» »

Mala šola informacijske varnosti

Mala šola informacijske varnosti

jype ::

Okapi> Samo to je v bistvu čisto drugo področje kriptografije. Nekaj je, če si prizadeveš doseči, da se ne more nihče lažno izdajati zate, nekaj precej drugega pa, če nočeš, da kdorkoli izve, kdo si. V bistvu gre za ravno obratni težnji.

Ampak dokler je sporočilo tajno (pri izmenjavi ključev je to temeljna zahteva) ne moreš vedeti, za katero od teh reči gre.

Matija82 ::

Matthai, Cryptocat ?

Aja pa protop, poglejte, če je "logging enabled by default" v odjemalcu. Če seveda delate nekaj prepovedanega, prosto po Okapiju ;)

fosil ::

Zanimiva novica na to temo
Veno Taufer: "Meni in Društvu slovenskih pisateljev prisluškujejo"
Ampak po Okapiju gre verjetno za kriminalce in teroriste :)
Tako je!

PaX_MaN ::

No no, "nenadne okvare [njegovega] telefona" pa res niso pokazatelj, da bi (ko)mu prisluškovali. Sploh ker za prisluškovanje ne rabijo tikat telefona.:P

Okapi ::

Ampak po Okapiju gre verjetno za kriminalce in teroriste
Seveda, tisti, ki prisluškujejo, so kriminalci. A mogoče niso? Proti njim se je treba boriti s pravno državo, ne s skrivanjem.

O.

Matija82 ::

Ne razumem ljudi, ki javno jambrajo o prisluškovanju in potem na eksplicitno postavljeno vprašanje "Kdo ?" odgovorijo "Vprašajte jih".

Smo pa spet pri vohunskih filmih, ko v slušalki škripa, telefon crkuje, itd.

lambda ::

Okapi je izjavil:

Ampak po Okapiju gre verjetno za kriminalce in teroriste
Seveda, tisti, ki prisluškujejo, so kriminalci. A mogoče niso? Proti njim se je treba boriti s pravno državo, ne s skrivanjem.

Čakaj malo, nedavno nazaj si se v neki temi zavzemal za razširitev pooblastil organom pregona ...

Ti torej predlagaš, da če mi kriminalci kradejo stvari iz hiše, naj mirno gledam, da jih bo pravna država zašila, namesto da bi zaklenil hišo?

black ice ::

lambda je izjavil:

Okapi je izjavil:

Ampak po Okapiju gre verjetno za kriminalce in teroriste
Seveda, tisti, ki prisluškujejo, so kriminalci. A mogoče niso? Proti njim se je treba boriti s pravno državo, ne s skrivanjem.

Čakaj malo, nedavno nazaj si se v neki temi zavzemal za razširitev pooblastil organom pregona ...

Ti torej predlagaš, da če mi kriminalci kradejo stvari iz hiše, naj mirno gledam, da jih bo pravna država zašila, namesto da bi zaklenil hišo?

Kaj pa če ti kradejo stvari iz hiše kljub temu, da si zaklenil hišo?
Jaz bi jih prebutal, vendar mi pravna država tega ne dopušča. :/

jype ::

Če pokličeš policijo in rečeš da si postrelil par vlomilcev, pridejo takoj.

Matthai ::

Okapi je izjavil:

bistvu je. Primarni namen kriptografije je, da lahko nekaznovano počneš nekaj prepovedanega. Ker če ni prepovedano, načeloma ni treba skrivati.

Hmm, zakaj pa potem vojska in diplomacija skrivata državne skrivnosti? Pa zakaj se v GSM omrežju skriva vsebina pogovorov, ki se prenašajo "po zraku"? Pa zakaj spletne banke skrivajo tvoje transakcije pri prenosu čez omrežje?

Hočeš reči, da vojska in diplomacija počneta same prepovedane stvari? ;)

BTW, ti svojega "pimplna" tudi razkazuješ v javnosti? Mislim, če ni prepovedan, ga ni treba skrivati? Če je pa prepovedan, se pa sprašujem kako to, da ga lahko poseduješ?? >:D
All those moments will be lost in time, like tears in rain...
Time to die.

llama ::

jype ::

They're all slaves, so no arms, no triumph.

