Pridajte priamu reakciu k článkuTak za toto
prajem SME aj dotycnemu tridsiatnikovi peknu zalobu od DPB. Ziadna skodoradost, ale takto sa to jednoducho nerobi. Okrem toho, skusil si vobec zratat, ake skody tato "vada" zatial napachala a ci by opravnovali vyvoj a implementaciu noveho systemu? PR, reklama, osobna pomsta a masirovanie ega. Aj ked zaujimave.
wlad
Zverejnovat mozny exploit videom, ktore detailne popisuje postup je podla mna ovela vacsi dovod na pochybnosti o mentalnom stave.
"Lupták má vlastnú bezpečnostnú firmu Nethemba, robí aj testy bezpečnosti v bankách, poisťovniach či online kasínach. Priznáva, že hľadá bezpečnostné nedostatky najmä preto, aby svoju firmu zviditeľnil. " - meno firmy v clanku, dovod takisto. Este nieco?
wlad
Zranitelnosti Mifare Classic kariet su zname viac ako 2 roky. Pred vyse rokom presne tieto iste karty boli vyhackovane v Londyne (Oyster karty).
Napriek tomuto sa nic na Slovensku nestalo - nikto sa nepohol k tomu,aby s tym nieco robil.
Sme presvedceni o tom, ze nasim zverejnenim prinutime spolocnosti uvedene zranitelne karty stiahnut a nahradit bezpecnejsimi.
V konecnom dosledku je to prospesne pre vsetkych ich klientov, ktorych citlive data su vystavene zneuzitiu.
Situacia, ze potencialny utocnik nastupi do elektricky s velmi silnou antenou, poprechadza sa a vystupi ma a sniffnute vsetky krstne mena a priezviska cestujucich z dokladov cestujucich, je uplne realna a dokazeme ju demonstrovat.
pavol.luptak
Nerozumiem, co je trestne na sniffovani krstnych mien a priezvisk cestujucich? To je ako sniffovat telefonny zoznam, alebo to su tiez citlive data?
bowden
@denniksme: To, čo sa deje na Ústavnom súde, má od právneho štátu tak ďaleko, ako Košice od Bangaloru (Lukáš Fila) Čítajte viac Čítajte viac
Ale teraz uz vazne - vediet vycitat pohlavie v rodnom cisle samo osebe nie je super vyhra, suhlasim. Rodne cisla inak mozno mat na haku, ale zopar poskytovatelov sluzieb overuje identitu volajuceho prave cez vypytanie si datumu narodenia alebo trvaleho bydliska. A zvysok - prakticky priklad necham na tvoju social engineer oblast fantazie, kedze je tu dost vela vyznavacov "security through obscurity", ktori by ma vinili zo zverejnenia "supertajneho" navodu v style "podla seba sudim teba" - to zn. "ked ja som na to neprisiel, tak nepride ani iny..", co si nemozem dovolit s mojim neanonymnym nickom.
Mna by len zaujimalo o kolkych realnych pripadoch takehoto zneuzitia aj viete, ze Vam to nedalo a museli ste to rozhlasovat na SME. Nemyslim si, ze je situacia tak kriticka a uvedomte si, ze tymto videom len motivujete vsetkych hax0rov aby sa na niecom potrenovali. Zverejnit bezpecnostny problem sa da aj inak.
obecny popis existuje uz 2 roky, treba pohnut veci dalej.
A k DP , ja na ten nas mam tazke srdce : raz som dostal pokutu lebo som mal 10 minutovy listok, revizorka ma zastavila pri vystupovani na schodikoch a uz bola 11.minuta ... a druhkrat som dostal pokutu zato, ze som vraj 2x pouzil ten isty listok ... jednoducho som nastupil do busu a rovno pred revizrkou som si oznacil listok ... to ze je druhykrat pouzity usudila z toho, ze boli na nom 4 dierky ... vraj maju byt len dve. A nemohol som jej vysvetlit, ze keby bol 2x pouzity, tak aj datum a cas je na nom dvakrat - bol iba raz. Podla nej som listok vypral, vraj farba lahko zchadza dole ... Ze som si ho kupil rovno na zastavke ju nezaujimalo ...
