Názory k článku Postřehy z bezpečnosti: Signal pod palbou a lepší arzenál APT41

  • Článek je starý, nové názory již nelze přidávat.
  • 16. 7. 2024 19:25

    Filip Jirsák
    Stříbrný podporovatel

    Není to velký průser. Dříve se předpokládalo, že váš počítač je bezpečný. Nepočítalo se s tím, že máte na počítači spuštěný nějaký záškodnický program, který bude číst vaše soubory.

    Navíc ani neexistovaly prostředky, jak ta data rozumně zabezpečit. Mohl každý program chtít při startu heslo – ale bude uživatel po přihlášení zadávat hesla do dvaceti aplikací? To, že operační systém či desktopové prostředí poskytují nějaké zabezpečené úložiště není zas tak stará věc – a já bych si tipnul, že v době, kdy byla ta chyba poprvé nahlášena, ty prostředky neexistovaly ve všech rozšířených desktopových OS? nebo nebyly dostupné z Electronu. Navíc jak je napsáno v článku, na WIndows to API poskytuje přístup všem aplikacím běžícím pod stejným uživatelem, takže to je z deště pod okap.

    Navíc ten vektor útoku je strašně úzký. Musíte být schopen číst soubory uživatele, ale už vás to neochrání, když budete schopen do souborů i zapisovat. Protože jakmile můžete zapisovat, prostě uživateli předhodíte jiný program, který se bude tvářit jako Signal, a prostě si počkáte, až vám uživatel to heslo napíše. (I kdyby to bylo svázáno třeba s podpisovým klíčem programu, je potřeba uživatele akorát přesvědčit, že nová verze potřebuje zadat znovu heslo třeba kvůli bezpečnosti.)

    Pokud se tohle má řešit (jako že asi ano), musí se to řešit na úrovni operačního syystému tak, jak to řeší mobilní OS – že budou jednotlivé aplikace od sebe oddělené, budou mít nějaký vyhrazený prostor na souborovém systému, kam bude moci jenom ta aplikace a pak nějaké aplikace se speciálním oprávněním. Snažit se to řešit na úrovni jednotlivých aplikací je marné.

  • 17. 7. 2024 8:42

    oss

    Nesuhlasim. Ked si ulozim kluce vedla zasifrovanych dat to ani nemusim sifrovat. Ono to neni dobry napad od vzniku vemsiru.

    Pre to ma prave Windows CertSTore a DPAPI, ktore prave tieto problemy riesia.

    Ako pri nejakom blbom programe ala malovanie by som to aj bral, ale Signal je postaveny na tom, ze sifruje komunikaciu a poskytuje nejaku uroven bezpecnosti. A potom si clovek nainstaluje dektopovy klient a ta bezpenost je zrazu prec.

  • 17. 7. 2024 13:09

    Filip Jirsák
    Stříbrný podporovatel

    Ked si ulozim kluce vedla zasifrovanych dat to ani nemusim sifrovat.
    Přesně tak. To šifrování nemá moc velký význam, jedině aby ta data nebyla hned na ráně pro někoho, kdo by se k nim dostal spíš omylem.

    Pre to ma prave Windows CertSTore a DPAPI, ktore prave tieto problemy riesia.
    Ne, DPAPI to právě neřeší, jak je napsáno v článku.

    Ako pri nejakom blbom programe ala malovanie by som to aj bral, ale Signal je postaveny na tom, ze sifruje komunikaciu a poskytuje nejaku uroven bezpecnosti. A potom si clovek nainstaluje dektopovy klient a ta bezpenost je zrazu prec.
    Signal komunikaci šifruje pořád, i s desktopovým klientem. Ale pokud používáte nějakou aplikaci na zařízení, kterému nedůvěřujete, nezachrání vás nic. Na nedůvěryhodném zařízení může nějaká škodlivá aplikace udělat třeba snímek obrazovky, kde budou zobrazené zprávy – jak tomu chcete z aplikace zabránit?

  • 21. 7. 2024 10:00

    lazywriter

    Omylem? Vám bezpečnost nic moct neříká, viďte? Modelový příklad: Uživatel odnese svůj počítač s Windows Home bez Bitlockeru do servisu.

  • 21. 7. 2024 11:38

    Filip Jirsák
    Stříbrný podporovatel

    Takže se v tom servisu dostanou ke všem dokumentům, fotkám a videím, které má uživatel na počítači uložené. Dostanou se k historii prohlížeče, ke cookies, a pokud nemá hesla v prohlížeči chráněná hlavním heslem, dostanou se i k nim.

    Takže je to bezpečnostní chyba Wordu, ve kterém ukládal ty dokumenty, Lightroomu, ve kterém ukládal ty obrázky atd. atd.

    To je váš pohled na věc. Můj pohled na věc je ten, že bezpečnostní chyba je dávat z ruky počítač s citlivými daty uloženými na nešifrovaném disku.