Backdoor’y w iOS’ach

Ostatnio zrobiło się głośno o lukach bezpieczeństwa czy wręcz backdoorach w iOS za sprawą odkryć  Jonathan’a Zdziarski’ego.

Opinia publiczna podchwyciła temat bardzo szybko. Wiadomo, bo Apple, bo szpiegowanie, bo inwigilacja, bo bezpieczeństwo…

Irytujące jest, że w tzw. wydawnictwach głównego nurtu zawsze zaczynają od chwytliwych tytułów, ściągają uwagę widza i czytelnika na najbardziej chwytliwe aspekty sprawy ale już nie zawsze wyjaśniają temat do końca.

DON’T PANIC

Before the journalists blow this way out of proportion, this was a talk I gave to a room full of hackers explaining that while we were sleeping, this is how some features in iOS have evolved over the PAST FEW YEARS, and of course a number of companies have taken advantage of some of the capabilities. I have NOT accused Apple of working with NSA, however I suspect (based on released documents) that some of these services MAY have been used by NSA to collect data on potential targets. I am not suggesting some grand conspiracy; there are, however, some services running in iOS that shouldn’t be there, that were intentionally added by Apple as part of the firmware, and that bypass backup encryption while copying more of your personal data than ever should come off the phone for the average consumer. I think at the very least, this warrants an explanation and disclosure to the some 600 million customers out there running iOS devices. At the same time, this is NOT a zero day and NOT some widespread security emergency. My paranoia level is tweaked, but not going crazy. My hope is that Apple will correct the problem. Nothing less, nothing more. I want these services off my phone. They don’t belong there.

Jeśli ktoś ma ochotę na merytoryczne dokończenie kwestii luk bezpieczeństwa w iOS oto dalsza część historii Zdziarskiego.

Apple Responds, Contributes Little


Krytycznie o rewolucji w rejestrach dłużników

Ministerstwo gospodarki prowadzi prace nad zmianami w ustawie o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych. Ten ważny akt prawny reguluje m.in. zasady przetwarzania danych o niespłaconych długach. Panoptykon krytycznie odnosi się do wielu propozycji ministerstwa. Uważamy, że planowana rewolucja w sposobie prowadzenia prywatnych rejestrów dłużników wpłynie negatywnie na poziom ochrony praw obywateli-konsumentów.


Projekt założeń przygotowywany przez resort gospodarki, określa nowe zasady prowadzenia rejestrów przez biura informacji gospodarczej (BIG-i). Jedna z ważniejszych zmian dotyczy momentu wykreślenia danych o przedawnionych długach konsumentów. Ministerstwo postuluje, żeby taka informacja była wykreślana rok po przedawnieniu wierzytelności. Rozwiązanie takie krytykuje m.in Urząd Ochrony Konkurencji i Konsumentów oraz Panoptykon. Uważamy, że osoba, która (zgodnie z prawem!) może uchylić się od spłacenia długu, nie powinna również ponosić negatywnych skutków związanym z wpisem w rejestrze.

Inną kontrowersyjną propozycją ministerstwa jest możliwość tworzenia przez BIG-i tzw. modeli predykcyjnych, czyli profili wskazujących na przyszłe (a więc niepewne) działania konsumenta. Dzięki takim profilom potencjalni wierzyciele będą mogli zdecydować, czy konkretnej osobie warto udzielać pożyczki. Jednak profilowanie opiera się na analizie korelacji statystycznych, a więc jest obarczone istotnym ryzkiem błędu. Może ono również prowadzić do stygmatyzacji i dyskryminacji. Naszym zdaniem trudno obecnie wskazać ważny interes publiczny, który uzasadniałby tak istotną ingerencję BIG-ów w sferę prywatności obywateli. Co więcej propozycje ministerstwa dotyczące profilowania są nieprecyzyjne i – w naszej opinii – nie zapewniają wystarczających gwarancji.

Zgodnie z projektem założeń, BIG-i nie będą miały obowiązku usuwania danych z rejestrów. Po 10 latach dane o konsumentach będą uznawane za informacje archiwalne i nie będą udostępnianie innym podmiotom. Ale nadal będą w posiadaniu BIG-ów. Uzasadnieniem dla takiego rozwiązania mają być – zdaniem resortu gospodarki – problemy techniczne związane z trwałym usunięciem danych z systemu. Co więcej, dane archiwalne będą miały wpływ na tworzenie profili konsumentów. Taka konstrukcja jest trudna do zaakceptowania, ponieważ BIG-i powinny przetwarzać tylko dane o aktualnych wierzytelnościach. Uwagę na ten problem zwracał również Generalny Inspektor Ochrony Danych Osobowych.

Projekt założeń przewiduje jednak prawo dłużników do sprzeciwienia się wpisaniu do rejestru. Ministerstwo proponuje specjalną procedurę reklamacyjną. Potrzebę wprowadzenia takiego rozwiązania kilkukrotnie zgłaszała Rzecznik Praw Obywatelskich. Resort gospodarki przewidział więc 21-dniowy termin na sprzeciw konsumenta i 30-dniowy na rozpatrzenie sprzeciwu przez odpowiednie biuro. Niestety, brakuje obecnie precyzyjnych kryteriów, na podstawie których biura miały by takie sprzeciwy rozpatrywać.

