Paweł Goleń, blog

Czasem zdarza mi się wystąpić na jakiejś konferencji. Z reguły jest tak, że na każdą taka okazję przygotowuję inna prezentację. Nie jest to zbyt efektywne podejście, ilość czasu poświęcona na przygotowanie prezentacji jest zdecydowanie większa, niż czas, przez który wykorzystuję otrzymany "produkt". By trochę poprawić sytuację, umieszczam treść (oczywiście nie słowo w słowo) prezentacji na blogu. Tym razem jest to prezentacja przygotowana na SecurityBSIDEs Polska (albo Warszawa, jak kto woli).

Przykłady podawane w tekście brane są z różnych aplikacji mobilnych, z którymi miałem do czynienia. Nie podaje ich nazw i nie demonstruję konkretnych podatności w konkretnej aplikacji. Raczej staram się dokonać uogólnienia i wykazać ogólne klasy problemów.

Całość dotyczy jednej z podstawowych funkcji bezpieczeństwa, czyli uwierzytelnienia użytkownika. Czy atakujący, który uzyska dostęp do urządzenia ofiary będzie w stanie ustalić jego dane uwierzytelniające i uzyskać dostęp do (jakiegoś) systemu?

Wygoda i bezpieczeństwo zwykle nie idą w parze. Jeśli system jest bezpieczny, zwykle wpływa to na wygodę jego użytkowania. Jeśli z kolei jest wygodny, cierpi na tym bezpieczeństwo. Ważne jest, by znaleźć taki punkt, w którym wygoda spełnia oczekiwania użytkowników, ale bezpieczeństwo ciągle jest na akceptowalnym poziomie. Ważne jest też to, by rozumieć skutki (dla bezpieczeństwa) przyjętych rozwiązań.

Dzisiaj zajmę się bezpieczeństwem "logowania przez wzorek", a w szczególności porównaniem jego mocy z "normalnym" hasłem. Tak, chodzi mi o to rozwiązanie, gdzie użytkownik na kropkach rysuje wzorek. I nie, nie będę się zajmował atakami związanymi ze smugami zostawionymi na ekranie.

Zbliża się SecurityBSIDEs Polska. Na tej konferencji będę mówił na temat uwierzytelnienia w aplikacjach mobilnych, a konkretnie jak zepsuć ten mechanizm. Zepsuć, czyli zaimplementować go w taki sposób, że atakujący uzyskując dostęp do danych zapisanych na urządzeniu, będzie w stanie uwierzytelnić się w aplikacji i działać w kontekście ofiary, a czasami nawet autoryzować wykonywane operacje. Tak, problemy/błędy, o których będę mówił mają swoje pierwowzory w prawdziwych aplikacjach mobilnych o wiadomym zastosowaniu...

Ale ja nie o tym chciałem... Nie lubię robić slajdów na prezentacje. Nie lubię i nawet specjalnie nie staram się, by były jakieś wybitnie ładne. A jeśli bym się starał zrobić coś ładniejszego, to przy moich wybitnych zdolnościach plastycznych rezultat jest dokładnie odmienny od założonego. Poza tym moje prezentacje są z założenia mówione, a nie pokazywane. I tak będzie również tym razem.

P.S. A ja cały czas nosze się z zamiarem prezentacji bez slajdów...

Szczerze polecam lekturę tego wpisu: Capture ALL the Flags. szczególnie chodzi mi tutaj o ostatni poziom. Jest to piękny przypadek wykorzystania side-channel w celu uzyskania pewnych informacji. W tym wypadku szukaną informacją było hasło.

Od czasu do czasu pojawiają się oferty pracy dla osoby, która ma zajmować się bezpieczeństwem tworzonej aplikacji (webowej), między innymi projektowaniem architektury bezpieczeństwa tej aplikacji. Na podstawie takiego ogłoszenia można typować w jakim języku napisana jest dana aplikacja (tak, zwykle w FooBar). I tu pojawia mi się wątpliwość, czy rzeczywiście przy tego typu stanowisku ta "bardzo dobra znajomość" jest rzeczywiście niezbędna.