Díra v kombinaci opencard + MKP

Jenda | Leden 7, 2011 - 13 let 15 týdnů Štítky:

V Metru vyšel 5.1.2011 článek, který na „populární média“ překvapivě přesně popisuje útok na opencard. Pokud má oběť aplikaci z pražské knihovny a nenastavila si heslo, lze zjistit jméno, číslo OP, telefon, vypůjčené knihy a udělat rezervaci.

6.1.2011 vyšel druhý článek. Bylo přijato bezpečnostní opatření, takže musíte provést útok hrubou silou na 10000 možných kombinací. Mluvčí opencard nás dále ubezpečí, že všechno je naprosto bezpečné (až na ten přepojovací útok…). Dále je doporučeno nosit kartu ve Faradayově kleci.

Magistrát samozřejmě zvažuje právní kroky proti lidem, kteří si dovolili popis díry publikovat.

Přidat komentář

Komentáře

Já bych jim všechny ty Internety…

Jenda | Leden 7, 2011 - 13 let 15 týdnů

V původním článku je samozřejmě v postupu něco jako „na Internetu zakoupíme čtečku“ „návod na sestavení emulátoru je k dispozici na Internetu“ atd. Bojím se ale, že první nápad „obyčejného občana“, který si něco takového přečte, bude, že chyba není v opencard a v systému městské knihovny, ale že lze vyřešit zakázáním publikování podobných návodů. Vždyť k čemu potřebuje slušný člověk emulátor Mifare karet? A k čemu potřebuje vědět, jak pracuje RFID?

Tím (zvažovaným) trestním oznámením v podstatě říkají, že na světě není nikdo tak chytrý, jako ten, co zveřejnil popis útoku, a nikoho jiného tedy tento útok nenapadne. Být Petrem Kučerou z IURE, velmi by mě to potěšilo :-), nicméně asi všichni víme, že to není pravda, a že podobně schopných je víc.

odpovědět

Přidávám odkazy na články:

voda | Leden 7, 2011 - 13 let 15 týdnů

Přidávám odkazy na články: http://www.metro.cz/domov/4043-opencard-znam-te-do-deseti-minut a http://www.metro.cz/domov/4050-opencard-vase-data-uz-jsou-v-bezpeci

odpovědět

Díky, přidáno do zprávičky,

Jenda | Leden 7, 2011 - 13 let 15 týdnů

Díky, přidáno do zprávičky, nevšiml jsem si, že to mají i normálně v HTML.

odpovědět

Knihovna v Praze

sprcka | Leden 10, 2011 - 13 let 15 týdnů

Máte absolutní pravdu, jakmile tam zavedli elektronickou kartu, není problém se dostat k údajům, které jsou volně přístupné. Koukám na ten článek, nemám sice Openkartu, ty starší karty na tom jsou podobně. Na Praze je smutný ten fakt, že Vám seberou peněženku a Vaše věci se poflakují v kdejaké telefonní budce. Je to tedy spousty let, ale fakticky při troše zvědavosti mě to nedalo. A taky vzhledem k tomu, že mě přestal jít internet. Měl jsem dojem, že se dříve dalo do knihovny telnetem, prohledávat databáze, tak či tak nebyl problém s kartou Nováka najít svoje čtivo a valit opět pryč. Fyzické knihy zůstali jak byli. Vídím spíše problém na straně té knihovny, která než-li někoho registruje, těch údajů o Vaší osobě spotřebuje mnoho, vždy se najde cesta jak do takové databáze .
Když to nakonec člověk použije jednu kartu, vlastně je jen u jednoho údaje o té které osobě. Nějaké hromadné zneužití v tom není :)

odpovědět

Zprávičky

Pozvánka na 167. sraz OpenAlt – Praha – MouseJack

Franta | Srpen 17, 2019 - 4 roky 36 týdnů Štítky:

Srpnový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 22. 8. 2019 od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Tématem bude jako obvykle svobodný software a hardware. A pokud vás zajímá bezpečnost bezdrátových klávesnic a myší (útok MouseJack a spol.) a nějaké takové zařízení máte, vezměte ho sebou – trochu ho potrápíme o ověříme jeho bezpečnost.

