29
-
#29
ott az infra,biztonságosabb,nem tudják feltörni,csak az a hátránya hogy csak egy métern belül használható,de inkább infra mint BT -
Ratty #28 aki hülye haljon meg :D
amúgy: http://www.hacktivity.hu/h2005_folia/bluetooth.ppt -
#27
"Az illedelmesebb telefonok megkerdezik hogy telepitheto-e. A tobbseg (pl. nokiak) nem. Van olyan telefon amire csak digitalisan alairt kod telepitheto (sony-ericsson), van amire barmi amit a felhasznalo megenged (nokia). Van olyan telefon ami kepes automatikus parositasra (pinmentes mod), van ami meg tavvezerelheto bt-n keresztul (szinte mind ahol a bt-s kihangosito gombjaval lehet hivast fogadni)."
1. Azt azert nem gondoltam, hogy a gyartok ennyire belesz*rnak.
2. Azt meg vegkepp nem ertem, hogy ezek a dolgok miert nem kerulnek nyilvanossagra. (gyartok)
"A legtobb telefon default pin-je 1234 vagy "1111."
Hat ez mar nagyon durva. En szentul meg voltam rola gyozodve, hogy nekik is ugyanugy minosittetni kell a BT eszkozoket mint nekunk.
En az egeszben azt nem ertem, hogy a Bluetooth SIG miert a kernelfejlesztoket bszogatja, hogy minosittessek a drivert, a telefongyartokmeg millios tomeggyartasban terithetik a minositetlen szrokat, ugy, hogy ilyen trivialis baromsagokkal annyi biztonsagi lyukat hagynak, hogy egy kilo ementali elszegyelne magat tole.
-
#26
"Az illedelmesebb telefonok megkerdezik hogy telepitheto-e. A tobbseg (pl. nokiak) nem. Van olyan telefon amire csak digitalisan alairt kod telepitheto (sony-ericsson), van amire barmi amit a felhasznalo megenged (nokia). Van olyan telefon ami kepes automatikus parositasra (pinmentes mod), van ami meg tavvezerelheto bt-n keresztul (szinte mind ahol a bt-s kihangosito gombjaval lehet hivast fogadni)."
1. Azt azert nem gondoltam, hogy a gyartok ennyire belesz*rnak.
2. Azt meg vegkepp nem ertem, hogy ezek a dolgok miert nem kerulnek nyilvanossagra. (gyartok)
"A legtobb telefon default pin-je 1234 vagy "1111."
Hat ez mar nagyon durva. En szentul meg voltam rola gyozodve, hogy nekik is ugyanugy minosittetni kell a BT eszkozoket mint nekunk.
En az egeszben azt nem ertem, hogy a Bluetooth SIG miert a kernelfejlesztoket bszogatja, hogy minosittessek a drivert, a telefongyartokmeg millios tomeggyartasban terithetik a minositetlen szrokat, ugy, hogy ilyen trivialis baromsagokkal annyi biztonsagi lyukat hagynak, hogy egy kilo ementali elszegyelne magat tole.
-
kvp #25 Minden telefon kepes sms-en es mms-en keresztul halozati konfigot fogadni. Az illedelmesebb telefonok megkerdezik hogy telepitheto-e. A tobbseg (pl. nokiak) nem. Van olyan telefon amire csak digitalisan alairt kod telepitheto (sony-ericsson), van amire barmi amit a felhasznalo megenged (nokia). Van olyan telefon ami kepes automatikus parositasra (pinmentes mod), van ami meg tavvezerelheto bt-n keresztul (szinte mind ahol a bt-s kihangosito gombjaval lehet hivast fogadni). A bt-t egyebkent file atvitelre is lehet hasznalni, igy ha valakinek van joga a telefonhoz, akkor barmit megtehet rajta keresztul. (csak teljes interface a legtobb telefonon nincs meg, usb-s bt kartya es laptop kell hozza, sony-ericsson-okhoz en a Float's Mobile Agent-et javaslom) A legnagyobb baj pedig az, hogy a bt protokoll tervezesi hibas, ezert ha egy harmadik fel hallja ket parositott bt egyseg kommunikaciojat, akkor vissza tudja fejteni a kodokat. A legtobb telefon default pin-je 1234 vagy 1111. Harmadik problema hogy a felfedezesre hasznalt broadcast-ekkel lehet spam-elni a telefonokat. (mind a upc kabeles halozatan a szomszedok windows-ai egymast a keretlen netbios uzeneteikkel) Az egyetlen biztonsagos megoldas a bt kikapcsolasa, amennyiben ezt a telefon engedi. Figyelem! A legtobb telefon akkor sincs aramtalanitva ha ki van kapcsolva. A legtobb esetben az ebreszto pl. minden gond nelkul szol egy kikacsolt telefonnal is. (biztos megoldas a mechanikus bt kapcsolo pl. laptopokon, vagy az aksi leszedese telefonok eseteben) -
tealc #24 aki hülye haljon meg!
