Brno Ako na Dlani a Anjeli Strážni z Temu

Máte pocit, že vás niekto sleduje? Že niekto vie o každom Vašom kroku? Čo ak niekto odpočúva aj tých, ktorí nás majú chrániť? A je vlastne Signal bezpečná Appka? Nuž, V tomto článku sa možno dozviete aj to, čo ste vedieť nechceli. Ale začnem tým, ako som prišiel o všetky ilúzie ja.

Možno ste pred časom zachytili správu o slabej šifre v protokole TETRA, ktorý po celej Európe používajú rôzne verejné zložky od smetiarov až po mestské polície na komunikáciu. Väčšina z týchto zložiek donedávna využívala komerčnú verziu protokolu s blokovou šifrou TEA1, ktorá bola v 90. rokoch úmyselne oslabená tak, aby sa dala rýchlo a jednoducho prelomiť – kvôli možnosti technológiu exportovať. Snáď nikoho neprekvapuje, že nútené pridávanie backdoorov do produktov funguje ako bežná prax nielen v Číne a v Spojených Štátoch, ale aj v Európe.

Ak implementáciu niekto odflákne, dá sa klesnúť ešte hlbšie – pred 10 rokmi totiž väčšina TETRA sietí v Česku mala šifrovanie úplne vypnuté…

Continue reading “Brno Ako na Dlani a Anjeli Strážni z Temu”

Neúčinné DRM, alebo, Mám sa za toto hanbiť?

Prednedávnom ma kontaktoval pôvodný vývojár projektu sktv-forwarders s prosbou, aby som všetky zmienky o ňom vymazal z kódu, ktorý teraz udržujem. Vraj to zle vyzerá, keď teraz hľadá nejakú serióznejšiu prácu. Trochu ma to prekvapilo.

Mal som totiž viac pochopenia, keď ma dávnejšie starý kamarát s rovnakým argumentom o serióznej práci požiadal, aby som z YouTube odstránil video, v ktorom parodujeme slávny “film” o kotlebovských vlakových hliadkach ako vtipný teaser na intrákovú halloweensku párty, ktorú sme vtedy organizovali. Upravené kotlebovské tričká boli zároveň našim celkom úspešným halloweenskym kostýmom, ale úplne rozumiem, že čo sa nám zdalo vtipné ako študentom, to nemusí korporátny recruiter úplne pochopiť.

Ale naozaj sa mám hanbiť za kúsok zdrojového kódu?

Continue reading “Neúčinné DRM, alebo, Mám sa za toto hanbiť?”

Uniknutý firmvér z Ruska – Zakážu nám Flippera?

Až sa za to hanbím, ale “hračku” Flipper Zero mi pred pár rokmi ukázal až kolega – úplne ma obišiel viac ako rok jej existencie. Rozhodnutie objednať si ho mi trvalo presne minútu a od kedy som si ho kúpil, nosím ho stále pri sebe ako vejperi svoje vejpy. Pre každého etického hackera to bolo vykúpenie, pretože na veľa akcií ste už nepotrebovali malý batoh s Proxmarkom a množstvom čipov, HackRF, minipočítačom, staršim telefónom s IR blastrom, atď. Zrazu ste mali všetko vo vrecku – v nenápadnom a odolnom balení, ktoré môžete ostentatívne vyložiť pri letiskovej kontrole vedľa hodiniek a nikto ani brvou nepohne. Okrem zákazu v Brazílii a náznaku zákazu v Kanade sú s Flipperom všetci akosi v pohode.

To sa však môže veľmi rýchlo zmeniť. Potenciál, ktorý táto hračka má sa očividne začína využívať naplno.

Continue reading “Uniknutý firmvér z Ruska – Zakážu nám Flippera?”

Zlodeji v Bratislave a ploché kľúče

Zatiaľ čo všeobecné znalosti zlodejíčkov sa zlepšujú, úroveň zabezpečenia domácností stagnuje. A rovnako stagnuje povedomie ľudí o zraniteľnostiach prvkov fyzického zabezpečenia. Poďme sa pozrieť, na to, čo sa deje toto leto:

Príspevok Polície SR na Facebooku (Archivované)
Continue reading “Zlodeji v Bratislave a ploché kľúče”

Whitepaper: Crash course to vulnerabilities of physical locks for IT Security professionals

I wrote this short whitepaper as project for the course “Advanced Topics in Information Security Technologies” to raise awareness about physical security. It is called “Selecting locks for securing high-security premises” to match the assignment. However the intended outcome is more ambitious. So make sure to read the appendix, because locks is just a very small part of it all. Happy reading and Merry Christmas 🙂

Continue reading “Whitepaper: Crash course to vulnerabilities of physical locks for IT Security professionals”

The physical hack I have always wanted to try

At the university, we did go through physical hardware attacks, like USB keyloggers or getting data from frozen memory sticks and cryptographic keys from smartcards. But as I am finishing my master’s in cybersecurity management, I realized that something has been missing – the actual means of “getting physical.”

Continue reading “The physical hack I have always wanted to try”