[PL] Szurkogadanie #36

Homepage:

https://youtu.be/4UQnGIzG6Ag

Description:

Wprowadzenie

Cześć. Ja jestem Kacper Szurek a to podcast Szurkogadanie, odcinek 36.

W tym tygodniu: jak dzieci omijają blokady rodzicielskie na komputerach przy użyciu strony Google Docs.

Do czego może prowadzić udostępnianie swoich zdjęć w Internecie na licencji Creative Commons.

Bezpieczne przechowywanie plików w chmurze - o konfiguracji współdzielonych folderów w usłudze box.com

Co było powodem unieważnienia dwóch milionów certyfikatów SSL - o brakującym bicie w numerze seryjnym.

Czy wiesz co można odnaleźć w zakładce Ważne miejsca w iPhone’ie?

A także o badaniu pokazującym kiedy programiści piszą swój kod w bezpieczny sposób.

Podcast ten można również znaleźć na Spotify oraz Google i Apple Podcasts oraz Anchor.

Większość informacji do tego odcinka odnalazłem dzięki Weekendowej Lekturze Zaufanej Trzeciej Strony.

Jeżeli ten materiał Ci się spodobał rozważ zostawienie gwiazdki i recenzji w aplikacji Apple Podcasty.

Więcej informacji na temat bezpieczeństwa znajdziesz na naszej grupie od 0 do pentestera na Facebooku.

Zapraszam do słuchania

1. Jeżeli jesteś rodzicem to zapewne wiesz jak trudno zapanować nad tym co dzieci robią w Internecie.

Mnogość serwisów, portali, czatów i komunikatorów.

Ale czasami zdarza się, że nasza pociecha nabroiła i zmuszeni jesteśmy podjąć pewne środku zapobiegawcze.

Mowa o szlabanach - czyli potocznym zablokowaniu dostępu do pewnych stron internetowych.

W przeszłości rodzice zabierali swoim pociechom kabel zasilający czy też klawiaturę, co sprawiało że korzystanie z komputera było niemożliwe.

Teraz nie jest to takie proste - wszak dzieci mogą chcieć skorzystać z zasobów naukowych w celu chociażby rozwiązywania lekcji.

Stąd też popularność różnego rodzaju programów rodzicielskich, które to monitorują odwiedzane strony - blokując niedozwolone treści.

Kara - ma być dotkliwa - to znaczy sprawić, że dziecko przemyśli swoje dotychczasowe zachowanie.

A czego pragną dzisiejsze nastolatki?

Kontaktu z rówieśnikami.

Rodzicom może się więc wydawać - że zabranie telefonu komórkowego oraz zablokowanie Facebooka i Instagrama to wystarczający sposób na zablokowanie komunikacji.

Ale dzieci i na to odnalazły sposób.

Google Docs to narzędzie służące do kooperacji podczas pracy nad grupowymi dokumentami.

Do danego arkusza można zaprosić dowolną liczbę współpracowników.

Zmiany wprowadzane w takim dokumencie są widoczne w czasie rzeczywistym.

Można używać różnych kolorów, tworzyć tabelki czy też umieszczać zdjęcia.

I właśnie ten mechanizm został użyty przez pomysłowe dzieciaki.

Zazwyczaj bowiem rodzicom usługi Google nie kojarzą się źle, więc ich nie blokują, ba - dodają na białą listę, tak aby zawsze możliwe było korzystanie z tych zasobów.

Tym razem ta usługa jest jednak używana jako komunikator.

Wszak tekst tam wpisywany jest widoczny w czasie rzeczywistym dla wszystkich mających dostęp do danego dokumentu.

Każda osoba może mieć przydzielony osobny kolor tekstu, dzięki temu na pierwszy rzut oka widać kto co pisze.

A ponieważ dokument może zawierać zdjęcia - jego funkcjonalność jest zbliżona do czatu na Messengerze.

Jeżeli jednak myślisz, że zablokowanie Google Docs może pomóc - jesteś w błędzie.

W takich wypadkach, dzieci starają się znaleźć publicznie dostępne, nieblokowane strony - z funkcją komentarzy.

Następnie dzielą się linkami do takich serwisów w szkole i już następnego dnia mogą mieć ze sobą kontakt.

2. Zazwyczaj umieszczając jakiekolwiek zdjęcie w Internecie możemy ustalić licencję, na jakich zasadach możliwe jest korzystanie z naszej twórczości.

Jedną z takich licencji jest Creative Commons 0, która oznacza, że zdjęcie to może być używane przez inne podmioty bez Twojej zgody oraz opłat.

