Wprowadzenie
Cześć.
To już 33 odcinek podcastu Szurkogadanie, w którym opowiadam o bezpieczeństwie komputerowym.
Dzisiaj dowiesz się jak podszyć się pod jakąś znaną osobę używając Deepfake.
Czy portale społecznościowe mogą wpłynąć na wyniki operacji wojskowej?
Jak usunąć kompromitujace materiały z sieci udając prokuratora generalnego?
Co to jest brickowanie urządzeń czyli jak przekonać użytkownika do kupna nowego sprzętu pomimo iż stary działa prawidłowo.
Znalazłeś błąd bezpieczeństwa na stronie i nie wiesz jak powiadomić o nim firmę? Garść informacji na temat security.txt który ma służyć właśnie do tego celu.
Następnie wytłumaczenie błędu, który odnaleziono w programie WinRAR a także dlaczego adwokaci reklamują się w DarkWebie - czyli ciemnej stronie Internetu.
Podcast ten można również znaleźć na Spotify oraz Google i Apple Podcasts oraz Anchor.
Większość informacji do tego odcinka odnalazłem dzięki Weekendowej Lekturze Zaufanej Trzeciej Strony.
Jeżeli ten materiał Ci się spodobał rozważ zostawienie gwiazdki i recenzji w aplikacji Apple podcast.
Więcej informacji na temat bezpieczeństwa znajdziesz na naszej grupie od 0 do pentestera na Facebooku.
Zapraszam do słuchania.
Deepfake
Deepfake to technika przy pomocy której możliwe jest podmienienie obrazów i dźwięków w istniejącym już nagraniu.
Mechanizm ten stał się popularny, kiedy to powstało narzędzie, pozwalające na podmienienie twarzy osób grających w filmach pornograficznych.
W ten sposób możliwe jest stworzenie realistycznie wyglądajacego nagrania z inną osobą niż ta, która pierwotnie brała w nim udział.
Można je również wykorzystać do szerzenia dezinformacji - chociażby tak modyfikując twarz i głos polityka, aby wydawało się, że podczas swojego przemówienia wypowiedział inne, bulwersujące słowa.
Jakość i naturalność tych nagrań sprawia, że pojawiło się wiele pytań powiązanych z tym tematem.
W USA niczym szczególnym jest bowiem widok oficera policji, na którego mundurze zamontowana jest kamera.
Dzięki temu - w przypadku spornej sytuacji - sędzia jest w stanie rozstrzygnąć spór bazując na obrazie z tego rodzaju urządzenia.
Tylko, czy można traktować nagranie - jako 100% pewny dowód?
Jeżeli bowiem deepfake pozwala na podmienienie twarzy osoby to zapewne w niedalekiej przyszłości będzie w stanie stworzyć fałszywe obrazy.
A jeżeli nie będzie możliwe odróżnienie prawdy od rzeczywistości - nagrania staną się bezużyteczne z punktu widzenia prawa.
Dlatego już teraz powstają firmy, próbujące wymyślić sposób na weryfikowanie poprawności danych.
Jedna z nich używa do tego celu blockchaina.
Jak ma to działać?
Najpierw określamy interwał czasowy, chociażby na 5 sekund.
Następnie ostatnie pięć sekund naszego nagrania - jest haszowane - czyli treść nagrania przetwarzana jest przez funkcję jednokierunkową.
Funkcja ta na wyjściu generuje ciąg znaków stałej długości.
Charakteryzuje się ona tym, że bardzo ciężko jest z wygenerowanego ciągu na wyjściu - odtworzyć to co było na wejściu.
Ale odwrotna operacja nie jest już skomplikowana - to znaczy bardzo szybko można sprawdzić, czy podany ciąg generuje ten sam wynik.
Ten to hash - jest następnie wysyłany do Internetu - gdzie zapisywany jest w blockchainie - technologii wykorzystywanej przez kryptowaluty.
Podsumowując - kamera co pewien czas, przesyła skrót tego co nagrała do Internetu.
Następnie - gdy konieczne jest sprawdzenie poprawności nagrania, całą procedurę powtarza się.
