Eu folosesc soluția celor de la Avast pe mai multe smatphone-uri cu Android și până acum nu am avut probleme. Principalele lucruri care m-au atras au fost următoarele:

• funcția de Anti-Theft prin care sunt anunțat dacă cineva a schimbat cartela SIM, precum și o poziție aproximativă a locului în care acest lucru s-a întâmplat
• pot defini o listă de cartele SIM personale astfel încât să nu se activeze protecția dacă pun un alt SIM de-al meu
• blocare automată a telefonului și declanșarea unei alarme (credeți-ma ca e extrem de zgomotoasă) când cineva schimbă cartela SIM cu una nerecunoscută

De ce m-au atras aceste lucruri în mod special? Întrucât în general, atunci când îți este furat telefonul, hoțul va schimba cartela din telefon și eventual face o resetare a întregului dispozitiv pentru a reveni la setările din fabrică.

Dacă pentru primul caz suntem asigurați, pentru resetarea întregului dispozitiv majoritatea soluțiile antivirus și de protecție nu mai fac față. Ei bine, Avast excelează la acest aspect. În cazul în care aveți drept de root pe dispozitivul vostru, Avast se integrează perfect cu acest aspect. Înțeleg că este posibil să te expui la un risc suplimentar dacă ai root, dar la până la urmă de asta am și antivirusul instalat, tocmai pentru a mă proteja. Atunci când am discutat cu alte companii ce produc soluții antivirus, le-am explicat că există și utilizatori avansați care doresc să personalizeze la un nivel mai avansat ceea ce fac pe dispozitivul propriu și că antivirusul ar trebui să le ofere această flexibilitate.

Ei bine Avast sunt printre puținii care au înțeles acest aspect și oferă și versiunea pentru root, prin care poți face mult mai multe:

• alegi un alt nume pentru aplicație: astfel în loc de Avast Anti-Theft poți pune CandyCrush, astfel că poți duce în eroare pe un posibil rău-voitor
• dai restart de la distanță dispozitivului și dacă ai un PIN pus la cartela SIM, acesta nu va mai putea folosi telefonul de pe cartela ta
• blocarea accesului de conectare a telefonului prin USB, aceasta fiind cea mai uzuală metodă de a reseta telefonul
• în cazul unei resetări complete (acel hard reset) aplicația Anti-Theft rămâne instalată în telefon, chiar dacă celelalte aplicații existente anterior nu vor mai fi prezente
• conexiunea de date rămâne în continuu pornită, dezactivarea ei fiind imposibilă și astfel Avast poate transmite și mai rapid informațiile (locație, poze, etc)
• blocarea accesului la date pentru anumite aplicații, astfel încât spre exemplu poți seta ca doar Google Maps să poată face trafic de date atunci când ești în Roaming

Funcțiile premium sunt și ele foarte interesante și nu le-am regăsit pe la alte produse. Spre exemplu ceva ce merită activat e setarea de perimetru prin care poți stabili ca telefonul să se considere singur a fi furat dacă a ieșit din orașul în care vă aflați. Asta pe lângă posibilitatea de a afla oricând ce apeluri au fost făcute, ce mesaje au fost primite sau trimise, precum și redirecționarea acestora către un alt număr sau chiar să intruiți telefonul să vă sune pentru a auzi ce se discută în jur, bineînțeles fără ca telefonul să afișeze faptul că efectueză un apel.

Cred că aș putea umple pagini cu toate funcțiile pe care le oferă avast! Mobile Security însă vă las și pe voi să le descoperiți. Dacă sunteți interesați să obțineți o licență premium, lăsați un comentariu mai jos cu o experiență de-a voastră privind securitatea dispozitivului mobil (ce ați făcut când v-a fost furat, dacă ați încercat vreodată Avast, ce v-a plăcut, ce nu v-a plăcut, cum vă protejați voi telefonul smart, etc).