Daedalus ::

Meni pa zgleda Okapi hudo sumljivo. Ziher kje uporablja https... le kaj ima za skrit?
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

jype ::

Na slo-techu ga zihr.

Ampak verjetn gre samo za poslovne skrivnosti :)

Okapi ::

zakaj pa potem vojska in diplomacija skrivata državne skrivnosti?
Ja, to se nekateri na veliko sprašujejo (oziroma sprašujemo). Vojsko bi morali ukiniti, diplomacija pa bi morala biti transparentna in javna. O tem so začeli razmišljati že v časih francoske revolucije.

O.

llama ::

Okapi je izjavil:

zakaj pa potem vojska in diplomacija skrivata državne skrivnosti?
Ja, to se nekateri na veliko sprašujejo (oziroma sprašujemo). Vojsko bi morali ukiniti, diplomacija pa bi morala biti transparentna in javna. O tem so začeli razmišljati že v časih francoske revolucije.


Brez vojske lahko vsaka mala baraba terorizira ljudi. Kakorkoli obrneš, nad vojsko imaš kot državljan vsaj nekaj nadzora in nekaj pravic in je zatorej boljša možnost.

Brez tajnosti diplomacije pa niso možna pogajanja, ker dokler ni dogovora, ne moreš pred lastno javnostjo pokazati nikakršnega popuščanja.

Ni problem tu tajnost, problem so kvečemu osebni in poklicni standardi ljudi, ki predstavljajo posamezno državo.

Okapi ::

ne moreš pred lastno javnostjo pokazati nikakršnega popuščanja.
To je precej pogosto zmotno prepričanje. Dejstvo je, da z odprtimi kartami v povprečju dosežeš več - seveda pod pogojem, da obe strani igrata z odprtimi kartami.

O.

llama ::

Okapi je izjavil:

ne moreš pred lastno javnostjo pokazati nikakršnega popuščanja.
To je precej pogosto zmotno prepričanje. Dejstvo je, da z odprtimi kartami v povprečju dosežeš več - seveda pod pogojem, da obe strani igrata z odprtimi kartami.

O.

Lej, se dva diplomata pogajata, pa pove prvi drugemu "če bi ponudili/sprejeli xyz, bi se lahko dogovorili". Ta diplomat ve, kako priti do kompromisa, ampak nima pooblastil da to "javno" izjavi. Če tajnost ni zagotovoljena, te informacije drugi ne sme dobiti...

jype ::

llama> Brez tajnosti diplomacije pa niso možna pogajanja, ker dokler ni dogovora, ne moreš pred lastno javnostjo pokazati nikakršnega popuščanja.

Tudi jaz sem prepričan, da to ne drži. Jaz se vedno pogajam odprto, seveda pa to pomeni, da so mi nekatere metode nedostopne.

llama> Lej, se dva diplomata pogajata, pa pove prvi drugemu "če bi ponudili/sprejeli xyz, bi se lahko dogovorili". Ta diplomat ve, kako priti do kompromisa, ampak nima pooblastil da to "javno" izjavi. Če tajnost ni zagotovoljena, te informacije drugi ne sme dobiti...

Če ljudje ne podpirajo kompromisov, potem se jih pač ne sklene. Ampak večina Slovencev nas je podprla arbitražni sporazum, ker je vztrajanje na nerešenem vprašanju daleč najbolj bedasta možna od vseh rešitev.

Zgodovina sprememb…

  • spremenilo: jype ()

llama ::

jype je izjavil:


Če ljudje ne podpirajo kompromisov, potem se jih pač ne sklene. Ampak večina Slovencev nas je podprla arbitražni sporazum, ker je vztrajanje na nerešenem vprašanju daleč najbolj bedasta možna od vseh rešitev.

Ampak Hrvaška je bila vendar "prijateljska država". Pogajanja SFRJ z Italijo niso bila javna (pa ne samo zaradi komunizma).

jype ::

llama> Ampak Hrvaška je bila vendar "prijateljska država".

