Bezpieczne logowanie

[rebahas]

Wojtas, dzięki za rzeczowa i wyczerpującą odpowiedz. MitM jest w takim razie dla mnie jasne i wyciągam taki wniosek, ze przede wszystkim trzeba chronić dostęp do swojego komputera, bo bez podmiany certyfikatów u mnie w systemie nikt tu niczego nie zdziała. Wierze w Falcona i swój zdrowy rozsądek, wiec tu jestem spokojny :)

Moje 3gr:
Z tym VPN nie do końca jest to cała prawdą, bo mogę zrobić MitM bez żadnych certyfikatów wystarczy mi tylko, że przechwycę ruch DNS ;) Generalnie VPN prócz prywatności i czasami względnej anonimowości dalej właśnie dobre zabezpieczenie przed MitM, bo klient VPN jest skonfigurowany na konkretne adres IP a nie nazwy domenowe i tutaj już ciężko jest oszukać i cokolwiek zdziałać. Jak ktoś chce podnieść poprzeczkę to VPN > ToR > punkt docelowy :)

Ogólnie nie ma co popadać w paranoję, bo to jest identyczna sytuacja jak z szumem miedialnym pod wpływem którego chcemy podejmować jakieś decyzje. Jeżeli mamy dobrze zabezpieczony telefon, na którym nie instalujemy czegoś non stop i nie klikamy w podejrzane linki albo SMSy od kuriera albo wiadomości od pięknych Pań na insta/whatsup to naprawdę jest taki telefon ciężko ugryź (już pomijam że można mieć osobny telefon do tego, nie podpięty do internetu). Wojtas roztacza wizję hakowania telefonu ale popatrzmy na ceny luk tak zwanych 0 day* (czyli o których nie wie jeszcze producent) albo na konkursy hakowania sprzętu czy oprogramowania i jakie są nagrody. Na ceny w bug bounty**. Popatrzcie na kilka spraw jak FBI chciało się dostać na iPhone zabezpieczony hasłem a Apple nie wyrażało chęci współpracy i pamiętam w jednym przypadku znalazła się jakaś firma do łamania telefonu ale ile to kosztowało to podejrzewam, że poszło w miliony.
Jak dla mnie dużo przestępców woli właśnie hurtowo po kilkaset zł na blika x 100 albo x 1000 klientów niż jeden dostęp do konta w IB. Oczywiście upraszczam, bo wiadomo, że wszystko się przyda ale czytałem opracowania, że szybkość i łatwość wyciągana pieniędzy jest kluczowa a potem reszta.
Pomijam kompletnie ataki personalizowane, no bo jak ktoś dostał zlecenie to dłubie aż wydłubie ;)

* na Apple jakiś czas temu kosztowało 1 mln $ i to według jakiś nie do końca oficjalnych przecieków teraz pewnie więcej
** niektóre firmy jak Google etc. to wypłacają już rocznie po kilka mln $ z takiego programu

[rebahas]

Heh, to wcale nie jest takie science-fiction, bo miałem tak dwa razy. Raz w 2011 roku jak byłem w Chinach na negocjacjach w sprawie wielomilionowego dealu. Przed wejściem do sali wszyscy musieli zostawić w sekretariacie swoje telefony, żeby nikt nie nagrywał spotkania. Potem po powrocie do Polski nasz firewall w korpo wykrył, że w tym samym czasie wszystkie telefony osób, które były na delegacji, zaczynają się nagle łączyć z jakimiś chińskimi serwerami przez firmowe wifi :)

Druga sytuacja, to już w ABW, jak się wchodzi do siedziby, to trzeba oddać telefon do depozytu jeszcze przed bramkami. Jak go potem odbierałem, to nagle mi komunikat wyskoczył, żeby zrobić aktualizację systemu do najnowszej wersji, chociaż parę dni temu robiłem update do tej samej właśnie wersji. Obstawiam, że ktoś wgrał tam w międzyczasie starszy zmodyfikowany soft. Potem to już nawet się uparłem, żebyśmy się spotykali obok w Pizza Hut, a nie u nich, bo ile można cyrku robić z ciągłą aktualizacją telefonu po każdej wizycie :)

Z Chinami to znany temat i z różnych propozycji to najlepsza jest chyba taka, że bierze się testowy/jednorazowym telefon. Po powrocie 'reset to factory' i sprzedaż albo do biura aby czekał na następną wizytę. To samo jest w hotelach z laptopami i innym sprzętami mobilnymi w Chinach. Generalnie aby być 100% pewnym to trzeba mieć tam na oku sprzęt 24h no ale kiedy wtedy spać ;)

