On Wed, 28 Sep 2022 06:24:57 +0200, Shrek wrote:
> W dniu 28.09.2022 o 01:45, Marcin Debowski pisze:
>>> Chyba ciężko zmusić klawkę do wysyłania po ethernecie. Chyba że do
>>> klawki dołączą sterownik.
>>
>> Wcale nie cięzko. Obecnie większość jest usb więc wystarczy, że
>> realizuje nie tylko zadania klawiatury, a sterowników w systemie kupa.
>
> Ale musisz ściągnąć lewy sterownik, zamiast standardowego.

Tak mi sie wydaje, ze przy drukarkach taki mechanizm w Windows jest,
i sterownik sciaga sie automatycznie.
Przy skanerach tez powinien byc, bo jakies niestandardowe.

Czy klawiatura moze spodowowac sciagniecie niestandardowego
sterownika, to juz nie wiem, ale czemu nie ..

>> Ale przynajmniej pracownicy co
>> bardziej wrażliwych instutucji już chyba na tyle są dokształceni, aby
>> nie wtykać w kompa każdego dongla usb, którego na parapecie znajdą.
>
> To zostaw na komisariacie pendrjwa i zobaczysz:P

Ba, ostrzezenia po internecie krązą - uwazaj na znalezione pendrive.

W sumie ... zostawic komus na biurku, czy pod biurkiem ... moze
pomyslec, ze jego, szczegolnie jesli podobny do jego.
Moze juz nie pamietac, jakie ma.

>>> Cholera wie. Jeśli niewjawne... to jest to zapewne tłumaczenia (albo i
>>> po angielsku) z jakiegoś jawnego stanaga albo czegoś podobnego. Tak było
>>> kiedyś z "normami obronnymi". To były tłumaczenia (czasem nieudolne)
>>> stanagów oraz natowskiech military handbook. Te drugie to nawet za darmo
>>> wisiały w sieci;) Jak handbook to nato usostępniało, żeby były pod ręką.
>>> Zresztą nic mocno tajnego tam nie było.
>>
>> Dlaczego sposób zabezpieczeń miałby być jawny? Pewne normy tak, ale
>> szczegóły?
>
> Dlatego, że żeby to zrobić dobrze, to musi być to opisane. Utajnianie
> tego nie ma sensu, bo przeciwnik i tak się dowie, a co najwyżej nasi
> będą niedouczeni.

Tak niby pisza, ale w praktyce wszytko niejawne jest utrudnieniem dla
przeciwnika/hackera.

>>> Albo hardwaru... W sumie mossad podobno zhakował falowniki tak żeby
>>> mieszały w jedej jedynej aplikacji czyli irańskich wirówkach. Jeśli to
>>> prawda, to obstawiam, że wrzucili to u producenta, czyli nie ma rzeczy
>>> niemożliwych. Zwłaszca jak procki dostarczają chińczycy a firmware...
>>> hindusi.
>>
>> A takie drukarki to jest dopiero pole do działań. Praktycznie każda co
>> bardziej zaawansowana ma obecnie wifi i inne radia.
>
> Ano... A i tak najsłabszym elementem będzie człowiek.

Czlowiek w fabryce drukarek :-)\

J.

do góry

On Tue, 27 Sep 2022 23:45:29 GMT, Marcin Debowski wrote:
> On 2022-09-27, Shrek <...@w...pl> wrote:

>>> Modny temat naukowy to np transmisja danych miedzy takimi izolowanymi
>>> sieciami.
>>> Jeden z pomyslow - jeden komputer moduluje prace wiatraka, a drugi
>>> nasluchuje szumow.
>>
>>> Oczywiscie wymaga zainstalowania zlosliwego oprogramowania na
>>> izolowanym komputerze ... ale bo to mozna byc pewnym?
>
> Taka modulacja wiatraka to chyba dość słaba częstotliwościowo a i też

slaba, ale do pewnych danych moze starczyc, np hasla uzytkownikow :-)

> słychać?

slychac i nie slychac. Zwrocisz uwage, ze wiatrak Ci czesto predkosc
zmienia?
A jak bedzie jeszcze czesciej, to zmiana bedzie plynna.

> A zmiana częstotliwości cpu nie powoduje jakiś zjawisk RF?

Pewnie tak.

> Komunikować to się tak raczej nie da, ale przesyłać już by można. Albo
> dociążać cpu i sprawdzać wahania poboru prądu. Jak mała komórka nocą to
> może coś wychwyci.

Komputerow i innych urzadzen moze byc duzo.

J.

do góry

W dniu 28.09.2022 o 16:53, J.F pisze:

>>> Wcale nie cięzko. Obecnie większość jest usb więc wystarczy, że
>>> realizuje nie tylko zadania klawiatury, a sterowników w systemie kupa.
>>
>> Ale musisz ściągnąć lewy sterownik, zamiast standardowego.
>
> Tak mi sie wydaje, ze przy drukarkach taki mechanizm w Windows jest,
> i sterownik sciaga sie automatycznie.

