Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Bezpieczeństwo w praktyce....Czyli jak zostać gimbusem...

Niedawno opublikowałem tutaj krótki typowo blogowy wpis Bezpieczeństwo w praktyce....czyli krótki przegląd zabezpieczeń w.... Było to kilka uwag z punktu widzenia bardzo przeciętnego zjadacza chleba na temat tego, co można zobaczyć w kilku znanych sklepach (a nie szczegółowa analiza jaką czasem możemy przeczytać na różnych stronach zajmujących się tematyką bezpieczeństwa).

Chciałbym się odnieść do komentarzy.... Przede wszystkim widać, że niektórzy uważają pocztę elektroniczną za medium bezpieczne. Ja oczywiście zgodzę się, że szanujące się programy pocztowe mają opcję włączenia SSL, ale to działa tylko pomiędzy programem, a serwerem, z którym ten się łączy. A co z pozostałymi, które przekazują wiadomości ?

W tym miejscu dziękuję Anonimowi, który opisał stan najbliższy prawdzie:

Jeśli myślisz, że serwery SMTP "renomowanych" dostawców poczty jak np. gmail wymuszają szyfrowanie połączeń między sobą to bardzo się mylisz. E-mail nigdy nie był i nie jest bezpiecznym sposobem przesyłu informacji. Nie masz żadnej gwarancji, że ktoś nie podsłucha Twojej komunikacji, dopóki sam nie zaszyfrujesz swojej wiadomości. I nie masz żadnego wpływu na bezpieczeństwo maili przychodzących do Ciebie dopóki nie postawisz własnego serwera SMTP. I nawet wtedy nie masz żadnego wpływu na to, co się dzieje z tymi mailami po drodze do Twojego serwera.

Ja dodam tylko tyle, że nie bez powodu w takim Outlooku znajdują się opcje do SZYFROWANIA wiadomości. Chcę też zauważyć, że istotą Internetu jest to, że użytkownik najczęściej nie ma wyboru, którędy idą jego pakiety (mogą iść przez USA) i że wielu użytkowników używa poczty Gmail, do której zapewne mają dostęp odpowiednie służby. Mówiąc inaczej - jeśli w mailu znajduje się pełna faktura albo link do pobrania e-booka (po kliknięciu którego można go ściągnąć bez autoryzacji w sklepie np. z naszym znakiem wodnym), to.....

Druga sprawa to przeglądanie produktów.... Już jakiś czas temu takie Google wprowadziło szyfrowanie przy wyszukiwaniu (Firefox pokazuje TLS_ECDHE_ECDSA_WITH_RC4_128_SHA, 128 bit keys). Oni jakoś widzą potrzebę tego typu działania (pomijam to, czy NSA ma do tego dostęp czy nie). A na takim Allegro mamy przecież kategorię Erotyka.... A w sklepach z książkami możemy kupić książki Salmana Rushdie, na którym w dalszym ciągu ciąży fatwa (czy warto więc wszem i wobec informować, że je czytamy albo ich szukamy ?). To tylko przykłady, ale....

Wracając do poprzedniego wpisu - w przypadku części wymienianych przeze mnie sklepów Firefox mi pokazuje SSL_RSA_WITH_RC4_128_MD5, 128 bit keys. Aczkolwiek może WikiPedia nie jest najlepszym źródłem, to zacytuję ją w tym miejscu: "Pomimo, że RC4 jest odporny na kryptoanalizę liniową i kryptoanalizę różnicową to jest obecnie uznawany za niezbyt bezpieczny kryptosystem". Nie jestem matematykiem, ale w tym samym czasie w różnych bankach można już zauważyć np. TLS_RSA_WITH_AES_256_CBC_SHA, 256 bit keys. A tak uwielbiany FaceBook ? TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, 128 bit keys. One jakoś widzą potrzebę wprowadzania innego szyfrowania....