Wśród innych propozycji resortu gospodarki znajduje się możliwość pozyskiwania przez BIG-i danych z rejestrów publicznych – takich jak np. PESEL. Z kolei urzędy skarbowe, ZUS, samorządy czy inne organy będą mogły przekazywać do BIG-ów informacje o wierzytelnościach publicznych, np. niezapłaconych podatkach czy składach emerytalnych. To rozwiązanie również wymaga krytycznej oceny. Zgodnie z konstytucją władze publiczne mogą udostępniać tylko dane niezbędne w demokratycznym państwie prawa. Co więcej, organy publiczne muszą mieć precyzyjną podstawą prawną – wskazującą, kiedy oraz w jakim zakresie mają prawo przekazywać dane o należnościach. A tego w projekcie założeń nowej ustawy nie znajdziemy.

Opracowanie: Jędrzej Niklas

Stanowisko Fundacji Panptykon w sprawie projektu założeń do ustawy o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych [PDF]


Avast bought your phone on eBay & recovered what you thought you 'wiped' | VentureBeat | Security | by Ruth Reader

W zasadzie nikomu nie trzeba tłumaczyć jaką kopalnią wiedzy o właścicielu jest jego smartfon. Zastanawialiście się kiedyś czy wyczyszczenie danych i “wyzerowanie” do ustąwień fabrycznych smartfona daje bezpieczeństwo, że nasze dane nie trafią w niepowołane ręce np. po sprzedaży smartfona??

Zdziwicie się czytając ten artykuł…


OpenSSL od 2 lat dziurawe.

W kodzie OpenSSL od blisko 2 lat jest błąd, który pozwala przechwycić klucz prywatny używany przez serwery do szyfrowania ruchu.

Oficjalny komunikat :


OpenSSL Security Advisory [07 Apr 2014] ======================================== TLS heartbeat read overrun (CVE-2014-0160) ========================================== A missing bounds check in the handling of the TLS heartbeat extension can be used to reveal up to 64k of memory to a connected client or server. Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including 1.0.1f and 1.0.2-beta1. Thanks for Neel Mehta of Google Security for discovering this bug and to Adam Langley <agl@chromium.org> and Bodo Moeller <bmoeller@acm.org> for preparing the fix. Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS. 1.0.2 will be fixed in 1.0.2-beta2

Co robić:

Powstał specjalny serwis gdzie możecie sprawdzić potencjalnie zagrożone serwery:

image

No i w przypadku “pozytywnej” weryfikacji zdrowy rozsądek podpowiada:

  • Wymiana certyfikatu SSL na nowy 
  • Zmianę wszystkich haseł 
  • Skasowanie aktywnych tokenów sesyjnych na webserwerze 

Więcej doczytacie na niebezpiecznik.pl


Botnet PowerZeus

Już w lipcu 2013 roku do CERT Polska dotarły informacje kradzieży środków z kont polskich użytkowników przy użyciu nowego rodzaju malware. Pomimo, że używane przez ten malware techniki oraz aplikacja mobilna była znana już od kwietnia, to od lipca cybeprzestępcy zaczęli używać nowego botnetu jako kanał dystrybucji. Udało się ustalić, iż komputery ofiar zainfekowane są oprogramowaniem, które posiada możliwości podobne do znanego wcześniej malware’u ZeuS, m.in. modyfikacja treści strony po stronie klienta. Złośliwe oprogramowanie po tym jak użytkownik zaloguje się do systemu bankowego wykrada dane dostępowe oraz nakłania użytkownika do zainstalowania specjalnej, rzekomo przygotowanej przez bank aplikacji na telefonie z systemem Android. Mając kontrolę nad telefonem przestępcy mogą obejść zabezpieczenie polegające na potwierdzeniu zlecenia przelewu poprzez SMS z kodem autoryzacyjnym. W ten sposób wyprowadzają oni środki z kont zainfekowanych użytkowników. Poniższy raport opisuje każdy z elementów wykorzystanych przy opisanym procederze. Zawarte są zarówno ogólne informacje jak, techniczne szczegóły oraz zalecenia w jaki sposób radzić sobie z zagrożeniem.

O tym malware, zwanym KINS (od Kasper Internet Non-Security) lub PowerZeus informowano już wcześniej. Te dwie nazwy bywają używane zamiennie, chociaż niektórzy badacze rozróżniają oba rodzaje malware’u.



“Oprogramowanie i sprzęt elektroniczny do prowadzenia walki informacyjnej”

Tajemniczy  “ID29″ -  żal jaka amatorszczyzna poczynając od publikacji PDF, a kończąc na sformułowaniu “przetargu na wirusa”…

Za Niebezpiecznikiem:

Projekty [wszystkie objęte konkursem — dop. red.] są różne, głównie wsparcie straży granicznej, identyfikacja twarzy, nowe uzbrojenie dla armii. Wszystko to jest typowe, ale właśnie projekt “walki elektronicznej” jest nietypowy. W skrócie:

1. Zakłada on wytypowanie polskiej firmy która stworzy wirusa, który będzie infekował komputery (zarowno instytucji “wrogich” jak i postronnych ludzi), w celu stworzenia “botnetu” — armii komputerów za pomocą której będzie można paraliżować systemy informatyczne innych państw jak i doprowadzać do ataków typu DoS, czyli paraliżowania zagranicznych systemówinformacyjnych.

Przeczytajcie cały artykuł:

http://niebezpiecznik.pl/post/projekt-29-polski-wirus-wojskowy-na-zamowienie-mon/