Ale musi być podpisany. No i z tym automatycznie to jak pracujesz na
koncie admina - nawet ja w domu tego nie robię, więc w krytycznych
systemach mam nadzieję że ktoś tego pilnuje.

>> To zostaw na komisariacie pendrjwa i zobaczysz:P
>
> Ba, ostrzezenia po internecie krązą - uwazaj na znalezione pendrive.

Ja wiem, ty wiesz, kulson sprawdzi...

> W sumie ... zostawic komus na biurku, czy pod biurkiem ... moze
> pomyslec, ze jego, szczegolnie jesli podobny do jego.
> Moze juz nie pamietac, jakie ma.

Generalnie do takich systemów usb powinno być poblokowane.

>> Dlatego, że żeby to zrobić dobrze, to musi być to opisane. Utajnianie
>> tego nie ma sensu, bo przeciwnik i tak się dowie, a co najwyżej nasi
>> będą niedouczeni.
>
> Tak niby pisza, ale w praktyce wszytko niejawne jest utrudnieniem dla
> przeciwnika/hackera.

Ale jak sobie wyobrażasz. Że każda jednostka ma inaczej i jak technika z
tej jednostki bomba zabije, to nikt się nie połapie?


--
Shrek

Czy wiesz, że "jebać pis" czytane od tyłu daje "??? ?????"?
PS - i konfederację!

do góry

On Wed, 28 Sep 2022 19:30:20 +0200, Shrek wrote:
> W dniu 28.09.2022 o 16:53, J.F pisze:
>>>> Wcale nie cięzko. Obecnie większość jest usb więc wystarczy, że
>>>> realizuje nie tylko zadania klawiatury, a sterowników w systemie kupa.
>>>
>>> Ale musisz ściągnąć lewy sterownik, zamiast standardowego.
>>
>> Tak mi sie wydaje, ze przy drukarkach taki mechanizm w Windows jest,
>> i sterownik sciaga sie automatycznie.
>
> Ale musi być podpisany.

Chyba nawet gdzies na serwerze MS.

> No i z tym automatycznie to jak pracujesz na
> koncie admina - nawet ja w domu tego nie robię, więc w krytycznych
> systemach mam nadzieję że ktoś tego pilnuje.

Krytyczne systemy bywaja mocno ograniczone, ale o tego admina bym sie
nie zalozyl. Wiekszosc uzytkownikow Windows ma na swoim komputerze
jedno konto i nie miesza.
A czy uniemozliwi to podlaczenie innym drukarki ?

>>> To zostaw na komisariacie pendrjwa i zobaczysz:P
>> Ba, ostrzezenia po internecie krązą - uwazaj na znalezione pendrive.
> Ja wiem, ty wiesz, kulson sprawdzi...

Ja wiem, ale pewnie sprawdze. A 99% zwyklych ludzi nie wie, wiec
sprawdzi. Kulsony raczej nie inne, choc moze im ktos szkolenie zrobil.

A podpisujesz swoje pendrajwy?
Bo ja jakos nie, a kupilem tego troche, i naprawde nie pamietam juz
jakie.
Jakby ktos chcial mi podrzucic, to nie mialby klopotu.

A przeciez mozna jeszcze poprosic o wydrukowanie pliku itp ...

>> W sumie ... zostawic komus na biurku, czy pod biurkiem ... moze
>> pomyslec, ze jego, szczegolnie jesli podobny do jego.
>> Moze juz nie pamietac, jakie ma.
>
> Generalnie do takich systemów usb powinno być poblokowane.

I co - zadnych pendrajwow w sluzbie?

Dla celow tajnych moze i wazne, zeby ktos nie mogl skopiowac
informacji i wyniesc.

>>> Dlatego, że żeby to zrobić dobrze, to musi być to opisane. Utajnianie
>>> tego nie ma sensu, bo przeciwnik i tak się dowie, a co najwyżej nasi
>>> będą niedouczeni.
>>
>> Tak niby pisza, ale w praktyce wszytko niejawne jest utrudnieniem dla
>> przeciwnika/hackera.
>
> Ale jak sobie wyobrażasz. Że każda jednostka ma inaczej i jak technika z
> tej jednostki bomba zabije, to nikt się nie połapie?

Jest dzial konstrukcji i informatyki, to wiedzą.

Chodzi o publikowanie wszelakich infomacji - ze np haslo jest z
tokena, i zawiera zaszyfrowane DESem haslo, date i czas.
klucza i hasla nie podajemy, ale przeciwnik wie, czego sie spodziewac.
A inaczej to wyglada, jak wlamywac widzi "enter login: pasword" i nie
wie nic.

No coz - publikacja DES pozwolila wierzyc, ze byl trudny do zlamania,
skoro wielu ludzi sie głowiło i na niewiele wpadli.
Ale z drugiej strony publikacja Enigmy pozwolila Polakom a potem
Anglikom ją rozgryzc.

J.

do góry

On Tue, 27 Sep 2022 14:41:11 +0200, Shrek wrote:
> W dniu 27.09.2022 o 14:20, J.F pisze:
>>> Obstawiam "przejściówkę usb";)
>>
>> Przejsciowka USB to jest najprostsze rozwiazanie, ale moze ten
>> "sieciowy" komputer jakos spreparowany, albo sprzątaczka go
>> wzbogaciła, albo ktos pena USB podarowal, myszke czy klawiature -
>> i teraz jest urzadzenie zdolne podsluchac co tam w nieekranowanym
>> kablu biega ...
>
> Wszystko można próbować...
>
>>>> Ba - chinska klawiatura ... skad wiesz, czy nie zapamietuje
>>>> wszystkiego, a potem jakos wysyła ..
>>> Chyba ciężko zmusić klawkę do wysyłania po ethernecie. Chyba że do
>>> klawki dołączą sterownik.
>>
>> A kto powiedzial, ze po internecie?
>
> Najprościej...

No to jeszcze moze poczekac na okres bezczynnosci, po czym emaila z
danymi wyslac. Klawisze do tego wystarczą :-)

Choc nie - slad zostawia, lepiej przegladarke www odpalic i tam cos
wyslac.

>> Czy dalo by sie automatycznie sciagnac jakis lepszy driver przy
>> instalacji to nie wiem, ale moze miec w sobie nie tylko klawiature,
>> ale i inne urządzenia USB, w tym i "dyski" ze sterownikami ...
>
> Obstawia, że same się nie aktualizują. A te co są z netu muszą być
> podpisane, żeby bez ostrzeżenia się instalowały.

No to beda podpisane. Przez firme Han See Yuu ...

>>> Cholera wie. Jeśli niewjawne... to jest to zapewne tłumaczenia (albo i
>>> po angielsku) z jakiegoś jawnego stanaga albo czegoś podobnego. Tak było
>>> kiedyś z "normami obronnymi". To były tłumaczenia (czasem nieudolne)
>>> stanagów oraz natowskiech military handbook. Te drugie to nawet za darmo
>>> wisiały w sieci;) Jak handbook to nato usostępniało, żeby były pod ręką.
>>> Zresztą nic mocno tajnego tam nie było.
>>
>> A teraz moga byc tlumaczenia norm :-)
> Oryginał jawny, tłumaczenie tajne;)

Powiedzmy poufne :-)

>>> Albo hardwaru... W sumie mossad podobno zhakował falowniki tak żeby
>>> mieszały w jedej jedynej aplikacji czyli irańskich wirówkach. Jeśli to
>>> prawda, to obstawiam, że wrzucili to u producenta, czyli nie ma rzeczy
>>> niemożliwych.
>>
>> Akurat sprzęty przemyslowe czesto bywają niezabezpieczone, czy kiepsko
>> zabezpieczone.
>
> Wiem, ale żeby aktualizować firmware to tezeba mieć dostęd po
> urządzenia. Zdaje się że wszystkie falowniki tego modelu "udoskonalili"
> więc musiało się to odbyć u producenta albo wręcz za jego wiedzą.

Chyba niekoniecznie.

J.

do góry

On 2022-09-28, Shrek <...@w...pl> wrote:
> W dniu 28.09.2022 o 01:45, Marcin Debowski pisze:
>
>>> Chyba ciężko zmusić klawkę do wysyłania po ethernecie. Chyba że do
>>> klawki dołączą sterownik.
>>
>> Wcale nie cięzko. Obecnie większość jest usb więc wystarczy, że
>> realizuje nie tylko zadania klawiatury, a sterowników w systemie kupa.
>
> Ale musisz ściągnąć lewy sterownik, zamiast standardowego.

Chyba nie. Zobacz np. takie coś. Wkładasz dongla, który system
rozpoznaje np. jako klawiaturę (standardowe sterowniki) i dla niepoznaki
np. dysk. I ta klawiatura sobie coś tam za jakiś czas napisze lub
spowoduje reboot do tego dongla.

>> Dlaczego sposób zabezpieczeń miałby być jawny? Pewne normy tak, ale
>> szczegóły?
>
> Dlatego, że żeby to zrobić dobrze, to musi być to opisane. Utajnianie
> tego nie ma sensu, bo przeciwnik i tak się dowie, a co najwyżej nasi
> będą niedouczeni.

Opisać trzeba pewne procedury, ale już niekoniecznie ich szczegóły w tym
implementacji.

--
Marcin

do góry

On 2022-09-28, Shrek <...@w...pl> wrote:
> W dniu 28.09.2022 o 16:53, J.F pisze:
>
>>>> Wcale nie cięzko. Obecnie większość jest usb więc wystarczy, że
>>>> realizuje nie tylko zadania klawiatury, a sterowników w systemie kupa.
>>>
>>> Ale musisz ściągnąć lewy sterownik, zamiast standardowego.
>>
>> Tak mi sie wydaje, ze przy drukarkach taki mechanizm w Windows jest,
>> i sterownik sciaga sie automatycznie.
>
> Ale musi być podpisany. No i z tym automatycznie to jak pracujesz na
> koncie admina - nawet ja w domu tego nie robię, więc w krytycznych
> systemach mam nadzieję że ktoś tego pilnuje.

A jak dostaniesz w prezencie ładowarkę z kablem? Albo miatraczek na usb
lub lampkę? A jak sam kabel? Też będzisz taki czujny? :)

> Generalnie do takich systemów usb powinno być poblokowane.

Też tak myślę.

--
Marcin

do góry

W dniu 30.09.2022 o 18:54, J.F pisze:

>> Obstawia, że same się nie aktualizują. A te co są z netu muszą być
>> podpisane, żeby bez ostrzeżenia się instalowały.
>
> No to beda podpisane. Przez firme Han See Yuu ...

Nie wiem czy microsoft łyka takie rzeczy. No i jak sięc "tajna" to chyba
jakiś admin tam jest?

>>> A teraz moga byc tlumaczenia norm :-)
>> Oryginał jawny, tłumaczenie tajne;)
>
> Powiedzmy poufne :-)

Dokładnie. I żebry robić rzeczy na poziomie zastrzeżone, musisz mieć
papiery na poziom poufne;)

>> Wiem, ale żeby aktualizować firmware to tezeba mieć dostęd po
>> urządzenia. Zdaje się że wszystkie falowniki tego modelu "udoskonalili"
>> więc musiało się to odbyć u producenta albo wręcz za jego wiedzą.
>
> Chyba niekoniecznie.

Może i nie, ale sam użytkownik to sobie raczej firmwarów nie wgrywa.

--
Shrek

Czy wiesz, że "jebać pis" czytane od tyłu daje "??? ?????"?
PS - i konfederację!

do góry

W dniu 30.09.2022 o 13:01, J.F pisze:

>> No i z tym automatycznie to jak pracujesz na
>> koncie admina - nawet ja w domu tego nie robię, więc w krytycznych
>> systemach mam nadzieję że ktoś tego pilnuje.
>
> Krytyczne systemy bywaja mocno ograniczone, ale o tego admina bym sie
> nie zalozyl.

Bez jaj... Ja wiem, że kulsony to nie top 10 zawodów do których wymagana
jest nadzwyczajna inteligencja, ale zakładam że choćby dla
spersonalizowania środowiska każdy ma swoje konto.

> Wiekszosc uzytkownikow Windows ma na swoim komputerze
> jedno konto i nie miesza.

Ale to w domu nie w pracy.

> A czy uniemozliwi to podlaczenie innym drukarki ?

Nie sądzę, żeby w krytycznym systemie użytkownik móg instalować cokolwiek.

> A podpisujesz swoje pendrajwy?

Nie.

> Bo ja jakos nie, a kupilem tego troche, i naprawde nie pamietam juz
> jakie.
> Jakby ktos chcial mi podrzucic, to nie mialby klopotu.

Pewnie nie, ale ja nie mam tajnej sieci;)

>> Generalnie do takich systemów usb powinno być poblokowane.
>
> I co - zadnych pendrajwow w sluzbie?

Jeśli na sieci są pliki "poufne" to tak. "Zastrzeżone" chyba też.

>> Ale jak sobie wyobrażasz. Że każda jednostka ma inaczej i jak technika z
>> tej jednostki bomba zabije, to nikt się nie połapie?
>
> Jest dzial konstrukcji i informatyki, to wiedzą.

Ale to ma być tak samo we wszystkich jednostkach nato.



--
Shrek

Czy wiesz, że "jebać pis" czytane od tyłu daje "??? ?????"?
PS - i konfederację!

do góry

W dniu 01.10.2022 o 06:48, Marcin Debowski pisze:

>> Ale musi być podpisany. No i z tym automatycznie to jak pracujesz na
>> koncie admina - nawet ja w domu tego nie robię, więc w krytycznych
>> systemach mam nadzieję że ktoś tego pilnuje.
>
> A jak dostaniesz w prezencie ładowarkę z kablem? Albo miatraczek na usb
> lub lampkę? A jak sam kabel? Też będzisz taki czujny? :)

Do takich systemów nic się nie podłącza.


--
Shrek

Czy wiesz, że "jebać pis" czytane od tyłu daje "??? ?????"?
PS - i konfederację!

do góry