Data: 2016-11-16 13:55:45 | |
Autor: J.F. | |
Niebezpieczne mobilne aplikacje bankowe | |
Użytkownik "Marcin" napisał w wiadomości grup dyskusyjnych:582b885c$0$5144$65785112@news.neostrada.pl...
Podano kilka przykladow podstawowych bledow znalezionych w aplikacjach na smartfony oferowane przez polskie banki: Niby juz polatane te dziury ale zastanawa mnie, ze ktos znajduje tak podstawowe bledy w aplikacjach pracujacych z tak wrazliwymi danymi jak nasze finanse. IMHO oznacza to, ze banki nie traktuja tego powaznie (realnych uzytkownikow nie ma tak duzo jak to banki raportuja?) i nie przprowadzaja podstawowych testow bezpieczenstwa. Ciekawe jakie jeszcze bledy sie tam znajduja.... Po pierwsze - zapamietaj prawde podstawowa - kazdy wiekszy system informatyczny zawiera nieskonczona ilosc bledow, tylko nie wszystkie zostaly jeszcze wykryte. Po drugie - bank rzadko pisze jakies aplikacje, raczej je po prostu zamawia. U taniego dostawcy, ktory zatrudnia studentow. No to jak one moga byc dobre ? W dodatku termin goni, na testowanie nie ma czasu :-) Po trzecie - wykorzystanie takiej wykrytej dziury wymaga zlych ludzi i nakladu pracy z ich strony, a czesto jeszcze dodatkowych dziur, wiec nasze pieniadze sa dosc bezpieczne. J. |
|
Data: 2016-11-16 07:59:26 | |
Autor: Michal 'Amra' Macierzynski | |
Niebezpieczne mobilne aplikacje bankowe | |
W dniu środa, 16 listopada 2016 13:55:49 UTC+1 użytkownik J.F. napisał:
Po pierwsze - zapamietaj prawde podstawowa - kazdy wiekszy system informatyczny zawiera nieskonczona ilosc bledow, tylko nie wszystkie zostaly jeszcze wykryte. Nie ma oprogramowania idealnego - o czym swiadcza dziury w systemach operacyjnych - niektore dziury nie sa zalatane przez wiele lat (bo nikt o nich nie wie, albo nie znalazl sie nikt, kto wiedzialby jak je wykryc/wykorzystac).. Natomiast pytanie czy wszystkie bledy sa dziurami, ktore mozna wykorzystac w celu wlamania -oczywiscie, ze tak nie jest. Co do zabezpieczen - duze audyty robi sie przy wiekszych aktualizacjach - to zajmuje czas i pieniadze.. Dlatego robi sie to cyklicznie - ale to powoduje, ze przy mniejszych poprawkach pojawiaja sie jakies bledy. Na tym rynku jest tylko kilka firm i kazda chce jakos zaistniec. Te bledy, ktore zostaly wykryte - nie sa jakies krytyczne - czesto wynikaja z jakiegos niechlujstwa progamistow. A pamietajcie, ze pisze sie na 2-3 duze platformy, a do tego jest to znacznie wieksza sztuka niz w przypadku stron WWW. Deweloperow jest malo, a tych doswiadczonych jeszcze mniej. Z mojej perspektywy media przedstawily to tak, zeby sie naklikalo, zedne jakos nie pokusilo sie o ocene tych bledow i sformulowania prawdopodoienstwa skutecznego ataku.. |
|
Data: 2016-11-17 01:45:45 | |
Autor: Eneuel Leszek Ciszewski | |
Niebezpieczne mobilne aplikacje bankowe | |
"Michal 'Amra' Macierzynski" a7cdfa30-9ce5-435f-816a-860e0092a101@googlegroups.com : Nie ma oprogramowania idealnego DEKnuth dawał 3 setki dolców za znalezienie nieznanego błędu w TeXu -- chętnych do nominacji ponoć brakuje... Profesor Knuth wyznaczył nagrodę pieniężną za każdy znaleziony w jego programie błąd. W roku 1985 nagroda wynosiła 1 cent, była podwajana co rok aż do 327 dolarów i 68 centów[1]. https://pl.wikipedia.org/wiki/TeX Przed kilkudziesieciu laty systemy były niemal bezbłędne. : - o czym swiadcza dziury w systemach operacyjnych - niektore : dziury nie sa zalatane przez wiele lat (bo nikt o nich nie wie, : albo nie znalazl sie nikt, kto wiedzialby jak je wykryc/wykorzystac). Natomiast systemy plików (FSy) częstokroć są skutecznie pozbawiane błędów, zanim trafą do endjuserów. : Natomiast pytanie czy wszystkie bledy sa dziurami, ktore mozna : wykorzystac w celu wlamania -oczywiscie, ze tak nie jest. Co : do zabezpieczen - duze audyty robi sie przy wiekszych : aktualizacjach - to zajmuje czas i pieniadze. Zasiew pochłania plony. ;) : Dlatego robi sie to cyklicznie - ale to powoduje, ze : przy mniejszych poprawkach pojawiaja sie jakies bledy. Pamiętam instrukcję zapisana jakoś tak: a - wejść do edytora b - napisać algorytm c - skompilować d - wejść do edytora i poprawić błędy (na pewno będą) po czym wrócić do punktu c : Na tym rynku jest tylko kilka firm i kazda chce jakos zaistniec. : Te bledy, ktore zostaly wykryte - nie sa jakies krytyczne - czesto : wynikaja z jakiegos niechlujstwa progamistow. Rzadko z przerostu ambicji nad możliwościami/umiejętnościami. ;) : A pamietajcie, ze pisze sie na 2-3 duze platformy, a do tego jest to : znacznie wieksza sztuka niz w przypadku stron WWW. Deweloperow jest : malo, a tych doswiadczonych jeszcze mniej. Z mojej perspektywy media : przedstawily to tak, zeby sie naklikalo, zedne jakos nie pokusilo sie : o ocene tych bledow i sformulowania prawdopodoienstwa skutecznego ataku. -- _._ _,-'""`-._ .`'.-. ._. http://eneuel.w.duna.pl .-. (,-.`._,'( |\`-/| .'O`-' ., ; o.' http://danutac.net.pl '.O_' `-.-' \ )-`( , o o) `-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~'~'~'~ o.`., -bf- `- \`_`"'-.o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;. . .;\|/...... |
|
Data: 2016-11-17 14:13:12 | |
Autor: J.F. | |
Niebezpieczne mobilne aplikacje bankowe | |
Użytkownik "Eneuel Leszek Ciszewski" napisał w wiadomości grup dyskusyjnych:o0j099$n5j$2@node1.news.atman.pl...
"Michal 'Amra' Macierzynski" a7cdfa30-9ce5-435f-816a-860e0092a101@googlegroups.com : Nie ma oprogramowania idealnego Profesor Knuth wyznaczył nagrodę pieniężną za każdy znaleziony a) dowiedz sie, ile tych bledow tam jednak znaleziono i poprawiono. Zaloze sie, ze niejeden, nawet jesli po nagrode nikt nie wystapil. b) Knuth to jest nazwisko w informatyce ! M.in. spec od poprawnego programowania. c) pisal dla siebie, sam sobie specyfikacje zrobil, sam narzedzia, sam napisal. Nikt mu marketingowych pomyslow nie wciskal - typu np kup 2 sztuki, to obnizymy cene za obie .. d) programy mniejsze byly, to i latwiejsze do ogarniecia. Choc akurat TeX taki maly wcale nie jest ... J. |
|
Data: 2016-11-17 22:10:50 | |
Autor: Marcin | |
Niebezpieczne mobilne aplikacje bankowe | |
Witam
W dniu 2016-11-16 o 16:59, Michal 'Amra' Macierzynski pisze: Nie ma oprogramowania idealnego - o czym swiadcza dziury w systemach> operacyjnych - niektore dziury nie sa zalatane przez wiele lat > (bo nikt o nich nie wie, albo nie znalazl sie nikt, kto wiedzialby > jak je wykryc/wykorzystac). Tu mowimy o bledach ktore sie znajduje w bardzo krotkim czasie. I w tych przypadkach mam podejrzenie, ze po prostu postanowiano zaoszczedzic. Pewnie na developerach, z pewnoscia na testach. > Te bledy, ktore zostaly wykryte - nie sa jakies krytyczne - czesto > wynikaja z jakiegos niechlujstwa progamistow. A pamietajcie, ze pisze > sie na 2-3 duze platformy, a do tego jest to znacznie wieksza sztuka > niz w przypadku stron WWW. Deweloperow jest malo, a tych > doswiadczonych jeszcze mniej. Znajac troche rynek developerow i testerow sytuacja wyglada troche inaczej. ile zaplacisz taka jakosc dostajesz. Chcesz wydac tyle ile bierze zespol niedsoswiadczonych studentow to sie nie dziw, ze sa w sofcie szkolne bledy. Chcesz miec zrobione porzadnie to trzeba niestety (albo z drugiej strony stety) zaplacic wiecej. A jak juz sie zrobi to trzeba sprawdzic przez kogos niezaleznego (tez trzeba zaplacic) za testy a nie polegac na niedoswiadczonych testerach. Pozdrawiam, Marcin |
