- jakiś "hardened android" który będzie w pełni open source z dużym bug bounty i zespołem "kontrolującym wersję krajową" instalowaną na podzespołach również open source i produkowanych w kraju?
- zapłacić Apple i liczyć że nie dadzą backdoora nikomu poza USA i liczyć że USA nie upadnie ani się nie spierdoli, co tworzy z nas puppet state, ale w sumie taki w którym nie żyje się mega tragicznie?
zapraszam do dyskusji #programowanie #polityka #cybersecurity #android #iphone
chciałbym zaprosić honorowo jednego z bardziej aktywnych użytkowników @dsoll z racji posiadania szerokiej wiedzy w poruszanej tematyce.
@wombatDaiquiri może nokia 3310
@roadie nierealne. Chyba że chcesz skończyć w informacyjnej bańce osób dookoła. Moim zdaniem jako polityk MUSISZ przeglądać newsy.
@wombatDaiquiri no ale nie musisz tego robić z telefonu. Ale ekspert @entropy_ juz wspomniał niżej że nokia też jest do zhakowania
@roadie no dobra, to jaki komputer i system operacyjny? Tails na jednorazowych kartach pamięci wpinanych do wymienianych między posłami laptopów? ( ͡° ͜ʖ ͡°)
jaki komputer i system operacyjny?
@roadie @wombatDaiquiri żaden
W najgorszym przypadku będzie tak
#pegasus to jak się przed tym zabezpieczyć?
@wombatDaiquiri nie używać telefonu.
Pegasus na apple używał tak pokrętnej logiki, że mózg puchnie. Na każdy system prędzej czy później znajdzie się jakiś 0day.
Jak będziesz używał starej Nokii to znowu albo masz łączność tylko 2g, gdzie szyfrowanie w locie można teraz złamać, albo nowszy fon z softem nie łatanym od 10 lat.
Jak się ktoś uprze to zawsze zobaczy to co chce.
@entropy_ no to ja właśnie zastanawiam się gdzie możemy dojść najdalej na spektrum od poufnych maili na wp.pl do matematycznego dowodu na szyfrowaną i anonimową komunikację.
@wombatDaiquiri szyfrowaną i anonimową komunikację z dowodem matematycznym na bezpieczeństwo masz chyba tylko w przypadku kwantowym. Włącznie z tym, że po prostu nie działa jeżeli ktoś przechwyci transmisję.
Technologia nie dla zwykłego człowieka jeszcze z 50lat.
@wombatDaiquiri restartować telefon, z tego co pamiętał pegasus nie potrafił się podnieść po restarcie. Ale w sumie teraz nie mam pewności czy wciąż tak jest.
@Fausto Zależy od tego w jaki sposób i na jaki telefon się dostał. Pegasus to jest zbiór różnych podatności z którego stworzono jedno narzędzie. Niektóre te sposoby polegają na tym że złośliwe oprogramowanie znajduje się w pamięci RAM - więc reset jak najbardziej pomoże. Wtedy 'centrala' musi znowu w jakiś sposób dostać się do telefonu np. przez wysłanie złośliwego smsa. Jednak niektóre telefony są na tyle dziurawe że jest możliwość zainstalowania tego oprogramowania i powiązać z boot loaderem żeby uruchomiało się razem z systemem.
@Fausto @Mikel ok a jest jakiś na tyle nie dziurawy żeby można go było dać politykom jako "bezpieczny telefon" do odparcia ataków "rosyjskich służb"? XD
@wombatDaiquiri iphone
@Fausto no ale iPhone może wydać dane USA po to żeby prezes nie poszedł do pierdla. Myślisz, że to akceptowalne z perspektywy państwa? Czy po prostu jedyna realna opcja?
@wombatDaiquiri co masz na myśli że iPhone może wydać dane USA?
@wombatDaiquiri Chyba nie rozumiem pytania.
@wombatDaiquiri Gdybym musiał, to by bym zrobił coś takiego: telefon #1 (dowolny model) tylko do internetu, używasz go jako hotspota licząc się z tym, że będzie przejęty. Właściwy telefon #2 połączony z internetem przez niego, z wyłączoną komunikacją inną niż WIFI, cały ruch z #2 idzie przez VPNa. Wiadomośći i połączenia tylko z telefonu #2 i najlepiej tylko przez Signala, ewentualnie jakaś wirtualna bramka GSM <-> VoIP, ale tutaj musisz zakładać, że nie przejmą infrastruktury tej bramki.
@LondoMollari
telefon #2 połączony z internetem przez niego, z wyłączoną komunikacją inną niż WIFI
Użytkownik ściąga z maila złośliwy pdf. W wyniku 0daya Twój telefon #2 łączy się z serwerem atakującego i przyjmuje komendy (np. Przez websocket). Czy JavaScript też wyłączysz ludziom? To wtedy nie będą korzystali.
jakaś wirtualna bramka GSM <-> VoIP
Czemu? Normalne dzwonienie jest niebezpieczne?
Użytkownik ściąga z maila złośliwy pdf. W wyniku 0daya Twój telefon #2 łączy się z serwerem atakującego i przyjmuje komendy (np. Przez websocket). Czy JavaScript też wyłączysz ludziom? To wtedy nie będą korzystali.
@wombatDaiquiri To nie jest idealne rozwiązanie, a do pracy z dokumentami czy jakiegokolwiek przetwarzania treści innych niż komunikacja tekstowa czy głosowa użyłbym raczej komputera i sandboxów - polecam tutaj system Qubes OS. To wszystko co opisałem powyżej ma chronić w miarę świadomego użytkownika przed atakami inicjowanymi z zewnątrz. Dla globalnej populacji nie mam żadnej propozycji.
Czemu? Normalne dzwonienie jest niebezpieczne?
Nie wiem na ile bezpieczne jest normalne dzwonienie, natomiast wiem na 100%, ze posiadanie karty sim, która może dostać update OTA albo spreparowanego SMSa jest niebezpieczne. Karta SIM sama w sobie jest mikrobackdoorem, a jeśli dodamy do tego SMSy/MMSy, które mogą exploitować jakieś błędy w przetwarzaniu treści, to robi się bardzo duża powierzchnia do ataku.
@wombatDaiquiri "open source z dużym bug bounty"
To działa w obie strony - spece od bezpieczeństwa czy to narodowego, czy firm tworzących takie oprogramowanie siedzą na tych samych forach 'darkwebowych' i nie dość, że sami szukają takich luk to i szybko mogą wykupić na własność jakiegoś 0-day zanim szersza społeczność się dowie.
Generalnie - nie da się mieć 100% pewności przy tak rozbudowanych urządzeniach, powrót do telefonów z własnym, małym systemem bez możliwości zainstalowania aplikacji to jedyna gwarancja, ale wtedy i tak pozostają zgodne z prawem metody podsłuchu na poziomie operatora sieci.
@zuchtomek no dobra, a co najlepszego proponujesz jako strategię? Czy zostajemy przy poczcie na wp? XD
@wombatDaiquiri Nie wiem przed kim chcesz się bronić
Generalnie cała gałąź, z której można czerpać w życiu prywatnym nazywa się OpSec - czyli Operation Security.
Są różne 'bezpieczne' skrzynki mailowe np. protonmail - które mają siedziby poza PL czy UE (proton bodaj w Szwajcarii), poza tym ogólnie rzecz biorąc - szyfrowanie danych i komunikacji (co i tak nie ma znaczenia jeśli miałbyś faktycznie narzędzie pokroju Pegasusa)
Wszystko zależy od stopnia paranoi
Tutaj taki krótki poradnik od niebezpiecznika, lekko leciwy, ale generalnie podstawowe założenia przekazuje, nie tyle jakich, ale jakiego typu narzędzi szukać.
