Vlákno názorů k článku Postřehy z bezpečnosti: krádež dat pomocí „mluvících pixelů“ od WIFT - Jako jo, krásnej typ útoku s tím monitorem,...

Jako jo, krásnej typ útoku s tím monitorem, ale v praxi ho podle mě nikdo nepoužije. Když vidím, na co jsou schopni lidi naletět, tak tohle je mrhání inteligenčním potenciálem útočníka. Kolikrát se oběti stačí jen zeptat na heslo (jo, nadsázka, ale v daném kontextu ne až tak moc velká).

Jenomze po vyzrazeni hesla muze treba dojit k jeho zmene. Jsou mista a systemy kde i kdyz se zeptas na to heslo a nekdo ti ho rekne tak je ti to k nicemu protoze potrebujes treba heslo dalsich 4 lidi. V minulosti jsme generovali sifrovaci klice na offline hsm, k tomu aby proces probehl bylo zapotrebi 5 lidi, v danem okamziku mohl byt v mistnosti jenom jeden clovek, atd. Vyexportovat neexportovatelne klice z tohodle ti znalosti hesla jednoho cloveka nepomuze.

Asi chodím po špatných firmách, protože nikde mantrap ani izolovanou místnost nemají.
Nejtěžší část sociálního hackingu se ukázala (pro české prostředí) překážka tykání/vykání vytipovaného IT pracovníka s cílem útoku. Proto jsme raději při průzkumu upřednostili ty, kteří s dotyčným byli ve styku na FCB/Diskchord, pak už to byla docela brnkačka i OTP 2FA :-)

Pokud chce mit firma proverku na tajne, pak takovy prostor musi mit - ze zakona.

Nicméně předpokládám, že to, jestli tu ostrahu nezajišťuje agentura, která strážným platí minimální mzdu, se neřeší... ostatně jako vždycky :-)

Cca deset let dozadu mel na vicemene tohle tema na ETH prednasku Adi Shamir (mj. to "S"-ko z RSA). Nemuzu to ted nikde najit, ale casove by to sedelo na vysledky co jsou v https://dl.acm.org/doi/10.1145/2851486 . Dle toho clanku to zjevne taky zajima NATO / NSA ( https://en.wikipedia.org/wiki/Tempest_(codename) ). A teda jak Shamir (Weizman Institute) tak tihle z Ben Gurion Uni jsou Izraelci, takze si muzeme pekne zafabulovat o jejich motivaci (myslim ze modelova situace, co na tom seminari tehdy zminoval, byla, ze "cinknout" dodavku hardware do jinak offline kancelare neni takovy problem, ale jak pak z toho cist ta chtena data?)

Kdyz uz si tak konspiruji / fabuluji, tak ja si porad nejsem jisty, jestli Shamirova motivace k precteni vseho, co leaknul Snowden, tkvela ciste v tom, zda tam objevi stopy o prolamovani RSA jinak, nez hrubou silou; viz. jiny Shamiruv talk na ETH z doby ~10let dozadu ( https://av.tib.eu/media/37025 ). FWIW, rikal tehdy, ze nic nenasel :-)

16. 9. 2024, 21:01 editováno autorem komentáře