Slo-Tech - Za zdaj še neznani heker, ki je lani vdrl v računalniški sistem italijanskega podjetja Hacking Team, je predstavil potek lanskega napada. Vdor je dvignil ogromno prahu, ker je Hacking Team eno vodilnih podjetij na svetu, ki različnim državam dobavlja programsko orodje za vohunjenje, vdiranje in prestrezanje, prav zato je bil vdor v njihov sistem še toliko večja ironija.
Pojasnil je, da je imel Hacking Team dobro zaščiten računalniški sistem, ki je internetu kazal le zadnjo verzijo Joomle, e-poštni strežnik, nekaj usmerjevalnikov, dva VPN-ja in filter spama. Za ciljani socialni inženiring (spear-phishing) se ni odločil, ker bi v Hacking Teamu verjetno takšno elektronsko pošto prepoznali, saj navsezadnje iste trike prodajajo. Naposled se je odločil, da bi v embedded napravah, vidnih na internetu, poiskal kakšno neznano (zero-day) ranljivost. Po dveh tednih vzvratnega inženiringa mu je to uspelo, tako da se je prebil v omrežje. Tam je našel nezavarovano verzijo MongoDB in varnostne kopije, ki so bile dostopne na napravah iSCSI, dostopnih prek lokalne mreže. Ko je pridobil dostop do njih, je tam našel prijavne podatke domenskega administratorja, kar mu je dalo popoln nadzor nad sistemom, in tako je z Exchangea dobil njihovo elektronsko pošto. Potem je počakal še, da se je sistemski administrator prijavil in vpel Truecryptov nosilec, na katerem je imel svoja gesla. S temi je potem ukradel še izvorno kodo.
Sporočilo je zaključil s pozivom k modernemu robinhoodovstvu. Ali je Phineas Phisher resnično odgovoren za vdor, je za zdaj nemogoče potrditi, zdi pa se to verjetno. Policija namreč še vedno ni aretirala nobenega osumljenca za napad, kar priča o temeljiti izvedbi napada.
Očitno je imel na nekem ključku TC nosilec in ko ga je odklenil se je dalo iz njega vzet gesla. Nima to veze z TC. Kot sef, lahko je še tako varen dokler je zaklenjen, kot je enkrat odklenjen...
V treh dneh? Dictinoary attack, ki vključuje arhaičen marginalen jezik izpred 150 let? I want the shit that you're smoking, I really do. Btw, poezija samo kot primer, lahko je karkoli, ampak dolg stavek, pomožnosti v narečju ali slengu, pa je stvar bulletproof. Jasno dokler nisi računovodja od kakšnega mehiškega kartela. Potem je pa čas za upgrade ...
Tole je lahko shranjeno v glavi, ne rabi biti na papirju ali v elektronski obliki.
Tako geslo pod sodobnim dictionary attack-om pade v treh dneh.
Ne pa ne. Prej pade aa34%6x3 Dolžina je precej bolj pomembna od "zajebanosti". Če pa poznaš nekoga, ki bo šel dictionary attack uporabljat tako, da bo začel z najdaljšimi besedami in z njimi tvoril najdaljše znane stavke pa predlagam, da ga butneš po stopnicah in mu izropaš hišo. Nekje v njej namreč skriva delujoč kvantni računalnik. Boš obogatel v enem dnevu.
Geslo naj bo čudno ali pa dolgo. Tudi dictionary attack ne pomaga pri dolgem geslu. Če te pa že res skrbi da bo nekdo vanj vrgel vse verze prešerna, pa le zamenjaš eno besedo:
Kaj ti koristi, če ima 99 uporabnikov 'varna' gesla, eno teslo pa za geslo uporabi "12345678"? Po možnosti tisto teslo, ki ima tudi username tak, da ga uganeš že iz prve (sploh ni redkost, da je to kar direktor podjetja...)?
V nekem normalnem sistemu, se ti geslo zaklene recimo po 50tih neuspleih poizkusih. Pa da vidim ta napad na našo prešernovo poezijo. Po nekaj dneh bo verjetno vsakemu uporabniku jasno, da se mu zaklepa račun, verjetno bo tudi še tako lenemu adminu v JS nekako jasno po ene dveh tednih da nekdo poizkusa uganiti geslo...
Seveda pa način, ki je opisan, čal ni tako trivialen, tako da veliko sreče.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold
50 neuspelih poskusov je ... well, a few too many. Vsak spodoben sistem te bo zaklenil ven po treh, morda petih. No, Apple pa po desetih.