@zuchtomek mam jakąś tam świadomość o opsecu, bardziej pytam właśnie o "opsec dla oficjeli narodu"
@wombatDaiquiri Żaden opsec nie ma sensu, jak na końcu usiądzie taki (EDIT) Dworczyk oczywiście, nie wiem co za zaćmienie miałem
@wombatDaiquiri jeśli podejrzewasz że jesteś w wąskiej grupie ryzyka to chyba Apple wydaje się najbezpieczniejsze ale nie ma 100% pewności bo jak już wcześniej zostało napisane 0day może zostać odnaleziony wszędzie.
Dodatkwoym kloporem jest atak „rykoszetem” czyli Ty nie masz pegasusa ale Twoje konakty mają i dupa.
@Astro NSO sprzedaje peagasusa ale płacisz za 'osobę' więc średnio się opłaca hakować ludzi z listy kontaktów. To nie jest tak że kupujesz licencję i hakujesz kogo chcesz.
@Mikel dla autorów jest ( ͡° ͜ʖ ͡°)
@Astro czy myślisz że każdy polityk powinien mieć "firmowego iPhone" z sejmu jako jedyny telefon który może ze sobą nosić i używać pod groźbą utraty immunitetu?
@Mikel zgoda. Ale jeśli prowadzę korespondencję z osobą zaatakowaną pegasuseem to wszystko jest widoczne dla atakującego i może być wykorzystane pomimo tego że mam czysty telefon. I to właśnie miałem na myśli.
@Astro Tak, tylko co CI to daje? Jak chcesz wykraść konkretną komunikację pomiędzy dwoma osobami to jasne. Jednak jeżeli szukasz haków, chcesz wiedzieć co ta dana robi, z kim się komunikuje itp. - no to wtedy nic z tego nie uzyskasz. No chyba że nie wiem, cel mówi wszystko tej osobie i tyle nam wystarczy. Ale piszemy teraz wyimaginowane scenariusze, które są mało prawdopodobne.
@Mikel Myślę, że koledze chodzi o to, że nie ważne jakbyś zabezpieczał swoje urządzenie to osoba po drugiej stronie może zawsze coś na Twój temat wyjawić.
Vide np. maile Dworczyka - nawet jeśli pozostali się zabezpieczali to przez niego wiele informacji na temat innych również wypłynęło.
EDIT: A dobra, nie odświeżyłem, ale już zostawię
@wombatDaiquiri myślę że to nie ma żadnego znaczenia.
Mamy strasznie niską świadomość społeczną bezpieczeństwa w sieci.
Mam bliską osobę która jest w strukturach rządowych. Nie korzystają z systemowych rozwiązań (a nasiliło się to w czasie pandemii) bo są przestarzałe i niewygodne (jescze do niedawna korzystali z lotusa). Duża część komunikacji opiera się o whatsupa i gmaila. Najczęściej na prywatnych urządzeniach. Z tego co pamietajm to maile dworczyka wyciekły ze skrzynki WP.pl.
Wiec żadne „przymusowe” rozwiązanie nie zadziała póki będzie olewane.
@Astro Lotus notes w sensie? To jeszcze żyje?
@Astro a można np. zrobić żeby były nowoczesne i wygodne? Gdzie się aplikuje na to stanowisko? @Konto_serwisowe jestem za młody żeby wiedzieć o czym mówicie a dobijam do 30 xD
@Konto_serwisowe jest taki zacofany pakiet biurowy Lotus. Jak to zobaczyłem to oczy mi zrobiły się w 5 zł. Uwaga! Do tego nie było żadnego wsparcia.
Stosunkowo niedawno departament tej osoby przeszedł na pakiet Office. Z jako takim wsparciem. Ale określiłbym to jako tragedia. Dlatego ludzie korzystają z tego co znają i mogą.
Na służbowym telefonie nic nie możesz zainstalować? No to na prywatnym robią sobie grupy whatsup, kalendarze Google (pomijam że mało kto to ogarnia czy kontroluje) ważne że działa.
