13/11/2023
Pan Premier Donald Tusk coś nie ma szczęścia do kamer ostatnio. W zeszłym tygodniu Pan premier dał się nagrać podczas zakupów, dzięki czemu można było poznać szczegóły jego karty płatniczej. Dziś, podczas posiedzenia sejmu kamera uchwyciła moment kiedy Donald Tusk odblokowywał swój telefon.
KOD: ******
Internauci są zawiedzeni, że kod nie jest osmioznakowy ;) Ale żarty na bok. Wyciągnijmy z tej wpadki wnioski:
Politycy wciąż nie potrafią w bezpieczeństwo. Tym smutniej, że chodzi o naprawdę istotnego polityka…
Zwłaszcza, że taki akurat PIN jest jednym z pierwszych, które sprawdzają “łamacze” passcodów i narzędzia z dziedziny tzw. computer forensics stosowane choćby przez biegłych sądowych.
Dlatego premierowi — i każdemu kto musi odblokować telefon w miejscach publicznych, nie tylko pod okiem kamer, radzimy:
- Wariant łatwy: Włączyć obsługę FaceID. Celowo piszemy o FaceID a nie TouchID, czyli biometrii palca. Ataki na czytniki linii papilarnych w telefonach zostały zademonstrowane. Udanego ataku na aktualną implementację FaceID, bez twarzy właściciela, chyba do tej pory publicznie nie pokazano? Aha, jak ktoś nie jest VIP-em, to spokojnie TouchID mu wystarczy, raczej nikt nie będzie za zwykłym Kowalskim łaził i zbierał jego odciski palców ze szklanek lub klamek.
I oczywiście, że biometria twarzy ma swoje wady, o czym wspominaliśmy w tym artykule, ale jej implementacja, zwłaszcza na iPhonie, jest naprawdę sensowna. Odblokowując telefon twarzą nie ryzykujecie, że ktoś pozna Wasz “passcode”. A w sytuacji gdy biometria mogłaby stanowić zagrożenie (bo może), zawsze można ją szybko dezaktywować.
Zabezpiecz swojego smartfona
Jeśli chcesz dowiedzieć się jak bezpiecznie skonfigurować i korzystać ze swojego smartfona (iPhona, Androida) to rzuć okiem na nasz webinar — pokazujemy na nim co warto włączyć i jakie przydatne aplikacje podnoszące prywatność lub bezpieczeństwo doinstalować.
Do końca dnia z kodem TUSK dajemy na ten materiał 50% rabatu. Kod jest ważny tylko dziś, ale dostęp otrzymujesz na 30 dni, więc na pewno zdążysz się zapoznać z nagraniem. Tutaj bezpośredni link do webinaru dla posiadaczy Androidów, a tu link do webinaru dla posiadaczy iPhonów.
- Wariant trudniejszy: Kod blokady ekranu ustawić jako ciąg alfanumeryczny. Wtedy nawet na takim nagraniu jak powyżej, ciężej będzie ustalić jak brzmi “passcode/passphrase”.
- Wariant nierealny: Zasłaniać ekran podczas wpisywania kodu blokady. To się po prostu nie uda. Nawet jak będziecie się starali, nie zawsze starczy Wam wytrwałości, żeby to robić :)
Kod wyciekł, ale telefon dalej w rękach premiera
Dlaczego ujawnienie kodu blokady może być problemem nawet, jeśli nie ma się “fizycznie” czyjegoś telefonu? Z dwóch powodów.
Po pierwsze, praktyka pokazuje, że nawet ludzie, którzy korzystają z managerów haseł i pilnują żeby mieć różne hasła do różnych usług, PIN-y i kody numeryczne w aplikacjach ustawiają wszędzie prawie zawsze te same. Oczywiście nie mamy pewności, czy tak postępuje Donald Tusk i szczerze mamy nadzieję, że te sześć piątek, to tylko do tego jednego, służbowego telefonu, na którym nie ma żadnych prywatnych informacji.
Po drugie, coraz częściej słyszy się o tym, że złodzieje najpierw obserwują ofiarę, aby poznać kod blokady jej ekranu, a dopiero potem kradną smartfona (por. Ukradli jej zablokowanego iPhona. Dlaczego?). Mając kod, mogą nie tylko przejrzeć dane ofiary (spieniężyć dostęp) ale także odłączyć smartfona od chmury producenta, aby zarobić na jego sprzedaży.
A w przypadku polityka, jest jeszcze trzeci powód: polityk może (musieć) ten telefon zostawić w depozycie. Czasem tez poza granicami Polski…
Na koniec, dziękujemy Pan_Tarhei za przesłanie powyższego video i serdecznie przepraszamy Czytelników, że dwa ostatnie opublikowane u nas artykuły dotyczyły polityków (tego samego nawet). Ale mamy nadzieję, że walor edukacyjny się Wam przyda. Dla równowagi, chętnie byśmy napisali coś o kodzie blokady smartfona głównego konkurenta Donalda Tuska, więc jeśli ktoś z Was zauważy jak Jarosława Kaczyńskiego nagrywa jakaś kamera podczas odblokowywania smartfona, to prosimy o linka. Kaczyński z FaceID na pewno nie korzysta, bo wedle doniesień prasowych jego smartfon to Nokia 3310 (nie oryginalna, a unowocześniony remake z 2017)
PS. Zmiana tego passcode na 666666 nie rozwiąże problemu ;)
Weź udział z kolegami w jednym z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Mistrz!
Żona bez problemu poradziła sobie z TouchID męża kiedy ten przysnął w samolocie:
Na pokładzie samolotu odkryła romans męża. Pilot musiał awaryjnie lądować
https://podroze.onet.pl/aktualnosci/na-pokladzie-samolotu-odkryla-romans-meza-pilot-musial-awaryjnie-ladowac/d12htdc
Z kolei pewien specjalista od bezpieczeństwa opowiadał w niedawnym wywiadzie o dziecku, które aby sobie pograć na smartfonie mamy, podczas snu przykładało jej palec do telefonu i grało.
Właśnie dlatego napisaliśmy, żeby preferować biometrię twarzy. A żon, to się nie zdradza.
Warto pamiętać, że niezależnie od metody biometrycznej, awaryjnym sposobem odblokowania telefonu jest PIN. Oprócz zestawień najpopularniejszych haseł są również zestawienia najpopularniejszych PINów:
http://www.datagenetics.com/blog/september32012/
5555 jest na pozycji 13
@TouchID
ten awaryjny pin można i powinno się zmienić na hasło alfanumeryczne o długiej ilości znaków; wpisać raz na jakiś czas nawet polityk się nauczy, a na codzień może być FaceID
natomiast w przypadku celowanego ataku na znaną osobę w miarę realny wydaje się atak z użyciem sobowtóra :I
A jak jest z odblokowaniem smartwatchem / kluczem sprzętowym? Kto ma takie rozwiązania?
A dane logowania do strony prezesa rady ministrów za Tuska były admin, admin1. W czasie protestów przeciw ACTA komuś udało się ją przejąć
Wiemy, wiemy: https://niebezpiecznik.pl/post/strona-premiera-zhackowana-premier-gov-pl/
Jakby ktoś przypadkiem wszedł w posiadanie tej podejrzanej karty to można by przetestować piątki jako pin.
Z twarzą akurat w przypadku Tuska to też nie najlepsze zabezpieczenie. W odróżnieniu od przeciętnego kowalskiego jest pełno nagrań twarzy Tuska w wysokiej rozdzielczości, jestem ciekaw jak taki telefon by zareagował gdyby był otwierany na przeciwko monitora HD z takim nagraniem
Akurat FaceID dokonuje skanu 3D
Na podstawie filmów wysokiej rozdzielczości można przygotować naprawdę dokładny wydruk 3D. W przeszłości udawało się “łamać” FaceID za pomocą szczegółowych, a więc bardzo drogich wydruków. Pocieszającym jest to, że jeśli na zachodzie nikomu (chyba) nie chce się w to bawić, to znaczy, że zysk jest zbyt mały względem kosztów.
W jakimś filmie była scena, gdy ktoś próbował odblokować fajfona zdjęciem. Nawet na filmie się nie udało. FaceID to skan kształtu 3D twarzy, nie jej “płaskiego” wyglądu.
Jak testowano FaceId na pewnym lotnisku to facet obszedł system z przyklejonym wydrukiem do twarzy. Potem tłumaczono, że system i tak jest bezpieczny bo strażnik przecież zauważyłby człowieka z kartką. ;)
To nie było FaceId
A czy kamera sejmu nie powinna cenzurować takich informacji ? Chodzi przecież o bezpieczeństwo państwa.