Tego rodzaju obrazy bardzo często są wykorzystywane chociażby przez twórców na YouTube’ie czy tez przez różnego rodzaju strony internetowe.

Można tak bowiem za darmo upiększyć artykuły i wideo, równocześnie nie musząc martwić się o prawa autorskie oraz umieszczanie odnośników do stron twórców danych materiałów.

Dla twórcy jest to szansa na darmowa reklamę - a nóż komuś spodoba się jego twórczość i będzie chciał współpracować na stopie profesjonalnej.

Zgody udzielamy również wysyłając zdjęcia na dowolne portale społecznościowe.

Rodzaj zgody zależy od serwisu i jego regulaminu, który to musimy zaakceptować podczas zakładania konta.

Może się zatem okazać, iż wysyłając nasze zdjęcie na platformę społecznościową równocześnie udzielamy jej właścicielom zgody na używanie naszego zdjęcia chociażby do promocji portalu.

Ale dzisiaj chcę opowiedzieć o prawach autorskich w kontekście rozpoznawania twarzy.

Algorytmy uczenia maszynowego coraz lepiej rozpoznają nasze oblicza i są w stanie przyporządkowywać zdjęcia do danej osoby.

Ale oczywiście aby algorytmy działały coraz lepiej - muszą procesować sporą ilość danych.

W przeszłości - działało to trochę inaczej niż teraz.

Badacze rekrutowali osoby, a następnie zapraszali do swoich laboratoriów.

Tam to robili im zdjęcia w różnych pozach oraz warunkach oświetleniowych.

Równocześnie takie osoby podpisywały odpowiednie dokumenty - wiedząc, iż ich obrazy zostaną użyte do uczenia algorytmów rozpoznawania twarzy.

Niestety, takie podejście do tematu ma kilka wad.

Po pierwsze - jest drogie - ponieważ każdej z osób trzeba zapłacić za udział w takiej sesji.

Po drugie - mamy tutaj do czynienia ze słabą różnorodnością.

Bowiem nawet największe tego rodzaju bazy składały się tylko z paru setek róznych twarzy.

Sytuacja ta zmieniła się wraz z nadejściem Internetu.

Teraz badacze mogli kopiować zdjęcia sławnych osób dostępne w otchłaniach Internetu.

Dzięki temu znacząco zwiększyła się różnorodność dostępnych obrazów.

Obecnie trend ten jeszcze bardziej ewoluował.

Jakiś czas temu serwis Flickr - służący jako internetowy album zdjęć, udostępnił bazę 100 milionów zdjęć dystrybuowanych na licencji Creative Commons.

Bazą tą zainteresowała się firma IBM.

Przeanalizowała znajdujące się tam fotografie i na ich podstawie stworzyła bazę miliona twarzy.

Baza ta była reklamowana jako idealne miejsce dla badaczy, którzy chcieliby poprawić jakość swoich algorytmów.

I wszystko byłoby ok - wszak nie doszło tutaj do naruszenia licencji.

Tylko, że niewiele osób - które udostępniały zdjęcia w taki sposób na serwisie Flickr, zdawało sobie sprawę jakie mogą być tego konsekwencje.

Teoretycznie - baza zawiera tylko zdjęcia, a nie imiona czy też nazwiska osób tam się znajdujących.

Ale przecież nic nie stoi na przeszkodzie aby to samo zdjęcie wyszukać na portalu Flickr i przyporządkować je do loginu danej osoby.

A mając login jesteśmy już o krok od pozyskania imienia i nazwiska danego człowieka.

IBM pozwala na usunięcie swojego zdjęcia z tej bazy, ale nie jest to prosta do przeprowadzenia procedura.

Dlatego pamiętajmy - cokolwiek zostanie wysłane do Internetu już na zawsze tam pozostaje.

3. Windows testuje nową funkcję, która ma rozwiązać problemy z aktualizacjami, powodującymi problem z uruchomieniem komputera.

Obecne systemy operacyjne otrzymują różnego rodzaju łatki i patche praktycznie co kilka dni.

Windows to skomplikowany system i pomimo różnego rodzaju testów możliwe jest wprowadzenie pewnych niepożądanych zachowań.

Zwłaszcza, biorąc pod uwagę mnogość komputerów na których jest on instalowany.

Od czasu do czasu zdarza się zatem, że niektóre łatki nie działają tak jak moglibyśmy tego oczekiwać, sprawiając iż komputer nie chce się uruchomić lub też system działa niestabilnie.

Ten problem dotyka wszystkich - począwszy od dużych korporacji a skończywszy na użytkownikach domowych.

