Tag: security

Opublikowane w

Testując smartfona, pamiętaj o bezpieczeństwie.

Nie tak dawno operator Play rozpoczął kampanię Testuj smarfona. W skrócie jest to tak, że sprzedajemy swoje dane, wyrażamy zgodę na otrzymywanie reklam na podany email i przez podany numer telefonu, a w zamian dostajemy na 14 dni smartfona Huawei od zabawy i kartę SIM od Play (na zawsze). Teoretycznie sprawa idealna dla mnie (podać spamowy numer telefonu i email, za free pobawić się dłuższy czas Androidem, do którego od dawna się przymierzam, ale nie mogę przekonać), ale w praktyce jak pomyślę, że dostałbym wychuchany i wymacany przez większą liczbę obcych ludzi telefon, to jakoś mnie chęć na testowanie odchodzi. Tym bardziej, że stracę czas na ustawienie wszystkiego pod siebie tylko po to, by zaraz zaorać, żeby mniej lub bardziej prywatne dane nie wyciekły.

No właśnie, tu sedno. Telefon przychodzi (i odchodzi) z kartą pamięci. AFAIK Android sam z siebie zapisuje tam dane z prywatnymi informacjami. A dodatkowo pewnie trafią tam choćby mniej lub bardziej prywatne zdjęcia. Zastanawiam się, ilu użytkowników w ogóle wyczyści ustawienia. Optymistycznie: 30%. Pomijam fakt, że zwykłe usunięcie plików czy sformatowanie karty niewiele pomoże – dowolny program do odzyskiwania plików (będąc linuksiarzem czytaj: photorec) pozwoli odzyskać większość z nich. Nie wiem, co robi Android przy formatowaniu karty/przywracaniu do ustawień domyślnych, ale nie sądzę, by robił pełne zerowanie.

A może ktoś, kto uczestniczy w programie i dostał po kimś telefon bawił się już pod tym kątem?

W każdym razie warto pomyśleć trochę o bezpieczeństwie i swojej prywatności i zaorać kartę przed oddaniem telefonu. Pod Linuksem najprościej skorzystać ze shred, albo zwykłe dd if=/dev/zero of=/dev/sdX (gdzie sdX to oczywiście urządzenie pod jakim system widzi czytnik z kartą).

Z mniej inwazyjnych, prostszych i działających na wszystkich systemach metod: telefon można podłączyć do komputera w takim trybie, że karta jest widziana jako urządzenie pamięci masowej. Wtedy wystarczy skasować dane i nagrać jakieś śmieci do pełnej pojemności (np. jakieś mp3). Następnie wystarczy bezpiecznie odłączyć urządzenie i ew. jeszcze raz skasować mp3 (tylko je będzie w stanie odzyskać potencjalny ciekawski).

Ciekawe, czy w wewnętrznej pamięci też coś zostaje po przywróceniu telefonu do ustawień fabrycznych (dane z karty nie są przy tym usuwane!) i na ile skomplikowane jest dobranie się do tych danych…

Gdyby kogoś bardziej interesowała recenzja samego telefonu, to swoje wrażenia z Testuj smartfona opisał tutaj Jakub Rusinek (niestety po angielsku; dead link).

UPDATE: Zaktualizowane o parę informacji od osoby, która ma smarfona na testach.

Opublikowane w

Niebezpieczny świat.

Ostatnie wydarzenia coraz bardziej skłaniają mnie do – paranoicznego, przyznaję – wniosku, że żadne dane, niezależnie od tego jak zabezpieczane, nie są bezpieczne i prędzej czy później nastąpi ich ujawnienie. O ile tylko komuś będzie zależało.

Na początek – hasła. Niektóre portale, jak Allegro, trzymają hasła otwartym tekstem. Niezależnie od podjętych środków bezpieczeństwa, przy takim podejściu wyciek tych haseł jest IMHO kwestią czasu.

Wiele nie zmienia trzymanie skrótów (hashy) haseł. Ostatnio – poza małymi wyciekami polskimi typu JPwyciekły hashe haseł z Gawkera i niesolone hashe haseł z FSF. To drugie jest wielką porażką, bo mówimy o środowisku z – teoretycznie – wysoką świadomością dotyczącą bezpieczeństwa i spraw technicznych, a tymczasem korzystano z najsłabszej funkcji skrótu i w najgorszym wydaniu. Powinno być najlepiej, było najgorzej. Klasyczne szewc bez butów chodzi.

