10:57
26/6/2019

Oto notatki do 21 odcinka naszego podcastu “Na Podsłuchu”, w którym poruszamy aktualne informacje ze świata cyberbezpieczeństwa i świata RTV.

Posłuchaj tego odcinka

Posłuchaj poprzednich i bądź informowany o następnych odcinkach

Bądź na bieżąco i zasubskrybuj nasz podcast w Twojej ulubionej aplikacji do podcastów. Po prostu wyszukaj tam “niebezpiecznik” lub “na podsłuchu“. Jesteśmy oczywiście w iTunes, na YouTube, oraz Spotify. Jak nas zasubujesz, to o kolejnych odcinkach będziesz informowany automatycznie przez Twój smartfon.

Linki do omawianych w tym odcinku zagadnień

W odcinku przywoływaliśmy m.in. poniższe zagadnienia:

  • Kuba(o)Libra (hehe, rozumiecie? jak Cuba-Libre, jak taki drink! śmieszne, nie?), czyli nowej kryptowalucie Facebooka. Czemu to wyszło. Po co to wyszło. Czy to dobre dla nas czy dla Facebooka?Marcin zastanawia się czy Fejs wycycka partnerów, tak jak zrobił to z wydawcami.
  • Piotrek o wyłączeniu wyszukiwania na Facebooku po tzw. grafie. I tym, że wcale nie został wyłączony “do końca“. Jest dodatek do przeglądarki w części przywracający zapytania na grafie i webaplikacja. Tu i tu opis jak to działa.
  • OSINT

    Piotrek opowiada o naszym najnowszym, 1-dniowym szkoleniu z OSINT-u (Open Source Intelligence), czyli tzw. Białym Wywiadzie.

    Szkolenie to tylko 1 dzień, więc nie tracimy czasu na mało istotne kwestie teoretyczne typu “czym jest OSINT?”. Od razu przechodzimy do praktyki pokazując konkretne narzędzia i techniki służące do zdobywania informacji na temat “celu” (osoby lub firmy) z setek ogólniedostępnych, choć nie zawsze dostępnych publicznie w internecie źródeł i baz danych. Dane o firmach i osobach pozyskujemy w ramach naszej pracy od ponad 12 lat, więc w to szkolenie nasycone jest autorskimi trickami i technikami.

    Szkolenie “OSINT: zaawansowane techniki pozyskiwania informacji na temat ludzi i firm (nie tylko z internetu)” jest idealne dla headhunterów, pracowników organów ścigania (policji, wojska, służb specjalnych i prokuratury), komorników, prywatnych detektywów i każdego analityka, którego praca polega na wyszukiwaniu informacji w internecie. W zasadzie, to każdy powinien mieć tą wiedzę. Nawet handlowcy, którzy chcą swoich klientów zaskoczyć dobrym przygotowaniem, nie mówiąc już o finansistach czy prawnikach, którzy szykują się do przejęć różnych firm. Zapraszamy też miłośników prywatności, aby wiedzieć jakich błędów nie popełniać i gdzie możecie zostawić ślady, które ktoś odnajdzie i wykorzysta przeciwko Wam.

    Zapraszamy na premierowy termin 5 września w Warszawie. Rejestracji można dokonać tutaj. Liczba miejsc ograniczona, więc kto pierwszy, ten lepszy!

  • Marcin o tym, jak uciekać przed Graph searchem na Facebooku (i ogólnie OSINT-em) w wykonaniu rekruterów.
  • Marcin o analizie raportu Rzecznika Finansowego. Czyli czymś co opublikowaliśmy już w tym artykule, opisującym co robić, jak ktoś okradnie Wam konto w banku.
  • O mechanice ataku “na dopłatę” i tym czy to ofiary są “kretynami”, czy banki mogłyby jednak trochę wyraźniej ostrzegać klientów o tym co się dzieje na ich koncie.
  • Czy 2FA (U2F) podczas logowania do banku jest faktycznie potrzebne? Czy nie będzie to zbyt duży (i zbędny) wysiłek dla klientów dający niezbyt dużą ochronę? Ważniejsza prywatność czy pieniądze? I czy tych danych (w przypadku firm przynajmniej) nie dałoby się pozyskać z innych źródeł (np. biur rachunkowych). A może lepiej ogarnąć to już posiadaną przez klienta kartą i dodatkowym czytnikiem, jak w UK?
  • Jak będą niebawem lokalizowane iPhony, nawet jeśli ktoś po kradzieży złodziej wyciągnie kartę SIM? Po BlueTooth za pomocą innych urządzeń Apple w okolicy. Fajne, fajne. Ale Bluetooth to coraz bardziej “krowiasty” protokół, gdzie łatwo o pomyłkę i jak ma działać w tle cały czas na wszystkich iPhonach (żeby to miało sens, musi) to może się okazać, że powiększamy sobie powierzchnię ataku. I to zdalnego… Z drugiej strony, na Androidach Wi-Fi działa nawet po wyłączeniu (dla pewnych usług systemowych).
  • Piotr o pierwszym sprzętowym keylogerze. W maszynach do pisania (elektronicznych) firmy IBM. Z 1970 roku. Sowieci wbudowywali go w maszyny i poprzez analizę magnetyczną ruchu głowicy maszyny do pisania, ustalali jaka litera jest wbijana (z dużym prawdopodobieństwem). A potem zdalnie przesyłali to radiowo do okolicznego odbiorcy. I to w supersprytny sposób. A jakby tego było mało, korzystali potem z rachunku prawdopodobieństwa, żeby wyeliminować błędy w odczycie liter przez keyloggera. Implant był odporny na skanowanie za pomocą wykrywacza złącz nieliniowych. W tle tej historii jest to, jak bardzo Amerykanie nie zwracali uwagi na swoje urządzenia i zabezpieczanie przesyłek do ambasady.
  • Piotr przypomina też pierwszy pasywny podsłuch, The Thing, który już w 1945 roku służył Rosjanom do podsłuchiwania zagranicznych polityków. Nie był zasilany, ale nadawał — jak? Rosjanie kierowali na The Thing wiązkę fal elektromagnetycznych i w ten sposób wzbudzali The Thing do działania, a przez odbicie fali odbierali “zapis dźwięku”. Gdyby ktoś chciał sobie poćwiczyć takie ataki, to dziś może to zrobić za pomocą modułu RTL-SDR i monitora. Marcin przypomina, że pisaliśmy na Niebezpieczniku o podglądaniu mikrofonami.
  • Marcin mówi o antiwirusie McAfee na telewizory, a raczej SmartTV. Czy to ma sens? Piotr przypomina o dokumentach CIA, które publikowało WikiLeaks, a które ujawniły projekt podsłuchiwania ludzi przez SmartTV

 

Archiwalne odcinki

Aby zapoznać się z poprzednim odcinkami odwiedź stronę podcastu “Na Podsłuchu”. Znajdziesz na niej player pozwalający odsłuchać wszystkie odcinki oraz listę linków do postów z dodatkowymi informacjami dla każdego z poprzednich odcinków (m.in. ze spisem omawianych artykułów oraz narzędzi).

Strona podcastu Na Podsłuchu

Zapisz się na kolejne odcinki

Aby otrzymywać kolejne odcinki naszego podcastu, zaraz po tym jak zostaną opublikowane, zasubskrybuj nas przez:

Będziemy też superwdzięczni, jeśli ocenisz nasz podcast na 5 gwiazdek. Dzięki temu “zhackujesz” algorytm poleceń i więcej osób będzie w stanie nas usłyszeć, a w konsekwencji zabezpieczyć się przed internetowymi oszustwami. Win – Win.

Do podsłuchania!

Przeczytaj także:

13 komentarzy

Dodaj komentarz
  1. Dziękuję za kolejny dobry podcast.

  2. Jak zawsze dobry materiał :-)

  3. Z kredytami nigdy tego nie zmienią bo to najlepszy jak dotąd wymyślony sytem niewolnictwa. Jeżeli go ucywilizują to stracą dopływ niewolników na plantację bawełny a tego bardzo nie chcą.

  4. Świat idzie do przodu, zagrożenia też.

  5. Logowanie dwustopniowe jest też dostępne w T-Mobile Usługi Bankowe.

  6. Ale skoro mamy kupować czytniki do autoryzacji przelewu kartą, to możemy to robić równie dobrze e-dowodem. Przynajmniej będzie jeden „token” i jeden standard dla wszystkich banków. A „challenge” i tak można zrobić (wiele czytników ma PIN-pady).

  7. Logowanie dwustopniowe jest też w byłym BZWBK, przez aplikację.

  8. Kilka łądnych lat temu jeden z banków miał 2FA przy uwierzytelnieniu. Przyszedł nowy właściciel i opcja została wyłączona właśnie dlatego, że niewiele wnosiła pod względem wykradania pieniędzy. Temat wykradania informacji jest tematem oddzielnym. Akurat to można załatwić poziomami dostępu – na przykład domyślnie masz wgląd w transakcje z 30 dni, a jak chcesz więcej, podaj kod.

    Druga sprawa to nieprzestrzeganie procedur. Jeśli bank sobie wylicza, że implementacja procedury kosztuje X a straty Y i X >> Y to wcale mnie nie dziwi, że woli po prostu odłożyć Y na ewentualne pokrycie fraudów. To jest normalne zarządzanie ryzykiem i jakoś mnie nie bulwersuje. Bulwersowałoby mnie natomiast podejście “nie implementujemy X a klienci niech idą na /dev/drzewo” i to jest poniekąd to, co opisywaliście w innym artykule.

  9. Logowanie 2FA jest np w Credit Agricole, jeśli ktoś jest dinozaurem i nadal korzysta z tokena sprzętowego. Nie jest to może najwygodniejsze rozwiązanie, na phishing nadal jest podatne, ale zawsze to jakaś dodatkowa warstwa zabezpieczająca. Token jak Ci zniknie to zauważysz, zwłaszcza jak go nie nosisz ze sobą tylko leży zawsze w tym samym miejscu.

    • ZADEN z najwiekszych amerykanskich bankow nie ma 2FA. Wiecie dlaczego?

  10. Od kilku wersji iOS szybki wyłącznik bluetootha tylko odłącza urządzenia pozostawiając go włączonego w ustawieniach. Pewnie zrobili to z myślą przyszłej funkcji findmyiphone.

  11. Jesli chodzi o 2FA przy logowaniu do bankow, to np. coraz wiecej niemieckich bankow, w ramach wprowadzania dyrektywy PSD2, wymaga teraz 2FA w przypadku logowania z desktopa (ale nie z wczesniej uwierzytelnionego urzadzenia mobilnego).

Odpowiadasz na komentarz Paweł Goleń

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: