Tag: security

Opublikowane w

Tails 1.1 wydany, 0day w Tails

We wtorek pojawiła się informacja o tym, że wydana została wersja 1.1 dystrybucji live Linuksa ułatwiającej zachowanie anonimowości w internecie poprzez użycie sieci Tor. Dużą zmianą jest zmiana wersji Debiana, na której Tails bazuje. Do tej pory był to Squeeze, obecnie jest to (w końcu!) Wheezy. Tradycyjnie sporo aktualizacji bezpieczeństwa. Nowy obraz iso jest większy o ok. 60 MB od poprzednika.

Skoro o aktualizacjach bezpieczeństwa mowa, to autorzy dystrybucji napisali o rzekomo odkrytych błędach 0day w dystrybucji. Wszystko wskazuje na to, że faktycznie istnieją. Błędy póki co nie zostały im ujawnione, ale ma to nastąpić w ciągu tygodnia. Otrzymali również zapewnienie, że błędy nie zostaną opublikowane, dopóki nie zdołają ich naprawić, a użytkownicy będą mieli szansę na aktualizację oprogramowania:

They informed us that they would provide us with a report within a week. We’re told they won’t disclose these vulnerabilities publicly before we have corrected it, and Tails users have had a chance to upgrade. We think that this is the right process to responsibly disclose vulnerabilities, and we’re really looking forward to read this report.

Tymczasem można pobrać wersję 1.1, która – jakkolwiek podatna – posiada naprawione inne błędy.

Opublikowane w

Dell deanonimizuje Bitcoiny

Niedawno Dell ogłosił, że akceptuje transakcje przy pomocy Bitcoin. Mało tego, dają 10% rabatu na transakcje z użyciem BTC (do $150). Na pierwszy rzut oka jest to dobra wiadomość dla sympatyków BTC i popularyzacji Bitcoin ogólnie, ale mi się od razu zapaliły lampki ostrzegawcze. W szczególności:

We’re piloting bitcoin, the world’s most widely used digital currency, as a purchase option on Dell.com for consumer and small business shoppers in the U.S.

Czemu tylko USA? Jedną z wad Bitcoin jest możliwość prześledzenia całej historii przemieszczania się waluty, czyli zupełna kontrola przeprowadzanych transakcji. Zamawiając sprzęt z dostawą, wiążemy konto BTC (przynajmniej jedno z kont) z naszą tożsamością.

Oczywiście U.S. only może wynikać z tematów formalnych, prawnych czy organizacyjnych, ale zastanawiam się, czy nie wiąże się z łatwością/jakością śledzenia lub obszarem zainteresowania. W sumie rozsądniej byłoby zbierać dane globalnie, nawet obarczone jakimś błędem.

Oczywiście anonimowość (pozorna?) to tylko jeden z aspektów kryptowalut. Niekoniecznie najważniejszy.

Opublikowane w

Uroki korzystania z telefonu starego typu na przykładzie pobierania aplikacji moBILETu

Od początku lipca zmieniły się ceny biletów w Poznaniu[1]. Jestem przekleństwem sprzedawców telefonów GSM i od 6 lat mam niezawodny telefon Nokia 3110c. Z Javą. Bateria od początku ta sama, trzyma tydzień, ale mniejsza. Próbowałem zaktualizować cennik dla Poznania – system wykonał błąd itp. komunikaty. „OK, bywa” – myślę. Spróbowałem parokrotnie, w różnych dniach – to samo. Stwierdziłem, że zaktualizuję aplikację, tym bardziej, że w sumie nie wiem, czy to mój system wykonał błąd, czy moBILETu.

Przypomnienie hasła działa OK, teraz możesz się zalogować. Natomiast loginu nie sposób przypomnieć, a zalogować można się tylko jednym, wybranym kiedyś sposobem i może to być numer telefonu, adres email (który?), login (jaki?). A może błędne hasło, bo jeszcze coś się nie zaktualizowało? Nie wiadomo, bo komunikat to Niepoprawne hasło lub nazwa użytkownika. Proszę sprawdzić wpisywane dane. Skądinąd słuszny, ale czemu nie ma możliwości przypominania loginu? Np. wysyłanie go na adres email podany w systemie (hasło można przypomnieć tylko na komórkę, więc wysyłanie loginu na komórkę to słaby pomysł w przypadku jej przejęcia).

OK, w końcu zalogowałem się. Wybieram pobranie aplikacji, przepisuję CAPTCHA. Bo nie ma po prostu „pobierz”, jest personalizowany, unikatowy link, pod konkretny model telefonu (moBILET ma te dane u siebie) ważny 30 minut[2]. Kiedyś przysyłano SMS pobierający aplikację od razu na komórkę. Teraz nie. Zwykły SMS z linkiem. O takim: http://p.mobilet.info/ota/m/?DQ2OFQPTHN Zastanawiam się, jaki piękny umysł na to wpadł. Po pierwsze, na telefonach starego typu nie ma multitaskingu, więc trzeba gdzieś zapisać na boku. Po drugie, klepanie 43 znaków klasy wielkie, małe litery i znaki specjalne na komórce starego typu (a wiedzą, komu wysyłają linka) to szczyt ergonomii.

I część najlepsza: po dobraniu się do linka dostajemy Server not found (to już komunikat z desktopa). A czemu? Ano temu, że domena p.mobilet.info nie istnieje. Gwoli ścisłości, mobilet.info też nie istnieje. I wygląda na domenę dostępną do rejestracji. Ciekawe czy byłby to dobry sposób rozsyłania malware’u?

Normalnie wronan groteska! A bilet muszę kupić papierowy.

[1] Na absurdalnie drogie, więc korzystam z tego, że nie muszę korzystać z komunikacji miejskiej i poruszam się inaczej, głównie pieszo/rower, a z moBILETu nie korzystam już praktycznie, ale warto mieć bilet pod ręką. Nie to jednak jest przedmiotem notki.

[2] Można to (było) obejść o czym pisałem w notce o zabezpieczeniach moBILETu, ale zachowujmy się jak cywilizowani ludzie.