Zresztą, pomału można zacząć stawiać znak równości między wyciekiem hashy haseł (zwł. niesolonych), a wyciekiem samych haseł – crackery MD5 są coraz szybsze. Co prawda to tylko benchmark, ale najnowsza wersja crackera whitepixel, który podobno jest chyba obecnie najszybszy, sprawdza 33 miliardy (nie miliony, miliardy) kombinacji na sekundę (dla pojedynczego hasha). Na potężnym, co prawda (4 dwurdzeniowe GPU; 1,2 kW poboru prądu przy obciążeniu, 2700 USD w tej chwili), ale pojedynczym komputerze PC.

Inne funkcje skrótu też nie są wiele lepsze. SHA1 to wg tego benchmarku w tym momencie 390 milionów kombinacji na sekundę, oczywiście na pojedynczej maszynie. A przecież bez problemu można mieć tych maszyn więcej, i to za niewielkie pieniądze.

Ale nie tylko haseł się to tyczy. Dane, które nie powinny ujrzeć światła dziennego wyciekły z „wewnętrznego”, rządowego systemu. Oczywiście mowa o wikileaksowym Cablegate. Swoją drogą ciekawe, jak długo w tych okolicznościach w stanie nieujawnionym pozostanie polisa Wikileaks (dead link)?

Głośno też było o rzekomym backdoorze w OpenBSD, a konkretniej IPSEC, który miało zamieścić FBI 10 lat temu (celowo nie linkuję, AFAIK rozeszło się po kościach i backdoora nie było, ale nie śledziłem). Co nie jest takie niemożliwe, bo korzystając z różnych „dziwnych” właściwości matematyki, da się zmusić algorytm szyfrujący, by „wyciekał” klucze. W mało zauważalny sposób – na przykład 128 bajt zaszyfrowanej wiadomości, przexorowany przez arbitralny klucz, będzie ujawniał klucz, którym była szyfrowana cała wiadomość. Albo coś na podobnej zasadzie – sky – i wiedza matematyczna – is the limit.

I raczej nie wierzę w to, żeby programista – czy użytkownik, który zwykle nie ma wielkiej wiedzy matematycznej/kryptograficznej, był w stanie coś takiego zauważyć. Przykład tego widać było przy dziurze w OpenSSL w Debianie. Efekt był dość spektakularny – do każdego konta umożliwiającego logowanie SSH po kluczach można się było dostać przy – IIRC – maksimum 65 tys. prób (bo tylko tyle różnych kluczy było generowanych). Na dowolnym systemie. O ile tylko klucz publiczny użytkownika był generowany na podatnym Debianie.

Niedowiarkom przykład ciekawych właściwości matematycznych można łatwo i zrozumiale zaprezentować na przykładzie listy 18 ulubionych filmów. Oto test (przetłumaczyłem na polski, z wyjtkiem tytułów, polecam IMDB):

Zrób test i dowiedz się, jaki film jest twoim ulubionym. Ten prosty matematyczny quiz przewiduje, który z 18 filmów spodoba ci się najbardziej. Nie pytaj w jaki sposób, ale to działa!

  • Wybierz cyfrę z zakresu 1-9.
  • Pomnóż ją przez 3.
  • Do wyniku dodaj 3.
  • Otrzymany wynik ponownie pomnóż przez 3.
  • Zsumuj obie cyfry otrzymanej liczby. Wynik to numer twojego przewidzianego ulubionego film na poniższej liście:

Lista filmów:

  1. Gone With The Wind
  2. E.T.
  3. Blazing Saddles
  4. Star Wars
  5. Forrest Gump
  6. The Good, The Bad, and the Ugly
  7. Jaws
  8. Grease
  9. The Joy of Anal Sex With A sheep
  10. Casablanca
  11. Jurassic Park
  12. Shrek
  13. Pirates of the Caribbean
  14. Titanic
  15. Raiders Of The Lost Ark
  16. Home Alone
  17. Mrs. Doubtfire
  18. Toy Story

W zasadzie koniec mijającego roku widzę trochę na zasadzie do kogóż to włamano się dzisiaj? I to tylko patrząc na najgłośniejsze i ujawnione sprawy i dziury (taki wariant minimum dla administratora – trochę wypada się w security orientować)…

Korzystając z okazji – bo to ostatni wpis, życzę wszystkim użytkownikom komputerów (ze specjalnym uwzględnieniem adminów) w nadchodzącym Nowym Roku mniej dziur bezpieczeństwa i awarii.

UPDATE: Paranoje dotyczące postępującej szybkości łamania hashy studzi ten wpis o przechowywaniu haseł. Polecam.

Opublikowane w

Polityka bezpieczeństwa Allegro

Wgląda, że polityka bezpieczeństwa Allegro jest mocno poroniona. Z jednej strony hasła latają sobie plaintekstem (co z tego, że „tylko po serwisie”? pracowników z dostępem „trochę” jest…), z drugiej – nie przyślą (zmienionego) hasła czy URLa do zmiany hasła na podanego wieki temu przy zakładaniu konta maila bo… nie podałem nazwiska panieńskiego matki (dziwnym nie jest – nie było obowiązkowe, to po co im ono?).

Ostatnio jak rozmawialiśmy, to pracownicy Allegro byli tak dowcipni, że do resetu hasła chcieli ksero dowodu osobistego, koniecznie wysłane pocztą (żaden skan, żaden faks). Bardzo śmieszne, bardzo „bezpieczne”, bardzo ekologicznie i bardzo wygodnie. Przecież dane z DO w ogóle nie są wrażliwe. I poczta na pewno nie może ich zgubić. I na 100% trafi na uczciwą i kompetentną osobę w helpdesku. Jasne.

I jak już dostaną list z kserem dowodu, to chcą kod pocztowy i numer telefonu. Nie kojarzę, by mieli mój numer telefonu, więc w weryfikacji im to nie pomoże, ale to szczegół. Startery są po 3 zł i tyle kosztowałoby mnie mocno anonimowe przejęcie cudzego konta, jeśli znałbym hasło do maila i login Allegro, przed czym teoretycznie może zabezpieczać makulaturogenna procedura, którą proponują.

Więcej, usunięcie konta (jak patrzę, to korespondencję nt. przywrócenia konta prowadziłem rok temu, co mi po koncie, którego nie używam? tylko spam dostaję…) też wymaga zalogowania się (którego z braku hasła nie jestem w stanie wykonać).

Z jednej strony utrudnianie życia legalnym i uczciwym użytkownikom i narażanie ich danych (hasła trzymane plaintekstem, żądanie narażania na wyciek danych z DO), a z drugiej mają drugiej strony mają multikonta, choć niby weryfikacja listem itp. Z dyskusji przy wyżej linkowanym wpisie wynika, że hasła plaintekstem są po to, by wyłapywać multikonta. Niesłychanie skuteczny sposób. Nikt teraz nie będzie wiedział co zrobić, żeby mieć kilka kont na Allegro.

I po ostatniej wtopie nie jest wykluczone, że moje hasło już ktoś ma. Jakieś pomysły, z czego (poza GIODO i UOKiK) można ich w tej sytuacji ścignąć? Tak, znudziło mi się i tym razem definitywnie chcę dokończyć sprawę – ich problem, czy chcą mieć klienta, czy nie – ja nie chcę spamu, potencjalnie „wyciekniętego” hasła i braku kontroli nad swoimi danymi.

UPDATE: Teraz chcą skan dokumentu tożsamości. Nadal nie uśmiecha mi się wysyłanie tego otwartym tekstem. Oraz: szybki googiel twierdzi, że i wtedy można było skany wysyłać. Tyle w sprawie kompetencji pracowników na podstawie udzielanych informacji (Nadmienię, że dokumenty przyjmujemy jedynie drogą pocztową. Kopie nadesłane faksem czy też skany przesłane drogą mailową nie są przez nas honorowane)…

UPDATE2: Ostatecznie udało się zamknąć konto na Allegro (korzystając wyłącznie z adresu email, przy pomocy z którego (plus dodatkowe dane) nie chciano zresetować hasła. Z jednej strony odejście od procedury albo luka w niej, z drugiej przejaw zdrowego rozsądku i myślenia (w końcu!): W tej sytuacji proszę o podanie wszystkich danych, na jakie zostało założone konto, tj. imienia i nazwiska, adresu i telefonu oraz oświadczenia, iż decyduje się Pan na zamknięcie konta i usunięcie z niego danych osobowych.

Podałem dane (także telefon sprzed wielu lat, który ewentualnie mogli mieć w systemie) i zamknąłem konto (skoro i tak prawie od dwóch lat nie używałem, to po co mi ono). Czy to koniec? Skądże. Ale o tym w kolejnym wpisie (patrz trackback).

UPDATE 3 Ostatecznie przeprosiłem się z Allegro i znowu mam tam konto. Więcej o motywach powrotu w tym wpisie.