Zwłaszcza ci drudzy - normalni, zwykli użytkownicy mierzą się z nie lada problemem.

Jeżeli bowiem ktoś nie posiada odpowiedniej technicznej wiedzy - samo uruchomienie komputera w trybie awaryjnym aby rozwiązać problem z oprogramowaniem może być nie lada zagadką.

Stąd też nowa funkcjonalność, która to automatycznie ma wykrywać błędy, powstałe na skutek instalacji nowego patcha.

Jeżeli komputer nie będzie po takiej instalacji działał prawidłowo, poprawka zostanie automatycznie usunięta z systemu.

Co więcej - jej ponowna instalacja zostanie zablokowana na kolejne 30 dni - tak aby sytuacja nie powtórzyła się ponownie.

Oczywiście, zaawansowani użytkownicy będą mogli wymusić instalację poprawki - jeżeli stwierdzą, że to nie ona jest powodem takiego działania systemu.

Myślę, że to krok w dobrą stronę.

Pytanie tylko, czy ten mechanizm będzie rzeczywiście działał tak dobrze, jak reklamuje go firma.

Poczekamy, zobaczymy.

4. W tym podcaście już wielokrotnie informowałem o wyciekach danych z kubełków S3.

Ale Amazon to nie jedyne miejsce, gdzie firmy mogą przetrzymywać swoje dane.

Firm, które oferują podobną funkcjonalność jest wiele - między innymi Dropbox, Microsoft OneDrive czy też Google G Suite.

Usługę taką oferuje również firma Box.

W ofercie dla przedsiębiorstw, każda firma otrzymuje swoją unikalną subdomenę.

Dokumenty zapisywane w chmurze mogą być współdzielone z innymi użytkownikami przy pomocy unikalnych adresów URL.

Co ciekawe - adres ten nie musi być automatycznie generowany przez serwis, a wybierany ręcznie przez użytkownika.

I to okazało się nie być dobrym pomysłem.

Jedna z firm postanowiła przeglądnąć się temu rozwiązaniu.

Na początek należało sprawdzić, jakie firmy posiadają wykupioną usługę przechowywania danych w chmurze.

Uzyskanie tych danych nie było zbyt skomplikowane.

Wystarczy bowiem wejść na adres: firma.app.box.com.

Jeżeli naszym oczom ukazywał się ekran logowania wraz z logiem firmy - oznaczało to, że trafiliśmy.

Posiadając wiedzę o firmach korzystających z narzędzia można było przystąpić do sprawdzania różnych nazw.

Tutaj wykorzystano różnego rodzaju słowniki.

Adresy URL bowiem były dostępne w formie firma.app.box.com/v/nazwa_pliku

W tym wypadku wyniki zaczęły się pojawiać szybciej niż się tego spodziewano.

To tylko demonstruje, że ludzie mają tendencje do wymyślania łatwych do zapamiętania nazw.

Oprócz zasobów, które były publicznie dostępne - takich jak materiały reklamowe - uzyskano dostęp do sporej ilości tajnych danych.

Między innymi skanów paszportów, prototypów różnego rodzaju technologii, numerów ubezpieczenia społecznego czy też dokumentów finansowych.

Jak zatem chronić się przed tego rodzaju wyciekami?

Administrator powinien skonfigurować współdzielenie linków w taki sposób, aby standardowo dostępne były one tylko dla osób z danej organizacji.

Wtedy to - nawet jeżeli atakujący zgadnie adres linku prowadzącego do danego zasobu - będzie musiał jeszcze pozyskać login i hasło jakiegokolwiek pracownika.

Administratorzy mają również dostęp do raportów, w których to można znaleźć informację na temat wszystkich publicznie dostępnych plików.

Kolejny przykład, że trzymanie danych w chmurze nie wystarczy aby były one bezpieczne, należy to jeszcze robić w prawidłowy sposób.

5. Certification Authority Browser Forum to organizacja zrzeszająca urzędy certyfikacji, producentów przeglądarek oraz systemów operacyjnych.

Organizacja odpowiedzialna jest za tworzenie wytycznych, których to muszą przestrzegać urzędy certyfikacji - aby traktowane były przez przeglądarki i systemy operacyjne jako zaufane.

To właśnie na zaufaniu opiera się dzisiejszy model certyfikatów i podpisów elektronicznych.

Producenci ufają, że urzędy przestrzegają wszystkich wytycznych, co gwarantuje, że certyfikaty są wydawane w prawidłowy sposób i nie dochodzi do nadużyć.

