Apple Should Have Abandoned NFC and Acquired LoopPay Instead by Johnatan Zdzierski

About Jonathan Zdziarski
Respected in his community as an iOS forensics expert, Jonathan is a noted security researcher, penetration tester, and hacker. Author of many books ranging from machine learning to iPhone hacking and software development, Jonathan frequently trains many federal and state law enforcement agencies in digital forensic techniques and assists law enforcement and the military in high profile cases. Jonathan is also inventor on several US patent applications, father of DSPAM and other language classification technology, and an App Store developer. All opinions expressed on this website are the author’s own. Follow Jonathan on Twitter: @JZdziarski
View all posts by Jonathan Zdziarski →

———————————————————————
Apple Should Have Abandoned NFC and Acquired LoopPay Instead
———————————————————————

Is it OK to admit that NFC exists now? Apple’s latest iPhone models now incorporate the near-field communications technology that’s been around in Android phones for a few years… and a little too late, according to many experts. Over a year ago, KPMG ran a story citing NFC had already run its course and was obsolete, lacking widespread adoption in the mobile industry (ironically, they removed this story after the iPhone 6 launch). Companies like PayPal have also tabled the idea of NFC and instead focused on convincing businesses to accept non-POS forms of electronic payments. In the widespread abandonment of NFC, in fact, many new and promising technologies have crept up in its place. Apple’s move to take this dinosaur and incorporate it into their bleeding edge line of products was an antiquated move in light of what they could have done, and the convenience it could have provided to consumers if they had instead looked at alternative technologies.


NFC’s failed adoption in the United States presents an uphill challenge for Apple to break into the contactless payments business, if anything, for the sheer fact that most retail stores aren’t even equipped with the technology – certainly not small businesses. As a consumer, you’ll go to the trouble of getting Apple Pay set up on your device only to find that many stores won’t be accepting it any time soon. For the next year or two, Apple Pay will be an unpredictable phenomenon in stores, at best, due to the lack of NFC hardware in retail.

Many alternative payment companies have attempted to work around NFC, rather than embrace it, with their own solutions that are more compatible with existing infrastructure. One of the best examples of this is LoopPay. LoopPay uses a technology called MST, Magnetic Secure Transmission, to perform contactless electronic payments from your iPhone, using a small fob that you hold up to the magnetic card reader at a store. It’s superior to NFC in that it works with the existing magnetic stripe reader technology making it compatible with virtually all existing POS infrastructure at stores. The consumer simply swipes their cards into the reader at home, then stores all of the data in their digital wallet. When you make a purchase, you just hold the fob up to the terminal, and it creates a magnetic field that makes the stripe reader think it read a card.

In contrast to MST, NFC requires an entirely new POS infrastructure for retail stores – at least in the United States, and that leaves Apple having to help foot the bill through backchannel deals, in order to roll out its new payment system. Had Apple acquired LoopPay, however, Apple Pay could have worked at all existing stores without any new infrastructure. MST could have been integrated with an Apple Pay account, tied to a banking institution, and seamlessly processed just like a credit card at any existing magnetic stripe terminal, with little risk.

Full post on Johnatan blog: http://www.zdziarski.com/blog/?p=3839


Analyzing Binaries with Hopper's Decompiler

abad1dea:

by abadidea - @0xabad1dea

(this is now also on the corporate blog with an expanded introduction: clickie )

No source code? No problem!

This is aimed at beginners in static analysis. The binary we examine is non-malicious and non-obfuscated, and is not run through the highest optimization settings of the compiler. We will start at line one and proceed linearly, just to get a feel for how to read decompiled code.

For this tutorial you will need a strong knowledge of C, only the slightest familiarity with assembly, the ability to understand Unix man pages, and Hopper Disassembler/Decompiler, which is $29. It is only for OSX, but it is literally cheaper to buy a Mac Mini and Hopper than the (naturally more mature and well-featured) x86 Hex-Rays decompiler. Heck, you could get an iMac and still have change for a coffee.

Hopper is a disassembler with a very-close-to-C “pseudocode” decompiler that does not roundtrip with your C compiler but is quite good for examining other people’s binaries. It supports both 32-bit and 64-bit executables for Windows and OSX (no Linux or iOS/ARM support yet). At the time of writing, the newest version is 2.2.0; the App Store is still holding it hostage for review, but you can also buy the app directly from the creator. It is still under active development, and (like every other decompiler) is not perfect, so learning how to spot when it goes awry is an important facet of making use of it.

(I am not affiliated with Hopper or its creator nor am I receiving a handsome sum to promote it. Honest.)


Backdoor’y w iOS’ach

Ostatnio zrobiło się głośno o lukach bezpieczeństwa czy wręcz backdoorach w iOS za sprawą odkryć  Jonathan’a Zdziarski’ego.

