fbpx
Kategorie
Android Bezpieczeństwo iOS Komunikatory

Aplikacja mobilna nie wie, czy telefon jest zhackowany

Poufność komunikacji prowadzonej przy użyciu popularnych komunikatorów mobilnych jest przedmiotem wielu badań i analiz. Omawiane i implementowane są takie koncepcje, jak „forward secrecy” („utajnianie z wyprzedzeniem”), „plausible deniability” („wiarygodna wykręcalność”?), wiele uwagi poświęca się też poprawności implementacji protokołów szyfrowania. Modelowanie zagrożeń pozwala ocenić, czy dane i metadane zbierane przez dostawców usług stanowią rzeczywiste lub potencjalne zagrożenie.

Żaden z najbardziej znanych komunikatorów, jak Signal, Whatsapp, Messenger czy Telegram, nie oferuje jednak funkcji nadzorowania bezpieczeństwa telefonu. Aby było jasne – Usecrypt też nie wykryje Pegasusa. Powód jest za każdym razem ten sam – apka na komórce nie ma możliwości wiarygodnego sprawdzenia integralności systemu operacyjnego. Pokażemy, że złośliwe oprogramowanie działające z uprawnieniami superużytkownika może skutecznie ukrywać swoją obecność przed „zwykłymi” (pobranymi ze sklepu) aplikacjami uruchamianymi na zainfekowanym urządzeniu.

Kategorie
Bezpieczeństwo Zrób to sam

Kanarek czyli system późnego ostrzegania

Kanarek, Serinus canaria, gatunek małego ptaka z rodziny łuszczakowatych. W XIX i XX wieku używany w kopalniach do wykrywania toksycznych gazów ścielących się przy podłodze (dwutlenek węgla) lub gromadzących pod sufitem (metan, tlenek węgla). Gdy kanarek zachowywał się nietypowo lub tracił przytomność, było to sygnałem dla górników, że bieżące warunki zagrażają życiu i należy opuścić niebezpieczny obszar.

Kanarek (ang. canary token) jako pojęcie z obszaru bezpieczeństwa IT – nazwa systemu późnego ostrzegania, który informuje o przełamaniu zabezpieczeń i nieautoryzowanym dostępie do zasobów. Zasada działania jest prosta – pośród chronionych danych umieszczamy zasób, którego otworzenie wywoła cichy alarm. Na przeciwdziałanie jest już za późno, ale dzięki wiedzy o włamaniu i przejęciu danych możemy wdrożyć procedury awaryjne i przeciwdziałać skutkom nieautoryzowanego ujawnienia informacji.

Kategorie
Publicystyka

Polemika ze sprostowaniem

Polemika redakcji „Informatyka Zakładowego“ ze sprostowaniem otrzymanym od spółki V440 SA.

Kategorie
Bezpieczeństwo Zrób to sam

Zagnieżdżamy wolumeny VeraCrypta

Skoro VeraCrypt pozwala na bezpieczne przechowywanie danych w szyfrowanych wolumenach, to umieszczenie wewnątrz jeszcze jednego szyfrowanego wolumenu podwoi bezpieczeństwo, prawda? Będzie tak samo, jak gdyby jeden sejf zamknąć w drugim, nie?

Na to pytanie odpowiem na końcu tekstu, tymczasem zaś przyjrzymy się wydajności takiego rozwiązania – przy zagnieżdżeniu dwu-, trój-, aż do sześciopoziomowego. Startujemy z szybkim dyskiem SSD Samsung 970 EVO i sprawdzamy, kiedy wydajność zapisu i odczytu spadnie do poziomu zwykłego dysku talerzowego.

Kategorie
Android Bezpieczeństwo iOS Komunikatory

Bo do komunikatora trzeba dwojga

W ostatnim czasie nie pisałem za dużo na tematy związane z bezpieczeństwem. Czas wypełnić tę lukę, oto pierwsza część cyklu poświęconego mobilnemu komunikatorowi Usecrypt Messenger. Jest to produkt generujący cyklicznie falę pochlebnych artykułów w tych tytułach prasowych, których redakcje zwykły publikować przekazane materiały marketingowe. Ha, redakcja czasopisma Informatyk Zakładowy działa inaczej.

Analizę Usecrypt Messengera rozpoczniemy od pewnego małego detalu, funkcji zapraszania znajomych do instalacji komunikatora. Zobaczymy, że decyzja, która oszczędziła autorom dwa kwadranse pracy, wystawiła na ryzyko oszustwa tysiące osób otrzymujących takie zaproszenia.

Kategorie
Bezpieczeństwo Publicystyka

Usterka w serwisie transakcyjnym mBanku – zgłoszona i naprawiona

Tym razem historyjka krótka i z życia wzięta: znalazłem usterkę w serwisie transakcyjnym mBanku. Nie szukałem jej aktywnie, natrafiłem na nią podczas przeszukiwania historii operacji. Pamiętałem, że w przelewie, który chciałem powtórzyć, występował uśmieszek z dwukropka, minusa i nawiasu, więc taki ciąg znaków wpisałem w pole wyszukiwania operacji. Po sekundzie od wpisania ostatniego znaku startowało automatyczne podpowiadanie, z którego byłem natychmiast wyrzucany na następującą stronę:

Komunikat błędu sugeruje usterkę klasy input validation, najwyraźniej wpisywany przeze mnie tekst był interpretowany przez mechanizm wyszukiwania jako część wyrażenia regularnego, tymczasem powinien być traktowany literalnie jako tekst wzorcowy. Nie próbowałem eksplorować błędu, bo ewentualna blokada podstawowego konta bankowego byłaby dla mnie problematyczna. Zamiast tego napisałem do zespołu bezpieczeństwa instrukcję odtworzenia błędu:

Kategorie
Publicystyka

Emotikonki, Unicode, kodowanie znaków, bezpieczeństwo, 😷🦠

Dziś temat lżejszy, bo cięższe i tak wrócą same. Na tapetę bierzemy małe obrazeczki wstawiane do wypowiedzi pisemnych, nazywane emoji (są z Japończykami od roku 1999) albo emotikonkami (w formie graficznej są z całą resztą świata od… około 1996 roku, licząc od premiery komunikatora ICQ). Puryści oburzą się, że to przecież co innego bo etymologia, tradycja i nie o take ikone walczyliśmy, ale cóż, dziś emotka to emotka.

Otóż, jak informuje serwis emojipedia.org, światową karierę robią teraz ikonki 😷 (twarz w maseczce ochronnej) oraz 🦠 (mikrob) – wywołane oczywiście epidemią koronawirusa wywołującego chorobę COVID-19. Poniżej wykres oglądalności stron 😷, 🦠 oraz 🤕 w Emojipedii.