|
Data: 2016-11-18 09:01:43 | |
Autor: Wojciech Bancer | |
Niebezpieczne mobilne aplikacje bankowe | |
On 2016-11-17, Marcin <nomail@nospam.com> wrote:
[...] Tu mowimy o bledach ktore sie znajduje w bardzo krotkim czasie. I w tych przypadkach mam podejrzenie, ze po prostu postanowiano zaoszczedzic. Pewnie na developerach, z pewnoscia na testach. Idąc w drugą stronę: Tu mówimy o niedociągnięciach nie stanowiących bezpośredniego zagrożenia, które ktoś nazwał błędami żeby zrobić trochę szumu medialnego. Błędy podobne do "wejdę na validator.w3.org, wpiszę dowolną stronę i znajdę błąd!!!" -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
Data: 2016-11-21 01:18:21 | |
Autor: Eneuel Leszek Ciszewski | |
Niebezpieczne mobilne aplikacje bankowe | |
"Marcin" 582e1cdb$0$5157$65785112@news.neostrada.pl Znajac troche rynek developerow i testerow sytuacja wyglada troche inaczej. ile zaplacisz taka jakosc dostajesz. Chcesz wydac tyle ile bierze zespol niedsoswiadczonych studentow to sie nie dziw, ze sa w sofcie szkolne bledy. Chcesz miec zrobione porzadnie to trzeba niestety (albo z drugiej strony stety) zaplacic wiecej. A jak juz sie zrobi to trzeba sprawdzic przez kogos niezaleznego (tez trzeba zaplacic) za testy a nie polegac na niedoswiadczonych testerach. Przykładem może być rodzina profesjonalnych ;) systemów operacyjnych Windows i amatorszczyzna spod znaku Linuksa... -=- Z Biz/FM/Smart/Nest miałem do czynienia -- raczej dobre to tylko do wzięcia wisienek bądź orzeszków. -- _._ _,-'""`-._ .`'.-. ._. http://eneuel.w.duna.pl .-. (,-.`._,'( |\`-/| .'O`-' ., ; o.' http://danutac.net.pl '.O_' `-.-' \ )-`( , o o) `-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~'~'~'~ o.`., -bf- `- \`_`"'-.o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;. . .;\|/...... |
|
Data: 2016-11-21 10:45:33 | |
Autor: Ojciec | |
Niebezpieczne mobilne aplikacje bankowe | |
Eneuelu co za głupoty wypisujesz o operacyjnych systemach komputerowych. Z tego co napisałeś wynika, że nie masz o tym pojęcia.
|
|
Data: 2016-11-21 14:26:34 | |
Autor: Eneuel Leszek Ciszewski | |
Niebezpieczne mobilne aplikacje bankowe | |
"Ojciec" 5832c220$0$653$65785112@news.neostrada.pl Eneuelu co za głupoty wypisujesz o operacyjnych systemach komputerowych. Z tego co napisałeś wynika, że nie masz o tym pojęcia. Jedna z wielu uniwersalnych wypowiedzi -- fajna, bp pusta. Ale odpowiem, choć nie Tobie bo Tobie nie warto odpowiadać. :) Windows zanika, podczas gdy Linuks jest na masie smartfonów, routerów, telewizorów i różnej maści urządzeń... Nie trzeba mieć pojęcia o tym, by wiedzieć, że Android siedzi na Linuksie, niemal każdy TV ma Linuksa itd... Czyżby masa ludzi myliła się co do cudowności Windows? Znasz poważny sprzęt pracujący na Windows? Szpitalny, przemysłowy itd?... Owszem, Windows i Linuks nie pokrywają wszystkiego -- są takźe inne systemy, w tym poważne naprawdę, ale nie trzeba być ekspertem, by wiedzieć, że na Windows zdecydowało się raczej niewielu poważnych ludzi. Nie chodzi tu tylko o cenę. -- _._ _,-'""`-._ .`'.-. ._. http://eneuel.w.duna.pl .-. (,-.`._,'( |\`-/| .'O`-' ., ; o.' http://danutac.net.pl '.O_' `-.-' \ )-`( , o o) `-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~'~'~'~ o.`., -bf- `- \`_`"'-.o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;. . .;\|/...... |
|
Data: 2016-11-17 21:46:12 | |
Autor: Marcin | |
Niebezpieczne mobilne aplikacje bankowe | |
Witam