Z ABW to widzę niezłe chamstwo, bo to jest ingerencja normalnie w Twój sprzęt, bez Twojej zgody. A spytałeś ich o to czemu majstrowano przy Twoim telefonie? I czy to jest w pełni legalne? Na to wychodzi że to tego typu instytucji najlepiej z Nokią 3210 albo 3310 i niech główkują ;)

[rebahas]

Niesamowite.
Jeszcze bardziej niesamowite, to ze na te wyrafinowane ataki najprostszym zabezpieczeniem byla by jednorazowa-torebeczka z plomba, ktorej nie da sie rozerwac bez sladu.

Taniej będzie zostawić telefon a aucie albo domu ;)

[Wojtas]

Heh, to wcale nie jest takie science-fiction, bo miałem tak dwa razy. Raz w 2011 roku jak byłem w Chinach na negocjacjach w sprawie wielomilionowego dealu.

To w ogóle nie jest sci-fi: Chiński Wielki Brat przymusowo instaluje turystom aplikacje do ich inwigilacji
Temat znany od dawana.

Celnik zamiast sprawdzać telefon ręcznie, instaluje aplikację, którą dostał od rządu, a która robi to automatycznie i zwraca wynik.
Czasem zapominają ją usunąć i stąd informacje o tym.

Wszystko jest do złamania i nawet klucze sprzętowe...

:D tylko w hollywoodzkich filmach - tam hacker siada przed klawiaturą i... (chwila grozy).... wszedłem.
W realnym życiu wywołuje to salwę śmiechu.

Gdyby to działało jak piszesz, całe systemy informatyczne byłyby bez sensu. Podpisy cyfrowe byłyby bez sensu, bo dealy na miliony by się hackowało, tworząc umowy ze sfałszowanymi podpisami cyfrowymi.
"Pani Dominika Kulczyk zawarła ze mną kontrakt na miliard wczoraj, serio, mam umowę cyfrową" i życzę powodzenia w udowadnianiu jej fałszywości.
Ale jakoś tak się nie dzieje.

Prawdziwe ataki zawsze wyglądają tak jak to opisuje okładka książki niegdyś najsłynniejszego hackera świata Sztuka podstępu. Łamałem ludzi, nie hasła.
Praktycznie wszystkie spektakularne ataki hackerskie są atakami na ludzi lub wynikają z ludzkich błędów. Nawet jeśli systemy zawodzą, to tylko dlatego, że firma stworzyła słabe systemy uginając się przed konsumentem i jego żądaniem wygody (kosztem jego bezpieczeństwa).
Praktycznie zawsze winny jest więc użytkownik.

Te całe FaceID też jest wadliwe u podstaw, każdy kto ma trochę wyobraźni, o tym wie. Ale ludzie tego żądają, więc firma to robi dla wygody swoich konsumentów, którzy głosują portfelem. Tyle.

PS. Spektakularne zatrzymania cyberprzestępców też wynikają z ich niechlujstwa, pychy, zbyt długiego języka, częściej niż ze zdolności Policji. Wiem to z pierwszej ręki.

Popatrzcie na kilka spraw jak FBI chciało się dostać na iPhone zabezpieczony hasłem a Apple nie wyrażało chęci współpracy i pamiętam w jednym przypadku znalazła się jakaś firma do łamania telefonu ale ile to kosztowało to podejrzewam, że poszło w miliony.

Uważam, że hasło jest o klasę lepsze niż FaceID. Jeśli mam odpowiednio długie hasło i mam je tylko w głowie, może być nie lada problem ze złamaniem go, jeśli używane jest ono jako klucz szyfrujący.

Niesamowite.
Jeszcze bardziej niesamowite, to ze na te wyrafinowane ataki najprostszym zabezpieczeniem byla by jednorazowa-torebeczka z plomba, ktorej nie da sie rozerwac bez sladu.

Proszę otworzyć torebeczkę, bo musimy sprawdzić co Pan tam ma.
Proszę otworzyć torebeczkę, albo opuścić teren/granicę.

[Wojtas]

Z tym VPN nie do końca jest to cała prawdą, bo mogę zrobić MitM bez żadnych certyfikatów wystarczy mi tylko, że przechwycę ruch DNS ;)

Nie, nie możesz. Radzę się doedukować.
Poza tym co ma VPN do certyfikatów TLS/SSL ? Bardzo proszę nie siej zamętu, to zupełnie 2 różne tematy.

Już pisałem do czego służy VPN:
1. Tajenie (przed rządem kraju w którym przebywasz) gdzie, z kim i po co się łączysz.
2. Względna anonimowość (gdy chcesz np komuś anonimowo napyskować w Internecie).

[rebahas]

Nie, nie możesz. Radzę się doedukować.
Poza tym co ma VPN do certyfikatów TLS/SSL ? Bardzo proszę nie siej zamętu, to zupełnie 2 różne tematy.

Trochę wyobraźni. Podmieniam DNS na komputerze przez malware albo co gorzej na routerze i łączy się klient i wpisuje https://mbank.pl a dostaje https://mbank.pk https://mbanka.pl no cokolwiek różniące się o jedną literę (w niektórych przypadka może kombinować ze znakami specjalnymi i będzie wyglądała atakowana domena tak samo) i podpisane Lets Encrypt chociażby. Powiedz mi ile osób sprawdzi pasek adresu jak rzutem oka zobaczy zieloną kłódkę i stronę taką samą jak zwykle? Dobrze skonfigurowany VPN (czyli po IP) nawet jak się podłączysz do lewego WiFi/routera chroni przed podstawieniem lewego DNS. Jasne?

Już pisałem do czego służy VPN:
1. Tajenie (przed rządem kraju w którym przebywasz) gdzie, z kim i po co się łączysz.
2. Względna anonimowość (gdy chcesz np komuś anonimowo napyskować w Internecie).

Mam do Ciebie prośbę aby przestał może pisać w stylu "już pisałem do czego służy VPN" bo na Twojej osobie i Twoim punkcie widzenia świat się niestety nie kończy ;)
Ad 1 - łącze się przez Signal lub nawet zwykły HTTPS więc śledzący wie tylko że połączyłem się Signal/Gmail - co mu to daje?
Ad 2 - lepszą anonimowość uzyskam z przeglądarki Brave włączają prive mode via Tor

To jeszcze raz się powtórzę - dobrze skonfigurowany i poprawnie zestawiony VPN pozwala mi przede wszystkim z prawie 100% pewnością przesłać zaszyfrowanym tunelem moje zapytania DNS to serwera, który znam i któremu ufam, bo wszystko zaczyna się od DNS :)

[rebahas]

:D tylko w hollywoodzkich filmach - tam hacker siada przed klawiaturą i... (chwila grozy).... wszedłem.
W realnym życiu wywołuje to salwę śmiechu.

Firma HackingTeam mówi Ci to coś? Jak nie to poczytaj. Tak to jest ta firma, która sprzedawała rządom narzędzia do inwigilacji obywateli, być może nawet Tomka telefon przy ich pomocy próbowali zainfekować w ABW.

Te całe FaceID też jest wadliwe u podstaw, każdy kto ma trochę wyobraźni, o tym wie. Ale ludzie tego żądają, więc firma to robi dla wygody swoich konsumentów, którzy głosują portfelem. Tyle.

Masz na to jakieś konkretne dowody? Jakiś PoC? Takie na dzień dzisiejszy. Czy to tylko takie gdybanie?

[winnie-the-pooh]

Keep calm. Czułem, że jak wjedziemy na IT security to będzie temat dłuższy niż Live o wszystkim :)

[rebahas]

Keep calm. Czułem, że jak wjedziemy na IT security to będzie temat dłuższy niż Live o wszystkim :)

spoko z mojej strony EOT

[Thorwald]

Co do haseł jednorazowych w telefonie.
Ich słabym miejscem jest sam użytkownik. Jeżeli wyjdziesz na podstawioną stronę, to na podstawionej stronie wprowadzisz dane logowania. Wprowadzisz także kod jednorazowy. Przestępcy mając już od ciebie dane logowania, zalogują się na oryginalną stronę. Było wiele przypadków kradzieży z kont bankowych zabezpieczonych 2FA z hasłami jednorazowymi lub sms.
To co robi klucz sprzętowy wyposażony w U2F jak Yubico to on sprawdza stronę (lepiej od użytkownika) i nie wprowadzi kodu na podstawionej stronie.

Ale cały 2FA idzie do kosza jak ze przejętego maila ktoś prosi o reset 2FA i support mu resetuje czyli znika 2FA. Albo mając skradziony portfel z dowodem dzwoni na infolinię i na infolinii po podaniu danych identyfikujących z dowodu osobistego dokonuje zmiany hasła i numeru telefonu czy co tam w danym wypadku chce zmienić.

W zasadzie jedyny dobry 2FA to taki którego nie można zmienić.

[Wojtas]

Trochę wyobraźni. Podmieniam DNS na komputerze przez malware albo co gorzej na routerze i łączy się klient i wpisuje https://mbank.pl a dostaje https://mbank.pk https://mbanka.pl

Powtarzam, doedukuj się. Nie można robić takich przekierowań HTTPS (TLS/SSL) po DNSie.
Zgodnie z dokumentacją google'owską: You can use a CNAME redirect only with HTTP, not with HTTPS.

Więc twój pomysł nie zadziała. Jak widać, w Google w ciemię bici ludzie nie pracują i pomyśleli o tym.

Firma HackingTeam mówi Ci to coś? Jak nie to poczytaj.

A może sam poczytaj ? Ale dokładnie.

Teraz to się nazywa Momento.
Ja czytałem jak działają ich narzędzia już bardzo dawno temu, gdy był wyciek. Tak, firma hacking team została shackowana ;)

Ja czytałem dość dokładnie. Ty czytałeś po łepkach.
I nadal utrzymuję to co na pisałem. Nie da się wiele zrobić bez "pomocy" użytkownika.

Dobrze przemyślane systemy są bardzo szczelne i zęby sobie na nich połamiesz.
Źle przemyślane systemy, obsługiwane przez niezbyt rozgarniętego użytkownika (lub ignoranta) to podstawa 99% udanych ataków hackerskich.
Człowiek zawodzi prawie zawsze.

PS. Hollywoodzkie filmy wsadź sobie w buty i już nie ośmieszaj się.

Masz na to jakieś konkretne dowody? Jakiś PoC? Takie na dzień dzisiejszy. Czy to tylko takie gdybanie?

Mam rozum i wyobrażenie jak działają algorytmy. Dość rozumu, że w pewne rzeczy się nie pchać, żeby później nie być wielce zaskoczonym: "Ale jak to?"
Większość ludzi tego wyobrażenie nie ma i dlatego później wypisują banalutki, że "wszystko da się złamać".
A tymczasem informatycy ostrzegają od lat. Ale kto by ich tam słuchał ?

Tak samo token vs aplikacja na telefon. Który informatyk poleca aplikację na telefon zamiast tokenu ? Który specjalista ?
Ale i tak wiecie lepiej prawda ? Bo co tam wiedzą informatycy ?
Najwyżej później skwitujecie, że "trudno, padłem ofiarą ataku, bo wszystko da się złamać". A nie, że "byłem głupi i nie słuchałem, jak mnie ostrzegano od lat".
Typowe w świecie informatyków. Tak bywa wszędzie - od januszexów, przez wielkie korpo, po agencje rządowe. Zawsze ktoś (dyrektor/menedżer) jest mądrzejszy od specjalistów przez długie lata, aż dochodzi do ataku.

[winnie-the-pooh]

Osobiście wolę jak zgubię (lub mi ktoś ukradnie) smartfona bez aplikacji tokenowej (bo token mam w biurku) niż smartfona z aplikacją z tokenem. Po prostu już nie wnikając głęboko, dwa urządzenia trudniej ukraść/zgubić niż jedno. Zresztą podobnie jest z kluczykami do samochodu (drugie są schowane), kartami płatniczymi (weź człowieku wyjedź na wakacje z jedną) i z plikiem key-managera (też lepiej pochować w chmurach).
Smartfon ma jeszcze tę wadę, że mu można szybkę zbić. Kiedyś kolega pchając swój uszkodzony samochód na pobocze przejechał kołem po Nokii, co mu z kieszeni wypadła. Jak do niego zadzwoniliśmy zaniepokojeni to już bym pod budynkiem firmy. Na pytanie dlaczego nie zadzwonił, powiedział, że naszych numerów nie pamięta, a książkę telefoniczną miał w telefonie, tylko wyświetlacz ma rozbity i nic nie widać... Zonk.
Ot, przydaje się na co dzień po prostu redundancja.

[Wojtas]

Co do haseł jednorazowych w telefonie.
Ich słabym miejscem jest sam użytkownik. Jeżeli wyjdziesz na podstawioną stronę, to na podstawionej stronie wprowadzisz dane logowania.