Wyobraźmy sobie bowiem sytuację, iż nagle pojawia się nieprawidłowo wygenerowany certyfikat dla jakiejś domeny należącej do Google.

Jeżeli ktoś posiada dostęp do takiego certyfikatu, który jest rozpoznawany przez przeglądarki jako zaufany - może wykonywać ataki man in the middle a to może prowadzić do wycieku różnego rodzaju danych.

Ostatnio doszło do złamania jednej z wytycznych.

Przez ten incydent należy cofnąć ponad 2 miliony certyfikatów.

Skąd tak duża liczba?

W certyfikacie, jednym z pól jest numer seryjny.

Jak można wyczytać w dokumencie: musi to być pozytywna liczba całkowita, unikalna dla każdego certyfikatu wydanego przez dany urząd.

Co więcej musi ona być losowa - to znaczy co najmniej 64 z jej bitów musi pochodzić z generatora liczb losowych.

Ale dlaczego numer seryjny nie może być sekwencyjny?

Co złego jest w tym, aby pierwszy certyfikat miał numer 1 a dwudziesty numer 20?

Ta wytyczna ma chronić przed atakami kolizji na funkcje skrótu, kiedy to dwa te same ciągi danych prowadzą do tego samego wyniku funkcji haszującej.

W przeszłości tego rodzaju ataki były możliwe na funkcję md5.

Na chwilę obecną nie jest znana metoda ataku, która mogłaby wpłynąć na wynik funkcja sha2 stosowanej w obecnych certyfikatach.

Organizacja jednak postanowiła dmuchać na zimne i wprowadziła taki wymóg podczas tworzenia certyfikatu.

Dodatkowa, losowa wartość w certyfikacie ma bowiem sprawić iż potencjalna kolizja będzie dużo trudniejsza do uzyskania.

No dobrze, ale o co ten cały ambaras?

Komputer musi jakoś przechowywać informację na temat liczb całkowitych w swojej pamięci.

Komputer bowiem nie operuje na liczbach całkowitych a na binarnych.

Jedną z popularniejszych metod reprezentacji liczb całkowitych w dwójkowym systemie pozycyjnym jest kod uzupełnień do dwóch - w skrócie u2.

W nim to najstarszy bit - koduje wartość liczby i jest nazywany bitem znaku.

Jeżeli jest on ustawiony - czyli równy 1 - liczba jest ujemna.

Jeżeli jest skasowany - czyli równy 0 - liczba jest dodatnia lub równa 0.

Wcześniej mówiłem, że numer seryjny nie może być liczba ujemną.

Czyli w kodowaniu u2 najstarszy bit numeru seryjnego nie może być ustawiony na 1, ponieważ wtedy mielibyśmy do czynienia z liczbą ujemną.

A więc musi on być zawsze ustawiony na 0.

A to rodzi pewne problemy.

Załóżmy bowiem, że numer seryjny jest generowany przez generator liczb losowych.

Jeżeli najstarszy bit jest równy 1 - program nie może użyć takiej wartości i musi coś z nią zrobić.

Najprostszym rozwiązaniem jest zatem ponowne wylosowanie nowej liczby - aż do momentu, w którym ta nowo wylosowana - nie będzie miała ustawionego najstarszego bitu.

Tylko, że to rozwiązanie sprawia - że używamy tak naprawdę 63 bitów losowości a nie 64 jak jest zawarte w wytycznych.

Mogło by się wydawać że to mała różnica, wszak to tylko jeden bit.

Tylko że ten jeden bit to 9 trylionów różnicy - czyli jedynka i 18 zer.

A ponieważ popularne oprogramowanie używane przez urzędy certyfikacji - działało właśnie w taki sposób, wygenerowane certyfikaty należało unieważnić.

Co więcej wytyczne mówią, że takie unieważnienie powinno nastąpić w przeciągu 5 dni.

Można sobie tylko wyobrazić skalę przedsięwzięcia przy 2 milionach takich certyfikatów.

6. A teraz ciekawostka dla posiadaczy iPhone’ów.

Jeżeli jesteś użytkownikiem tego urządzenia i dbasz o swoją prywatność warto skontrolować jedno z ustawień dostępnych w tym telefonie.

W menu Ustawienia należy przejść do zakładki Prywatność.

Tam wchodzimy do menu Usługi lokalizacji.

Na samym dole znajduje się podmenu Usługi systemowe.

W nim to musimy odnaleźć Ważne miejsca.

Jeżeli ta opcja jest włączona, iPhone może zapamiętywać ważne miejsca, aby zapewniać przydatne informacje dotyczące lokalizacji w mapach, kalendarzach, zdjęciach i innych aplikacjach.

