Oczywiście trzeba pamiętać, że temat jest bardzo rozległy i w takim czasie nie można opowiedzieć o wszystkim. Podstawowe rzeczy jednak zostały poruszone. Podstawowe, czyli:
P.S. Tak na marginesie – ciekawe jest na przykład to, że taki podstawowy termin jak ryzyko wcale nie jest jednoznacznie zdefiniowane. Dwie osoby o różnym “pochodzeniu” (background zawodowy) używając pojęcia ryzyko mogą w rzeczywistości mówić o dwóch zupełnie innych rzeczach.
Oryginał tego wpisu dostępny jest pod adresem Warsztaty BAIT
Dziś cofnijmy się mniej więcej o rok, konkretnie do tego wpisu: Jak zepsuć uwierzytelnienie w aplikacji mobilnej? A konkretnie do tego przypadku, w którym hasło (PIN) do aplikacji mobilnej było wykorzystywane do wygenerowania klucza używanego do szyfrowania danych przechowywanych lokalnie na urządzeniu. W opisywanym scenariuszu skutki takiego rozwiązania były tragiczne – kwestią sekund było odzyskanie kodu PIN potrzebnego do uwierzytelnienia się w aplikacji, oczywiście pod warunkiem, że ktoś wcześniej uzyskał dostęp do urządzenia ofiary.
Tym razem pokażę w jaki sposób zmodyfikować to rozwiązanie, by było odrobinę lepsze.
W czym jest problem, czy szyfrowanie nie wystarczy? Okazuje się, że bardzo często – nie. Trzeba pamiętać, że komunikacja ma wiele “cech”:
kto z kim,
kiedy,
jak często,
jak długo,
jaka ilość danych została wymieniona,
co było w tych danych,
Warto również zwrócić uwagę na to, że zmiana typowych wzorców komunikacji również sama w sobie jest informacją.
Szyfrowanie w miarę skutecznie ukrywa tylko ten ostatni element. Na podstawie pozostałych cech nadal można wyciągnąć bardzo interesujące wnioski. Zwłaszcza, jeśli są jakieś dodatkowe dane, które można korelować. Można przypomnieć tutaj choćby przykład z “odgadywaniem” na co ktoś patrzy w Google Maps: I can still see your actions on Google Maps over SSL. To wszystko powoduje, że Pidgin z OTR nie zawsze wystarczy.
(...) Utworzono grupę radiostacji które “porozumiewały” się wzajemnie nadając komunikaty o treści, jakich można się spodziewać w czasie formowania dużej grupy armii. (...)
Zdecydowanie warto przeczytać: The Security Impact of HTTP Caching Headers. Temat nie jest nowy, jednak wciąż sytuacja w tym zakresie wygląda słabo. Bardzo często można natknąć się na dwie skrajne sytuacje:
możliwe jest użycie cache dla “prywatnych” danych,
cache nie jest używany nawet dla statycznych treści,
Obie skrajności są złe, w pierwszym przypadku pojawia się problem z poufnością informacji. Treść, która w teorii powinna być dostępna tylko dla konkretnego użytkownika, może zostać zapisana w wielu, bliżej nieokreślonych miejscach. Drugi scenariusz z kolei jest uciążliwy pod względem wykorzystania zasobów – wielokrotne pobieranie tych samych treści kosztuje nie tylko przepustowość, ale również czas.
Dla zwykłego użytkownika sam fakt wielokrotnego pobrania tych samych danych może być nieistotny. Istotny za to będzie wydłużony czas ładowania strony – to coś, co taki zwykły użytkownik jest w stanie zauważyć.
Ostatnio wspominałem, że jeden z moich laptopów zachowuje się dziwnie. Podejrzewałem nawet jakiś problem sprzętowy. Być może udało mi się nawet go zidentyfikować – karta SD. Konkretnie karta, którą używałem do ReadyBoost. Po wyłączeniu tej funkcji system odzyskał stabilność.
Już kiedyś widziałem kartę, z której system odczytywał coś innego, niż na nią zapisywał. Nawet to nie była kwestia karty, tylko przejściówki. Jeśli znajdę czas, może przeprowadzę kilka testów czy takie zachowanie uda się zaobserwować i tym razem. Jedyne co mnie dziwi, to fakt, że ta karta w tej roli sprawowała się dobrze przez długi czas. Może za długi?
Na jednym laptopie mam już Windows 8.1, z drugim wciąż walczę. Bardzo nie podoba mi się jego zachowanie (tego drugiego laptopa), bo zaczynam nabierać podejrzeń, że jest jakiś bliżej nieokreślony problem sprzętowy z nim. Mam ku temu kilka przesłanek, ale wciąż nie mam konkretnych dowodów...
A sam Windows 8.1? Za krótko z niego korzystam, by widzieć wielkie różnice w stosunku do Windows 8. Trochę nie podobają mi się zmiany w wyszukiwaniu, ale z drugiej strony można się do tego przyzwyczaić. Pod spodem zmian więcej, ale nie bardzo są widoczne w tym zakresie, w jakim korzystam z systemu.
Oryginał tego wpisu dostępny jest pod adresem Windows 8.1
Jeśli ktoś przeoczył lub zapomniał to przypominam, że w dniach 18-20 października odbędzie się druga edycja Security BSides. Ponownie w Warszawie, ponownie Gmach Starej Kotłowni.
Ubiegłoroczną edycję wspominam bardzo dobrze, w tym roku również się wybieram i mam nadzieję na równie pozytywne wrażenia, jak przed rokiem.
Oryginał tego wpisu dostępny jest pod adresem BSidesWarsaw