Tylko że to leci na żywo. Jak dla mnie to mógłby być zakaz używania telefonów podczas obrad. Albo też zakaz trzymania na widoku jakichkolwiek danych wrażliwych (dotyczy to również dokumentów wydrukowanych) podczas takich obrad.
Jak w szkołach :)
Zakaz używania komórek.
“Mając kod, mogą nie tylko przejrzeć dane ofiary (spieniężyć dostęp) ale także odłączyć smartfona od chmury producenta, aby zarobić na jego sprzedaży.”
Znając kod PIN do telefonu niemożliwym jest odłączenie smartfona od chmury producenta – pyta o hasło do konta w celu autoryzacji i wylogowania :) Sam PIN nie wystarczy.
Przynajmniej w telefonach Apple.
Pokombinuj. Albo przeczytaj podlinkowane artykuł :)
Jak widać niczego się nie uczy. KIedy był premierem nagarno jego laptopa z naklejoną kartką z hasłem.
Wow! Ja myślałem że oni mają zarządzenie że korzystają z YubiKey:( Czyli ja chronię bardziej dane klientów w firamch i swoje dane i pracowników i projektów niż politycy dane o znaczeniu strategicznym.
Piotrze to bardzo smutny news…
Był udany atak na face id. Dosyć… trudny, ale nie niemożliwy. Właściwie to stało się to szybciej niż się spodziewałem.
https://arstechnica.com/information-technology/2017/11/hackers-say-they-broke-apples-face-id-heres-why-were-not-convinced/
Informowaliśmy o tym ataku u nas: https://niebezpiecznik.pl/post/maska-za-150-dolarow-obeszli-face-id-czyli-wbudowany-w-iphone-x-skaner-twarzy/ i wskazywaliśmy dlaczego nie jest realny do zrobienia, a może nawet i lekko zmanipulowany :)
Pamiętaj Piotrze, że Donald Tusk obecnie nie jest w rządzie i nie był w nim od 10 lat… jakie strategiczne dane może mieć na tym telefonie? Jest to zresztą jego prywatny telefon. Biorąc pod uwagę, że dotychczasowa opozycja i tak była hackowana przy pomocy Pegazusa, to nie ma raczej większego znaczenia czy ustawi sobie kod PIN taki czy też inny.
Jeśli myślisz, że używają YubiKey w rządzie, to może masz rację. Skrzynki pocztowe (rządowe) są zapewnie dobrze zabezpieczone… tak dobrze, że obecny rząd używał prywatnych skrzynek pocztowych, bo było im wygodniej (patrz wyciek mejli Dworczyka).
ale dopiszcie że o iPhone mówicie, bo na androidzie raczej odblokowywanie ryjkiem nie jest bezpieczne, i nie na wszystkich działa wyłączanie biometrii (OxygenOS od oneplus nie ma opcji lockdownu)
Jak dla mnie to trochę głupota, pomijam już sam banalny PIN i dywagacje na temat face id czy touch id. Każde zabezpieczenie jest dobre jeśli się do niego będziemy bezwzględnie stosować. A w przypadku obrad sejmowych nie wiem czemu nikt z doradców, nie wymyślił politykom obowiązku stosowania dobrych filtrów prywatyzujących na urządzeniach mobilnych. To bardzo utrudnia “podglądanie” nawet koledze z boku nie mówiąc już o kamerach.
Zagłuszacz powinni odpalać na sali, to nikt by po telefon nie sięgał. Hmm… tylko skąd by wiedzieli jak głosować? :D
PS Czy któryś producent ma wariant: PIN + twarz + palec?
Pin Jarosława to 8875, nie pytajcie skąd wiem.
Wcześniej miał cztery czwórki, teraz jak pięć piątek wyciekło zmieni na sześć szóstek. W ten sposób PIN coraz dłuższy a więc silniejszy.
Pytanie, czy droga redakcja N… dbając o bezpieczeństwo naszego narodu, po za wyśmiewaniem polityków, podjęła jakieś kroki by powiadomić o tych wpadkach osoby z otoczenia tych osób, by mogli podjąć jakieś kroki zaradcze?