W dniu 2016-11-16 o 13:55, J.F. pisze: Po pierwsze - zapamietaj prawde podstawowa - kazdy wiekszy system Troche wiem o testowaniu systemow informatycznych. Bledy takie, ktore sie znajduje w ciagu paru minut nie maja prawa istniec w wersji udostepnionej klientowi (no dobra czasem sie zdarza, gdyby znalezli w jednej aplikacji to jeszcze by to bylo zrozumiale)... Po drugie - bank rzadko pisze jakies aplikacje, raczej je po prostu A co mnie to jako potencjalnego klienta powinno obchodzic kto pisze aplikacje? Moze pisac i prezes jako hobby po godzinach albo kupa studentow w dawnym Comarchu ewentualnie profesjonalisci z doswiadczeniem. Wazne zeby dzialalo i nie mialo bledow. Tak jak bank nie produkuje sobie sam mebli w oddzialach ale krzesla ma miec takie zeby nie podarly mi spodni. W dodatku termin goni, na testowanie nie ma czasu :-) Tutaj wyglada jakby nikt kto sie zna na testowaniu nawet nie spojrzal na te aplikacje skoro znalezienie bledow zajelo tak malo czasu. Po trzecie - wykorzystanie takiej wykrytej dziury wymaga zlych ludzi i Zlych ludzi nie brakuje odkad tylko zaczeto spisywac historie. Dziury w oprogramowaniu smartfonow sie znajda. A i od czasu do czasu sa jakies informacje o kradziezy pieniedzy dzieki uzyciu zlosliwego oprogramowania. A w przypadku gdy uzywamy aplikacji banku na smartfonie w ktorym jest sim od numeru na ktory przychodza smsy autoryzacyjne to zlodziej moze miec komplet danych. Wiec chcialbym, zeby bank bral odpowiedzialnosc za to co udostepnia. Pozdrawiam, Marcin |
|
Data: 2016-11-18 11:12:36 | |
Autor: Eneuel Leszek Ciszewski | |
Niebezpieczne mobilne aplikacje bankowe | |
"J.F." 582c5752$0$5141$65785112@news.neostrada.pl Po pierwsze - zapamietaj prawde podstawowa - kazdy wiekszy ilość ż V, DCMs. ~ści; lm MD. ~ści <<kategoria pojęciowa obejmująca to, co może być mierzone lub ważone; miara czegoś>> Ilość wody, mleka, cukru. Niewielkie ilości czegoś. Zasada ilości przechodzącej w jakość. Mieć coś w wielkiej ilości (w wielkich ilościach). liczba ż IV, CMs. ~bie; lm D. liczb 2. <<stan liczebny>> Liczba osób. Liczba przedmiotów. Liczba wojska. Kobiety przeważały liczbą. Zatem -- 'liczba błędów', nie 'ilość błędów'. Żaden algorytm nie ma nieskończenie wielu miejsc/punktów, więc i żaden algorytm nie może mieć nieskończenie wielu błędów. :) -=- Kiedyś powiedziałem, że napiszę bezbłędny program w Fortranie. Towarzystwo ;) przyjęło moją propozycję z zaciekawieniem. Chciałem napisać: END co oznaczać by miało najkrótszy algorytm ;) w Fortranie, ale niestety popełniłem drobną ;) literówkę i wyszło: EDN co mnie dość mocno speszyło... Tak oto życie tak zwane -- uczy pokory. W mych programach nie nadużywałem ;) spacji -- ignorowanych przez kompilatory. (kompilatory Fortranu nie ignorowały spacji na początku linii i w komentarzach oraz w ,,formatach'') Przykłady mego pisarstwa ;) wyglądały jakoś tak: PROGRAMA INTEGERI REALA A=1.123 DO10I=0,9 10 A=A*A WRITE(5,100) 100 FORMAT(E8.2) 128 END choć raczej ;) nie lubiłem liczb rzeczywistych [ach, ta rzeczywistość... preferowałem całkowicie ;) inny świat] a lejbel ;) 128 stawiałem tylko wówczas, gdy był gdzieś do niej skok... [ach, te Spółdzielcze Kasy...] Gdy było kilka końców [kije mają dwa...] inne końce numerowałem: 129, 127, 126... Trzy początkowe linijki są zbędne, ale zwykle wstawiałem je. W wyjątkowych sytuacjach mogły tu wnieść jakąś niezerową wartość, ale nie w typowych. -- _._ _,-'""`-._ .`'.-. ._. http://eneuel.w.duna.pl .-. (,-.`._,'( |\`-/| .'O`-' ., ; o.' http://danutac.net.pl '.O_' `-.-' \ )-`( , o o) `-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~'~'~'~ o.`., -bf- `- \`_`"'-.o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;. . .;\|/...... |
|
Data: 2016-11-18 12:52:16 | |
Autor: J.F. | |
Niebezpieczne mobilne aplikacje bankowe | |
Użytkownik "Eneuel Leszek Ciszewski" napisał w wiadomości grup dyskusyjnych:o0mk8g$as4$2@node1.news.atman.pl...