Vseobecny popis tohto problemu bol zverejneny uz pred dvomi rokmi - nic sa ale nestalo, nikto na Slovensku (ani vo svete) sa nim nezaoberal a zranitelne technologie sa nadalej pouzivali a stale pouzivaju (na svete je tychto zranitelnych kariet miliarda, na Slovensku milion!).
Prakticka demonstracia z nasej strany bola nevyhnutna na to, aby sme ukazali, ze ide o skutocne realny problem, ktory je nutne riesit. Bez nej by sa tieto karty pouzivali na Slovensku dalsich x rokov.
Etiketa v takychto pripadoch hovori ze na bezpecnostny problem treba najprv sukromne upozornit prevadzkovatela systemu a umoznit mu ho odstranit, a ak nereaguje tak ho treba zverejnit aj s detailami aby si kazdy mohol overit ze problem existuje a aby sa voci nemu mohol branit. V tomto pripade navyse nejde o novy problem ale o roky staru bezpecnostnu chybu ktoru dopravny podnik jednoducho ignoruje.
Nejako som nepostrehol v článku a ani na videu posup ako zabrániť ilegálnemu načítaniu dát z mojej bezpečnostne deravej kary. :D
Aj ked sa nejake bezpecnostne problemy zverejnuju, uplne detailne vacsinou az po odstraneni problemu. Pokial ide o takuto jednoduchu, no nie jednoducho odstranitelnu chybu, ktora sa navyse netyka len DPB, je postup, ktory chlap zvolil hlupy.
2. Bezpecnostne diery sa zverejnuju potom ako si upozornil prevadzkovatela systemu a dal si mu sancu problem odstranit. Zadubene firmy vacsinou sukromne upozornenie ignoruju, tak ako DP v tomto pripade. V pripade problemu s SMS listkami spred asi roka dokonca pohrozili ze cloveka co na problem prisiel zazaluju... Tak sa bezpecnostne problemy neriesia.
3. Toto su vsetko problemy zname uz roky. To ze to bolo dnes zverejnene v suvislosti s DP nic neznamena, to si len niekto spojil 2+2 dohromady.
2. Ak davas niekomu echo o probleme, vacsinou mu davas aj cas na jej odstranenie. Pokial je to softwarova diera staci aj par dni, tento problem si ale na opravu vyzaduje ovela viac casu a penazi (nehovoriac o tom, ze bezpecnejsia alternativa ani neexistuje) takze toto videjko je predcasne v kazdom pripade.
3. Super a co teraz? Co sa zmeni po tejto prezentacii okrem toho, ze to zacnu sopliaci castejsie skusat? Ten problem je znamy po celom svete a vsetci nan kaslu, pretoze pravdepodobnost zneuzitia je mala a nevedelo o nom vela ludi. Tu sa ale situacia meni a rozhodne nie v prospech koncoveho uzivatela.
Ostatne media (SME, STV, Zurnal, itnews.sk) informujeme len preto, lebo nas kontaktuju.
2. Dodavatela (EMTEST) sme kontaktovali viac ako 2 mesiace predtym, ako sme to zverejnili. Samotne zranitelnosti Mifare Classic kariet su zname viac ako 2 roky.
Cas sme im samozrejme dali. Nemozeme cakat nekonecne dlho, kym ten system dobrovolne zmenia na bezpecnejsi - nakolko nemaju ziadny silny impulz na to aby to spravili. Do bezpecnosti tych kariet totiz bezni ludia nevidia a od spolocnosti to teda prirodzene vyzadovat nikdy nebudu.
3. Vela veci - prinutili sme spolocnosti uvedene karty nahradit bezpecnejsimi - do konca roku upgradnut aplikacnu zabezpecenie kariet a od zaciatku noveho roka vydavat bezpecnejsie Mifare DESFire karty.
Vsetci na tento problem kaslu prave preto, lebo nikto zatial nezverejnil Mifare Offline Cracker, ktorym sa trivialne daju ziskat kluce z karty. My sme to ako prvi spravili.