Kategorie
Bezpieczeństwo Zrób to sam

Zagnieżdżamy wolumeny VeraCrypta

Skoro VeraCrypt pozwala na bezpieczne przechowywanie danych w szyfrowanych wolumenach, to umieszczenie wewnątrz jeszcze jednego szyfrowanego wolumenu podwoi bezpieczeństwo, prawda? Będzie tak samo, jak gdyby jeden sejf zamknąć w drugim, nie?

Na to pytanie odpowiem na końcu tekstu, tymczasem zaś przyjrzymy się wydajności takiego rozwiązania – przy zagnieżdżeniu dwu-, trój-, aż do sześciopoziomowego. Startujemy z szybkim dyskiem SSD Samsung 970 EVO i sprawdzamy, kiedy wydajność zapisu i odczytu spadnie do poziomu zwykłego dysku talerzowego.

Kategorie
Android Bezpieczeństwo iOS Komunikatory

Bo do komunikatora trzeba dwojga

W ostatnim czasie nie pisałem za dużo na tematy związane z bezpieczeństwem. Czas wypełnić tę lukę, oto pierwsza część cyklu poświęconego mobilnemu komunikatorowi Usecrypt Messenger. Jest to produkt generujący cyklicznie falę pochlebnych artykułów w tych tytułach prasowych, których redakcje zwykły publikować przekazane materiały marketingowe. Ha, redakcja czasopisma Informatyk Zakładowy działa inaczej.

Analizę Usecrypt Messengera rozpoczniemy od pewnego małego detalu, funkcji zapraszania znajomych do instalacji komunikatora. Zobaczymy, że decyzja, która oszczędziła autorom dwa kwadranse pracy, wystawiła na ryzyko oszustwa tysiące osób otrzymujących takie zaproszenia.

Kategorie
Bezpieczeństwo Publicystyka

Graficzne hasze haseł pakietu Lotus Notes

Tak to już jest w systemach komputerowych, że im wygodniej tym mniej bezpiecznie a im bezpieczniej tym mniej wygodnie. Przykładów nie trzeba szukać daleko – logowanie dwuskładnikowe (bezpieczne, niewygodne) czy zapamiętywanie haseł w przeglądarce (mniej bezpieczne, wygodne).

Dziś wspominamy charakterystyczną funkcję pakietu Lotus Notes, która nieznacznie poprawiała użyteczność i nieznacznie obniżała bezpieczeństwo. Była jednak na tyle charakterystyczna, że użytkownicy Notes-a nie zapominają o niej nawet po kilkunastu latach.

Kategorie
Bezpieczeństwo Publicystyka Zrób to sam

Szyfrowanie dokumentów numerem PESEL nie chroni ich zawartości

Od kilku miesięcy mBank zapowiada, że wkrótce wyciągi i inne dokumenty dostarczane klientom pocztą elektroniczną będą miały postać plików PDF opatrzonych hasłem. Ich zawartość ma być dzięki temu chroniona przed osobami postronnymi, które w ten czy inny sposób weszłyby w ich posiadanie. Postanowiłem sprawdzić, jak można zabrać się do łamania owego zabezpieczenia.

W niniejszym artykule pokazuję, że użycie numeru PESEL jako hasła do dokumentu PDF nie ma żadnego sensu. Na zwykłym domowym komputerze atak siłowy potrwa zaledwie kilkanaście sekund. Jeśli jednak ustawisz hasło samodzielnie, podniesiesz próg trudności ataku z sekund do milionów lat.

Kategorie
Bezpieczeństwo Publicystyka

Usterka w serwisie transakcyjnym mBanku – zgłoszona i naprawiona

Tym razem historyjka krótka i z życia wzięta: znalazłem usterkę w serwisie transakcyjnym mBanku. Nie szukałem jej aktywnie, natrafiłem na nią podczas przeszukiwania historii operacji. Pamiętałem, że w przelewie, który chciałem powtórzyć, występował uśmieszek z dwukropka, minusa i nawiasu, więc taki ciąg znaków wpisałem w pole wyszukiwania operacji. Po sekundzie od wpisania ostatniego znaku startowało automatyczne podpowiadanie, z którego byłem natychmiast wyrzucany na następującą stronę:

Komunikat błędu sugeruje usterkę klasy input validation, najwyraźniej wpisywany przeze mnie tekst był interpretowany przez mechanizm wyszukiwania jako część wyrażenia regularnego, tymczasem powinien być traktowany literalnie jako tekst wzorcowy. Nie próbowałem eksplorować błędu, bo ewentualna blokada podstawowego konta bankowego byłaby dla mnie problematyczna. Zamiast tego napisałem do zespołu bezpieczeństwa instrukcję odtworzenia błędu: