Русскоязычное сообщество Debian GNU/Linux

Цитата: ek-nfn от 10 апреля 2025, 18:29:48Делал это в целях безопасности, так как ясен пень, что они напичканы дырами.

Android - достаточно безопасная система по умолчанию, и если не ставить точно_не_вирус.apk со всеми возможными разрешениями всё будет в порядке.
Данные каждого приложения находятся в /data/data/чтототам и другие приложения не имеют туда доступа.
https://source.android.com/docs/security/overview
https://source.android.com/docs/security/features
https://source.android.com/docs/security/app-sandbox

10 апреля 2025, 19:49:20
А Госуслуги взломать очень просто - сговор с сотрудником МФЦ и сброс пароля. Даже если у вас 60-значный пароль с цифрами и спецсимволами и двухфакторка - это вас не спасёт

Цитата: ek-nfn от 10 апреля 2025, 18:29:48обвиняете цифровизацию рубля.

За чем её обвинять, это бред наебулиной, которому не судьба воплотиться в жизнь.

Цитата: Лия от 10 апреля 2025, 19:46:39

Цитата: ek-nfn от 10 апреля 2025, 18:29:48Делал это в целях безопасности, так как ясен пень, что они напичканы дырами.

Android - достаточно безопасная система по умолчанию, и если не ставить точно_не_вирус.apk со всеми возможными разрешениями всё будет в порядке.
Данные каждого приложения находятся в /data/data/чтототам и другие приложения не имеют туда доступа.
https://source.android.com/docs/security/overview
https://source.android.com/docs/security/features
https://source.android.com/docs/security/app-sandbox

10 апреля 2025, 19:49:20
А Госуслуги взломать очень просто - сговор с сотрудником МФЦ и сброс пароля. Даже если у вас 60-значный пароль с цифрами и спецсимволами и двухфакторка - это вас не спасёт

Позвольте с вами не согласиться.
https://www.whatsapp.com/security/advisories/2025?lang=ru
Соответственно можно использовать уязвимости и недостатки для удаленного подключения и управления. 
Приложения так или иначе имеют доступ к хранимым данным, в любом случае можно сделать фейковое окно с разблокировкой экрана и пользователь сам все разблокирует.

Цитата: dzhoser от 11 апреля 2025, 06:28:34https://www.whatsapp.com/security/advisories/2025?lang=ru

ЦитироватьA spoofing issue in WhatsApp for Windows

ЦитироватьWe have not seen evidence of exploitation in the wild.

Так это же Windows, там безопасности практически нет

Цитата: dzhoser от 11 апреля 2025, 06:28:34Приложения так или иначе имеют доступ к хранимым данным

К своим данным. Из WhatsApp в банковское приложение не попасть (на Android).

Тогда гуглиим CVE-2020-1907 для андроид. Безопасности нет нигде.
https://www.whatsapp.com/security/advisories/2020

Соответственно выполнение произвольного кода, это полный контроль над устройством.

Современные гаджеты приучают пользователя не думать о своих действиях, мнимое удобство расслабляет. Люди просто глупеют, плюс маркетинг побеждает здравый смысл. По итогу мы становимся уязвимы перед злоумышленниками в интернете. Последние весьма изобретательны, правда повторяются.

Цитата: dzhoser от 11 апреля 2025, 08:46:04Соответственно выполнение произвольного кода, это полный контроль над устройством.

Не совсем

Цитата: Лия от 10 апреля 2025, 19:46:39https://source.android.com/docs/security/app-sandbox

Цитироватьnative code is as sandboxed as interpreted code

ЦитироватьGenerally, to break out of the Application Sandbox in a properly configured device, one must compromise the security of the Linux kernel.

Как пример: https://ru.wikipedia.org/wiki/Уязвимость_Dirty_COW
https://www.google.com/search?q=android+dirty+cow+root

Цитата: dzhoser от 11 апреля 2025, 08:46:04Безопасности нет нигде.

Это да

Цитата: Максимыч от 10 апреля 2025, 10:57:36

Цитата: ferum от 10 апреля 2025, 10:08:21У нас хватает ума что бы не устанавливать банковские приложения на смартфон.

Это уж совсем жесткое решение,и для многих уже не реальное.

Через веб-интерфейс. Для каждого счета\банка отдельная виртуалка. Фаервол, настроеный так, чтобы соединение было возможно только с ресурсами обновления системы и сайтами банков. + Может быть прикрутить к чему-то вроде gnucash для совершения требумых ресулярных платежей. Но там надо разбираться с протоколами. Не  факт, что прогресствная новодивномирная российская банковская система поддерживает те протоколы, по которым работает gnucash и подобное ему ПО. Все это на отдельном железе, которое использовать только для финансовых транзакций. Систему с виртуалками шифровать, включая /boot.
Симки с номерами, к которым привязаны счета на кнопочных телефонах. Благо они-то сейчас копейки стоят.

Подобная схема обеспечивает - более-менее - безопасность от чисто технического взлома. Против идиотов и соц. инженерии она, разумеется, бессильна. Чтобы ее реализовать надо знания, время и деньги на не совсем дешманское железо, так как гостевая ось с графикой жрет прилично.

Смартфон наладонник-дебильник по определению крайне небезопасная среда для работы с чем-то важным, чувствительным. ХЗ сколько гадости туда производитель понаставил и когда она сработает. Особенно учитывая, что на вашем рынке куча "китая". Валинорские эльфы умеют в долгосрочное планирование. Они, разумеется, ударят в спину. Один раз и очень больно. Смертельно. А китаец вполне может подписаться и под мелкий гешефт. Менталитет такой.

Недавно новость была. Мол, в десятках моделях кнопочных телефонов в некоей железяке был встроеный микрокод, который при помощи платных смс-ок опрравлял деньги на Правильные Счета. У меня одна такая модель была.

Так это относительно примитивный кнопочный с сильно меньшей поверностью для атаки. Потеря денег с номера фигня. А у вас в смартфонах наладонниках-дебильниках все финансы. Сегодня ты такой успешный прогрессивный, а завтра условный дядюшка Ляо сделает тебе нищим бомжом.

16 апреля 2025, 12:06:35

Цитата: Максимыч от 10 апреля 2025, 15:29:51

Цитата: ferum от 10 апреля 2025, 11:34:53

Цитата: Максимыч от 10 апреля 2025, 10:57:36Это уж совсем жесткое решение,и для многих уже не реальное.

На мой взгляд размеренная жизнь куда приятнее гонки на выживание, в которой вас пытаются сожрать.

Не пойму где связь с банковскими приложениями на смарфоне.

Прямая. Все это двигают под "это удобно и быстро". Ключевое слово "быстро".  Быстро оплати. Быстро сникь пару тысяч в долг и т.п. А если спешишь, то нет времени обдумать. Поясню на примере тех же мошеничеств.

Первое. Лох не мамонт. Коль тебя кинули, то сам виноват. Мир жесток и коварен.
Второе. Мало лоху лапши навешать. Это надо как-то монетизировать. Предположим, у лохары нет безналичного кэша. Только нал. Для мошенника это лишние телодвижения, лишнее время, чтобы его получить. Как минимум снизятся количество обутых лохов. А то и некоторые из них одумаются да не отдадут.
Предположим, безналичный кэш есть, но счета с ним не подключены к системе мновеных переводов. Только по swift с коммисией 40 долларов с временем транзакции 3 банковских дня с момента получения платежной инструкции. Так снова у лоха есть время одуматься. Ну или у его родствеников/друзей привести его в чувство/натакать заяву в полицию.

А все эти прогрессивные банковские приложения, бесконтактная оплата, qr-коды, бесконтаные платежи сильно ускоряют процесс отъема у лошары материальных ценностей. Затраты на это меньше, обороты больше, проиводитетельность нелегкого мошенического ремесла выше.

16 апреля 2025, 12:08:00

Цитата: Максимыч от 10 апреля 2025, 16:05:35Если вы теневой воротила конечно да, а так платите налоги и спите спокойно. У меня 99,9% платежей от клиентов проходит безналом и ни сколько не парюсь по этому поводу.

А кол-аналогов и ставки по ним не смущают? Прибыля не уменьшились?

16 апреля 2025, 12:12:25

Цитата: ferum от 10 апреля 2025, 15:53:31

Цитата: Максимыч от 10 апреля 2025, 15:29:51Не пойму где связь с банковскими приложениями на смарфоне.

При просмотре старых голливудских фильмов я всегда удивлялся, почему янки так любят когда им платят наличными. Теперь когда Российское государство хочет контролировать каждую копейку у гражданина, а хакеры научились воровать деньги с карт и счетов, я всё понял.
Отказаться от онлайн транзакций в наше время сложно, но целесообразно свести их к минимуму. Чем меньше денег вы проводите через банк, тем больше их остаётся в вашем кошельке.

В штатах уже давно как у вас. Налом пользуются разве что сомсем старенькие дедки-бабки да латиносы-нелегалы. Основная маса безналовввиде кредитных - даже не дебктных, которые оформить тяжко - карт. Которая как и прогрессивные русские активно ворчит на этих старых пердунов, которые задерживают очередь, платя налом или же бумажным чеком.

Нал любят только всякие разные фермеры. Кстати, будете в штатах - берите продукты у них. Куда вкусне чем усетевиков. Часто и по цене ниже.

16 апреля 2025, 12:15:04

Цитата: ek-nfn от 10 апреля 2025, 16:02:16

Цитата: Максимыч от 10 апреля 2025, 10:57:36Это уж совсем жесткое решение,и для многих уже не реальное.

включая и решение задач с Госуслугами, подписание договоров с цифровой подписью.

И на каком физическом носителе эта цифровая подпись хранится? В облаке госуслуг?
С удовольствием посмотрел бы на судебный процесс по оспариванию подобной подписи. Хе-хе.

16 апреля 2025, 12:27:11

Цитата: Лия от 10 апреля 2025, 19:46:39А Госуслуги взломать очень просто - сговор с сотрудником МФЦ и сброс пароля. Даже если у вас 60-значный пароль с цифрами и спецсимволами и двухфакторка - это вас не спасёт

Поэтому единственная более-менее надежная схема фин. транзакций и тех же гос.услуг следующая.

Сам генеришь пару ключей. Секретных хранишь как хочешь, где хочешь, в сколько хочешь копиях. Публичный распечатываешь на бумаге с примерно следующим текстом:
"Считать все подписанное данным ключем, исходящим от ИМЯРЕК.
Данный ключ удостоверяет такие-то и такие-то действия
дата, подпись, расшифровка".

Вот только ВО  ВСЕМ МИРЕ усиленно продвигают совсем иную модель, вплоть до храрения закрытого ключа в облаке. Про механизм выдачи этого самого ключа и говорить не буду. Про схему работы госуслуг с паролем и номером телефона как основой всего тем паче.

К чему бы это?.. Ой, это ж конспирология получается!

dr_faust эко вас пробило, должно быть забористая дурь у вас, что так плющит     

Цитата: dr_faust от 16 апреля 2025, 11:54:46Сам генеришь пару ключей. Секретных хранишь как хочешь, где хочешь, в сколько хочешь копиях. Публичный

А потом появляется квантовый компьютер (см. Квантовое превосходство, Алгоритм Шора) и/или прорыв в математике (см. Равенство классов P и NP, Односторонняя функция)...

ЦитироватьБольшинство криптосистем с открытым ключом основано на проблеме факторизации больших чисел.

ЦитироватьВ отличие от задачи распознавания простоты числа, факторизация предположительно является вычислительно сложной задачей. В настоящее время неизвестно, существует ли эффективный не квантовый алгоритм факторизации целых чисел. Однако доказательства того, что не существует решения этой задачи за полиномиальное время, также нет.

16 апреля 2025, 21:13:45

Цитата: dr_faust от 16 апреля 2025, 11:54:46Недавно новость была. Мол, в десятках моделях кнопочных телефонов в некоей железяке был встроеный микрокод, который при помощи платных смс-ок опрравлял деньги на Правильные Счета. У меня одна такая модель была.

https://habr.com/ru/articles/575626/

16 апреля 2025, 21:16:20

Цитата: dr_faust от 16 апреля 2025, 11:54:46И на каком физическом носителе эта цифровая подпись хранится? В облаке госуслуг?
С удовольствием посмотрел бы на судебный процесс по оспариванию подобной подписи. Хе-хе.

https://alrf.ru/articles/falsifikatsiya-etsp-vozmozhnye-riski-i-sposoby-ee-zashchity/

Цитата: Лия от 16 апреля 2025, 21:09:47

Цитата: dr_faust от 16 апреля 2025, 11:54:46Сам генеришь пару ключей. Секретных хранишь как хочешь, где хочешь, в сколько хочешь копиях. Публичный

А потом появляется квантовый компьютер (см. Квантовое превосходство, Алгоритм Шора) и/или прорыв в математике (см. Равенство классов P и NP, Односторонняя функция)...