Te ważne miejsca są szyfrowane, więc Apple nie może ich odczytać.

Można tam jednak znaleźć chociażby miejsce naszego zamieszkania czy też popularne adresy, pod którymi często bywamy.

Ot, taka ciekawostka.

7. W Japonii aresztowano 13-letnią dziewczynkę, która dystrybuowała pewien kod JavaScript na różnych stronach internetowych.

Kod ten miał być swego rodzaju żartem.

Wyświetlał on okienko popup z pewną wiadomością.

Było ono stworzone w taki sposób, że niemożliwe było jego zamknięcie.

To znaczy - po kliknięciu w guzik zamknij okienko to pojawia się w nieskończoność.

Nie jest to nic nowego.

Już parę lat temu można było napotkać tego rodzaju strony w Internecie.

Wtedy to było ona bardziej irytujące niż obecnie.

Dawne przeglądarki bowiem traktowały takie okienko na równi z zakładką strony internetowej.

Nie mogliśmy zatem korzystać z przeglądarki aż do momentu w którym dane okienko nie zostało zamknięte.

A ponieważ nie można go było zamknąć - jedyną opcją na jego pozbycie się było ponowne uruchomienie przeglądarki.

Chyba, że strona z takim kodem była ustawiona jako strona startowa.

Wtedy to nawet po ponownym uruchomieniu - okienko pojawiało się ponownie sprawiając iż zwykły użytkownik nie mógł serfować w Internecie.

Obecnie kod tego rodzaju nie jest już taki straszny.

W dzisiejszych czasach przeglądarki traktują każdą zakładkę jako osobny program.

Teraz owszem - nie jesteśmy w stanie zamknąć takiego popupa ale możemy zamknąć zakładkę z daną stroną.

Dalej jednak mechanizm ten jest wykorzystywany przez przestępców.

Zwłaszcza na urządzeniach mobilnych z Androidem.

Nie raz mogłeś natrafić na reklamę właśnie z tą funkcjonalnością.

Popularne frazy tam używane to: twój telefon jest zablokowany, posiadasz wirusa, zadzwoń pod podany numer telefonu aby usunąć go ze swojego telefonu.

Czy zatem więzienie nie jest aby zbyt mocna karą dla dziewczynki?

8. Naukowcy z Uniwersytetu Bonn opublikowali badania na temat tego w jaki sposób programiści przechowują hasła użytkowników w bazie danych.

Jest to kontynuacja podobnego badania przeprowadzanego na studentach informatyki.

Tym razem jednak zatrudniono wolnych strzelców z wykorzystaniem witryny freelancer.com.

Tam to możliwe jest wystawianie swoich ogłoszeń.

Opisujemy co chcemy otrzymać, jakie są wytyczne i czas, a także jaką stawkę jesteśmy w stanie zapłacić.

W zamian - otrzymujemy oferty pracy osób z całego świata.

Wyniki badań są zaskakujące.

Wynika z nich, że jeżeli chcemy otrzymać bezpieczne rozwiązanie - należy to wprost zakomunikować osobie odpowiedzialnej za dany kod.

W innym przypadku programiści nie czują się odpowiedzialni za bezpieczeństwo pisanego przez siebie kodu.

Równocześnie sporo programistów nie do końca rozumie różnice pomiędzy szyfrowaniem oraz haszowaniem a także kodowaniem.

Nie można bowiem traktować algorytmu base64 jako prawidłowy sposób przechowywania haseł w bazie.

Owszem - nie są one widoczne jako zwykły tekst, dalej jednak jest możliwe ich odzyskanie.

Wychodzi również na to, że sporo osób kopiuje kod odpowiedzialny za haszowanie z Internetu, na przykład ze strony w stylu Stackoverflow.

To sprawia, że czasami używane są przestarzałe metody haszowania - chociażby md5 czy też sha1.

Szkoda, że nie przeprowadzono podobnych badań w odniesieniu do pracowników korporacji, pracujących w firmie, zatrudnionych na umowę o pracę.

Czy bowiem zwykłe dopisanie do opisu taska informacji o tym, że podana funkcjonalność winna być zaimplementowana w bezpieczny sposób rzeczywiście sprawiłaby że jakość kodu znacząco by wzrosła?

Czy bezpieczeństwo może być tak proste?

I to już wszystko w tym odcinku.

Jeżeli Ci się spodobało nie zapomnij o subskrypcji i komentarzu pod tym wideo.

A my widzimy się już za tydzień. Cześć!

1 2 3 4 5 6 7 8

Timeline: