https://archive.mroczna-zaloga.org/ Paweł Goleń, blog - Zrzędzenie starego zgreda pl Serendipity - http://www.s9y.org/ Sat, 15 Mar 2025 22:14:55 GMT https://archive.mroczna-zaloga.org/templates/bulletproof/img/s9y_banner_small.png https://archive.mroczna-zaloga.org/ 100 21 https://archive.mroczna-zaloga.org/archives/1022-zaszyfrowac-jak-to-latwo-powiedziec.html#c4010 https://archive.mroczna-zaloga.org/archives/1022-zaszyfrowac-jak-to-latwo-powiedziec.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1022 nospam@example.com (Mekk) Wiele pinów to kolejna niewygoda... Zawsze coś za coś. A na doczepkę u typowego usera będą identyczne. Wrzucę jeszcze jedną sprawę: bardzo często ukradziony/zgubiony telefon będzie włączony, z wszelkimi możliwościami jakie to otwiera (np. odblokowanym magazynem haseł, aktywną aplikacją a nawet jeśli nie, to z obecnymi w pamięci jej danymi). Zamiast wyrzucać sima złodziej może ściągnąć jakąś własną aplikację i ją uruchomić. PS Mogłyby się pojawić szerzej jakieś nieklawiaturowe techniki wprowadzania haseł. Przyłożenie palca, zrobienie paru gestów czy przyłożenie okienka aparatu do czegośtam nie musi być bardzo kłopotliwe dla usera. Thu, 09 Jun 2011 17:42:53 +0200 https://archive.mroczna-zaloga.org/archives/1022-guid.html#c4010 https://archive.mroczna-zaloga.org/archives/1022-zaszyfrowac-jak-to-latwo-powiedziec.html#c3960 https://archive.mroczna-zaloga.org/archives/1022-zaszyfrowac-jak-to-latwo-powiedziec.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1022 nospam@example.com (Paweł Goleń) Zastanawiam się, czy nie lepsze byłoby rozwiązanie, które pozwala składować aplikacji wiele "sekretów" na karcie i dla każdego z nich ustalić oddzielny PIN. Ewentualnie, by każda aplikacja musiała uzyskiwać dostęp do takiego stora oddzielnie, bo np. jeśli aplikacja A potrzebuje coś z niego odczytać i skłania użytkownika do podania PIN nie powinno to jednocześnie oznaczać, że aplikacja B "przy okazji" zyskuje dostęp do sekretów. Fri, 03 Jun 2011 14:59:49 +0200 https://archive.mroczna-zaloga.org/archives/1022-guid.html#c3960 https://archive.mroczna-zaloga.org/archives/1022-zaszyfrowac-jak-to-latwo-powiedziec.html#c3959 https://archive.mroczna-zaloga.org/archives/1022-zaszyfrowac-jak-to-latwo-powiedziec.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1022 nospam@example.com (kravietz) Wystarczyłoby coś w stylu windowsowego DPAPI. Klucze aplikacji są przechowywane w zaszyfrowanym magazynie kluczy. Magazyn jest odblokowywany przez wprowadzenie przez użytkownika kodu PIN (w DPAPI - haseł logowania). Magazyn powinien siedzieć na karcie, co chroni przed atakami off-line na PIN. W praktyce zapewne musiałaby to być karta JavaCard z appletem i oddzielny PIN bo ten z SIM można wyłączyć. Fri, 03 Jun 2011 13:13:17 +0200 https://archive.mroczna-zaloga.org/archives/1022-guid.html#c3959 https://archive.mroczna-zaloga.org/archives/1022-zaszyfrowac-jak-to-latwo-powiedziec.html#c3951 https://archive.mroczna-zaloga.org/archives/1022-zaszyfrowac-jak-to-latwo-powiedziec.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1022 nospam@example.com (Paweł Goleń) Zacznę od końca - tak, to jest istotna kwestia w przypadku urządzeń mobilnych. Zagrożenie związane z bezpośrednim dostępem fizycznym w przypadku komputerów stacjonarnych było ograniczone, bo ten dostęp fizyczny trzeba było najpierw uzyskać. W przypadku laptopów uzyskanie dostępu fizycznego było już łatwiejsze (kradzież, zgubienie/pozostawienie bez opieki), jeszcze gorzej jest w przypadku urządzeń mobilnych. Wielu entuzjastów technologii mobilnych nie chce przyjąć do wiadomości faktu, że telefon nie jest bezpiecznym urządzeniem. A jeśli chodzi o bankowość, to offline mogą być przechowywane dane informacyjne. Tak, by użytkownik mógł na przykład przeglądać swoją historię operacji bez konieczności połączenia z bankiem. Jeśli chodzi o uwierzytelnienie, to tu również sprawa może być bardziej skomplikowana. Np. może mieć miejsce skojarzenie konkretnej instancji aplikacji z kontem i samo uwierzytelnienie może odbywać się w sposób prawie niezauważalny dla użytkownika. Użytkownik uwierzytelnia się do swojej lokalnej aplikacji (PIN), po uwierzytelnieniu lokalnym aplikacja sama uwierzytelnia się do banku na przykład z wykorzystaniem "sekretu" rozszyfrowanego przy użyciu klucza wygenerowanego na podstawie kodu PIN lub jakiejś innej metody (np. challenge response). Kolejna sprawa to autoryzacja transakcji. Bez problemu jestem sobie w stanie wyobrazić implementacje, w której taka aplikacja bankowa będzie miała wbudowany token i będzie prawie automatycznie autoryzowała transakcje. Bo przecież to ma być łatwe, szybkie i wygodne, no nie? Akurat w przypadku autoryzacji transakcji jestem w stanie wyobrazić sobie również taką implementację, która będzie w stanie się obronić w rozważanym scenariuszu - drugi niezależny PIN służący do "odblokowania" programowego tokenu. Token ZAWSZE generuje odpowiedź, choć oczywiście dla złego kodu PIN odpowiedź będzie zła. Ponieważ wskazanie/odpowiedź tokenu będzie weryfikowane przez serwer pozostający poza kontrolą atakującego możliwe będzie zablokowanie kanału dostępu użytkownikowi, który podał n nieprawidłowych kodów PIN.) Podsumowując - aplikacja mobilna służąca do dostępu do banku (a co za tym idzie - urządzenie, na którym jest ona zainstalowana) może zawierać w sobie całkiem sporo "konfitur", na których straży stać będzie śmiesznie słaby PIN. Na szybko można wymienić trzy kwestie związane z bezpieczeństwem mobilnych aplikacji umożliwiających dostęp do usług bankowości: - ujawnienie danych zawartych w cache, - uzyskanie możliwości uwierzytelnienia się w systemie bankowości jako ofiara, - uzyskanie możliwości wykonywania operacji z konta ofiary, Skutki każdego z tych zdarzeń są oczywiście różne. Przynajmniej przed ostatnim zdarzeniem aplikacja może i powinna się bronić (w rozważanym przeze mnie scenariuszu z pełnym dostępem do urządzenia i danych). Ogólnie rzecz biorąc bankowe aplikacje mobilne mogą być bardziej "ciekawe" niż systemy bankowości internetowej, bo w tym przypadku atakujący ma pełną kontrolę nad atakowaną aplikacją. Thu, 02 Jun 2011 23:01:36 +0200 https://archive.mroczna-zaloga.org/archives/1022-guid.html#c3951 https://archive.mroczna-zaloga.org/archives/1022-zaszyfrowac-jak-to-latwo-powiedziec.html#c3950 https://archive.mroczna-zaloga.org/archives/1022-zaszyfrowac-jak-to-latwo-powiedziec.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1022 nospam@example.com (Arv) https://secure.wikimedia.org/wikipedia/en/wiki/Java_Card Thu, 02 Jun 2011 22:56:06 +0200 https://archive.mroczna-zaloga.org/archives/1022-guid.html#c3950 https://archive.mroczna-zaloga.org/archives/1022-zaszyfrowac-jak-to-latwo-powiedziec.html#c3949 https://archive.mroczna-zaloga.org/archives/1022-zaszyfrowac-jak-to-latwo-powiedziec.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1022 nospam@example.com (Paweł Goleń) Miliony telefonów na rynku już w tej chwili posiada coś na wzór TPM. Nazywa się to karta SIM :) I w zasadzie mogłaby posłużyć do realizacji opisanego przeze mnie scenariusza. Thu, 02 Jun 2011 22:36:00 +0200 https://archive.mroczna-zaloga.org/archives/1022-guid.html#c3949 https://archive.mroczna-zaloga.org/archives/1022-zaszyfrowac-jak-to-latwo-powiedziec.html#c3948 https://archive.mroczna-zaloga.org/archives/1022-zaszyfrowac-jak-to-latwo-powiedziec.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1022 nospam@example.com (Arv) Trudno mi wyobrazić sobie system bankowości internetowej offline. A jeżeli jesteśmy online to klucz albo jeszcze coś do jego generowania możemy trzymać online. Problem sprowadza się więc do uwierzytelniania. Oczywiście przy założeniu że "atakujący ma nieograniczony dostęp do urządzenia i danych na nim przechowywanych" to trudno mówić o jakimkolwiek bezpieczeństwie czegokolwiek. Immutable Laws of Security :) Thu, 02 Jun 2011 22:23:30 +0200 https://archive.mroczna-zaloga.org/archives/1022-guid.html#c3948 https://archive.mroczna-zaloga.org/archives/1022-zaszyfrowac-jak-to-latwo-powiedziec.html#c3947 https://archive.mroczna-zaloga.org/archives/1022-zaszyfrowac-jak-to-latwo-powiedziec.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1022 nospam@example.com (XANi) A potem się okazuje że chip TPM ma buga, a hardware nie można tak łatwo wymienić jak software i nagle mamy milion telefonów na rynku z których klucz można wyciągnać wpisując parę bajtów do rejestru ;]. Może czas robić tokeny z gniazdem micro-usb ? Tylko potrzebna natywna obsługa usb host w telefonie a to raczej rzadkość Thu, 02 Jun 2011 22:22:52 +0200 https://archive.mroczna-zaloga.org/archives/1022-guid.html#c3947