én mindig kikapcsolom a BT-t, ha nem használom. De rögtön. -
nebancsa #23 Ja ez csak reklám az f-secure-nak hogy vegyék a programjaikat... -
#22
Na, hat ez a "felfedezes" is csodalatos. Kb 3 evvel emlegette nekem egy ismerosom, hogy a bluetooth sebezheto.
Na most kezdjuk ott, hogy a bluetooth eszkozoket ossze kell parositani pin-kod elleneben. Amennyiben nem tortenik meg az authentikalas, ugy az egesz adatkapcsolat letre sem jon. Ha az adatkapcsolat nem jon letre, ugy adatok sem tovabbithatok, mivel a dekodolashoz szukseges kulcsok nem cserelodtek ki a a pin-kod elleneben.
Az pedig eloiras a bluetooth szabvanyban, hogy a keszulekek kizarolag authentikalt guest-tel kommunikalhatnak. Az "azonositas" pedig abbol all itt a fenti cikkben, hogy bekapcsolom a vevokon pscan/iscan allapotokokat es a guest keszulek azt mondja a masternak, hogy: szia, enegemet ugy hivnak, hogy "Mariska telefonja". Kerem a pin-kodot!
Ezzel az erovel az osszes bankautomata sebezheto.
Szal, szvsz, az egesz fenti marhasag csak vihar a teascseszeben, nem kell vle komolyan foglalkozni.
-
Anotino #21 Ha igy gondolod, mit keresel meg itt? :) -
wanek #20 BT <> MMS -
wanek #19 Az sg-re nem érdemes hivatkozni, elég sok kacsa jelenik meg... -
Hegyikecske #18 A legegyszerűbb: tarts kikapcsolva akkor nem kell semi védőszoftver és fogadjunk h nem tör be senki? -
#17
Minden BT telefonban van biztonsági kapu, Ip PIN ellenőrzés kapcsolódáskor (ugyanazt kell begépelni mindkét telefonban), saját telefon felfedése opció... Otthon én is csak addig kapcsolom be a BT-t amig netezek vagy filetransferolok, utána inaktiválom. Szerintem is a hülye ostoba beijedős emberkeet célozzák meg ezek a pánikkeltések. -
Shadow_THH #16 beülsz egy előadóba az egyetemen és te is megteheted ugyanezt 10 perc alatt :)
ha még csatlakozhatsz is bt-n keresztül ugy hogy a felhasználó nem tud róla akkor sem tudsz kárt tenni. az OS-ba nincs beleépitve bluetooth kapcsolaton keresztüli filerendszer elérhetőség. csupán fogadni tud az inbox (mail) könyvtárba alapból -
Yeti #15 Basszus, de kemények, hogy sikerült 1300 telefont azonosítaniuk egy nap alatt!! Mintha pont ez lenne a bluetooth egyik funkciója, hogy meg lehet keresni, hogy kik vannak a közelben... Ez aztán a hatalmas biztosnági rés.
Ha már ijesztgetnek, akkor csinálhatnák rendesen, és elismételhetnék ezredjére, hogy igen, fel lehet csatlakozni egy telóra a tulajdonos hozzájárulása nélkül.
Mellesleg az is hülyeség, hogy a "felhasználó nem látja, mikor aktív a kapcsolata", ezt a legtöbb telefon kijelzi. -
Shadow_THH #14 már régen volt ilyen 'mind meghalunk akinek bt-je van' téma itt az sg-n
hozzászólásom : -||- mint mindig
ja és a sírósoknak pluszba : még soha egyetlen user se jelezte mondjuk itt az sg-n hogy neki lett volna ilyen problémája. -
blaze #13 Egyetértek veled: ha nincs bekapcsolva hagyva a "kékfog", nem tudják föltörni. Aki lámaságból vagy lustaságból nem kapcsolja ki, az meg is érdemli, hogy meghack-eljék. -
zateh #12 Bezzeg a jó öreg N 3210-esem! Na azt fertőzze meg, ha tudja! 
-
rlph #11 vmelyik hacktivity előadáson törtek fel bluetooth-os mobilt. az ea. fent van a honlapjukon. érdemes megnézni. meg is mutatják, h milyen szoftverrel lehet megcsinálni.... 
és tényleg a legnagyobb biztonsági rés a tudatlan felhasználó! -
zidder #10 Könnyen támadhatók a Bluetooth-os mobilok -----> mondja az F-secure....
Holnap minden hülye antivírust meg tűzfalat fo keresni a mobiljára (személyesen tapasztaltam már:) )
Az F-secure meg minden más antiyíruscég jól megszedi magát a antiprogik árán...
Valahogy ismerős a sztori lényege nem??? Főleg ha a kártevőket maga a anticégek kreálták...
-
turul16 #9 MMS!=SMS
Vannak, de "telepíteni" kell őket általában. (És erősen készülék függő.)
Zsoldos:
Nem hinném, hogy minden telefont érinti a dolog. Egy teremben meg általában akadnak emberek, akik "Well came to cracker"-re ÁLLÍTJÁK a telefon blutooth kezelését. (Vagy gyárilag ez a legmagasabb szint :))
""A legnagyobb biztonsági rés legtöbbször a felhasználó""
Meg külömben is, minek hagyják az emberek bekapcsolva bluetooth-ot, ha ép nem használják, vannak fogyasztási szempontok is. -
mrzool #8 Már jó egy éve létezik MMS-ben terjedő kártevő, de gyakorlatilag mindenféle kártékony progi van már mobilokra is (féreg, trójai, backdoor...) -
Zsoldos #7 Nem fake, konnyen fel lehet torni bekapcsolt bluetoothos mobilokat. Itt az sg-n is irtak vmi biztonsagszakerto gururol, aki az eloadasain prezentaciokeppen betor nemelyik resztvevo telefonjaba. -
wanek #6 Ez fake. El akarják adni a szarukat, ezért csinálják a műbalhét. -
neoG #5 Azokat a telefonokat is megtalálták amin nem volt bekapcsolva a bluetooth?Én például csak akkor használom, ha itthon töltök vmit, amúgy meg ki van kapcsolva... -
Zsoldos #4 egy dolog bemerni egy telot es egy masik dolog leszedni rola mondjuk az osszes filet, a telefonkonyvet, az uzeneteket, meg a hivaslistat. stb. -
turul16 #3 Nagy kaland, köszönt a telfen a gonosz F-secure -s teszter, meg nem köszönt vissza. Küldjenek el egy filet, úgy hogy nem veszik észre, az a valami.
GSM hálón rajta vannak, ugyebár akkor is bemérhetők/azonosíthatóak nem? Mi a plusz a veszély? (Virus telepítést megkérdi előtte :) )
"Az első számú szabály továbbra is az óvatosság: nem árt kitörölni minden olyan SMS-t, aminek nem ismerjük a feladóját" basszus kulcs, már sima SMS-be is lehet kártevőt tenni? Ha ilyet, be tud szopni a telefonom már is küldöm vissza a gyártónak, "szoftver hiba címen", mert az ilyesmi az szvsz. -
qtpman #2 hehe szntem is érdemes figylleni -
qtpman #1 hehe szntem is érdemes figylleni