Paweł Goleń, blog

Te prezentacje podobały mi się na pierwszym dniu Confidence. Nie mówię, że inne były słabe, po prostu te podobały mi się bardziej.

A 2018 practical guide to hacking RFID/NFC - w tym przypadku najbardziej zadziwia mnie to, że wciąż są rozwiązania, które opierają się w zasadzie wyłącznie na ograniczonej dostępności sprzętu i braku dokumentacji. Oparcie rozwiązania na statycznym UID i założeniu o braku możliwości spreparowania karty z określonym UID poza fabryką jest równie uzasadnione, jak oparcie bezpieczeństwa sieci LAN na adresie MAC. Przy okazji – trochę śmieszą mnie pytania czy NFC w iOS/Androidzie jest bezpieczne (w kontekście fizycznej kontroli dostępu). Akurat to, czy to NFC jest na karcie czy w telefonie jest mniej istotne w porównaniu z tym, co przez to NFC jest przesyłane.

How quantum computing is changing cryptography - naprawdę dobre i przystępne wyjaśnienie o co chodzi z tym całym quantum computing, jaki ma to wpływ na kryptografię asymetryczną i symetryczną, a także co z tym można zrobić. Przyznam się, że w tym zakresie mam wiedzę “użyteczną”, czyli rozumiem o co chodzi, ale nie będę udawał, że w pełni rozumiem o co chodzi z tymi wszystkimi qubitami albo rozumiem wszystkie koncepcje używane / rozważane w kontekście post quantum crypto. Ta prezentacja dobrze systematyzuje temat, a poza tym pokazuje kilka tematów do zgłębienia (ciekawe na przykład jest to ile trzeba mieć qubitów by efektywnie mieć x qubitów; drugi ciekawy temat – jak zinterpretować wynik obliczeń komputera kwantowego).

Dwie dodatkowe punkty:

• Odnośnie wykorzystania kryptografii symetrycznej do podpisów – Hash-based Signatures: An illustrated Primer;
• Odnośnie NSA Suite B- Revisiting the NSA Suite B Announcement.

Pentesting Voice Biometrics Solutions - w tym obszarze mam dość ograniczone doświadczenia, więc całość była dla mnie interesująca. Do tego sama prezentacja to kawał solidnej roboty (zarówno pod względem formy i treści). Przy okazji – Kuba, złapałeś australijski akcent :P

Invoke-DOSfuscation: Techniques FOR %25F IN (-style) DO (S-level CMD Obfuscation) - krótko mówiąc – magia. Ten temat bardzo fajnie pokazuje, że cmd.exe w Windows wcale nie jest tak prymitywny jak się powszechnie(?) uważa. Po drugie – to trochę zapomniana wiedza. Przynajmniej część technik (lub raczej możliwości) pokazanych w prezentacji była mi znana, ale nie myślałem o nich w kontekście obfuskacji. Podejrzewam, że spora część osób pracujących w obszarze szeroko pojętego security (akurat w tym kontekście patrzę głównie na SOC) doświadczenia z cmd.exe ma już znikome. Generalnie dodałem ten blog do swojej listy.

Chciałem wybrać się jeszcze na prezentację It's a trap! – Remote detection of low and medium interaction honeypots, ale wybrałem wybrałem prezentację Kuby, która odbywała się w tym samym czasie. Nie ukrywam, że niepomijalny wpływ na decyzję miały, nazwijmy to w ten sposób, warunki klimatyczne w namiocie, gdzie prezentacja Julio miała mieć miejsce. Obiecuję sobie jednak obejrzeć tę prezentację gdy nagrania zostaną opublikowane na stronie konferencji.

Oryginał tego wpisu dostępny jest pod adresem Confidence 2018

Autor: Paweł Goleń

...pasek! A właściwie możliwość jego wymieniania.

Mój pierwszy zegarek/opaska – Microsoft Band 2. Bardzo fajny produkt zarówno pod względem możliwości sprzętowych, jak i oprogramowania, ale:

• Microsoft wycofał się (na razie?) z tego segmentu;
• Pasek pękał.

Efekt? Dostałem zwrot pieniędzy i pomijając różnice kursowe wyszedłem na zero.

Drugi wybór – Fitbit Surge. W tym wypadku pasek się zniekształca, naciąga i “bąbelkuje”. Pierwszy epizod w okresie gwarancji – wymiana na nowy (co ciekawe – bez odsyłania starego egzemplarza). Po pewnym czasie drugi epizod – już po gwarancji – to samo, naciągnięcie i zniekształcenie się paska, odklejenie i bąbelkowanie. Na szczęście na Amazon można kupić (nieoryginalne) zamienniki paska. Sam materiał jest trochę inny, pasek jest twardszy, ale daje radę. Wymiana jest w sumie prosta, bluetooth i GPS nadal działa (co jest niebywałym osiągnięciem w przypadku moich zdolności manualnych).

Obecnie Fitbit proponuje dwa urządzenia Fitbit Ionic i Fitbit Versa. To znaczy proponuje więcej urządzeń, ale chodzi mi o urządzenia porównywalne do Fitbit Surge. Na razie nie zamierzam się przesiadać, ale z tego co się zorientowałem to oba modele mają wymienne paski.

P.S. W zasadzie główna różnica między Fitbit Ionic i Fitbit Versa to GPS. Ionic ma wbudowany GPS podczas gdy Versa korzysta z GPS w telefonie. Teoretycznie pierwsze rozwiązanie jest lepsze, w praktyce nie pamiętam kiedy biegałem/jeździłem na rowerze bez telefonu.

Oryginał tego wpisu dostępny jest pod adresem W zegarku fitness najważniejszy jest...

Autor: Paweł Goleń

Podobno popularność tabletów spada. Nie wiem, może. Pewnie zależy też jak zdefiniować tablet. Czy na przykład taki iPad Pro z klawiaturą to jeszcze tablet, czy może już hybryda, coś jak Surface? A idąc dalej, jaka jest różnica między iPad Pro i tym zwykłym, do którego też klawiaturę (inną) można podłączyć?

Jakiś czas temu pisałem o zakupie iPad i decyzji zabrania go zamiast laptopa Po dokupieniu do klawiatury uważam zauważyłem, że z laptopa korzystam coraz mniej. To nie jest tak, że tablet jest w stanie przejąć 100%25 mojej aktywności, ale przez większość czasu jest wystaraczający.

Ostatnio pojawił się nowy zwykły iPad, który wspiera pióro. Poważnie zastanawiam się nad zmianą mojego obecnego modelu na ten nowszy i dokupieniu pióra (nie koniecznie tego od Apple). Nie na zasadzie już teraz, muszę się nad tym jeszcze spokonie zastanowić, ale mam wrażenie, że uczyniłoby to korzystanie z tableta jeszcze wygodniejszym, przynajmniej w części przypadków. Z drugiej strony – iPad i pióro nie spowoduje magicznie, że moje pismo stanie się łatwiejsze do odczytania.

No więc jak jest z tymi tabletami? Odchodzą, nie odchodzą? A może ja po prostu do tematu zabieram się za późno?

Oryginał tego wpisu dostępny jest pod adresem Tablety ponoć odchodzą

Autor: Paweł Goleń

Najpierw artykuł: 13 poważnych dziur w procesorach AMD (...).

Obecnie trochę mało szczegółów, ale interesujący jest ten fragment:

CTS Labs twierdzi, że procesory AMD są sprzedawane są z backdoorami, które miały zostać zaimplementowane przez Tajwańską firmę ASMedia, oddział firmy ASUSTeK. Ich przeoczenie przez AMD ma wedle CTS Labs stawiać pod znakiem zapytania zdolności AMD w zakresie podstawowych audytów bezpieczeństwa i kontroli jakości.

Pamiętam, że taki scenariusz był dyskutowany/demonstrowany już ładnych kilka lat temu. Bardziej podoba mi się jednak scenariusz, w którym nie ma różnic w samej strukturze procesora, ale w działaniu poszczególnych tranzystorów, materiał z 2013: Researchers find new, ultra-low-level method of hacking CPUs – and there’s no way to detect it.

Oryginał tego wpisu dostępny jest pod adresem Świat się (znów) kończy

Autor: Paweł Goleń

Czasami bawi mnie to, jak ludzie ekscytują się oczywistymi oczywistościami. Czy wiecie, że hasła zostają w pamięci przeglądarki? Na dość długo. Zgroza, co robić, jak żyć?

...i w tym momencie pojawiają się pomysły typu “salted hashes” i tym podobne dziwolągi powodujące efektywnie to, że nawet jeśli po stronie serwera hasła przechowywane są w postaci hasha, to w praktyce równie dobrze mogłyby być przechowywane w postaci jawnej, ponieważ tego hasha można użyć bezpośrednio. Można natknąć się również na dość ciekawe rekomendacje, z których wynika, że możliwe jest porównanie MD5(salt + MD5(password)) z MD5(salt + SHA2(password))! Mało tego, niekiedy ta “straszna dziura” jest “łatana”, tylko nie tak, jak powinna być.

Jeśli realna jest sytuacja, że z aplikacji użytkownicy będą korzystać z niezaufanej, współdzielonej stacji, a aplikacja jest ważna, należy użyć multifactor authentication, a nie bawić się w zaciemnianie hasła bo to zaciemnianie hasła nie zadziała na trywialnego keyloggera czy złośliwe rozszerzenie do przeglądarki.

Czy coś zmieniło się przez lata? Tak. Obecnie większość przeglądarek używa więcej niż jednego procesu, więc czasami trudno się zorientować, pamięć którego z procesów należy zrzucić. Jeśli dla kogoś jest to zaskoczeniem – polecam pobawić się zrzutami pamięci przeglądarki i sprawdzeniem jakie stringi z nich można wydobyć i przez jak długi czas.

Oryginał tego wpisu dostępny jest pod adresem Co zostaje w pamięci

Autor: Paweł Goleń