Iată și câteva date statistice interesante obținute de la cei de la Avast:

• de la lansarea din decembrie 2011, aplicația a fost descărcată de peste 100 milioane de ori, mai rapid decât orice altă soluție de securitate din cadrul Google Play
• în baza de date se află peste 1 milion de tipuri de malware
• de la lansare, cu ajutorul avast! Mobile Security au fost găsite sau recuperate peste 2.2 milioane de dispozitive
• au fost facute 54.000 poze ale hoților prin intermediul aplicației
• utilizatori au folosit funcția de blocare de la distanță și stergere a datelor de 600.000 ori

Da, am facut plingere atit la ANCOM cat si la ANSPDCP (Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal). Cei de la ANCOM mi-au spus asa:

În ceea ce priveşte informarea abonaţilor, ambii furnizori au indicat prevederile contractuale incluse în contractele-cadru pe care le încheie cu utilizatorii finali, referitoare la posibilitatea aplicării unor proceduri de dimensionare şi rutare a traficului în reţea în scopul evitării congestionării reţelei.
Analizând, din perspectiva prevederilor art. 51 alin. (2) lit. d) din Ordonanţa de urgenţă a Guvernului nr. 111/2011, răspunsurile celor doi furnizori, precum şi prevederile contractelor pe care aceştia le încheie cu utilizatorii finali, considerăm că acestea din urmă sunt incomplete.
Astfel, vom solicita celor doi furnizori clarificarea şi completarea informaţiilor existente în contracte cu aspecte legate atât de tehnicile de compresie a traficului, cât şi de impactul acestora asupra experienţei utilizatorului final.

Pe de altă parte, precizăm faptul că ANCOM nu are atribuţii care să îi permită să solicite furnizorilor dezactivarea tehnicilor de optimizare aplicate.

Ok, sincer nu am observat nici o completare a informatiilor existente in contracte, dar e bine ca au luat atitudine. Si daca ANCOM spune ca nu are dreptul de a cere dezactivarea interceptarii traficului (desi mi se pare aberant sa nu poata cere asta), atunci poate cei de la ANSPDCP o pot face.

La plingerea initiala catre ei, acestia mi-au cerut mai multe detalii tehnice (desi in articol erau destule) insa fiind intr-o perioada mai aglomerata nu am reusit sa mai revin cu un raspuns.

Se pare totusi ca a mai existat cineva care a facut plingere la ANSPDCP exact in aceeasi perioada. Chiar daca raspunsul a venit mai tarziu, acesta este unul imbucurator:

In prezent, ca urmare a recomandarilor date de reprezentantii autoritatii de supraveghere, unul din operatorii de telefonie a modificat solutia de optimizare a traficului prin eliminarea modificarii URL-ului, iar celalalt a renuntat la aceasta procedura

Asadar au obligat operatorii  de telefonie Vodafone si Cosmote sa renunte la acea modificare a URL-ului aplicata imaginilor si nu numai. Sincere felicitari celor de la Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal! Nu este un lucru tocmai usor din partea lor, mai ales ca primesc mii de solicitari si reclamatii, iar investigatiile (mai ales cele tehnice) nu sunt chiar la indemina oricui.

Acesta este un alt succes important pe care il experimentez din partea autoritatii de supraveghere, primul fiind in cazul BCR.

Intregul raspuns pe care l-au trimis este acesta:

SpringBoard Lock Screen
Available for:  iPhone 4 and later, iPod touch (5th generation) and later, iPad 2 and later
Impact:  A remote attacker may be able to cause the lock screen to become unresponsive
Description:  A state management issue existed in the lock screen. This issue was addressed through improved state management.
CVE-ID: CVE-2014-1286 : Bogdan Alecu of M-sec.net

Am aparut oficial si la ei pe site : http://support.apple.com/kb/HT6162 , iar tot aici gasiti lista completa de imbunatatiri cu care vine.

Detaliile complete despre ce se poate face le voi face publice cel mai probabil luna viitoare, in cadrul unei conferinte restrinse. Dar despre asta voi scrie ceva mai tarziu, cind voi sti cu exactitate ce si cum.

Keep it safe!

Pentru a elimina posibilitatea ca acest lucru să se întâmple doar în cazul în care fac browsing de pe telefonul mobil, am testat din nou punând SIM-ul într-un modem USB. Rezultatul a fost același: orice imagine, animație erau la o calitatea slabă și aveau link-ul modificat.

Dintre toți operatorii, doar Cosmote și Vodafone au manifestat aceast comportament.

