem, ale zdjęciem niespecjalnie.
>> Przy czym sami autorzy zastrzegli, że "udało się" w warunkach
>> laboratoryjnych, a to nie to samo.
>
> Czy to:
> https://niebezpiecznik.pl/post/tasma-i-okularami-osz
ukali-skaner-twarzy-iphonea/?utm_source=feedburner&u
tm_medium=feed&utm_campaign=Feed%3A+niebezpiecznik+%
28Niebezpiecznik.pl+-+wszystko%29
> jest wysterczająco proste i tanie?

A czytałeś, czy tylko nagłówek? :)

Bo to tylko sposób na to, żeby oszukać iPhone dysponując
nieprzytomną ofiarą. A nie wyeliminowaniem jej z równania
w ogóle. To tylko omija sprawdzanie zabezpieczenia
"zamkniętych oczu". Jak to się ma do kontekstu o którym
rozmawialiśmy tj. masowym zastosowaniu?

--
Wojciech Bańcer
w...@g...com

do góry

Wojciech Bancer <w...@g...com> writes:

> On 2019-08-09, Kamil Jońca <k...@p...onet.pl> wrote:
>
> [...]
>
>>> Wskażesz? Bo z maską i owszem, ale zdjęciem niespecjalnie.
>>> Przy czym sami autorzy zastrzegli, że "udało się" w warunkach
>>> laboratoryjnych, a to nie to samo.
>>
>> Czy to:
>> https://niebezpiecznik.pl/post/tasma-i-okularami-osz
ukali-skaner-twarzy-iphonea/?utm_source=feedburner&u
tm_medium=feed&utm_campaign=Feed%3A+niebezpiecznik+%
28Niebezpiecznik.pl+-+wszystko%29
>> jest wysterczająco proste i tanie?
>
> A czytałeś, czy tylko nagłówek? :)

Czytałem.
>
> Bo to tylko sposób na to, żeby oszukać iPhone dysponując
> nieprzytomną ofiarą. A nie wyeliminowaniem jej z równania
> w ogóle. To tylko omija sprawdzanie zabezpieczenia
> "zamkniętych oczu". Jak to się ma do kontekstu o którym
> rozmawialiśmy tj. masowym zastosowaniu?

Na razie nijak.
Zwracam tylko uwagę, że najpierw była mowa otym, że FaceID jest
"strasznie trudne, praktycznie niemożliwe" do złamania, później okazuje
się, że jednak maskę można zrobić, teraz, że wystarczy (w pewnej
sytuacji, niekoniecznie laboratoryjnej) taśma na okulary ...

KJ

--
http://stopstopnop.pl/stop_stopnop.pl_o_nas.html
The first sign of maturity is the discovery that the volume knob also turns to
the left.

do góry

On 2019-08-10, Kamil Jońca <k...@p...onet.pl> wrote:

[...]

>> Bo to tylko sposób na to, żeby oszukać iPhone dysponując
>> nieprzytomną ofiarą. A nie wyeliminowaniem jej z równania
>> w ogóle. To tylko omija sprawdzanie zabezpieczenia
>> "zamkniętych oczu". Jak to się ma do kontekstu o którym
>> rozmawialiśmy tj. masowym zastosowaniu?
>
> Na razie nijak.
> Zwracam tylko uwagę, że najpierw była mowa otym, że FaceID jest
> "strasznie trudne, praktycznie niemożliwe" do złamania

Dokładnie. W kontekście dyskusji, czyli przeprowadzania
ataku masowego. Zastrzeżenia o >>targetowaniu<< bogatych
i znanych osób też umieściłem.

> później okazuje się, że jednak maskę można zrobić,

W warunkach laboratoryjnych, i owszem.
Tu również mieli nieograniczony dostęp do tej osoby i mogli
robić więcej prób.

> teraz, że wystarczy (w pewnej sytuacji, niekoniecznie laboratoryjnej)
> taśma na okulary ...

Nie wystarczy.
Trzeba mieć i fizyczną osobę do której telefon należy.
Czyli nadal nici z ataku "na zdjęcie".