Nawiasem mówiąc w liście najpopularniejszych wpisów na tym blogu widnieje wpis Test przeglądarek internetowych na Androida (Styczeń 2014). Całkiem poprawne porównanie cyferek, ale ile można tam przeczytać na temat uprawnień lub tego, jak te przeglądarki naprawdę działają ?

Ten test jasno pokazuje, że dla przeciętnego zjadacza chleba liczy się wygoda i tylko ona, co zostało potwierdzone również komentarzem do mojego wpisu:

Normalny człowiek wolałby mieć ma mejlu jednak pełne dane zamówienia, bo to się przydaje w razie problemów ze sklepem

I dlatego powtórzę jak mantrę - informatycy powinni wymuszać poprawne zachowania, a nie "odwalać fuszerkę".

Żeby nie było wątpliwości, dlaczego zwróciłem uwagę na test przeglądarek - wziąłem sobie takie SkyFire 5. Dużo uprawnień, po odpaleniu dodatkowo prosi o SID i LSID (dostęp do konta googlowego ?), a jak kliknę w Privacy Policy, to widzę slicznie HTTP 404 File Not Found. Kiedyś w 2011 sam robiłem porównanie przeglądarek i tamta wersja SkyFire pokazywała przynajmniej jasno

Ilu użytkowników zwraca uwagę na podobne kwestie ?

Według mnie pewien niepokój powinny budzić doniesienia typu: Why Android SSL was downgraded from AES256-SHA to RC4-MD5 in late 2010 albo RSA: 10 mln USD za osłabienie szyfrowania

Dlaczego ? Ileś różnych osłabień zabezpieczeń może prowadzić do tego, że gdzieś jednak można się włamać.... Jeśli nie wiecie, to nawet w Firefoxie domyślnie wyłączone bywa TLS 1.1.

Do tego należy pamiętać, że w wielu projektach liczy się głównie czas czy budżet i czasem różne kwestie bezpieczeństwa schodzą na setną pozycję (bo "to ma tylko działać").... Albo używa się iluś bibliotek, które w połączeniu nie zawsze mają szansę poprawnie zadziałać (i nikt nie sprawdza czy np. nie osłabiono przez to szyfrowania).

Chciałbym jeszcze obalić krótko jeszcze jeden mit:

Jeżeli nie chcesz by inni wiedzieli co oglądasz wystarczy zabezpieczyć WiFi. Podsłuchiwanie WiFi zabezpieczonej WPA/WPA2 nie jest proste (o ile hasło nie jest trywialne).

Coraz więcej użytkowników używa WiFi - to jest fakt. Dużo tych WiFi jest jednak publicznych i nie używa zbyt mocnego szyfrowania - to też jest fakt. A routery ? Zdarza im się mieć "tylne furtki" i hasła mogą wyciekać....

A nawet jeśli, to nie można zapominać, że najpopularniejszym systemem bywa właśnie Android - a tam użytkownicy raczej nie sprawdzają zbyt mocno, co i gdzie aplikacje przesyłają. Do tego kontrola uprawnień była dostępna domyślnie tylko przez chwilę - od wersji 4.4 jest wycofana, a tłumaczone jest to względami....bezpieczeństwa.

Żeby było ciekawiej, w tym systemie należy pamiętać o takich uniwersalnych błędach (czy też "błędach" w kontekście doniesień o NSA) jak zła obsługa dwóch plików o tych samych nazwach w plikach APK (słynny "master key"). Mogą być uzyskane do złamania zabezpieczeń urządzenia....i część użytkowników je wykorzystuje, aby.....np. włączyć firewall (przy okazji nie analizując pakietów, które łamią urządzenie).

Podsumowując - nie dla wszystkich najważniejszy bywa pokój na świecie, bezpieczeństwo jednak bywa fikcją, w wielu wypadkach należy niestety leczyć się samemu, a nawet proste wskazanie najbardziej typowych błędów....pokazuje, że wiedza użytkowników bywa nie do końca poprawna. Ktoś napisał:

Gimbazjalny specjalista zabezpieczeń?

A ja się pytam - czy jest sens pisać o konkretach, jak nawet podstawy mogą nie być rozumiane w sposób właściwy przez odbiorców ?

Czy tak czy inaczej - życzę rozsądku i wiedzy, a o przesyłaniu haseł otwartym tekstem czy opieraniu całego hashowania na MD5 (bo takie kwiatki też się czasem zdarzają) mam zamiar dalej pisać :) 

internet bezpieczeństwo inne

Komentarze

0 nowych
corrtez   12 #1 19.01.2014 18:11

Nie potrzeba NSA. Sam pan Shmidt powiedzial ostatnio ze uzytkownicy uslug Google nie powinni oczekiwac prywatnosci.

Takich tekstów mozesz napisac mnóstwo czy sytuacja sie zmieni? Nie sadze. Ci co wiedza o bezpieczenstwie beda sie zabezpieczac, cala reszta bedzie szukac pomocy na forum.

GBM MODERATOR BLOGA  20 #2 19.01.2014 18:55

Szyfrowanie wiadomosci? Tylko PGP/GPG z kluczem 4096bit i heja! :-)

Jedyne zagrozenie? Fuck up wynikajacy z glupoty uzytkownika, gdy cos spierdzieli ;-)

Berion   14 #3 19.01.2014 19:37

"(...) bezpieczeństwo jednak bywa fikcją, w wielu wypadkach należy niestety leczyć się samemu, a nawet proste wskazanie najbardziej typowych błędów....pokazuje, że wiedza użytkowników bywa nie do końca poprawna. (...)"

Przeciętny człowiek nie ma na to ani czasu, ani tym bardziej ochoty - i znam ten problem z autopsji w najbardziej trywialnych sprawach. To walka z wiatrakami, można pisać elaboraty a i tak nikt się nie będzie do tego stosował - bo nie rozumie i nie chce się nauczyć. Bez prawnej ochrony ZU będzie odzierany z prywatności na każdym kroku. A dla nas? Bezpieczeństwo i prywatność nie jest fikcją.

enedil   9 #4 19.01.2014 21:30

@GBM co z tego, jak odbieranych wiadomości raczej nie zaszyfrujesz...

  #5 19.01.2014 23:15

Szyfry strumieniowe są często błędnie uznawane za mniej bezpieczne. One wymagają tylko więcej uwagi przy projektowaniu protokołu, bo minimalny błąd może mieć katastrofalne skutki. RC4 jest już starym algorytmem, ale jeśli używa się go poprawnie, to gwarantuje przyzwoity poziom bezpieczeństwa. W przypadkach, które opisałeś zamiana AES na RC4 może wynikać z opublikowania ataku BEAST na TLS 1.0. Atak jest skuteczny przeciwko szyfrom blokowym.

TLS_RSA_WITH_AES_256_CBC_SHA vs TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - po pierwsze wybór AES-128 w przypadku Facebooka może być podyktowany względami wydajności - AES-128 ma mniej rund szyfrowania niż AES-256 a i tak prawdopobnie jest obecnie poza zasięgiem kryptoanalityków; po drugie i najważniejsze TLS_ECDHE_RSA... wykorzystuje ECC i oferuje tzw. Perfect Forward Secrecy (https://en.wikipedia.org/wiki/Forward_secrecy), czyli jeśli nawet za pół roku ktokolwiek (np. NSA) uzyska klucz prywatny Facebooka, to nie będzie mógł odszyfrować zarejestrowanych wcześniej połączeń. W przypadku TLS_RSA_... będzie to możliwe, więc ten AES-128 nie jest aż tak dużym problemem.

Osobiście bardziej niż NSA obawiałbym się inwigilacji prowadzonej przez korporacje, które zbierają o nas coraz więcej i nie wiadomo do czego mogą tego użyć. Zwrócenie na siebie uwagi NSA jest mało prawdopodobne, a z resztą NSA i tak w dużej mierze korzysta z tego co wcześniej zebrały i przetworzyły firmy prywatne. Z korporacjami mamy do czeynienia codziennie. Za parę lat może się okazać, że nie dostaniesz pracy albo kredytu, bo masz "nieodpowiednie treści" na profilu FB, a jak nie masz profilu, to będzie znaczyło że masz "coś do ukrycia". W USA prawo dot. ochrony danych osobowych praktycznie nie istnieje i korporacje mogą robić prawie co chcą.

ximian   1 #6 20.01.2014 00:56

@enedil
tzn. o co chodzi?

Szyfrowanie RSA wygląda tak, że są 2 klucze (prywatny i publiczny) tym publicznym szyfrujesz wiadomość, a prywatnym rozszyfrowujesz

Jeśli masz kolegę, który stosuje to samo - jesteście bezpieczni.
Ale mało osób się bawi w takie coś ...

  #7 20.01.2014 11:25

"...Android - a tam użytkownicy raczej nie sprawdzają zbyt mocno, co i gdzie aplikacje przesyłają"

Nakieruje ktoś jak kontrolować uprawniania aplikacji w Androidzie? Blowować, monitorować co wysyłają itp?

wajdzik   6 #8 20.01.2014 11:38

ximian, ale wiadomości wysyłanej Ci przez bank, albo sklep internetowy już nie zaszyfrujesz w taki sposób, żeby serwery przez które ta wiadomość idzie jej nie przeczytały. Rozmowy z kolegą ja szyfrować nie muszę, maila z banku już bym wolał mieć zaszyfrowanego, nawet jeśli to tylko oferta reklamowa :P

koneton   6 #9 20.01.2014 12:48

@marcinw2: A gdzie obalenie mitu o bezpieczeństwie WiFi z WPA/WPA2? Piszesz, że je obalisz i ani słowa o tym. Co do publicznego WiFi, to oczekiwanie od niego zachowania prywatności jest co najmniej śmieszne, zważywszy na to, że nawet nie wiesz przez co przechodzi. Niezależnie od tego, jak jest zabezpieczone, nic poważnego na nim robić się nie powinno. Nie przekonałeś mnie również w temacie potwierdzenia ze sklepu. Mail z listą zakupów i podsumowaniem cenowym jest doskonałym zabezpieczeniem na nieuczciwe sklepy i potwierdzeniem zawartej transakcji (bo sklep po wysłaniu wiadomości już nie da rady jej zmodyfikować). Nie ma sensu obawiać się tego, że zostanie to odebrane przez tajne służby, bo one i tak mają dostęp do tych danych - przecież większość rozwiązań chmurowych dla sklepów jest hostowana w Ameryce lub przez amerykańskie firmy.

drwaski   1 #10 20.01.2014 19:09

@MarekE Warto skorzystać z programu LBE Security Master, niestety konieczny jest root, w google play jest po chińsku ale jest też polska wersja na znanym forum. Gdy nie mamy "zrootowanego" urządzenia można jedynie sprawdzić uprawnienia aplikacji przy pomocy np. https://play.google.com/store/apps/details?id=com.bitdefender.clueful&hl=pl

dendrytus   5 #11 01.02.2014 13:59

Może zażyjcie ketrel w pigułkach lub trilafon w zastrzykach. Pomaga, przynajmniej choroba się nie nasila a i rodzina ma lepsze samopoczucie.

PS.
W NSA jest specjalny wydział, króry śladzie forumowiczów dobrychprogramów.

  #12 04.02.2014 10:45

Wniosek jest prosty-nie pisać o planowanych zamachach terrorystycznych czy jakichś tego typu.Oczywiście nie należy pod żadnym pozorem też pisać że się nie lubi władzy bo władza może zabić.