To znaczy treść wideo jest ponownie haszowana przy pomocy odpowiedniej funkcji a wynik całej operacji, porównuje się z tym znajdujacym się w Internecie.
Jeżeli wszystko się zgadza - wiadomo, że materiał nie został poddany żadnej obróbce.
W przypadku niezgodności - wiadomo, gdzie ona nastąpiła.
Nie wiadomo jednak co zostało zmienione oraz kiedy dokładnie - dokładność całego pomiaru zależy bowiem od wcześniej wybranego interwału czasowego.
Sam jestem sceptycznie nastawiony do tej technologii.
Tutaj zakłada się bowiem, że to kamera przesyła informacje do chmury - a modyfikacja materiału następuje już po fakcie.
Co jednak z przypadkiem, gdy obraz z kamery jest wysyłany wprost do serwera Deepfake - który zmienia go w czasie rzeczywistym i ten to obraz trafia do blockchaina?
Armia a serwisy społecznościowe
Gdy przeprowadza się operację wojskową - kluczem do sukcesu jest zaskoczenie i zapewnienie, że informacja o ataku będzie tajna.
Ale Armia - to nie tylko generałowie na najwyższych szczeblach, ale szeregowi żołnierze biorący udzał w konflikcie na linii frontu.
W przeszłości już kilkukrotnie to właśnie szeregowi pracownicy byli źródłem wycieku ciekawych informacji.
Weźmy chociażby sposób, w który możliwe było zlokalizowanie tajnych danych wojskowych na podstawie informacji, zebranych z serwisów do biegania.
Wystarczyło przy ich pomocy poszukać publicznie dostępnych profili osób pracujących w wojsku.
Potem trzeba już tylko było przeglądnąć ich statystyki biegów z ostatnich paru lat.
Korelując wiele danych do siebie - okazywało się, że wiele z tych osób - biegało dookoła tych samych, nieopisanych obiektów.
Kolejnym częstym schematem, jest wykorzystywanie portali randkowych.
Tam to wystarczy podszyć się pod osobę płci przeciwnej i w niezobowiązującym czacie wypytywać o różne szczegóły dotyczące pracy danej osoby.
Drobny flirt wraz z właściwie zadawanymi pytaniami może być nieocenionym źródłem informacji.
Wychodzi na to, że z tego faktu zdają sobie również sprawę wysocy rangą oficjele wojskowi NATO.
Nie tak dawno światło dzienne ujrzały informacje na temat symulowanego ataku opierającego się na podobnej taktyce jak ta, opisywana wcześniej.
Chciano uzyskać odpowiedź na 3 pytania: jakie informacje na temat mających się odbyć manewrów można uzyskać w Internecie?
Ile danych na temat biorących w nich udział żołnierzach można pozyskać a także, czy zebrane w taki sposób dane można wykorzystać, aby wpłynąć na zachowanie uczestników manewrów.
Cała akcja została przeprowadzona głównie przy pomocy Facebooka.
Tam to stworzono specjalne tajne grupy i strony - mające grupować żołnierzy, biorących udział w manewrach.
Całość miała wyglądać jak społeczność, tworzona przez samo wojsko.
Aby treści te trafiły do jak najszerszego grona odbiorców - wykorzystano do tego celu już kilkukrotnie omawiany w tym Podcaście mechanizm reklam Facebooka.
Pomocny okazał się również system podpowiadania znajomych.
Jeżeli udało się nam dodać do znajomych profile kilku żółnierzy - istnieje wysokie prawdopodobieństwo, że serwis sam podpowie nam kolejne, podobne profile.
Teraz wystarczyło ich tylko przekonać do zapisania się do grupy i zadawać odpowiednie pytania.
W ten sposób pozyskano tożsamość 150 żołnierzy.
Uzyskano również wiedzę na temat lokalizacji kilku batalionów a w kilku przypadkach, zdołano przekonać uczestników do działań wbrew rozkazom.
Tak to zademonstrowano, że wojna informacyjna przeprowadzana w Internecie może mieć realny wpływ na tą w rzeczywistości.
Cloudflare a prawa autorskie
Mówią, że z Internetu nic nie ginie.
Ale jak pozbyć się strony, która nie do końca jest nam przychylna?
Parę odcinków temu opisywałem podobny schemat na przykładzie problemów na YouTube - gdzie narzędzia mające służyć ochronie praw autorskich są wykorzystywane do szantażowania twórców.
Dziś o przypadku Cloudflare - czyli jednego z większych CDN-ów na świecie.
CDN to usługa, która pozwala dystrybuować nasze pliki na różnych serwerach zlokalizowanych w różnych miastach na całym globie.
Dzięki temu strony działają szybciej - jeżeli bowiem użytkownik chce pobrać jakieś zdjęcie - nie musi wysyłać żądania do oryginalnego serwera, który może znajdować się dla przykładu w Stanach Zjednoczonych, a do bliżej zlokalizowanego serwera CDN.
Jeżeli weźmiemy pod uwagę jak dużo zasobów konsumują bieżący użytkownicy serwisów - ta oszczędność kilkudziesięciu milisekund na każdym z obrazków - staje się znaczącą sprawą i poprawia jakość korzystania z usług danej witryny.
Popularność Cloudflare sprawia, że na codzień muszą borykać się z dużą ilością zapytań odnośnie praw autorskich.
Jeżeli bowiem ktoś hostując materiał, do którego praw nie posiada, używa zasobów tej firmy - to zazwyczaj właśnie jej adres IP będzie widoczny dla końcowego użytkownika.
Zazwyczaj jednak firma odpowiada, że to nie oni są odpowiedzialni za przechowywanie danych materiałów i ich usunięcie z ich serwerów niczego nie zmieni w kwestii dostępności tych danych w Internecie.
Wszak oni są tylko pośrednikami, a aby materiał nie mógł być pobierany musiał by zostać usunięty z głównego serwera.
Dlatego też większosć zapytań na ten temat jest kierowana do działów prawnych odpowiednich firm hostingowych.
Ale oprócz żądań odnośnie praw autorskich - zdarzają sie takie, kierowane przez policję, sądy i inne upoważnione do tego celu instytucje.
Czasami bowiem adres IP może być kluczowy dla dobra śledztwa.
I tak było tym razem - gdy firma otrzymała żądanie usunięcia strony, która miała udostępniać schematy, służące do budowania broni przy pomocy drukarek 3D.
Pod żądaniem podpisał się prokurator generalny New Jersey.
Niezgadzało się jednak kilka szczegółów.
Po pierwsze - wiadomość została przesłana poprzez formularz kontaktu dostępny dla każdego a nie przez specjalną podstronę, dostępną dla stróżów prawa.
Dziwny był również adres IP, z którego wysłano daną wiadomość.
Nie wskazywał bowiem na Stany Zjednoczone a na Słowację.
Po czasie okazało się, że było to fałszywe żądanie.
Sytuacja ta pokazuje jednak jak trudne jest oddzielenie tych prawdziwych żądań od fałszywych.
Większosć firm bowiem - otrzymując setki tego rodzaju spraw - najpierw blokuje daną stronę a dopiero później sprawdza, czy rzeczywiście taka blokada jest zasadna.
Dla nich bowiem - chronienie własnych zasobów i ograniczienie możliwości pozwu - jest sprawą priorytetową.
A to może być coraz częściej nadużywane przez różnego rodzaju jednostki.
Weźmy chociażby jakąś markę, która otrzymała niepochlebną recenzję w Internecie.
Przecież można ją usunąć - zgłaszając roszszczenie na temat praw autorskich.
To samo z recenzjami filmów - wszak zazwyczaj prezentując naszą opinię na temat danego dzieła - autor zamieszcza w nim fragmenty trailerów.
A skąd osoba sprawdzająca dany materiał ma wiedzieć, że jest to darmowy fragment filmu - a nie część materiału objętego prawami autorskimi?
W ten sposób w przyszłości coraz częściej może dochodzić do cichego przyzwolenia na cenzurę.
Jeżeli bowiem każda zła opinia będzie się wiązała z usunięciem danego materiału - to czy ktokolwiek będzie miał siły i ochotę na pójście pod prąd?
Brickowane urządzeń
Od jakiegoś czasu na rynku dostępne są buty z systemem samosznurowania.