Přidat komentář

Celostátní MITM v Kazachstánu

Jenda | Červenec 18, 2019 - 4 roky 40 týdnů

Internetoví poskytovatelé v Kazachstánu začali provádět Man-in-the-middle útok na všechna HTTPS spojení. Podle zdůvodnění „V souvislosti s častými případy krádeží osobních a pověřovacích údajů, jakož i penězi z bankovních účtů Kazachstánu bylo zavedeno bezpečnostní osvědčení, které se stane účinným nástrojem pro ochranu informačního prostoru země před hackery, internetovými podvodníky a dalšími typy kybernetických hrozeb. Zavedení bezpečnostního certifikátu přispěje k ochraně informačních systémů a dat ak identifikaci hackerských kybernetických útoků internetových podvodníků na informační systémy v zemi, soukromé, včetně bankovního sektoru, dříve, než mohou způsobit škody.“

Pozvánka na 165. sraz OpenAlt – Praha – GraalVM

Franta | Červen 10, 2019 - 4 roky 45 týdnů Štítky:

Červnový pražský sraz spolku OpenAlt zahájí Jaroslav Tulach z Oracle Labs přednáškou na téma Úvod do GraalVM – nejrychlejšího virtuálního stroje na světě. Následovat bude neformální setkání a diskuse na téma GraalVM. Sraz se koná ve čtvrtek 20. června od 18:00 v Praze – místo ještě upřesníme. Akce je volně přístupná (i Go nebo Rust programátorům), ale z kapacitních důvodů prosíme, abyste nám dali vědět, že přijdete – e-mailem na graalvm-2019-06-20@openalt.org nebo zde na webu. (není to povinné, ale pokud by se nás sešlo moc, přednost budou mít ti, kteří se přihlásili včas)

Přidat komentář

Pozvánka na 164. sraz OpenAlt – Praha

Franta | Květen 13, 2019 - 4 roky 49 týdnů

Květnový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 16. 5. 2019 od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Tématem pro diskusi jsou tentokrát svobodné mobilní telefony.

Pozvánka na 163. sraz OpenAlt – Praha

Franta | Duben 22, 2019 - 5 let 4 dny

Dubnový sraz spolku OpenAlt se koná ve čtvrtek 25. 4. 2019 v Pivovarském klubu od 18:00. Najdete jej kousek od metra Florenc na adrese Křižíkova 17°, Praha 8. Sejdeme se zase u dobrého piva a popovídáme si o tématech jako umění a technologie, IoT, CNC, svobodný software, hardware a další hračky.

Přidat komentář

Pozvánka na 162. sraz OpenAlt – Praha

Franta | Březen 19, 2019 - 5 let 5 týdnů Štítky:

Březnový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 21. 3. 2019 od 18:00 v Šenkýrně Hlubina (Lidická 37, Praha 5). Sejdeme se zase u dobrého piva a popovídáme si o tématech jako umění a technologie, IoT, CNC, svobodný software, hardware a další hračky. Pro zájemce budou tentokrát k dispozici i nějaké samolepky s GNU/Linuxovou tématikou.

Přidat komentář

Farma Trollí hnízdo

Franta | Únor 18, 2019 - 5 let 9 týdnů Štítky:

V diskusi na AbcLinuxu byl oznámen zajímavý projekt Farma Trollí hnízdo. Má se jednat o diskusní fórum s (téměř) absolutní svobodou slova (zakázaná je jen pornografie a spam). Fórum je přístupné pouze v síti Tor a staví na svobodném softwaru Discourse. Pro přispívání je nutná registrace (číst lze i bez ní), ale nevyžaduje zadání žádných osobních údajů – diskutující tedy můžou zůstat v anonymitě.

Přidat komentář

Cenzura návodů na obejití cenzury

Jenda | Prosinec 22, 2017 - 6 let 17 týdnů Štítky:

Česká republika

Ondřej Závodský, náměstek MF pro hazard, autor cenzury internetu v ČR a člověk který nikdy v životě nešifroval se v rozhovoru pro DVTV nechal slyšet (12. minuta), že se bude snažit potrestat providery, kteří nechávají přístupné stránky s návody jak obejít blokaci. To samozřejmě nemá oporu v zákoně (zatím).

Přidat komentář

Klekání v ČR

Jenda | Prosinec 21, 2017 - 6 let 18 týdnů Štítky:

Česká republika

Nějak jsme vás zapomněli informovat o probíhající kauze „klekání na firmy“, tak to napravujeme: 1, 2, 3, 4, a finanční správa si z prohraných soudů dělá prdel. MEME: „Omlouvám se za zlikvidované firmy, ale peníze šly do státního rozpočtu, mají z toho prospěch všichni lidé.“ --Ivan Pilný.

Přidat komentář

Programové prohlášení vlády: obnova MITM?

Jenda | Prosinec 21, 2017 - 6 let 18 týdnů Štítky:

Česká republika

Ani ne před rokem byl zažehnán zákon umožňující tajné službě připojit cokoli kamkoli. Programové prohlášení nové vlády slibuje, že se to pokusí protlačit znovu.

Přidat komentář