Да и хрен с ними. Дело не в технике, а способе использования. Вся ассиметричная криптография держится на аксиоме секретности секретного ключа(какие-там алгоримты и хэш-функции дело сугубо вторичное), недоступности его всем кроме его владельца или лиц, которым он доверяет.

Теперь же удивительная ситуация. Юридическая сила ЭПЦ равна подписи на бумаге. При этом ЭПЦ

- генерится неизвестными дядями с корочками в неизвестном количестве экземпляров,
- размещается на указанном этими дядями токене,
- используется с ПО,  которое написано по заказу тех же дядей,
- часто и пароль к ЭПЦ генерится теми же дядями и выдается в конверте.

Т.е. и создание, и использование в ЗАВЕДОМО НЕКОНТРОЛИРУЕМОМ ПОЛЬЗОВАТЕЛЕМ ОКРУЖЕНИИ, которому(окружению) ПРИКАЗАЛИ ДОВЕРЯТЬ. При этом в случае чего именно Вася Пупкин будет крайним расхлебывать все последствия. Дяди ни при чем, им не предъявишь.

В том обзоре касательно оспаривание ЭПЦ написано, что дело это тяжелое ри этом приведены уж явно вопиющие примеры. А ведь все может быть иначе.
Например, кто-то из окружения позаимствует токен на пару дней и вернет его. Поди докажи потом, что не верблюд. Что ты не брал кредит в ЗАО "Рога и копыта", не оформлял дарственную на квартиру и т.д. Или же получение копии секретного ключа, который сделан при его генерации Уважаемыми Дядями.

Бумажную подпись признать подельной тяжело. Шансы выиграть часто напоминают подброс монетки, но все-таки можно. Все зависит от заключения экспертизы. В конце-концов покупаются все... А вот как доказать, что ты в ХХХ не использовал свой токен для YYY хз.

Еще история из жизни(не в РФ). Подруга по дурости оформила к счету в банке ключ для управления, который хранится в облаке, а доступ к нему через приложение по какому-то хитрому протоколу. При этом контора, выпустившаяя ключ, и банк - два разных юридических лица. Поэтому даже теоретически в случае чего претензии предъявлять некому. Банк формально будет ни при чем. А выпустившая ключ бабла не имеет.

Что же она сделала не так доходило с трудом. Где-то с неделю. После прочтения пары популярных книжек об истории криптографии. Ну не влезают в голову простого селянина такие сложные вещи. Для него спокойнее все по-старинке неторопясь на бумаге и в налике делать.


16 апреля 2025, 21:51:32
В РФ в 1990-2000-ые куча  идиотов на жен генеральные доверенности оформляли, которые(жены) потом все имущество переофрмляли, оставляя идиотов с голой жопой. Они ничего не моглив судебном порядке оспорить. Что, замечу, с точки зрения права совершенно верно.

В 2010-ые идиотов пряником и некоторым административным принуждением посадили на госуслуги и безнал, в механизме работы которых, их подводных камнях они смыслят гораздо меньше чем в институте доверенности. Иногда читаю истории как по телефону развели на бабло и диву даюсь "да разве такие лохи сущесвуют в природе?!!!".

Цитата: dr_faust от 16 апреля 2025, 21:40:12ЭПЦ

https://www.nalog.gov.ru/rn77/ep/

ЦитироватьДля обеспечения свойства неизвлекаемости закрытого ключа используются только активные ключевые носители, содержащие в себе аппаратно реализованные функции СКЗИ, при использовании которых создается и используется неизвлекаемый закрытый ключ.

https://www.nalog.gov.ru/rn77/related_activities/el_doc/use_electronic_sign/ (см. также раздел "Что делать, если произошло мошенничество с использованием электронной подписи, выданной на ваше имя?")

Цитата: dr_faust от 16 апреля 2025, 21:40:12да разве такие

Цитата: dr_faust от 16 апреля 2025, 21:40:12сущесвуют в природе?!!!