--
Wojciech Bańcer
w...@g...com

do góry

Wojciech Bancer <w...@g...com> writes:

> On 2019-08-10, Kamil Jońca <k...@p...onet.pl> wrote:
>
> [...]
>
>>> Bo to tylko sposób na to, żeby oszukać iPhone dysponując
>>> nieprzytomną ofiarą. A nie wyeliminowaniem jej z równania
>>> w ogóle. To tylko omija sprawdzanie zabezpieczenia
>>> "zamkniętych oczu". Jak to się ma do kontekstu o którym
>>> rozmawialiśmy tj. masowym zastosowaniu?
>>
>> Na razie nijak.
>> Zwracam tylko uwagę, że najpierw była mowa otym, że FaceID jest
>> "strasznie trudne, praktycznie niemożliwe" do złamania
>
> Dokładnie. W kontekście dyskusji, czyli przeprowadzania
> ataku masowego. Zastrzeżenia o >>targetowaniu<< bogatych
> i znanych osób też umieściłem.
>
>> później okazuje się, że jednak maskę można zrobić,
>
> W warunkach laboratoryjnych, i owszem.
> Tu również mieli nieograniczony dostęp do tej osoby i mogli
> robić więcej prób.
>
>> teraz, że wystarczy (w pewnej sytuacji, niekoniecznie laboratoryjnej)
>> taśma na okulary ...
>
> Nie wystarczy.
> Trzeba mieć i fizyczną osobę do której telefon należy.
> Czyli nadal nici z ataku "na zdjęcie".

Czytaj dokładniej: "w pewnej sytuacji, niekoniecznie laboraoryjnej"
Ja nic o ataku "na zdjęcie" nie pisałem. To po pierwsze.

Po drugie: Stopniowe osiągnięcia w łamani każą zastanowić się, czy jednak
niedługo nie usłyszymy o ataku "na zdjęcie". I tyle.

KJ


--
http://wolnelektury.pl/wesprzyj/teraz/
arachnoleptic fit, n.:
The frantic dance performed just after you've accidentally walked
through a spider web.

do góry

Wojciech Bancer <w...@g...com> writes:

> Dokładnie. W kontekście dyskusji, czyli przeprowadzania
> ataku masowego. Zastrzeżenia o >>targetowaniu<< bogatych
> i znanych osób też umieściłem.

Daj spokój. "Bezpieczeństwo" podobnych rozwiązań opiera się na tym, że
są możliwości jeszcze gorsze. Gdyby tylko np. bank sobie życzył, może to
załatwić naprawdę bezpiecznie (szacowany koszt to ułamek ceny telefonu,
do powiedzmy ceny taniego telefonu).

Wersje z biometrią wprowadzają zagrożenie, które jest niezależne od
klienta, klient nie ma na to żadnego wpływu, a jednak skutki mogą go
obciążać (przynajmniej w praktyce).

Ja wiem, że biometria jest mniej niebezpieczna niż klienci podający
hasła jednorazowe podrobionym stronom (itp). Równie dobrze można
argumentować, że zamek "bębenkowy" noname jest bezpieczniejszy niż
zamknięcie na drewniany skobel.
--
Krzysztof Hałasa

do góry

On 2019-08-10, Kamil Jońca <k...@p...onet.pl> wrote:

[...]

> Czytaj dokładniej: "w pewnej sytuacji, niekoniecznie laboraoryjnej"
> Ja nic o ataku "na zdjęcie" nie pisałem. To po pierwsze.

Ale jeszcze wcześniej było zastrzeżenie o tym, że dywagacje nie
dotyczą służb i targetowania indywidualnego.

> Po drugie: Stopniowe osiągnięcia w łamani każą zastanowić się, czy jednak
> niedługo nie usłyszymy o ataku "na zdjęcie". I tyle.

Idąc tym tropem, to można z zabezpieczeń zrezygnować w ogóle,
bo "w końcu ktoś kiedyś, jakoś, może" wymyśli jak to obejść.
A jak można, to po co zabezpieczać?

A skoro już idziemy w ekstrama, że mamy dostęp do "celu",
to idźmy dalej: przeciętny cel (sprawdzić, czy nie Chuck
Norris) jak dostanie w pysk raz, czy dwa, to niezależnie
od stosowanego zabezpieczenia technicznego, poda odpowiedni
kod / odblokuje "grzecznie proszącemu" telefon / token / cokolwiek
innego.

--
Wojciech Bańcer
w...@g...com

do góry

On 2019-08-10, Krzysztof Halasa <k...@p...waw.pl> wrote:

[...]

>> ataku masowego. Zastrzeżenia o >>targetowaniu<< bogatych
>> i znanych osób też umieściłem.
>
> Daj spokój. "Bezpieczeństwo" podobnych rozwiązań opiera się na tym, że
> są możliwości jeszcze gorsze. Gdyby tylko np. bank sobie życzył, może to
> załatwić naprawdę bezpiecznie (szacowany koszt to ułamek ceny telefonu,
> do powiedzmy ceny taniego telefonu).

Mhm. Mówisz o tokenach sprzętowych z zerową dostępnością np. dla osób
niewidomych, czy o czymś jeszcze równie ciekawym? A zarówno "kartę
kodów" jak i token sprzętowy ta sama osoba która Cię "grzmotnie"
w celu nałożenia okularów spokojnie ukradnie i wykorzysta
bez żadnych dodatkowych przeszkód. Albo nawet nie będzie
musiała Cię grzmotnoć.

> Wersje z biometrią wprowadzają zagrożenie, które jest niezależne od
> klienta, klient nie ma na to żadnego wpływu, a jednak skutki mogą go
> obciążać (przynajmniej w praktyce).

Biometria nie jest jedynym zabezpieczeniem, tylko "jednym z wielu".
I jak na razie wszystkie pomysły jej przełamania wymagają kontaktu
z ofiarą.

> Ja wiem, że biometria jest mniej niebezpieczna niż klienci podający
> hasła jednorazowe podrobionym stronom (itp). Równie dobrze można
> argumentować, że zamek "bębenkowy" noname jest bezpieczniejszy niż
> zamknięcie na drewniany skobel.

No ale serio, trzeba iść w ekstremum i argumentować, że ekstremalnie
trudna do złamania technologia jest słaba i niemalże bezużyteczna, bo
złamali ją wietnamczycy raz, w warunkach laboratoryjnych, mając
nieograniczony dostęp?

I pewnie sygnalizacja świetlna to też się nadaje "do kosza", bo przecież
nie raz się słyszało, że pieszy na przejściu mimo "zielonego" został
potrącony, nie? Więc się nie sprawdza, niech panuje zasada "jak kto
chce".

--
Wojciech Bańcer
w...@g...com

do góry

Wojciech Bancer <w...@g...com> writes:

> On 2019-08-10, Kamil Jońca <k...@p...onet.pl> wrote:
>
> [...]
>
>> Czytaj dokładniej: "w pewnej sytuacji, niekoniecznie laboraoryjnej"
>> Ja nic o ataku "na zdjęcie" nie pisałem. To po pierwsze.
>
> Ale jeszcze wcześniej było zastrzeżenie o tym, że dywagacje nie
> dotyczą służb i targetowania indywidualnego.
Możliwe, że nie doczytałem. Ale nawet nie o to chodzi. Okazuje się, że
jednak nie jest to takie cudo jak chciałeś nas przekonać.

>
>> Po drugie: Stopniowe osiągnięcia w łamani każą zastanowić się, czy jednak
>> niedługo nie usłyszymy o ataku "na zdjęcie". I tyle.
>
> Idąc tym tropem, to można z zabezpieczeń zrezygnować w ogóle,
> bo "w końcu ktoś kiedyś, jakoś, może" wymyśli jak to obejść.
> A jak można, to po co zabezpieczać?

Czy tylko ja mam wrażenie, że próba podważenia cudowności FaceID
powoduje, że sprowadzasz sprawę do absurdu?[1]
Można i tak.

KJ

--
http://stopstopnop.pl/stop_stopnop.pl_o_nas.html
Don't read any sky-writing for the next two weeks.

do góry

On 2019-08-10, Kamil Jońca <k...@p...onet.pl> wrote:

[...]

>> Ale jeszcze wcześniej było zastrzeżenie o tym, że dywagacje nie
>> dotyczą służb i targetowania indywidualnego.
> Możliwe, że nie doczytałem. Ale nawet nie o to chodzi. Okazuje się, że
> jednak nie jest to takie cudo jak chciałeś nas przekonać.

I zdanie podtrzymuję, bo nie przedstawiłeś przekonujących mnie
argumentów.

>> Idąc tym tropem, to można z zabezpieczeń zrezygnować w ogóle,
>> bo "w końcu ktoś kiedyś, jakoś, może" wymyśli jak to obejść.
>> A jak można, to po co zabezpieczać?
>
> Czy tylko ja mam wrażenie, że próba podważenia cudowności FaceID
> powoduje, że sprowadzasz sprawę do absurdu?[1]
> Można i tak.

No to powiedz od razu, że masz zamiar argumentować przez
przyszycie mi łatki fanboja, a nie merytorycznie.

--
Wojciech Bańcer
w...@g...com

do góry