fbpx
Kategorie
Administracja publiczna Android Bezpieczeństwo iOS Publicystyka

Dlaczego MSWiA nie zainstaluje wszystkim swojej aplikacji

Tak więc doczekaliśmy kolejnej próby obowiązkowego instalowania aplikacji rządowej w smartfonach Polaków. A dokładniej – próby osadzenia tej aplikacji w fabrycznie nowych telefonach, zanim jeszcze trafią do rąk użytkowników. W rzadkim przypływie realizmu ustawodawca dodał do projektu ustawy zastrzeżenie „o ile jest to technicznie możliwe”. Niniejszy artykuł objaśnia, dlaczego możliwości techniczne nie zawsze przystają do rzeczywistości geopolitycznej.

Operację „preinstalacji” miałby przeprowadzać „autoryzowany sprzedawca”, terminu tego jednak nie sprecyzowano. Kim miałby on być? Kogo i w jaki sposób może naciskać polski rząd, aby wymusić ową preinstalację? Dlaczego takie zamierzenia są skazane na porażkę? Zapraszam do lektury!

Kategorie
Bezpieczeństwo Recenzja

Recenzja książki „PWNED The collected blog posts of Troy Hunt”

Chyba każdy, kto interesuje się bezpieczeństwem IT, słyszał o serwisie Have I Beed Pwned, prowadzonym przez australijczyka Troya Hunta. HIBP to agregator informacji o wyciekach danych. Każdy posiadacz e-maila lub telefonu może sprawdzić, w którym z kilkuset ujawnionych wycieków pojawił się jego adres albo numer, każdy może też zasubskrybować alerty informujące o udziale w przyszłych incydentach.

Troy Hunt znany jest również jako autor kursów na Pluralsight, mówca konferencyjny, ale przede wszystkim jako autor poczytnego bloga troyhunt.com, poświęconego tematyce bezpieczeństwa w internecie. To właśnie ów blog stał się osią książki „PWNED The collected blog posts of Troy Hunt”. Czy warto po nią sięgnąć?

Kategorie
Bezpieczeństwo Porady

Czy korzystanie z publicznego Wi-Fi jest bezpieczne?

Hotel, pub, biblioteka, lotnisko, pociąg, centrum miasta – we wszystkich tych miejscach możemy trafić na darmowy, bezprzewodowy dostęp do internetu. Czy skorzystanie z takiej usługi będzie bezpieczne? Czy ktoś nie włamie się nam na konto w banku, do Facebooka, na maila? Czy nie wykradnie z telefonu zdjęć albo SMS-ów?

Na takie pytania specjaliści zwykli odpowiadać „to zależy”, ale tym razem będzie inaczej. W niniejszym tekście postaram się objaśnić, dlaczego kilkanaście lat temu odpowiedź brzmiała „to spore zagrożenie” a dziś brzmi „nie ma się czego obawiać”. Wskażę też dwie sytuacje, w których należy mieć się na baczności.

Kategorie
Artykuł sponsorowany Bezpieczeństwo

Szkolenie Sekuraka „Co każdy powinien wiedzieć o atakach socjotechnicznych / phishingu?”

Już w najbliższy czwartek, 15 kwietnia 2021, odbędzie się sekurakowe szkolenie „Co każdy powinien wiedzieć o atakach socjotechnicznych / phishingu?”. Naprawdę warto poświęcić czas i pieniądze, aby nie mówiono o nas kiedyś „mądry Polak po szkodzie” – tym bardziej, że prawdopodobnie będzie to jedyna edycja tego szkolenia.

Szkolenie będzie poprowadzone przez Dorotę Kulas. Dorota pracuje od 10 lat w Red Teamie globalnej korporacji, gdzie zajmuje się kwestiami inżynierii społecznej, symulując ataki w cyberprzestrzeni przeciwko bardzo kompetentnemu Blue Teamowi. To ceniona w branży specjalistka, posiadająca certyfikat Social Engineering Pentesting Professional, organizatorka x33fcon.

Kategorie
Android Artykuł sponsorowany Bezpieczeństwo

Moje szkolenie pod szyldem Sekuraka: Sekrety bezpieczeństwa aplikacji androidowych

Już za dziewięć dni odbędzie się prowadzone przeze mnie szkolenie Sekuraka, na którym opowiem o sekretach bezpieczeństwa aplikacji androidowych. Dobra, to nie są żadne sekrety. To po prostu gromadzona latami wiedza – Androida zacząłem programować jeszcze w roku 2009, potem przez wiele lat była to moja główna specjalizacja zawodowa.

Szkolenie będzie miało formę kilkugodzinnej prelekcji online. Pokażę swój zestaw ulubionych narzędzi, zademonstruję pierwsze kroki, które podejmuję analizując nową aplikację mobilną, opowiem o nietypowych miejscach w których możemy szukać podatności.

Kategorie
Android Bezpieczeństwo iOS Komunikatory

Aplikacja mobilna nie wie, czy telefon jest zhackowany

Poufność komunikacji prowadzonej przy użyciu popularnych komunikatorów mobilnych jest przedmiotem wielu badań i analiz. Omawiane i implementowane są takie koncepcje, jak „forward secrecy” („utajnianie z wyprzedzeniem”), „plausible deniability” („wiarygodna wykręcalność”?), wiele uwagi poświęca się też poprawności implementacji protokołów szyfrowania. Modelowanie zagrożeń pozwala ocenić, czy dane i metadane zbierane przez dostawców usług stanowią rzeczywiste lub potencjalne zagrożenie.

Żaden z najbardziej znanych komunikatorów, jak Signal, Whatsapp, Messenger czy Telegram, nie oferuje jednak funkcji nadzorowania bezpieczeństwa telefonu. Powód jest prosty – apka na komórce nie ma możliwości wiarygodnego sprawdzenia integralności systemu operacyjnego. Pokażemy, że złośliwe oprogramowanie działające z uprawnieniami superużytkownika może skutecznie ukrywać swoją obecność przed „zwykłymi” (pobranymi ze sklepu) aplikacjami uruchamianymi na zainfekowanym urządzeniu.

Kategorie
Bezpieczeństwo Publicystyka

Jak odpalić lepszego Twittera i nie potknąć się o własne sznurówki

Od dwóch dni opinia publiczna przygląda się wzlotom i upadkom nowej sieci społecznościowej Albicla.com. Można powiedzieć, że w chwili debiutu zaliczyła ona pewne trudności. Można powiedzieć, że zmaganie z owymi trudnościami nieco się przedłuża. Można wreszcie powiedzieć, że od momentu produkcyjnego uruchomienia usługa balansuje bezustannie na krawędzi zaś jej autorzy kompletnie nie przygotowali się na okoliczności towarzyszące premierze serwisu opartego o treści dostarczane przez użytkowników.

Niniejszy artykuł nie pretenduje do miana kompletnego poradnika dla twórców lepszego Twittera albo Facebooka. Mam jedynie zamiar zniwelować efekt Dunninga-Krugera u tych redaktorów i wydawców, którym klon Twittera wydaje się prostszy w produkcji i obsłudze od rozwoju witryny opartej o WordPressa, Drupala czy OpenCarta.

Kategorie
Bezpieczeństwo Zrób to sam

Kanarek czyli system późnego ostrzegania

Kanarek, Serinus canaria, gatunek małego ptaka z rodziny łuszczakowatych. W XIX i XX wieku używany w kopalniach do wykrywania toksycznych gazów ścielących się przy podłodze (dwutlenek węgla) lub gromadzących pod sufitem (metan, tlenek węgla). Gdy kanarek zachowywał się nietypowo lub tracił przytomność, było to sygnałem dla górników, że bieżące warunki zagrażają życiu i należy opuścić niebezpieczny obszar.

Kanarek (ang. canary token) jako pojęcie z obszaru bezpieczeństwa IT – nazwa systemu późnego ostrzegania, który informuje o przełamaniu zabezpieczeń i nieautoryzowanym dostępie do zasobów. Zasada działania jest prosta – pośród chronionych danych umieszczamy zasób, którego otworzenie wywoła cichy alarm. Na przeciwdziałanie jest już za późno, ale dzięki wiedzy o włamaniu i przejęciu danych możemy wdrożyć procedury awaryjne i przeciwdziałać skutkom nieautoryzowanego ujawnienia informacji.

Kategorie
Bezpieczeństwo Zrób to sam

Zagnieżdżamy wolumeny VeraCrypta

Skoro VeraCrypt pozwala na bezpieczne przechowywanie danych w szyfrowanych wolumenach, to umieszczenie wewnątrz jeszcze jednego szyfrowanego wolumenu podwoi bezpieczeństwo, prawda? Będzie tak samo, jak gdyby jeden sejf zamknąć w drugim, nie?

Na to pytanie odpowiem na końcu tekstu, tymczasem zaś przyjrzymy się wydajności takiego rozwiązania – przy zagnieżdżeniu dwu-, trój-, aż do sześciopoziomowego. Startujemy z szybkim dyskiem SSD Samsung 970 EVO i sprawdzamy, kiedy wydajność zapisu i odczytu spadnie do poziomu zwykłego dysku talerzowego.

Kategorie
Android Bezpieczeństwo iOS Komunikatory

Bo do komunikatora trzeba dwojga

W ostatnim czasie nie pisałem za dużo na tematy związane z bezpieczeństwem. Czas wypełnić tę lukę, oto pierwsza część cyklu poświęconego mobilnemu komunikatorowi Usecrypt Messenger. Jest to produkt generujący cyklicznie falę pochlebnych artykułów w tych tytułach prasowych, których redakcje zwykły publikować przekazane materiały marketingowe. Ha, redakcja czasopisma Informatyk Zakładowy działa inaczej.

Analizę Usecrypt Messengera rozpoczniemy od pewnego małego detalu, funkcji zapraszania znajomych do instalacji komunikatora. Zobaczymy, że decyzja, która oszczędziła autorom dwa kwadranse pracy, wystawiła na ryzyko oszustwa tysiące osób otrzymujących takie zaproszenia.