Problema

După câteva căutari am aflat că operatorii interceptează traficul și folosesc un fel de proxy ce ar ajuta la reducerea calității imaginilor, rezultând astfel un trafic mai mic. Deși intenția pare bună, eu totuși nu sunt de acord cu interceptarea acestui trafic.  Oficial, pe pagina grupului Vodafone am găsit o informație prin care precizează că folosesc un motor de optimizare de la ByteMobile în diferite țări (România nu e trecută, deși este folosit și aici)

Protocols Optimised include HTTP, POP3, FTP, SMTP and IMAP, as well as image reduction

Așadar nu doar imaginile sunt vizate ci și mail-urile. Mai mult, nicăieri în termenii și condițiile de utilizare al serviciului de date al Vodafone sau Cosmote nu am găsit scris că aceștia folosesc o astfel de optimizare. Nu-i așa că acum vă simțiți mult mai în siguranță?

Rolul principal unui provider de Internet este de a transporta biții dintr-o parte în alta, fără a-i modifica în vreun fel. Când traficul este interceptat și modificat, vorbim practic de Deep Packet Inspection și violarea secretului corespondenței conform art 195 din Codul Penal:

Violarea secretului corespondenţei

Deschiderea unei corespondenţe adresate altuia ori interceptarea unei convorbiri sau comunicări efectuate prin telefon, telegraf sau prin alte mijloace de transmitere la distanţă, fără drept, se pedepseşte cu închisoare de la 6 luni la 3 ani.

Detaliile problemei

În momentul accesării unei pagini web ce conține imagini sau animații, operatorii modifică codul sursă al paginii și link-ul acestor imagini duce către o adresă IP de tipul 1.1.1.1, 1.1.1.2, 1.1.1.3, 1.1.1.4, 1.1.1.5, 1.2.3.4. Mai mult, aceste adrese nu aparțin operatorului iar traficul efectuat către aceste adrese este tarifat

Un demo privind acest lucru, făcut pe Cosmote

Același comportament este și pe Vodafone, însă ei pun și un Javascript ce modifică textul ce apare la mouse-over pe imagine, text prin care suntem sfătuiți că dacă dorim vizualizarea imaginilor la calitate maximă să apăsăm combinația de taste CTRL+Shift+R. Așa cum era de așteptat, uneori acest script cauzează un comportament total ciudat în cazul paginilor ce folosesc intensiv Javascript.

Problema nu este doar aici. Să luăm 2 cazuri:

a) Să presupunem că navigați pe o pagină web și vreți sa trimiteți o anumită imagine prin email către o altă persoană. Cea mai simplă modalitate e să copiați adresa URL a acelei imagini și să o trimiteți. Ce URL va primi acea persoană? Exact, unul total greșit și bineînțeles că imaginea nu va putea fi vizualizată. Dacă adresa originală a imaginii este www.site.com/imagine.jpg , întrucât operatorii de telefonie modifică adresa, va rezulta ceva de genul 1.1.1.1/bmi/www.site.com/imagine.jpg

b) Navigați pe un forum în care cineva atașează câteva imagini. În momentul în care se citează răspunsul cu aceste imagini, de pe Vodafone sau Cosmote, din nou sursa acestor imagini va fi modificată, acest lucru ducând la imposibilitatea vizualizării lor de la un alt ISP. Exemplu (vedeți link-ul de jos):

Cât despre e-mail-uri, mi se pare și mai grav că și aici intervine optimizarea. Excepția o face traficul securizat HTTPS care nu suferă nicio optimizare.

În mod normal și legal asemenea lucruri n-ar trebui să se întâmple. Da, știu că oricum tot traficul este interceptat, indiferent de operator (orice ar zice reprezentanții lor), însă când începi să-mi modifici traficul parcă nu mai e atât de plăcut. În cel mai rău caz ar trebui să existe posibilitatea ca fiecare utilizator sa opteze pentru folosirea aceste optimizări, în niciun caz ea să fie aplicată la toți. Prin alte țări europene, operatorii de telefonie mobilă dau opțiunea utilizatorilor de a renunța la această optimizare, mergând la o anumită adresă web. În România asemenea lucru nu există și nici măcar nu e specificat în termenii și condițiile serviciului (TOS). Doar la Vodafone am înțeles că s-ar putea scoate această optimizare, însă trebuie să suni la relații clienți, să dai motive foarte bune (ce poate fi mai bun decât ilegalitatea!?) și apoi dacă în urma analizei Vodafone consideră ca e ceva ce te afectează atunci vor scoate această optimizare. Cam lung drumul și cu multe condiții.

Aceste modificări ale traficului nu au nicio legătură cu DNS-urile operatorilor sau broswer-ul folosit (da, chiar și Safari). Am folosit inclusiv DNS-uri open și rezultatul a fost același: trafic interceptat și modificat.

Codul sursă pentru Javascript-ul folosit de către Vodafone îl găsiți aici.

Concluzii

Sunt oarecum curios ce are de zis ANCOM și Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal, deși nu-mi fac așteptări prea mari să se modifice ceva. Vă las în continuare cu o serie de imagini ce arată modificarea pachetelor de date pe Vodafone și Cosmote.

UPDATE

Primit din partea Cosmote Romania:

Pentru a veni in intampinarea clientilor si pentru a le imbunatati experienta de navigare in conditii de retea cu rata de transfer (viteza) mai scazuta, reteaua COSMOTE Romania realizeaza o optimizare a imaginilor gif/jpeg. Aceasta optimizare este aplicata doar pentru APN-urile “internet” si “wnw”, in conditii de navigare Internet, nu si pentru e-mail-uri sau transfer de fisiere.
Astfel, COSMOTE nu intercepteaza continutul informatiilor transferate de abonat, optimizarea reprezentand doar o adaptare la conditiile de livrare specifice unei retele mobile.

Anul acesta am fost invitat ca speaker în cadrul conferinței TEDxIasi. Pentru mine va fi o provocare din mai multe motive, dar printre cele mai importante aș spune că se numără timpul scurt în care trebuie să vin cu un mesaj ce va face impact și abordarea astfel încât toți participanții, indiferent de domeniu, să înțeleagă ce spun.

Cred că majoritatea participanților au fost (sunt?) atrași de anumiți speakeri ce vin din partea unor companii mamut (Google, Microsoft, BitDefender) iar alții se întreabă cu ce vor veni nou acești speakeri și dacă nu va fi doar un sales pitch.

Ceea ce pot spune cu siguranță este că lucrurile prezentate de mine vor fi cu adevărat atractive: o parte total noi, pe care nu le-am mai prezentat la alte conferințe, dar și concepte mai puțin cunoscute în România.

Și dacă tot a venit vorba de conferințe, deși nu îmi stă în fire să mă laud, gândiți-vă doar că la prezentările pe care le susțin în cadrul diverselor conferințe de securitate internaționale, publicul care vine plătește cel puțin 1000 EUR/persoană pentru a asculta ce am de zis.

Pentru a vă stârni interesul, tema pe care o voi prezenta la TEDxIasi are titlul Mobile technology: the good, the bad and the ugly. După cum sugerează și titlul, mă voi referi la tehnologiile mobile, arătând părțile bune ce vin odată cu orientarea din ce în ce mai mare către zona de mobile, câteva tipuri de vulnerabilități ce apar ca urmare a acestei tendințe, în care voi arăta live și în premieră o astfel de vulnerabilitate. Firul poveștii va continua cu părțile adevărat deranjante – the ugly – pe care le-am experimentat de-a lungul ultimilor ani din partea unor companii mamut, urmând ca în final să prezint cum cooperarea poate da naștere unei metode ieftine și eficiente ce ajută la salvare vieților oamenilor în cazul unor calamități – bineînțeles, printr-un demo.

Ce aveți de făcut? Înscrieți-vă și cumpărați biletul că nici nu știți ce oportunitate ratați.

Ne vedem pe 25 mai!

Peste tot acum se cere experiență – lucru absolut normal – la angajare, indiferent dacă postul e pentru o persoană ce abia a absolvit sau nu. O nemulțumire pe care o aveam și încă o am în continuare cu privire la companii este că acestea confundă experiența cu vechimea în muncă. Experiența o capeți lucrând în echipă în cadrul unor proiecte din timpul facultății, implicându-te în diverse activități extra-curriculare, participând la conferințe, studiul individual pe un domeniu și multe altele. Poți astfel dobândi cunoștințe ce depășesc nivelul de Junior.

Acum au apărut în cadrul facultății o serie de oportunități ce nu existau acum 2-3 ani, oportunități ce merită fructificate. Un foarte bun prieten de-al meu, Florin Matran, a pus bazele Centrului de Formare Continuă și Antreprenoriat Iași. În cadrul acestui centru, în fiecare marți au loc întâlniri între studenți și companii. Astfel studenții, dar și profesorii, pot afla ce se cere pe piața muncii: criterii de selecție, ce aptitudini sunt necesare, locuri de muncă etc. Ce îmi place cel mai mult la întâlnirile CFCA este că, scuzați-mi abordarea directă în franceză, aceste companii nu vin cu acel „corporate bullshit” în care practic se prezintă produsele oferite și se aruncă cu praf în ochi. Ar fi chiar păcat să ratați aceste ocazii.

Un alt proiect pe care îl apreciez este ISACA Student Group, care a fost fondat de către un fost profesor pe care l-am avut în facultate, domnul Adrian Munteanu. Ca un prim pas făcut de acest grup, a fost demarat un concurs pe Cyber Crime, unde echipele înscrise trebuie să lucreze pe un caz concret de amenințare cibernetică venită asupra unei bănci. Din nou, așa ceva mi-aș fi dorit să fi existat și în perioada în care am fost student. Cred că domnul Munteanu explică foarte bine în cadrul acestui articol de ce te-ar interesa să te alături ISACA Student Group. Pe lângă motivele expuse, aș mai adăga următoarele: pentru că aveți șansa de a discuta cu o persoană ce lucrează în domeniu și chiar auditează companii importante, pentru că până la urmă orice certificare vă ajută pe plan profesional, pentru că puteți intra mai ușor în legătură cu companiile relevante pe piață.

Întrucât ISACA are legătură cu securitatea sistemelor informatice, dar și pentru că susțin ideea CFCA, marți, 19 martie, la ora 18.00 voi fi alături de cele două proiecte și voi răspunde întrebărilor voastre. Despre ce voi vorbi? Voi decideți! Puteți lăsa comentarii cu întrebări la acest articol, iar eu voi încerca să răspund la momentul întâlnirii.

NE VEDEM PE 19 MARTIE, ora 18.00!

Au mai scris și alții despre securitatea acestui pașaport, bazându-se doar pe cele spuse de către autorități. Dacă deții datele adecvate (adică numele deținătorului, data nașterii, numărul și data expirării a pașaportului) atunci acesta poate fi citit de la distanță. De la ce distanță? Aici depinde de tipul de cititor NFC folosit: cu cât puterea de emisie e mai mare, cu atât distanța crește. Însă nu vă gândiți la zeci de metri

Bineînțeles că au existat și reacții din partea MAI. Susțin prima parte a răspunsului MAI privind această autentificare prin Basic Access Control (BAC). Ceea ce însă nu au înțeles atât ei cât și alții e că toate aceste informații cerute prin BAC pot fi relativ ușor de obținut. Întrucât nu vreau să dau idei prea multe, voi preciza doar următoarele:
– Ce informații dai în momentul în care vrei să cumperi online un bilet de avion?
– Facebook
– LinkedIn
– Google images
– Twitter
– CV-uri, portaluri de job-uri

În răspunsul MAI (ce seamănă mai mult a PR) se precizează:

informaţia stocată în mediul electronic este semnată cu un certificat digital conform mecanismului de autentificare pasivă (Passive Authentication) care are rolul de a asigura integritatea şi autenticiatea datelor. Astfel, în aceste condiţii, clonarea datelor din mediul de stocare electronic este imposibilă. […] la nivel interguvernamental, pe cale diplomatică, se efectuează un schimb de certificate digitale

Câteva precizări:

• Schimbul de certificate se face prin ICAO PKD  sau pe cale diplomatică
• Țările emitente de astfel de certificate trebuie să fie înscrise în PKD
• Nu toate țările sunt înscrise în acest sistem
• Nu toate țările au acorduri diplomatice

Datele stocate pe cip într-adevăr nu pot fi modificate, dar pot fi copiate. Pentru a se asigura integritate și autenticitatea datelor, ele vor fi semnate cu un certificat propriu și astfel ele devin valide. Întrucât copierea/clonarea se face pe un alt cip, asupra căruia se deține controlul total, bineînțeles că informațiile se pot modifica și se poate folosi acest certificat propriu, ce nu a fost emis de vreo autoritate guvernamentală. Iar dacă nu era îndeajuns, însuși cei de la ICAO atrag atenția asupra faptului că Passive Authentication nu protejează asupra clonării:

“Passive authentication proves that the contents of the Document Security Object (SOD) and LDS are authentic and not changed. It does not prevent exact copying of the chip content or chip substitution.”

Dar ce facem cu amprentele? Foarte simplu: sunt ignorate și nu se mai scriu pe noul cip
În continuare cei de la MAI fac referire la hârtia folosită, la elementele de siguranță fizice din pașaport. Dar nu înțeleg la ce mă ajută aceste elemente dacă trecerea graniței se face folosind sisteme automatizate ce nu țin cont de toate aceste elemente de securitate ale foii, ci de ceea ce se află stocat electronic pe cip.

O altă chestie cu care o dau în bară cei de la MAI este următoarea precizare:

de la punerea în circulaţie a acestuia, la 31.12.2008, nu ne-au fost semnalate, de către autorităţile cu competenţe pe linia controlului acestora, cazuri de încercare de falsificare, fie a datelor înscrise în mediul electronic de stocare (prin clonare sau prin orice altă metodă) fie a documentului în sine

Ciudat, prin alte țări au fost scrise destule articole (din 2008 respectiv 2010):

• Hackers expose security flaws with ‘Elvis Presley’ passport
• ‘Fakeproof’ e-passport is cloned in minutes

Bineînțeles că piesa de rezistență e “Toate aceste elemente legate de condiţiile de formă şi conţinut ale paşapoartului simplu electronic românesc coroborate cu capabilităţile tehnice ale mediului electronic de stocare oferă invulnerabilitatea acestui tip de document”

Foarte invulnerabil e acest document… NOT! Cum vine asta: doar pentru că nu ai primit informații cum că ar fi folosit cineva un cip clonat sau doar pentru că nu ți s-a întâmplat înseamnă că sistemul e invulnerabil? Să presupunem doar că cineva a reușit să treacă granița folosind un astfel de sistem automat. Fiind un lucru făcut cu succes și tu neștiind de acest lucru (că dacă ai fi știut ai fi prins acea persoană) cum poți afirma în continuare că pașaportul electronic e invincibil, invulnerabil, incontestabil? Nicio firmă serioasă nu face astfel de afirmații și nimeni nu poate garanta securitatea 100% a unui sistem informatic.

În noul răspuns trimis de Direcția Generală de Pașapoarte aceștia spun că “ICAO PKD doar facilitează schimbul de certificate digitale şi nu înlocuieşte schimbul interguvernamental pe căi diplomatice” ceea ce este adevărat. Dar ce te faci când între două țări nu există aceste acorduri diplomatice? Refuz să cred că orice stat are certificatele digitale cu care au fost semnate datele ale tuturor celorlalte state. Atâta timp cât există cel puțin un certificat lipsă înseamnă că sistemul automat de verificare va accepta și alte certificate digitale, nu doar cele din baza de date.

Ca și recomandări pentru îmbunătățirea securității acestui pașaport electronic ar fi următarele:

• pașapoartele să conțină aceleași câmpuri (aceleași fișiere) astfel încât un pașaport electronic din US să nu difere de unul din UE
• la porțile inteligente să fie verificate toate aceste informații scrise pe cip
• fosirea unei infrastructuri de chei publice (PKI) la nivel global, astfel încât se va evita ca fiecare țară să semneze cu propriul certificat datele stocate pe cip

Cine crede în continuare că doar prin simplul fapt că nu a apărut publică o trecere prin porțile inteligente folosind un cip clonat înseamnă că sistemul e invulnerabil se înșeală!

Spor la vizionat și aștept feedback-ul vostru.