Seveda, zamenjaš geslo na desktop sistemu, potem imaš pa tablico, telefon, pa še kakšno elektronsko napravo, ki ima shranjeno tvoje geslo. Že vidim to veselje :-) Cel dopoldan porabiš za support klice, ko prosiš za odklep gesla. Če tvoje geslo ravno ni password, good, je verjetno no kaj že. Izračunaj.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold
Shranjevanje gesel je najvecja bedarija, ki jo lahko storis.
Se strinjam, zato pa vsakič ko preberem mail na telefonu, vtipkam geslo, nje. Pa zato da mi admin v domeni ne sari po mašini, le te nima v mašini, in se veselo nastavim politiko, da nikoli za nič ne dovolim shranejvati geslo, pa ko oprem meil odjemalev, vsakič čakam še pin po telefonu... Da se strinjam, shranjevanje gesla je bedarija, zato pa vektro napada nikoli ni geslo, ker vsak admin v katerm koli okolju zna nastaviti da geslo: 123456 ravno ni varno.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold
Shranjevanje gesel je najvecja bedarija, ki jo lahko storis.
pisanje gesel pa še večja. keylogerji spadajo v sam vrh in so nekako se mi zdi še najlažje namestljivi in najbolj nevidni. če imaš pa ti nekje geslo shranjeno pa mora nekdo pridobiti dostop do tvojega sistema najprej, če pa pridobi dostop do sistema in tega ne opaziš je pa nepomembno ali geslo pišeš, kopiraš, imaš kje shranjeno ali pa tudi če ga govoriš. v vsakem primeru bo geslo dobil.
In general, high velocity doesn't produce harmful injuries.
But what is dangerous is the high acceleration
or deceleration given at a certain time interval.
Bi ga rad videl junaka, ki mi bo na two-factor avtentikaciji keyloggal geslo.
Če si dovolj dobra/zanimiva tarča, potem boš fasal nesnago še na telefon (obstajajo prav malware paketi, ki po mreži iščejo ranljive telefone s točno tem namenom - mail je itak compromised čim je comp compromised), potem pa mal gledanja kdaj spiš s pomočjo tvojega smartphona, in ko ti pa sredi noči telefon parkrat zapiska si ob vse kar imaš vrednega. Se pa take stvari ne dela na random joe schmojih, ni dovolj dodane vrednosti
Bi ga rad videl junaka, ki mi bo na two-factor avtentikaciji keyloggal geslo.
Danes mi je kolega pokazal aplikacijo v oblaku, ki je povezana z njegovim telefon, in se hvali, da lahko bere sporočila na računalniku. Še posebno je izpostavil, kako mu to koristi pri spletni banki. Da lahko samo prekopira PIN.
Bi ga rad videl junaka, ki mi bo na two-factor avtentikaciji keyloggal geslo.
in imaš 100 različnih gesel za 100 različnih strani? poleg tega vse spletne strani ne omogočajo 2 step verifikacije. lastpass reši to zadevo recimo z enim geslom. dodaš še 2 ali 3 step avtentikacijo, onemogočiš prijavo iz tujine + email potrditev za vsako novo napravo itak imajo že default po novem. Potem ostane le še prevzem nadzora nad računalnikom. tam je pa itak vseeno kakšno varnost imaš (ravno v tej novici je primer, da če se te nekdo loti te bo dobil)
In general, high velocity doesn't produce harmful injuries.
But what is dangerous is the high acceleration
or deceleration given at a certain time interval.
Shranjevanje gesel je najvecja bedarija, ki jo lahko storis.
Potem pa mi ti prosim povej, kako naj si zapomnem več 10 gesel?! Sploh tista gesla, ki jih uporabljaš mogoče nekajkrart na leto oz gesla, ki so sestavljena iz črk, številk, ločil in drugih znakov... Si lahko zapomneš geslo v stilu kr#$54SffA87-Dsx!kjs ? Kaj pa 10 gesel v podobnem formatu?
Če si sysadmin moraš imeti "pod kontrolo" kup enih različnih gesel, ki morajo biti seveda kompleksna. In ker jih v praksi, tako kot je GrX napisal, rabiš parkrat na leto, se mi hranjenje na kriptirani particiji, ki jo mountaš po potrebi ne zdi neumno. Lahko imaš namesto v digitalni obliki 'oldschool' na papirju, ampak če ima nekdo že dostop do tvojga računalnika itak ni razlike ali prebere z diska ali preko keyloggerja.
Shranjevanje gesel je najvecja bedarija, ki jo lahko storis.
Potem pa mi ti prosim povej, kako naj si zapomnem več 10 gesel?! Sploh tista gesla, ki jih uporabljaš mogoče nekajkrart na leto oz gesla, ki so sestavljena iz črk, številk, ločil in drugih znakov... Si lahko zapomneš geslo v stilu kr#$54SffA87-Dsx!kjs ? Kaj pa 10 gesel v podobnem formatu?
A dejte.Jaz dem Admin pro cca desetih strankah.Gesla se menjajo na tri mesece.Samo pro eni stranki zaradi auditina spreminjam geslo...ostalo reset. Tako da keypass in podobne zadeve.In ce imam na masini keyloger ima potem nekdo dostop so vsega...
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold
jaz imam glede tega priročno rešitev za najbolj kritična gesla. kompleksnemu geslu zgeneriranemu s password managerjem na koncu dodaš še krajše geslo, ki je lahko tudi zapomnljivo. tega seveda nimaš zapisanega in ga vneseš peš. dvo-komponentno geslo? zakaj pa ne. morda pa tako rešiš kak account, če ti že vzamejo "keys to the kingdom". :-)
Bi ga rad videl junaka, ki mi bo na two-factor avtentikaciji keyloggal geslo.
Danes mi je kolega pokazal aplikacijo v oblaku, ki je povezana z njegovim telefon, in se hvali, da lahko bere sporočila na računalniku. Še posebno je izpostavil, kako mu to koristi pri spletni banki. Da lahko samo prekopira PIN.
Kaj naj še rečem.
Kaj bi kompliciral? Na banki celje imajo hude probleme sedaj ko jih je prevzela A banka, predvsem, ker imajo nove programe in vsaj trojno količino gesel... Kje so ta gesla? Vsaka blagajničarka jih ima zapisana v svoji beležkici, za katero se je glasno pohvalila, da jo ima vedno s seboj!
Kaj bi kompliciral? Na banki celje imajo hude probleme sedaj ko jih je prevzela A banka, predvsem, ker imajo nove programe in vsaj trojno količino gesel... Kje so ta gesla? Vsaka blagajničarka jih ima zapisana v svoji beležkici, za katero se je glasno pohvalila, da jo ima vedno s seboj!
Nekaj podobnega sem doživel na NLB pri zaprtju računa. Zaposlena odpre zvezek, prepiše geslo in ugotovi da ni pravo, potem poiskuša z drugim, ki tudi ni pravo. Na koncu si zaklene račun. Kliče na podporo, se noben ne javi, kliče še enkrat, ne zna povedat tipu v podpori, katero geslo ji dela težave. No rezultat je bil, da v eni uri nisem mogel zapreti računa.
Tako da vsaj koncept si zadel, samo nekoliko ga je bilo potrebno izpiliti.
Sej ni treba dobesedno jemat.
Vzameš Cankarjevo Erotiko, stran 26, vrstica 12... in prepišeš. Seveda dobesedno (z vsemi ločili, velikimi in malimi črkami, presledki, šumniki...). Pa naj te napada tist ko hoče. Bonus? Geslo imaš varno shranjeno v praktično vsaki slovenski knjižnici.
takšno geslo ni ravno dobro. Nabor znakov, ki jih je treba preveriti je premajhen. S pomočjo grafične kartice takšno geslo pade hitro. ... Tako da vsaj koncept si zadel, samo nekoliko ga je bilo potrebno izpiliti.
2558 oz. cca 1080 kombinacij mi bo grafična razbila? Najhitrešji superračunalnik zmore manj kot 1 ExaFlop, ajde naj mu bo, to je 1018 'operacij' na sekundo. Recimo da haširanje v povprečju 28 znakov dolgega gesla rabil vsaj 100 operacij. To pomeni, da bo povsem brute force approach rabil 1080 * 102 / 1018 = 1064 sekund. več kot 1056 let. Vesolja bo že n-krat konec, preden se bo to zgodilo. Pa je tu privzeto, da bad guy točno ve, da je moje geslo iz samih malih črk. Če tega ne ve, se stvar samo mnogo mnogo bolj poslaša.
They were the databases for test instances of RCS. The audio that RCS records is stored in MongoDB with GridFS. The audio folder in the torrent [6] came from this. They were spying on themselves without meaning to.
Hmm, res so bili nemarni:
Although it was fun to listen to recordings and see webcam images of Hacking Team developing their malware, it wasn't very useful. Their insecure backups were the vulnerability that opened their doors.
a ni brutforcanje danes mal bl pametno/potweakano kot le gola matematika?
Dictionary napadi (kamor tudi šteje bruteforce) so hitrejši za ranljiva gesla. Ampak, predpostavimo, da napadalec ve, da je neko geslo stavek, in da celo ve v katerem jeziku je (kako je izvedel pustimo). Hkrati ima ta napadelec zelo napreden algoritem za tvorjenje stavkov, ki ve kakšna je slovnica (spoli,skloni,število, ipd) dotičnega jezika in kakšne besede so "za silo" smiselne če so skupaj. Moj primer, iz 13-ih besed, bi še vedno vzel konkretno veliko časa. Besed, ki pašejo na različna mesta v stavku je različno, v povprečju recimo kakih 50. Pa recimo, da bi št. operacij z dolžino stavka precej naraščalo, v povprečju morda kakih 1000 operacij/ guess. Matematika torej pravi: 5013 = 1022 možnosti to je še vedno 107 sekund. Torej skoraj tri mesece, da bi najboljši superračunalnik danes, s super naprednim algoritmom in kupom podatkov, ki jih napadalci ponavadi nimajo na voljo to razbil. Že če se ne ve v katerem jeziku je stavek se to najmanj podvoji. Da potem sploh ne nadaljujemo od tam. Kot rečeno, danes ni realne možnosti za razbitje takega gesla, vsaj ne s strani nekega random hackerja (pustimo NSA na strani za kak trenutek ali dva), hkrati pa ga lahko ima vsak osebek z IQ nekje nad 70-80 v glavi in je ranljivost omejena na keylogger (kar spet pri pametnih osebkih ni problem).
Da brut force dela, ja ce imas file ali bazo pri sebi. Brut force na zivi sistem, kjer se ti account zaklene po n napacnih poizkusih, je bolj ali manj brezveze razen kot del DOSanja. Tako da ja gelso z max 15 znaki je dovolj dobro za bolj ali manj vse primere seveda je dvofaktorska avthentikacijs povsod dostopna. Me pa zanima, kdo ima root dostop za masino narejeno z dvofakorsko avthentikacijso...
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold
50 neuspelih poskusov je ... well, a few too many. Vsak spodoben sistem te bo zaklenil ven po treh, morda petih. No, Apple pa po desetih.
Seveda, zamenjaš geslo na desktop sistemu, potem imaš pa tablico, telefon, pa še kakšno elektronsko napravo, ki ima shranjeno tvoje geslo. Že vidim to veselje :-) Cel dopoldan porabiš za support klice, ko prosiš za odklep gesla. Če tvoje geslo ravno ni password, good, je verjetno no kaj že. Izračunaj.
Kolega, mi pa nismo videli veliko nastavitev gesel v slovenskih zasebnih ali javnih organizacijah, kajneda? Ker sicer ne bi brcali v temo.
Jaz sem jih. A LOT. Brcaš v temo. Redki so, kjer sistem sploh ne zaklepa računov po n neuspešnih poizkusih. Večina je ali na default nastavitvah (24, če se prav spomnim) ali na 3-10 neuspešnih poizkusov.
Shranjevanje gesel je najvecja bedarija, ki jo lahko storis.
odvisno KAKO jih shraniš.
True. Še bolje je uporaba SSO in kombinacije what-you-have (pametna kartica / RSA ključek / biometrija) + what-you-know (PIN / geslo + periodična menjava le-tega). Če si ne moreš zapomniti ENEGA gesla, si verjetno glavni kandidat za odpoved delovnega razmerja.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
Bi ga rad videl junaka, ki mi bo na two-factor avtentikaciji keyloggal geslo.
Danes mi je kolega pokazal aplikacijo v oblaku, ki je povezana z njegovim telefon, in se hvali, da lahko bere sporočila na računalniku. Še posebno je izpostavil, kako mu to koristi pri spletni banki. Da lahko samo prekopira PIN.
Kaj naj še rečem.
Očitno je tvoj kolega Eloi. Morlochov pa je po svetu več kot dovolj.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
Ali ni bil tudi v slovenski bitcoin firmi tudi administrator kriv? 