Normalnie nie jest tak łatwo wejść na podstawioną stronę. Bo wpisując w pasku adresu np mbank, wyświetli ci stronę z zakładek lub historii i trafisz na prawidłową stronę.
Jeśli nie masz mbanku w historii/zakładkach, przeglądarka wrzuci cię na Google, a ten pokaże ci prawidłową stronę na szczycie listy wyników.

Kiedy więc możesz trafić na lewą stronę ?

Jak dostaniesz sfingowanego emaila stylizowanego na email od banku z np "informacją o zmianie regulaminu" i prośbą aby się zalogować.
W emailu będzie link, po kliknięciu którego trafisz na stronę mbank.PodajNamSwojeDane.pl i już cię mają.

Wielu ludzi nie sprawdza tego co pojawia się w pasku adresu, tylko to czy strona "na oko wygląda na bankową".
Tymczasem to pasek adresu jest być/albo nie być wiarygodności strony, pasek adresu oraz zielona kłódka obok niego (po kliknięciu na tą kłódkę, macie ścieżkę certyfikatów).

Było wiele przypadków kradzieży z kont bankowych zabezpieczonych 2FA z hasłami jednorazowymi lub sms.

Z SMSami jest jeszcze ten problem, że wiele aplikacji w telefonie może mieć uprawnienia do odczytu ich treści, a tym samym do wykradania ich.

SMSy autoryzacyjne były dobre gdy korzystaliśmy z telefonów takich jak Nokia 1200 albo Nokia 1208, które w ogóle nie mają łączności internetowej, o instalacji aplikacji nie wspominając.
Jeśli ktoś chce nadal korzystać z SMSów autoryzacyjnych w dzisiejszych czasach, to lepiej jest taki telefon mieć - tylko do banku.

W innym przypadku lepszym wyjściem (niż SMSy) jest aplikacja bankowa, do której danych nie mają dostępu inne aplikacje w telefonie. To oczywiście przy założeniu, że smartphone nie został złamany/zrootowany/shackowany.

[Thorwald]

Jeśli nie masz mbanku w historii/zakładkach, przeglądarka wrzuci cię na Google, a ten pokaże ci prawidłową stronę na szczycie listy wyników.

Był kiedyś taki numer, że hakerzy wykupili sobie w googlu reklamę i te reklamy są wyświetlane w takim miejscu, że użytkownik może wziąć ją za wynik wyszukiwania.
Drugi numer na podstawienie strony to jest włamywanie się na router. Skaner sieciowy wyszukuje routery z wystawionym na sieć panelem administracyjnym. Tam często są domyślne dane logowania. Logują się i podstawiają własny serwer dns. Wpisujesz prawidłowy adres banku na dowolnym domowym komputerze czy telefonie, ale ten prawidłowy adres jest przekierowywany na stronę hakerów przez twój domowy router. Ta strona powinna wyglądać jak bankowa. Tam grzecznie wprowadzasz dane logowania hakerom, oni nimi logują się do prawdziwej strony, wyświetlają Ci zapytanie o 2FA (sms lub kody), wprowadzasz, bo wydaje Ci się, że jesteś na stronie banku itd.

Spotkałem się z ciekawym rozwiązaniem w brytyjskim banku. Klient miał token sprzętowy do którego wkładało się kartę bankową. Po wprowadzeniu pinu i karty generował hasło jednorazowe do logowania. Do przelewu potrzebne było kolejne hasło jednorazowe w oparciu o ile pamiętam o kwotę i konto przelewu. Czyli nawet jakby Ci podstawili stronę www to nie mogli by sobie o oparciu o znane im hasło 2FA dokonać przelewu na inne konto i w innej kwocie niż zleceniodawca sobie zażyczył.

[glina]

Spotkałem się z ciekawym rozwiązaniem w brytyjskim banku. Klient miał token sprzętowy do którego wkładało się kartę bankową. Po wprowadzeniu pinu i karty generował hasło jednorazowe do logowania. Do przelewu potrzebne było kolejne hasło jednorazowe w oparciu o ile pamiętam o kwotę i konto przelewu. Czyli nawet jakby Ci podstawili stronę www to nie mogli by sobie o oparciu o znane im hasło 2FA dokonać przelewu na inne konto i w innej kwocie niż zleceniodawca sobie zażyczył.

To samo ma szwajcarski UBS. Nowy odbiora musi byc potwierdzony tokenem sprzetowym. Mozna sobie skonfigurowac kwote dzienna/tygodniowa/miesieczna do ktorej nie bedzie pytal o token co znacznie zmniejsza upierdliwosc calego rozwiazania.