Więc jeśli ktoś omija systemowe rozwiązania to nie ma o czym rozmawiać.
@wombatDaiquiri można zrobić żeby było w miarę wygodne i w miarę bezpieczne. Ale NIKOMU na tym nie zależy.
@wombatDaiquiri
>jestem za młody żeby wiedzieć o czym mówicie a dobijam do 30 xD
Lotus to był taki producent oprogramowania biurowego, IBM kupił go w połowie lat 90tych, masz prawo nie pamiętać. Później to zmieniało nazwy i formy aż to ubili jakoś... dekadę temu? Może nawet dawniej. Myślałem, że chodzi o Lotus Notes (taki program pocztowy, korzystałem kiedyś, straszny koszmar), ale wychodzi że jest jeszcze gorzej...
>Stosunkowo niedawno departament tej osoby przeszedł na pakiet Office. Z jako takim wsparciem. Ale określiłbym to jako tragedia. Dlatego ludzie korzystają z tego co znają i mogą.
Na służbowym telefonie nic nie możesz zainstalować? No to na prywatnym robią sobie grupy whatsup, kalendarze Google (pomijam że mało kto to ogarnia czy kontroluje) ważne że działa.
A to nie mają tego w pakiecie z Office? Teams, Outlook, kalendarze...
@Astro a jak mi zależy to czy masz jakiś pomysł jak mógłbym do tego doprowadzić?
@wombatDaiquiri startuj w wyborach i zmieniaj prawo, nawyki w betonowej administracji, pisz maile do posłów że niebezpiecznik oferuje im czasami darmowe szkolenia (ciekawe czy ktoś się na nie zgłasza). Zasadniczo to nie mam pomysłu. Świadomość ludzi pracujących w administracji jest niska a jakiekolwiek próby wyjścia przed szereg są ubijane na starcie.
Mógłbym długo opowiadać ale boję się że ktoś mnie wystalkuje i będzie lipa.
@Konto_serwisowe teraz już mają takie rozwiązania ale ciężko cofnąć przyzwyczajenia.
Poza tym jest zakaz np firmowych teams na prywatnych urządzeniach a wiele osób telefon prywatny na częściej przy sobie niż służbowy (kontakt po godzinach pracy nie jest niczym szczególnym).
Dodatkowo jeśli prywatnie masz iPhone a służbowo Androida to dla wielu osób niewygodnie jest prowadzić kalendarz w dwóch różnych systemowo urządzeniach. Wiadomo że wybiorą wygodę.
Pakiet Office wprowadzili stosunkowo niedawno bez żadnego szkolenia (wiadomo, w CV ma wpisane biegłą obsługę pakietu Office :) ). I jeśli ktoś nie zna nowego rozwiania a sprawdza mu się „stare” to nie będzie tego zmieniał bo to praca bez „realnej” korzyści.
Znów posłużę się przykładem dworczyka, zamiast prowadzić korespondencję na oficjalnej poczcie to korzystał ze skrzynki na WP.pl.
@Konto_serwisowe @Astro @wombatDaiquiri
Ja wiem że Lotus to staroć ale nie wieszałbym tak psów na urzędach że dalej z tego korzystają. Jeżeli coś jest stare ale dobrze zaimplementowane i z ciągłym wsparciem to nie ma takiej tragedii. Sam osobiście znam kilka firm które dalej jeszcze nie wycofały w pełni Lotusa i dalej z niego korzystają. Jedna z nich to firma z Big4 więc tez nie byle kto. Skoro oni dalej korzystają to wątpię żeby to była taka wtopa jak używanie windowsa XP.
Zresztą, piszę to do was odciągając się z robotą od SAP S3 który premierę miał w 92, ostatnią wersję wypuścił w 2015 a do tej pory opiera się na nim cały świat księgowości. Toporne to bydle, ma swoich fanów (ja nim nie jestem) ale działa i wykonuje swoją robotę. Jest mnóstwo ludzi z IT którzy potrafią w tym grzebać a implementacja nowego systemu zaczynają się od setek tysięcy zlotych kończąc na dziesiątkach milionach jeżeli mówimy o dużym korpo. Bo to nie jest tak że ktoś krzyknie "instalujemy office zamiast lotusa" i pyk gotowe.