Opinia publiczna podchwyciła temat bardzo szybko. Wiadomo, bo Apple, bo szpiegowanie, bo inwigilacja, bo bezpieczeństwo…

Irytujące jest, że w tzw. wydawnictwach głównego nurtu zawsze zaczynają od chwytliwych tytułów, ściągają uwagę widza i czytelnika na najbardziej chwytliwe aspekty sprawy ale już nie zawsze wyjaśniają temat do końca.

DON’T PANIC

Before the journalists blow this way out of proportion, this was a talk I gave to a room full of hackers explaining that while we were sleeping, this is how some features in iOS have evolved over the PAST FEW YEARS, and of course a number of companies have taken advantage of some of the capabilities. I have NOT accused Apple of working with NSA, however I suspect (based on released documents) that some of these services MAY have been used by NSA to collect data on potential targets. I am not suggesting some grand conspiracy; there are, however, some services running in iOS that shouldn’t be there, that were intentionally added by Apple as part of the firmware, and that bypass backup encryption while copying more of your personal data than ever should come off the phone for the average consumer. I think at the very least, this warrants an explanation and disclosure to the some 600 million customers out there running iOS devices. At the same time, this is NOT a zero day and NOT some widespread security emergency. My paranoia level is tweaked, but not going crazy. My hope is that Apple will correct the problem. Nothing less, nothing more. I want these services off my phone. They don’t belong there.

Jeśli ktoś ma ochotę na merytoryczne dokończenie kwestii luk bezpieczeństwa w iOS oto dalsza część historii Zdziarskiego.

Apple Responds, Contributes Little


Krytycznie o rewolucji w rejestrach dłużników

Ministerstwo gospodarki prowadzi prace nad zmianami w ustawie o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych. Ten ważny akt prawny reguluje m.in. zasady przetwarzania danych o niespłaconych długach. Panoptykon krytycznie odnosi się do wielu propozycji ministerstwa. Uważamy, że planowana rewolucja w sposobie prowadzenia prywatnych rejestrów dłużników wpłynie negatywnie na poziom ochrony praw obywateli-konsumentów.


Projekt założeń przygotowywany przez resort gospodarki, określa nowe zasady prowadzenia rejestrów przez biura informacji gospodarczej (BIG-i). Jedna z ważniejszych zmian dotyczy momentu wykreślenia danych o przedawnionych długach konsumentów. Ministerstwo postuluje, żeby taka informacja była wykreślana rok po przedawnieniu wierzytelności. Rozwiązanie takie krytykuje m.in Urząd Ochrony Konkurencji i Konsumentów oraz Panoptykon. Uważamy, że osoba, która (zgodnie z prawem!) może uchylić się od spłacenia długu, nie powinna również ponosić negatywnych skutków związanym z wpisem w rejestrze.

Inną kontrowersyjną propozycją ministerstwa jest możliwość tworzenia przez BIG-i tzw. modeli predykcyjnych, czyli profili wskazujących na przyszłe (a więc niepewne) działania konsumenta. Dzięki takim profilom potencjalni wierzyciele będą mogli zdecydować, czy konkretnej osobie warto udzielać pożyczki. Jednak profilowanie opiera się na analizie korelacji statystycznych, a więc jest obarczone istotnym ryzkiem błędu. Może ono również prowadzić do stygmatyzacji i dyskryminacji. Naszym zdaniem trudno obecnie wskazać ważny interes publiczny, który uzasadniałby tak istotną ingerencję BIG-ów w sferę prywatności obywateli. Co więcej propozycje ministerstwa dotyczące profilowania są nieprecyzyjne i – w naszej opinii – nie zapewniają wystarczających gwarancji.

Zgodnie z projektem założeń, BIG-i nie będą miały obowiązku usuwania danych z rejestrów. Po 10 latach dane o konsumentach będą uznawane za informacje archiwalne i nie będą udostępnianie innym podmiotom. Ale nadal będą w posiadaniu BIG-ów. Uzasadnieniem dla takiego rozwiązania mają być – zdaniem resortu gospodarki – problemy techniczne związane z trwałym usunięciem danych z systemu. Co więcej, dane archiwalne będą miały wpływ na tworzenie profili konsumentów. Taka konstrukcja jest trudna do zaakceptowania, ponieważ BIG-i powinny przetwarzać tylko dane o aktualnych wierzytelnościach. Uwagę na ten problem zwracał również Generalny Inspektor Ochrony Danych Osobowych.