Kar se tiče tistih, ki so bili proti, očitno ne.

llama ::

Dnevnik: Pentagon se je po pomoč obrnil na računalniške hekerje
Zaradi vse večjega strahu pred spletnimi napadi in ker nimajo dovolj usposobljenih tehnikov, da bi se borili proti tem grožnjam, se je ameriško obrambno ministrstvo odločilo, da bo rekrutiralo računalniške hekerje.

Matthai ::

To ni prvič.

Pa pred leti se je dokaj slabo končalo, če se spomnim... :))
All those moments will be lost in time, like tears in rain...
Time to die.

llama ::

Matthai ::

Evo, še ena informacija, ki bo sicer tema enega prihodnjih prispevkov.

Ravnokar sem uspešno stestiral storitev Silent Circle, ki omogoča šifrirane telefonske pogovore. Tehnično zadeva deluje preko SIP protokola in sicer preko SIP centrale podjetja, ki to storitev trži. Na vsaki strani potrebujemo SIP odjemalca (na voljo za PC-je, Android in iPhone), ki zna šifrirati z ZRTP protokolom. Gre torej za podatkovni prenos. Sicer so na voljo tudi odprtokodni odjemalci, vendar je Silent Circle razvil svoj software, ki vsebuje tudi sistem verifikacije ključev.

Ob registraciji (cena je kar visoka - 20 USD za en mesec - kupiti je mogoče naročnino za minimalno 3 mesece, ob nakupu pa dobiš še dodatno enomesečno naročnino gratis) dobiš ameriško telefonsko številko, na katero potem kličeš.

Ko pokličeš, se najprej vzpostavi zveza, izmenjajo se šifrirni ključi in potem je le-te potrebno verificirati. Od tu dalje je telefonska zveza varna - kakršnokoli prisluškovanje vmes (vključno s prisluškovanjem na telefonski centrali) je popolnoma nemogoče.

V glavnem, včeraj sem se registriral in skušal vzpostaviti prvo zvezo, vendar je SIP signalizacija očitno šla skozi, podatkovni del (voice) pa ne. Kot sem danes ugotovil je bil verjetno problem v preveč restriktivnem firewallu na Wi-fi omrežju. Zadevo sem nato stestiral še na HSDPA, 3G in EDGE omrežju in lepo deluje (na EDGE sicer nekoliko slabše). Kvaliteta zvoka je precej dobra (očitno uporabljajo dobre kodeke), malce moteč pa je zamik, ki lahko traja tudi do ene ali dveh sekund. Ampak dejansko se da pogovarjati.

Prvi klic je bil na njihovo podporo v ZDA, po parih ringih se je oglasila ženska iz support centra in hitro sva rešila začetne težave. Sledilo je še par testnih klicev med mano in kolegom, med drugim en daljši, ko je bil kolega na svojem domačem Wi-fi-ju, jaz pa v avtu na 3G omrežju. Zadeva definitivno deluje. Občutek, da se pogovarjaš po zvezi, ki ji je nemogoče prisluškovati pa je naravnost fantastičen. Dejansko je to treba preizkusiti. :)

Če zraven prištejemo še rootan Android 4.2, ki ima vključeno 128-bitno AES šifriranje pomnilnika, je to to.

Zadevo bom naslednji teden še precej temeljito testiral, ampak dejansko varne komunikacije postajajo široko dostopne. Vmes sem se sicer tudi nekaj igral z brezplačnimi SIP accounti, preko katerih sem fural SRTP in občutek imam, da bi se podobno zadevo dalo izvesti tudi s povsem brezplačnimi orodji.

Še malo tehničnih zapažanj. Današnje testiranje je požrlo slabih 8 Mb podatkovnega prenosa, baterija pa zdrži en dan. Poraba baterije v bistvu ni tak problem, sploh ker sama aplikacija ni preveč velik porabnik baterije. Sicer bom videl konec meseca, ampak takole na okroglo bi za precej čvekanja 1Gb paket moral več kot zadostovati.

Dobrodošli v prihodnosti. Strah pred teroristi pa pustimo za stare mame in majhne otroke. ;)
All those moments will be lost in time, like tears in rain...
Time to die.

Matija82 ::

Vedno me bega čemu rešitve, ki se tičeje anonimizacije ne vključujejo plačila preko BitCoina. It kind of makes sense, no ?