@Mikel a ja „wieszałbym wszystkie psy” za takie rozwiązanie. To że działa na jakimś starociu duża firma nie wynika z tego że on się sprawdza w 90-100% tylko dlatego że nikt nie chce ponosić kosztów migracji które często są olbrzymie kwotowo i czasowo. Często są też dopisane rozwiązania indywidualne ale bez żadnej dokumentacji, mało kto pamięta dlaczego jest tak a nie inaczej i nie ma nikogo kto podejmie się usprawnienia czy przepisania rozwiania. I jeśli pracujesz przy sapie to doskonale zdajesz sobie sprawę z tego co napisałem powyżej.
Dlatego kijem powinno się walić tych którzy utrzymują stare, niewspierane czy nie aktualizowane oprogramowanie!!!
Rzekłem.
Ps. Tak, dziś rozwiązywałem problem nieprawidłowego uruchomiania się Office 2013 na Windows 11 :/ ze skrótu na pasku zadań. Więc powtarzam, walić kijem!
@Astro
rozwiązywałem problem nieprawidłowego uruchomiania się Office 2013 na Windows 11
Mam nadzieję, że dobrze płacą xd
@Mikel To ja ten klient przechodzi audyty? Ja co prawda też mam podobnego, ale on to ma chyba wykalkulowane. Trzy lata z nim pracuję, a już dwa razy ransomware rozłożył ich na łopatki...
Nie da się. Możesz spróbować na przykład graphene OS, ale i tak gdzieś tam w głębi będzie android, a jak jest Android to będą vulnerabilities. Zdrowy rozsądek tylko pomoże. Mniej paczek, to mniej dziur do łatania. Częstszy patching, to większe bezpieczeństwo itd itp.
Są takie specjalne telefony które nie łączà się z siecià gsm tylko satelitarną.
@cebulion a w czym to pomaga?
W tym, że to całkowicie inny system operacyjny, a te wszystkie narzędzia typu pegasus są projektowane pod standardowe OSy. No i rozmowy przez taki telefon nie podsłuchasz
@cebulion albo coś upraszczasz za mocno albo gadasz głupoty.
Rozmowy głosowe GSM można podsłuchiwać na różne sposoby, nawet bez hakowania telefonu.
https://niebezpiecznik.pl/post/3-sposoby-na-podsluch-telefonu-komorkowego/
A te wszystkie „niezależne OS” to kpina. Np w Apple czy innym producencie pracuje cała rzesza ludzi który reagują szybciej lub wolniej na zgłoszenia naruszenia bezpieczeństwa. Apple wydaje aktualizacje bezpieczeństwa nawet dla niewspieranych już oficjalnie telefonów.
A taki „niezależny” system ma grupkę ludzi, utrzyma się przy życiu lub nie. Imho ślepa uliczka.
Przecież napisałem, że nie chodzi o gsm
@cebulion napisałeś jakieś głupoty. Łącza satelitarne nie mają jeszcze szerokiego zastosowania konsumenckiego. Druga sprawa że jeśli masz zainfekowane urządzenie to rodzaj komunikacji nie ma znaczenia.
Od wielu lat są dostępne komercyjne rozwiązania takiego sprzętu, wystarczy poszukać
Najlepiej oryginalny Famicom z av modem, albo NES, tylko wtedy trzeba kupić przejściówkę jeśli nadal chcesz grać na 60 pinowych kartridżach (a tak na serio to nie wiem, ciężki temat i myślę że przy dzisiejszej technologii nie da się w 100% być bezpiecznym i anonimowym)
@Rollnick2 chuj tam ważne że w Mario można pograć
Zaloguj się aby komentować