"J.F." 582c5752$0$5141$65785112@news.neostrada.pl Po pierwsze - zapamietaj prawde podstawowa - kazdy wiekszy ilość ż V, DCMs. ~ści; lm MD. ~ści liczba ż IV, CMs. ~bie; lm D. liczb Ale my tu o nieskonczonczosci. Z jednej strony - nie mozna tego wyrazic liczba, z drugiej - matematycy rozrozniaja nieskonczonosci nieprzeliczalne i przeliczalne :-) Żaden algorytm nie ma nieskończenie wielu miejsc/punktów, więc Wniosek chyba nieuzasadzniony. Poza tym - algorytm wspolpracuje z jakims danymi, a tych zaczyna byc ilosc zblizona do nieskonczonosci :-) Kiedyś powiedziałem, że napiszę bezbłędny program w Fortranie. Na szczescie bajt ma tylko 256 mozliwych wartosci, a ilosc bajtow ktore mogles wpisac jest ograniczona, wiec ilosc mozliwych bledow jest ograniczona. Choc prawde mowiac ... czy dlugosc taka na pewno ograniczona ? Zalozylem ze o ile mogles wpisac np EDDN, to zauwazylbys raczej dluzszy tekst, ale czy na pewno ? J. |
|
Data: 2016-11-18 18:29:22 | |
Autor: Eneuel Leszek Ciszewski | |
Niebezpieczne mobilne aplikacje bankowe | |
"J.F." 582eeb70$0$653$65785112@news.neostrada.pl Ale my tu o nieskonczonczosci. Kilogram cukru zawiera skończoną liczbę ,,ziarenek''. Z jednej strony - nie mozna tego wyrazic liczba, z drugiej - matematycy rozrozniaja nieskonczonosci nieprzeliczalne i przeliczalne :-) Niewiele to zmienia. Żaden algorytm nie ma nieskończenie wielu miejsc/punktów, więc Wniosek chyba nieuzasadzniony. Co mają dane do algorytmu przetwarzania danych? [do przetwórstwa?] Na szczescie bajt ma tylko 256 mozliwych wartosci, a ilosc bajtow Z tego -- wartosci możliwych do uzyskania z klawiatury -- znacznie mniej. Ponadto litery wielkie miały wartość adekwatnych liter małych. ktore mogles wpisac jest ograniczona, wiec ilosc mozliwych bledow jest ograniczona. Zdecydowanie ograniczona -- ale liczba, nie ilość. Linia mogła być zapisana poprawnie albo niepoprawnie. ;) Zatem w tym miejscu można popełnić błąd, albo nie popełnić błędu. Choc prawde mowiac ... czy dlugosc taka na pewno ograniczona ? ale czy na pewno ? END==enD<>edn<>emd itd., ale tu można raczej popełnić tylko jeden błąd. Nawet wówczas, gdy będziesz tych błędów szukał na siłę -- linia nie może być nieskończenie długa a żaden ze znaków nie może przybrać wartości zupełnie dowolnej. Jakakolwiek liczba w stosunku do nieskończoności -- jest mała. ;) Można oczywiście dopisywać ,,pionowo'' -- czyli dorzucać zbędne linie przed słowem 'End', ale i tym razem trudno w kolejnych podrzutkach (dodanych liniach) doszukiwać się kolejnych błędów, -=- Obecny kurs euro do złotówki to: 4,4444 5,4444 6,7878 3,4632 2,7654 44,444 4444,4 czy jeszcze inaczej? Liczba albo jest zapisana błędnie, albo poprawnie. :) Inna sprawa, że nie wiemy, czym naprawdę jest ten kurs, zatem poprawność zależy od tolerancji. ;) -=- BTW -- niedawno czytałem (zamieszczoną w necie) wypowiedź człowieka, który przepowiada kursowanie walut z dokładnością kilkudniową, do 4 miejsc po przecinku dziesiętnym. Niestety nie mogę odnaleźć tej wypowiedzi. -- _._ _,-'""`-._ .`'.-. ._. http://eneuel.w.duna.pl .-. (,-.`._,'( |\`-/| .'O`-' ., ; o.' http://danutac.net.pl '.O_' `-.-' \ )-`( , o o) `-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~'~'~'~ o.`., -bf- `- \`_`"'-.o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;. . .;\|/...... |
|