V primeru sodnega naloga, kakšne operativne podrobnosti lahko Silent Circle izroči ? Zgolj račun o nabavi storitve ali tudi (prometne) podatke ?

Zgodovina sprememb…

  • spremenilo: Matija82 ()

Matthai ::

Verjetno račun o nabavi in prometne podatke. Vsebine pa pač ni. Tukaj se seveda ščiti vsebino, ne prometnih podatkov.
All those moments will be lost in time, like tears in rain...
Time to die.

kunigunda ::

Jest mam vedno fantasticen obcutek ko se pogovarjam po GSM, ker vem da mi NE prisluskujejo, ker me nimajo za kaj :)

Okapi ::

Strah pred teroristi pa pustimo za stare mame in majhne otroke.
Strah pred groznim Velikim Bratom pa pustimo paranoikom, teoretikom zarote in velikim otrokom.>:D

O.

Matthai ::

kunigunda je izjavil:

Jest mam vedno fantasticen obcutek ko se pogovarjam po GSM, ker vem da mi NE prisluskujejo, ker me nimajo za kaj :)

Saj vemo, da si nepomemben, ja. :D
All those moments will be lost in time, like tears in rain...
Time to die.

kunigunda ::

Verjem da tebe tud ne :)

Matthai ::

Hehe, pozabljaš, da jaz zadeve poznam tudi iz druge strani. Saj si bral prispevek o hekanju GSM telefonije, ne? ;)

Anyway rekel sem, da je "občutek, da se pogovarjaš po zvezi, ki ji je nemogoče prisluškovati" fantastičen. Nikjer ne trdim, da kdo komu prisluškuje. Trdim pa, da je ZRT šifriranim komunikacijam nemogoče prisluškovati. In to, da je to danes možno in da je to široko dosegljivo - to je tisto, kar je fantastično. Obstoj tehnologije torej.
All those moments will be lost in time, like tears in rain...
Time to die.

kunigunda ::

Jaz jih poznam z vec kot dveh strani v detajle :)
Kljub temu da je "siroko dosegljivo" jih bos zelo malo nasel, ki jim je dejansko konkretno kaj ratalo tako da ni za bati tud najhujsim paranoikom :) Vec kej konkretnega zves o nekomu, ce zgolj malo posrfas forum :P

Matthai ::

No ja. Morda ne spremljaš dogajanja na tem področju, ampak Osmocom telefone se da enostavno predelati v IMSI catcher. Če pa v hardwer investiraš slabih 150 EUR, pa dobiš zelo spodobno zverino, ki je predvsem bistveno bolj zanesljiva od Calypso boarda.

GUI napisat, pa tudi ni tak velik problem. Dejansko se da z nekaj malega truda poskriptati zadeve na tak način, da rabiš "par klikov" in imaš tarčo označeno ter jo začneš spremljati.

Po drugi strani... pravi IMSI catcherji na črnem trgu tudi za Slovence niso tako nedosegljivi...
All those moments will be lost in time, like tears in rain...
Time to die.

kunigunda ::

Jest brez tega dobim imsi/key :)

Matthai ::

Jah, če delaš pri operaterju ali pri policiji to lahko dobiš. Ne bom rekel, da brez težav (pa verjetno je treba podpisat kup NDA-jev in iti na varnostno preverjanje po ZTP, itd...), ampak da se pa. Je pa to omejeno na relativno zaprt krog oseb.

Obstaja še HLR lookup, ki so ga pa pri Mobitelu zvito popravili. ;)

Anyway. Point je v tem, da je GSM tehnologija varnostno šibka in na nekaterih področjih prav obupno zastarela in da ima namerno vgrajene pomankljivosti. ZRTP šifriranje po drugi strani teh pomankljivosti nima (OK, pustimo ob strani varnost terminalnih naprav), tehnologija je na voljo brezplačno in postaja široko dosegljiva (z razširjenostjo smartphonov in podatkovnih povezav).

In to je tisto, kar navdušuje. 8-)

Zakaj to uporabljati ali zakaj ne uporabljati je drugo vprašanje. In niti ni tema tele debate. How, not why.
All those moments will be lost in time, like tears in rain...
Time to die.

Zgodovina sprememb…

  • spremenil: Matthai ()

kunigunda ::

Ne delam nikjer kjer si napisal :)

Drgac pa ne, ne rabis nic podpisvat, folk ki dela pri operaterju v tehniki ima komot dostop do takih podatkov (fraud oddelki jih namrec nimajo :)

Zgodovina sprememb…

Matthai ::

Dobro, IMSI ni tak problem, ampak, da dobiš Ki "kar tako" pa resno dvomim.
All those moments will be lost in time, like tears in rain...
Time to die.

kunigunda ::

Nisem rekel da kar tako. Malo truda je vendarle potrebno :)

Matthai ::

Ja, ampak to ni dostopno vsakomur. Ki je namreč zapisan na SIM kartici in se ga načeloma ne da skopirati dol (vsaj pri novejših karticah je to razmeroma zapleten postopek, ki z verjetnostjo 40% tudi uniči SIM kartico. Druga lokacija Ki ključa pa je HLR register.

Do njega pa ni kar tako dostopa, tako da verjetno malo pretiravaš. Kot rečeno - zaposleni (z ustreznimi pooblastili - omejen krog oseb) pri operaterju ima dostop do HLR registra, vendar načeloma Ki ključev nima kaj rabit. Policija, SOVA in VOMO pa imajo dostop do HLR registra preko odredb (se pravi spet omejen dostop), vendar vsaj policije razen IMSI številke ponavadi ne zanima kaj drugega. Ki bi dejansko rabil le v zelo omejenih okoliščinah, predvsem, če bi hotel nezakonito prisluškovati ali pa če bi hotel izvajati identity spoofing.

Tako da bi rekel, da morda celo nekaj na pol na pamet govoriš... ;)
All those moments will be lost in time, like tears in rain...
Time to die.

kunigunda ::

Nope. Ne rabis ne do sim kartice ne do hlrja dostopa :) Ne bi prevec razlagal, sploh na forumu, ker nocem da rata "splosno dostopno".

Policija,sova itd nimajo dostopa do hlr registra na noben nacin. Kljuc je sicer zapisan v Auc registru, ki je ponavadi del funkcionalnosti Hlr-ja, vcasih pa celo posebej skatla.

enadvatri ::

Sanja se mi o že precej časa javni tajni. Več fantov z operaterjev me je na to opozorilo, prvič na eni iBloc konferenci v Portorožu l. 2007. Prav tako na isti konferenci še o drugih zanimivih pripetljajih.

kunigunda ::

O kakih pripetljajih pa je blo govora Matija ?

enadvatri ::

kunigunda je izjavil:

O kakih pripetljajih pa je blo govora Matija ?


Posodobitvah aktivne opreme na daljavo s strani proizvajalca. 8-)

Zgodovina sprememb…

kunigunda ::

Preko OTA ali kako drugace ?

enadvatri ::

kunigunda je izjavil:

Preko OTA ali kako drugace ?


Ne, preko znancev - imenujmo jih - fantov iz Simobila. Leta 2007 v Portorožu sem za to izvedel.

Zgodovina sprememb…

kunigunda ::

Ne vem cist dobr na kaj ciljas...

Daedalus ::

Backdoor by human intervention, IMHO.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

kunigunda ::

No sej, to je ota...

kunigunda ::

Ne vem pa kolk ma OS nadzora nad radio delom pri androidih, pomoje ravno tok velik, da lohk v source kodi OS-a komot opazis "nepravilnosti" in da potemtakem s prvim upgrejdom OS-a povozis te "luknje". Vem pa da so Izraelci veselo dajali to v nekatere starejse telefone/os-e in preko ote vkljucevali/izkljucevali mikrofon na telefonu...


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

brisanje diskov

Oddelek: Informacijska varnost
474792 (3270) peko_deko
»

Zaščita datotek

Oddelek: Pomoč in nasveti
171545 (954) fosil
»

Uporaba TrueCrypt

Oddelek: Programska oprema
122454 (1437) Jupito
»

Intel Sandy's AES, trdi disk, izkušnje...

Oddelek: Informacijska varnost
192521 (2090) Matthai
»

[TrueCrypt] Enkripcija in obremenitev trdih diskov?

Oddelek: Informacijska varnost
433107 (2171) Matthai

Več podobnih tem