mDowód z mObywatela jako 3 dokument tożsamości.

[R.Mandano]

... państwo już od bardzo dawna ma te dane w swoich bazach. Więc po co mieliby wykradać Ci je z telefonu?

NIE chodzi o krajowych, bo oni mają tyle w bazach, że CHRL mogłaby się uczyć inwigilacji od Poland, ale o ciekawskich z innych służb. Pegasusa ktoś stworzył, i to nie był polski student informatyki.

Wykradną dane, sklonują, a potem będziesz się tłumaczył, że to nie ty rejestrowałeś karte SIM, z której ktoś, gdzieś dzwonił.


Cyfryzacja tak, ale bez nadmiernej gorliwości.

[IC_Current]

"ale o ciekawskich z innych służb"
Dlatego piszę, że te wszystkie "korporacje" dostarczające gówno treści powinny być zakazane.... ale ... masz Windowsa, albo Androida albo IPhona, więc odpowiednie rządy znają każdą literkę jaką wpisujesz i każde słowo jakie wypowiadasz.
"Wykradną dane, sklonują, a potem będziesz się tłumaczył, że to nie ty rejestrowałeś karte SIM, z której ktoś, gdzieś dzwonił". Tak, to prawda, tylko że teraz i wiele lat temu też tak się działo, choć bazy danych nie były zontegrowane. Ale wiedzieli o tym nieliczni więc i amatorów działań było mniej. Kiedy 15 lat temu tłumaczyłem znajomym działanie takiego ataku i możliwość wzięcia kredytu to niektórzy byli w szoku a niektórzy pukali się po głowie.
Natomiast obecnie są coraz popularniejsze ataki na użytkowników profilu zaufanego, wykorzystujące np lukę w komunikacji PZ-Evelo. Ale to użytkownicy są w dużej części sami sobie winni, bo np jak debil Dworczyk z pocztą, nie używają... 2FA z profilem zaufanym. Im nie trzeba kart SIM wykradać.

[Remington]

Pegasus i jemu podobne nie mają ot tak furtki do każdego telefonu, tylko korzystają z luk, o których nie wiedzą producenci. Gdy luka jest łatana, szukają kolejnej itd.

Dlatego koszt ataku jest drogi, bo zależy od tego jakiego urządzenia i wersji oprogramowania używa ofiara. Stąd ataki są personalizowane i o masowości takiej inwigilacji i hurtowym wykradaniu danych nie może być mowy.

Jedyne co to jeśli producent by z takimi służbami współpracował i sam instalował backdoory. Dlatego producenci rdzennie chińscy nie mogą być poza podejrzeniem, ale w przypadku takich jak Xiaomi szybko by to wyszło na jaw, gdyż MIUI jest solidnie rozkminione przez społeczność.

[R.Mandano]

...jeśli producent by z takimi służbami współpracował i sam instalował backdoory. Dlatego producenci rdzennie chińscy nie mogą być poza podejrzeniem ...

Dasz sobie uciąć jedną rękę albo nogę, że nie współpracują - np. producenci procesorów albo pamięci

[IC_Current]

"Dasz sobie uciąć jedną rękę albo nogę, że nie współpracują - np. producenci procesorów albo pamięci "
Rękę uciąć? Ja to bym był w szoku, gdyby producenci nie współpracowali ze swoimi rządami. Nawet jak nie oficjalnie, to bez wiedzy zarządu poprzez podstawionych lub przekupionych inżynierów, programistów itd, których dzialanie skutkuje powstaniem "przypadkowych" dziur.
Już nie mówię o gigantach technologicznych, bo państwa musiałyby być chore gdybyby z możliwości takich firm nie korzystały.

[Remington]

Ależ właśnie też jestem o tym przekonany i z taką intencją o tym napisałem. Ba, nawet sukces systemów operacyjnych i smartfonów od dawna wiążę z inwigilacją jaka zaczęła się na dobre po WTC.

Podejrzewam jednak, że producenci urządzeń bardziej dają wjazd do swoich usług cloudowych i usług bazujących na chmurze, w tym do backupów, a nie robią backdoory, bo te łatwo nakryć.

Inna sprawa to producenci podzespołów. Trzeba tylko pamiętać, że ryzyko dotyczy tylko tych, które mogą mieć wszczepioną jakąś logikę. Zatem procesor jak najbardziej może mieć dodatkowe „zadania”, ale pamięć już nie.

I offtopując nieco nie w inwigilacji upatruję największych zagrożeń - lecz w „zapalnikach” jakie mogą czekać uśpione w urządzeniach sieciowych takich jak telefony, ale i dowolny korzystający z WiFi. W razie otrzymania sygnału z Pekinu lub Waszyngtonu mogą one przypuścić atak DDoS i coś sparaliżować (w skali mikro lub makro). W tym kontekście zawsze podejrzewałem Xiaomi, które moduł WiFi od lat montuje niemal we wszystkim, a niskimi cenami upowszechnia swoje produkty na całym świecie.

[IC_Current]

"Podejrzewam jednak, że producenci urządzeń bardziej dają wjazd do swoich usług cloudowych i usług bazujących na chmurze"
To na pewno. Nawet w Stanach mają taki prawny obowiązek. Oficjalnie tylko względem "nieobywateli", ale już kilka razy wyszło ze swoich też szpiegują.
"nie robią backdoory, bo te łatwo nakryć."
Robią, bo muszą robić. Nie każdy będzie z chmury korzystał. Co jakiś czas się pojawiają "wyznania skruszonych pracowników", że na polecenie tego czy tamtego trzeba było backdoor wstawić. Kilka dni temu wyszła informacja, że w protokołach szyfrujących systemu TETRA (policja, straż, korporacje, służby techniczne itd) był od samego początku jego powstania "błąd", który badacze uznają prawie na 100% za backdoor. Odkryto go dwa lata temu, teraz publicznie o nim powiedziano. Wcześniej informowano tylko użytkowników systemu. Podobno błąd był tylko w części protokołów, który używają korpo i użytkownicy cywilni, a nie w tych co policja itd -choć o tym to się nie dowiemy nigdy.
Najlepsze, że teraz szukam w Google i Bing żeby tu wstawić link i wszystkie informacje o tej wpadce TERY zniknęły z publicznej sieci.

[Remington]

Moim zdaniem, zbyt wiele osób i firm robi bardzo szczegółowe analizy kodu i komunikacji poszczególnych systemów, by takich backdoorów nie wykryć. Czasem gdy mniejsi producenci takie instalowali, było to ujawniane przez takich odkrywców. Większych na tym nie udało się nakryć.

[IC_Current]

"Moim zdaniem, zbyt wiele osób i firm robi bardzo szczegółowe analizy kodu i komunikacji poszczególnych systemów, by takich backdoorów nie wykryć. "
Przecież są oficjalne materiały i dokumenty, że szyfrowanie A5/1 od samego początku w GSM było wprowadzone na żądanie MI6 przez organizacje standaryzacyjne pomimo wiedzy o jego słabości. Po prostu MI6 sobie zażyczyło podatnego na złamanie szyfrowania jako standard w GSM. Jakiś czas temu wypowiadał się w reportażu były pracownik, kierownik zespołu projektowego któregoś globalnego producenta płyt głównych (nie podano którego). Jego dział dostał polecenie wykonać już na poziomie elektroniki odpowiednie furtki. Nie wykonali, więc jego zwolnili a furtki powstały w BIOSIE.

[R.Mandano]

Otwarta wojna USA z CHINA, kto będzie wprowadzał chipy do 5G jasno pokazuje, że inwigilacja to standard a nie jakaś "przypadkowa furtka" w soft czy hardware.

Procesory Intela od Pentium III mają wszyte indywidualne numery seryjne - i to oficjalnie.
Nieoficjalnie pewno wszystkie modele i od wszystkich producentów.

https://www.computerworld.pl/news/Numer ... ,3919.html

[IC_Current]

A tu info o wspomnianym backdorze w TETRA
"But Wetzels said the team found a “secret reduction step” which dramatically lowers the amount of entropy the initial key offered"
https://www.vice.com/en/article/4a3n3j/ ... etra-burst

[Remington]

Żeby już nie mnożyć wątków, podobno od 17 listopada rusza zastrzeganie PESEL-u.

Tak ma wyglądać w mObywatelu: https://pp4azz.axshare.com/#id=5nheol&p ... alkthrough

[Remington]

Należy się drobne sprostowanie - możliwość zastrzegania ruszy 17 listopada 2023, ale obowiązek honorowania zastrzeżeń wejdzie dopiero 1 czerwca 2024. Państwo z kartonu ma się świetnie.

[IC_Current]

"ale obowiązek honorowania zastrzeżeń wejdzie dopiero 1 czerwca 2024. Państwo z kartonu ma się świetnie."

Niekoniecznie. To bardzo krytyczna usługa, więc dobrze, że instytucje finansowe będą miały możliwość przetestowania rozwiązania, zanim będzie obowiązkowe. Tyle lat usługi nie było, więc te pół roku nikogo nie zbawi, a sytuacja że komuś karta kredytowa w sklepie przy kasie nie zadziała bo gdzieś jest błąd w systemie raczej mało przyjemna.
Po drugie usługa ma być jednak dostępna i jeśli któraś firma pożyczkowa uzna za stosowne, to może z niej już dzisiaj korzystać. Legalne i "normalne" firmy raczej chcą żeby klient spłacił dług, więc to w ich interesie będzie do bazy zaglądnąć i mieć dodatkowe potwierdzenie kto bierze pożyczkę. BIK też nie jest obowiązkowy, do tego płatny a jednak pożyczkodawcy w dużej mierze z niego korzystają.