так он ведь не мамонт, он не вымрет

Цитата: dr_faust от 16 апреля 2025, 21:40:12какие-там алгоримты и хэш-функции дело сугубо вторичное

Факторизация целых чисел - это ядро/фундамент ассиметричной криптографии, гораздо важнее секретного ключа. В случае её взлома секретный ключ уже не понадобится

16 апреля 2025, 22:03:21
Вот ещё https://www.roseltorg.ru/ecp/info/pro_ecp/key_generation (см. раздел "Генерация закрытого ключа пользователем")

16 апреля 2025, 22:17:50

Цитата: dr_faust от 16 апреля 2025, 11:54:46в десятках моделях кнопочных телефонов в некоей железяке был встроеный микрокод, который при помощи платных смс-ок опрравлял деньги на Правильные Счета

Цитата: dr_faust от 16 апреля 2025, 11:54:46Потеря денег с номера фигня.

А отправка СМС на номер 900 (Сбербанка) поможет украсть деньги ещё и с банковской карты

Цитата: Лия от 16 апреля 2025, 22:01:46Факторизация целых чисел - это ядро/фундамент ассиметричной криптографии, гораздо важнее секретного ключа. В случае её взлома секретный ключ уже не понадобится

Ели секретный ключ изначально скопроментирован генерацией внедовернном окружении, тои ломать ничего не надо. Ключ-то есть. Умный в гору не пойдет, мный у перекрестка сядет холов стричь.

В ссылках об окружении отмечу ряд моментов.

А) ПО для генерации и последующего использования строго поделия от криптопро. Т.е. навязывание програмного окружения. А что в его коде есть? Тем более, если память не подводит криптопро тебует доступа в интернет для якобы проверки лицензии. Т.е. слить что угодно не проблема.

Б) Токены исключительно сертифицированные. Т.е. нельзя залить на условный юбикей или нитрокей. Снова навязывание среды.

В) Прекрасный фрагмент: https://www.roseltorg.ru/ecp/info/pro_ecp/key_generation
"Закрытый ключ и файл запроса на сертификат может сгенерировать пользователь в программе-криптопровайдере. С созданным файлом запроса нужно прийти в удостоверяющий центр, и сотрудники выпустят открытую часть сертификата.

Но не все удостоверяющие центры принимают файлы запроса, которые сгенерированы пользователем. Специалисты в таком случае могут предложить сгенерировать закрытый ключ и файл запроса на сертификат с помощью технических ресурсов удостоверяющего центра."

Т.е. несмотря исключительно жесткую привязку к модели хранилища и ПО все равно перстраховываются.

Г) А вот чем пользуется местный мчс-сник, который так любит цифровой рубль

"В первом случае документы можно подписывать облачной подписью с телефона или планшета, во втором — с компьютера. Сертификат будет работать 1 год.

ФНС России рекомендует хранить сертификат в своей защищенной системе — так безопаснее, так как его нельзя скопировать или украсть."
Для квалифицированной тоже указан возможный облачный вариант.

Налоговая рекомендует облачную подпись. Ну правильно. Оно ж холопу сподручнее. Со смартфона пользоватеться можно. И налоговой удобно. Секретный ключ всегда под рукой. Гарантированно.

Если вы хотите взаимодействовать с государством и его структурами, доверять ему придётся в любом случае, вне зависимости от того, какая у вас электронная подпись и есть ли она вообще.

Цитата: Лия от 16 апреля 2025, 22:01:46

Цитата: dr_faust от 16 апреля 2025, 11:54:46Потеря денег с номера фигня.

А отправка СМС на номер 900 (Сбербанка) поможет украсть деньги ещё и с банковской карты

Во-первых, не все банки поддерживают такую функцию.
Во-вторых, так еще надо узнать о существовании счета. Для чего потребны лишние телодвижения. При взломе наладонника-дебильника такой проблемы впринципе не стоит. Раз есть доступ к устройству, то видишь все, что на нем находится. Кнопочный из-за своей примитивности таки лучше в этом плане.

Историю забавную вспомнил.
При помощи соц. инженерии кговорили дуру поставть трояна, который прямо на ее глазах(удаленый доступ) все бабки перевел Уважаемым Умным Людям. У не в это время ступор. Что грабят понимает, что делать нет.
Кнопочный в крайнем случае обесточить легко, просто вынув аккомулятор.