Łączy się je z telefonem przy pomocy Bluetooth.
Wtedy to możliwe jest kontrolowanie całego mechanizmu z poziomu odpowiedniej aplikacji.
W teorii ma to pozwolić na lepsze dopasowanie się obuwia.
Każdy but jest bowiem oddzielnie sterowany - można szybko zmniejszyć lub zwiększyć poziom przylegania obuwia do stopy.
I właśnie tutaj pojawił się problem - ostatnia wersja aplikacji bowiem nie działa tak jak powinna.
Aplikacja nie łączy się z butami co w niektórych sytuacjach może doprowadzić, że staną się one bezużyteczne.
Nie ma tutaj bowiem normalnej sznurówki - którą można by było ręcznie wykorzystać.
Cały mechanizm skryty jest w środku i nie jest dostępny dla końcowego użytkownika.
Do momentu wydania poprawki bowiem - buty stają się kawałkiem materiału i podeszwy.
Takie brickowanie urządzenia - czyli zamienianie go w cegłę - to nie jest nowy problem, zwłaszcza w świecie inteligentnych urządzeń.
Praktycznie każdy nowy element naszego wyposażenia musi być interaktywny - aby lepiej sprzedawał się w dzisiejszych czasach.
Ta interaktywność objawia się tym, że zazwyczaj łączy się ono z Internetem i pobiera (lub też wysyła) tam jakieś dane.
Wszystko działa fajnie - aż do momentu gdy producent wspiera dany model.
Jeżeli jednak ten czas minie - może dojść do wyłączenia serwerów.
Wtedy to w zależności do typu sprzętu - albo dojdzie do degradacji jego funkcjonalności albo też w ogóle nie będzie ono działało.
Dla nas klientów nie jest to komfortowa sytuacja - wszak mamy działające fizycznie urządzenie, które bez dostępu do Internetu jest tylko kawałkiem bezużytecznego plastiku.
A takie sytuacje były już spotykane w przeszłości - chociażby gdy producent inteligentnego zamka do drzwi wyłączył swoje serwery.
Wtedy to nagle - legalni użytkownicy - nie mogli opuścić lub też dostać się do swojego mieszkania.
Podobna sytuacja tyczy się obecnych gier - które to nawet w sytuacji posiadania jedynie trybu singleplayer, wymagają dostępu do sieci.
I tutaj podobnie - wraz z końcem supportu - nie są one możliwe do uruchomienia.
Brickowanie - to także sposób na niepokornych użytkowników danego sprzętu.
Jeżei bowiem próbują oni dokonywać nieautoryzowanych poprawek w urządzeniu - takie zmiany można wykryć i spowodować, aby urządzenie przestało się uruchamiać.
A co na to prawo?
Czy można w takiej sytuacji dochodzić swoich praw za sprzedaż wybrakowanego sprzętu?
Security.txt
Robots.txt to specjalny plik rozpoznawany przez większość wyszukiwarek internetowych.
W tym to pliku zawarte są informacje na temat tego, jakie podstrony i zasoby są dostępne dla wyszukiwarki.
W ten sposób możliwe jest zablokowanie dostępu do poszczególnych podstron, chociażby panelu administratora - tak, aby jego adres nie pokazywał się w wynikach wyszukiwania.
Oczywiście - o ile dana wyszukiwarka przestrzega standardu.
Ostatnio widoczna jest popularyzacja podobnego pliku, nazwanego security.txt
On to ma być wskazówką dla badaczy bezpieczeństwa.
W pliku tym bowiem, powinny znajdować się informacje na temat sposobu kontaktu z daną firmą, jeżeli wykryty zostanie jakiś błąd bezpieczeństwa.
W przeszłości bowiem cały proces informowania firmy o podatnosci nie był tak prosty, jak mogło by się wydawać.
Zazwyczaj, tylko największe firmy posiadają odpowiednie podstrony, na których znaleźć można odpowiednie adresy email, bądź też formularze kontaktowe - przy pomocy, których można wysłać odpowiednie zgłoszenie.
Czasami działa również wysłanie emaila na generyczny adres w formie [email protected] ale tak naprawdę nigdy nie ma pewności czy przesłana w taki sposób informacja dotarła do odpowiednich osób.
Niektórzy, w celu odnalezienia odpowiedniej osoby korzystają z Linkedina - czyli portalu dla pracowników, głównie poszukujacych pracy.
Tam to odnajduje się profil danej firmy a następnie w spisie pracowników do niej przypisanych próbuje się odnaleźć kogoś, związanego z bezpieczeństwem.
Potem wystarczy już tylko wysłać mu prywatną wiadomość i czekać na odpowiedź.
W przypadku pliku security.txt - wszystkie przydatne informacje znajdują się w jednym miejscu.
Standard przewiduje, że w pliku tym mogą znajdować się między innymi podziękowania dla osób, które w przeszłości odnalazły błędy w danym serwisie.
Oprócz adresu kontaktowego można tam również zawrzeć klucz pgp, który można użyć do zaszyfrowania wiadomości.
Dodatkowe informacje to język jakim posługują się osoby odpowiedzialne za bezpieczeństwo serwisu a także informacje o przeprowadzanych obecnie rekrutacjach na stanowiska powiązane z security.
Jeżeli więc Twoja firma nie posiada tego pliku na swojej stronie - może warto pokusić się o jego przygotowanie?
Flash i click2play
Jak już kiedyś wspominałem w tym podcaście, Flash to technologia przeszłości która pomału znika ze stron internetowych.
Dlatego też większość przeglądarek wyłączyła obsługę tego rodzaju treści.
W okresie przejściowym ich uruchomienie możliwe jest dzięki technologii click2play.
W niej to użytkownik musi kliknąć w dany obiekt - aby go uruchomić.
Nie wystarczy więc samo wejście na stronę tak jak to miało miejsce dawniej, gdy byliśmy atakowani wielkimi, animowanymi banerami z głośnymi dźwiękami.
Teraz konieczna jest dodatkowa akcja ze strony użytkownika lub też dodanie strony do specjalnej listy wyjątków.
Tak to wygląda w przypadku przeglądarki Edge - czyli standardowej przeglądarki dostępnej w Windows 10.
Okazuje się jednak, że przeglądarka ta posiadała dodatkową, wbudowaną listę wyjątków.
Jeden z badaczy - wyciągnął listę znajdujących się tam stron.
Było ich 58. Strony te mogły wyświetlać treść obiektów - bez dodatkowej zgody użytkownika.
Część stron znajdujących się na liście nie dziwi.
Jest tam między innymi Facebook, który zapewne używa tej technologii w jakichś szczególnych przypadkach.
To samo Deezer - czyli serwis strumieniujący muzykę.
Znajdują się tam również witryny - których gry we Flashu to główne źródło zarobku.
Ale na liście można również znaleźć mniejsze strony, chociażby mały hiszpański salon fryzjerski.
Zastanawia więc procedura tworzenia takiej listy i reguły, jakie musi spełnić dana witryna aby mogła się na niej znaleźć.
Po wyjściu na jaw tych informacji w kolejnym update - lista została zmniejszona i obecnie znajduje się na niej tylko domena Facebooka.
Czy zatem ktoś dodał inne domeny bez zgody kierownictwa?
Tego zapewne nigdy już się niedowiemy.
Błąd w WinRar
Ostatnio głośno jest o nowym błędzie, który znajduje się w kodzie WinRARa - czyli popularnego programu do kompresji plików.
Podatny kod znajdował się w obsłudze innego, mało znanego formatu ACE.
I okazuje się, że powód całej podatności jest dość prosty do wytłumaczenia.
Chodzi o atak path traversal.
Na czym on polega?
W systemie operacyjnym możemy przejść do katalogu wyżej - używając komendy cd a następnie dwóch kropek i slasha albo backslasha w zależności od systemu operacyjnego.
Przykład: załóżmy, że jesteśmy w katalogu c:\kacper.
Używając teraz komendy cd ../ przejdziemy do katalogu C:\
To zachowanie jest bardzo istotne w kontekście wszystkich operacji wykonywanych na plikach przez różnego rodzaju programy bądź też strony internetowe.
Jeżeli bowiem program ma zapisać jakiś plik na dysku - często możliwe jest podanie nazwy, do jakiej dany plik zostanie zapisany.
Dokładnie tak to wygląda w przypadku dekompresji plików.
W pliku rar - mamy bowiem wiele plików o różnych nazwach i rozszerzeniach.
Podczas ich wypakowywania - każdy z nich jest zapisywany do odpowiedniego podkatalogu - w ramach katalogu, który wcześniej podaliśmy.
Zazwyczaj chcemy bowiem, aby trafiły one w jedno - konkretne miejsce.
WinRAR bierze zatem podaną przez nas ścieżkę oraz nazwy plików z archiwum.
W ten oto sposób konstruuje ścieżkę wynikową - do któej zostanie zapisany rozpakowany plik.
Tak to działa podczas normalnego użycia.
Ale co w przypadku, gdy plik w archiwum zawiera ciąg ../?
Jeżeli taki ciąg połączymy ze ścieżką katalogu - podaną wcześniej przez użytkownika - nagle okaże się, że dane nie trafią do tego konkretnego katalogu - a jeden katalog wyżej, tak jak opisywałem to na początku.
I właśnie na tym polega dzisiejszy błąd.
Biblioteka niewłaściwie sprawdzała, czy dochodzi do ataku path traversal, co sprawiło, że plik był wypakowywany do innego katalogu niż ten, którego się spodziewano.
Ale samo jeszcze wypakowanie plików nie jest niczym złym.
Ta podatnosć to RCE - czyli zdalne wykonanie kodu.
W Windowsie bowiem, znajduje się specjalny katalogu Autostart.
Jeżeli umieścimy tam jakiś plik - to po ponownym uruchomieniu komputera zostanie on automatycznie wykonany.
Znamy ten mechanizm - często instalując jakies programy, jeżeli chcemy aby uruchamiały się one razem ze startem systemu - są one umieszczane właśnie w tym miejscu.
A ponieważ przy pomocy ataku path traversal możemy zapisać plik w dowolnej lokalizacji - można go zapisać również w katalogu autostart.
Atak wygląda zatem następująco.
Ofiara pobiera złośliwy plik chociażby przy pomocy poczty elektronicznej.
Następnie wypakowuje go do wybranego przez siebie katalogu.
Poprzez błąd, plik ten trafia do katalogu autostart.
Podczas kolejnego uruchomienia, złośliwy plik zostaje automatycznie uruchomiony - bez wiedzy użytkownika.
Keylogger a EULA
Nieznajomość prawa szkodzi.
Wiedzą o tym również przestępcy, których czyny mogą sprawić, że trafią za kratki.
Coraz częściej poszukują porady dotyczącej prawa właśnie w Internecie.
Powód jest prosty - może da się uniknąć więzienia w przypadku wpadki, używając kruczków prawnych?
Weźmy pod uwagę oprogramowanie, które zapisuje wszystkie klawisze wciśnięte przez użytkownika.
Tego rodzaju malware nazywamy Keyloggerem.
Jego głównym zadaniem jest przejęcie wszystkich loginów i haseł danego użytkownika.
Te to zostają następnie wykorzystane przez atakujacego chociażby do zalogowania się na konto bankowe.
Ale przecież dokładnie ta sama funkcjonalność może być dostępna w legalnym oprogramowaniu.
Na rynku istnieją bowiem programy mające sprawdzać uczciwość pracowników danej firmy.
Jak długo pracują, czy nie uruchamiają niedozwolonych stron a może czy nie grają w gry podczas pracy.
Idea takich programów jest bardzo podobna - różne są jedynie okazje, w których zostały one użyte.
To samo tyczy się wszelkiej maści oprogramowania służącego do kontroli rodzicielskiej.
Taki program blokuje dostęp do nieodpowiednich stron a równocześnie zapisuje listę witryn, jaką odwiedzał dany użytkownik.
Z jednej strony wygląda to na szpiegowanie ale gdy pod uwagę weźmiemy okoliczności - czyli fakt, że to rodzic jest odpowiedzialny za to, co jego pociecha ogląda w Internecie - całość nie jest już taka czarno biała jak wydawało się na początku.
Podobna idea z tak zwanymi kolekcjonerskimi wersjami dowodów tożsamości, kiedy to można - oczywiście tylko w celach kolekcjonerskich - zakupić blankiet łódząco podobny to oryginalnego dowodu tożsamości.
Z tych niuansów prawa zdają sobie sprawę przestępcy - jeżeli bowiem to użytkownik zainstaluje dane oprogramowanie szpiegowskie, równocześnie akceptując EULĘ, która się tam znajduje - to może sąd będzie w stanie obniżyć karę za popełnione wykroczenie?
Znane są przypadki z przeszłosci, gdy to twórcy oprogramowania próbowali dowieść, że nikt nie czyta regulaminów, które należy zaakceptować podczas intalacji.
Jeden z ciekawszych przypadków tego rodzaju to ten, gdzie producenci w środku tekstu EULI - zapisali specjalny adres email wraz z informacją, iż pierwsza osoba która napisze maila pod ten adres - otrzyma kilkaset dolarów w gotówce.
Cały eksperyment trwał ponad pół roku - bo właśnie tylo zajęło pierwszej osobie odnalezienie tego ukrytego w gąszczu przepisów tekstu.
Ale wracajac do prawa - ten rynek wydaje się szczególnie interesujący zwłaszcza dla tych osób, które albo nie posiadają odpowiedniego wykształcenia prawniczego albo też stracili prawo do jego wykonywania.
Dalej jednak posiadają odpowiendnią wiedzę i mogą się nią dzielić wśród potencjalnych klientów.
A kto bardziej od przestępców potrzebuje dobrego prawnika?
Podpisywanie plików PDF
PDF to pewnego rodzaju standard służący do przekazywania dokumentów.
W założeniu - miał on pozwalać na wyświetlanie złożonych plików w dokładnie ten sam sposób, niezależnie od platformy.
Ale mało kto wie - że treść, która znajduje się w tych plikach - może być podpisana - dokładnie tak samo jak to ma miejsce w przypadku plików wykonywalnych.
Znamy ten ekran - gdy podczas instalacji jakiegoś oprogramowania z Internetu - po dwukrotnym kliknięciu w plik wykonywalny - widoczne jest specjalne okienko, z nazwą twórcy, który wyprodukował dany plik.
Dokładnie to samo, jest wyświetlane w przypadku plików pdf.
W niektórych krajach bowiem, jeżeli jakaś firma przesyła klientowi fakturę elektroniczną - zobligowana jest do podpisania takiego pliku.
Wtedy to odbiorca jest w stanie zweryfikować, czy faktura ta jest prawidłowa i czy została rzeczywiście wystawiona przez prawidłową instytucję.
Grupa badaczy postanowiła sprawdzić ten mechanizm.
Pliki PDF bowiem mogą być otwierane przez różne oprogramowanie.
Najpopularniejsze to Adobe Reader - ale oprócz niego istnieje jeszcze kilka alternatyw.
Sam format jest bardzo skomplikowany i zawiły - co dodatkowo utrudnia proces tworzenia oprogramowania.
W ramach badań udało się zlokalizować wiele błędów.
One to sprawiają - że jeżeli atakujący posiada dostęp do oryginalnego dokumentu, jest w stanie tak zmodyfikować jego treść, że pomimo zmiany wyświetlanych informacji - podpis dalej będzie uznawany za prawidłowy.
A to może być niebezpieczne.
Wyobraźmy sobie bowiem, że otrzymamy zmodyfikowaną fakturę za prąd.
W jej treści - znajduje się numer konta - który używamy do wysyłania przelewów.
Tym razem jednak - został on zmieniony na taki, kontrolowany przez atakującego.
Jesteśmy jednak świadomymi użytkownikami - przed przesłaniem pieniędzy sprawdzamy sygnaturę danego pliku upewniając się że jest ona prawidłowa i wystawiona przez naszego dostawcę prądu.
A to może doprowadzić do straty pieniędzy.
I to już wszystko w tym odcinku.
Zapraszam do subskrypcji i zostawienia łapki w górę a my widzimy się już za tydzień.
Cześć!
Icon made by Dimitry Miroliubov, Dave Gandy www.flaticon.com