Projekt założeń przewiduje jednak prawo dłużników do sprzeciwienia się wpisaniu do rejestru. Ministerstwo proponuje specjalną procedurę reklamacyjną. Potrzebę wprowadzenia takiego rozwiązania kilkukrotnie zgłaszała Rzecznik Praw Obywatelskich. Resort gospodarki przewidział więc 21-dniowy termin na sprzeciw konsumenta i 30-dniowy na rozpatrzenie sprzeciwu przez odpowiednie biuro. Niestety, brakuje obecnie precyzyjnych kryteriów, na podstawie których biura miały by takie sprzeciwy rozpatrywać.

Wśród innych propozycji resortu gospodarki znajduje się możliwość pozyskiwania przez BIG-i danych z rejestrów publicznych – takich jak np. PESEL. Z kolei urzędy skarbowe, ZUS, samorządy czy inne organy będą mogły przekazywać do BIG-ów informacje o wierzytelnościach publicznych, np. niezapłaconych podatkach czy składach emerytalnych. To rozwiązanie również wymaga krytycznej oceny. Zgodnie z konstytucją władze publiczne mogą udostępniać tylko dane niezbędne w demokratycznym państwie prawa. Co więcej, organy publiczne muszą mieć precyzyjną podstawą prawną – wskazującą, kiedy oraz w jakim zakresie mają prawo przekazywać dane o należnościach. A tego w projekcie założeń nowej ustawy nie znajdziemy.

Opracowanie: Jędrzej Niklas

Stanowisko Fundacji Panptykon w sprawie projektu założeń do ustawy o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych [PDF]


Avast bought your phone on eBay & recovered what you thought you 'wiped' | VentureBeat | Security | by Ruth Reader

W zasadzie nikomu nie trzeba tłumaczyć jaką kopalnią wiedzy o właścicielu jest jego smartfon. Zastanawialiście się kiedyś czy wyczyszczenie danych i “wyzerowanie” do ustąwień fabrycznych smartfona daje bezpieczeństwo, że nasze dane nie trafią w niepowołane ręce np. po sprzedaży smartfona??

Zdziwicie się czytając ten artykuł…


OpenSSL od 2 lat dziurawe.

W kodzie OpenSSL od blisko 2 lat jest błąd, który pozwala przechwycić klucz prywatny używany przez serwery do szyfrowania ruchu.

Oficjalny komunikat :


OpenSSL Security Advisory [07 Apr 2014] ======================================== TLS heartbeat read overrun (CVE-2014-0160) ========================================== A missing bounds check in the handling of the TLS heartbeat extension can be used to reveal up to 64k of memory to a connected client or server. Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including 1.0.1f and 1.0.2-beta1. Thanks for Neel Mehta of Google Security for discovering this bug and to Adam Langley <agl@chromium.org> and Bodo Moeller <bmoeller@acm.org> for preparing the fix. Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS. 1.0.2 will be fixed in 1.0.2-beta2

Co robić:

Powstał specjalny serwis gdzie możecie sprawdzić potencjalnie zagrożone serwery:

image

No i w przypadku “pozytywnej” weryfikacji zdrowy rozsądek podpowiada:

  • Wymiana certyfikatu SSL na nowy 
  • Zmianę wszystkich haseł 
  • Skasowanie aktywnych tokenów sesyjnych na webserwerze 

Więcej doczytacie na niebezpiecznik.pl


Botnet PowerZeus

Już w lipcu 2013 roku do CERT Polska dotarły informacje kradzieży środków z kont polskich użytkowników przy użyciu nowego rodzaju malware. Pomimo, że używane przez ten malware techniki oraz aplikacja mobilna była znana już od kwietnia, to od lipca cybeprzestępcy zaczęli używać nowego botnetu jako kanał dystrybucji. Udało się ustalić, iż komputery ofiar zainfekowane są oprogramowaniem, które posiada możliwości podobne do znanego wcześniej malware’u ZeuS, m.in. modyfikacja treści strony po stronie klienta. Złośliwe oprogramowanie po tym jak użytkownik zaloguje się do systemu bankowego wykrada dane dostępowe oraz nakłania użytkownika do zainstalowania specjalnej, rzekomo przygotowanej przez bank aplikacji na telefonie z systemem Android. Mając kontrolę nad telefonem przestępcy mogą obejść zabezpieczenie polegające na potwierdzeniu zlecenia przelewu poprzez SMS z kodem autoryzacyjnym. W ten sposób wyprowadzają oni środki z kont zainfekowanych użytkowników. Poniższy raport opisuje każdy z elementów wykorzystanych przy opisanym procederze. Zawarte są zarówno ogólne informacje jak, techniczne szczegóły oraz zalecenia w jaki sposób radzić sobie z zagrożeniem.

O tym malware, zwanym KINS (od Kasper Internet Non-Security) lub PowerZeus informowano już wcześniej. Te dwie nazwy bywają używane zamiennie, chociaż niektórzy badacze rozróżniają oba rodzaje malware’u.