» »

Izguba administratorskih pravic kot sudo uporabnik

Izguba administratorskih pravic kot sudo uporabnik

1
2
»

Ales ::

BivšiUser2 je izjavil:

To nategovanje drug drugega je itak brezvreze, ker je Linux opensource, in bo prej ali slej kdo našel exploit kako priti do root accounta brez kakršnekoli "zgoščene" vrednosti.

Še en tepec, ki misli, da je zaprtokodno programje bolj varno, ker ti ne vidiš kode?

SeMiNeSanja ::

Ales je izjavil:

BivšiUser2 je izjavil:

To nategovanje drug drugega je itak brezvreze, ker je Linux opensource, in bo prej ali slej kdo našel exploit kako priti do root accounta brez kakršnekoli "zgoščene" vrednosti.

Še en tepec, ki misli, da je zaprtokodno programje bolj varno, ker ti ne vidiš kode?

Dej no, da ne bomo spet pri tisti zgodbi o tem, da stvari, ki jih lahko vsak pregleda leta in leta nihče ni pregledal...

Če je koda na voljo na vpogled, to še zdaleč ne pomeni, da je koda tudi pregledana.

Poleg tega S4NNY1 ni nikjer trdil, da bi bilo karkoli slabše z odprto vs. zaprto kodo. Zato prosim ne vnašaj te neskončne debate v temo, kjer o tem ni bilo govora.

WhiteAngel ::

SeMiNeSanja je izjavil:

Odkar se igram tudi z 2FA, me predvsem moti, da je password avtentikacija tako globoko vkoreninjena v sisteme, da jo 3rd party ponudniki praktično ne morejo v celoti nadgraditi s svojo 2FA alternativo.
Tako npr. lahko rešijo interaktivni login, medtem ko na nivoju network login-a ali servisov vse ostaja po starem.


Seveda. 2FA je interaktivna reč za končne uporabnike. Servisi imajo lahko javno/zasebne ključe za šifriranje.

Mimogrede, 2FA ni ravno čudežen. Če ti sp*zdijo shared secret bodisi s strežnika ali tvojega telefona, ti nič ne nuca več. Geslo imaš po drugi strani lahko izključno v glavi in če je dobro, ni variante, da ti ga pohekajo. Drugo je, če gre za phishing, keyloggerje itd. Ampak takrat si pa screwed v vsakem primeru.

Ales ::

SeMiNeSanja je izjavil:

Ales je izjavil:

BivšiUser2 je izjavil:

To nategovanje drug drugega je itak brezvreze, ker je Linux opensource, in bo prej ali slej kdo našel exploit kako priti do root accounta brez kakršnekoli "zgoščene" vrednosti.

Še en tepec, ki misli, da je zaprtokodno programje bolj varno, ker ti ne vidiš kode?

Dej no, da ne bomo spet pri tisti zgodbi o tem, da stvari, ki jih lahko vsak pregleda leta in leta nihče ni pregledal...
Stvari, ki jih vsak ne more pregledati pa niso leta in leta nepregledane?

Če je koda na voljo na vpogled, to še zdaleč ne pomeni, da je koda tudi pregledana.
Pomeni, da je lahko pregledana s strani katere koli zainteresirane organizacije ali posameznika in posledično pogosto tudi je. Za razliko od zaprte kode, kjer je dostop precej bolj omejen in posledično koda zagotovo ni pregledana s strani zainteresirane javnosti.

Dosti folka, med njimi tudi S4NNY1, sem prepričan, nima pojma, da je koda izdelkov, kot so Windows ali Office, na voljo za vpogled tudi organizacijam in posameznikom zunaj Microsofta, pod določenimi pogoji. Le da so precej bolj restriktivni, kot če bi bila koda prosto dostopna. Najpogosteje torej ni dostopa niti do pregleda kode, še manj pa obstaja možnost popraviti kodo, tudi če je ranljivost ali napaka javno objavljena.

Poleg tega S4NNY1 ni nikjer trdil, da bi bilo karkoli slabše z odprto vs. zaprto kodo. Zato prosim ne vnašaj te neskončne debate v temo, kjer o tem ni bilo govora.
Seveda je trdil: ...ker je Linux opensource, in bo prej ali slej kdo našel exploit.

Debilizem pač. Misli, da skrivanje kode pred javnostjo pomeni večjo varnost, četudi dejansko pomeni manjšo.

BivšiUser2 ::

Ales je izjavil:

BivšiUser2 je izjavil:

To nategovanje drug drugega je itak brezvreze, ker je Linux opensource, in bo prej ali slej kdo našel exploit kako priti do root accounta brez kakršnekoli "zgoščene" vrednosti.

Še en tepec, ki misli, da je zaprtokodno programje bolj varno, ker ti ne vidiš kode?

Kaj ti si nepismen? Kje se v celotni temi omenja zaprta koda? Objektivno noben sistem ni varen, subjektivno pa mislim, da je Linux celo bolj varen.
SloTech - če nisi z nami, si persona non grata.

Zgodovina sprememb…

Ales ::

Mogoče si razcepljena osebnost in je "...ker je Linux opensource, in bo prej ali slej kdo našel exploit..." napisal nek drugi tvoj jaz?

BigWhale ::

SeMiNeSanja je izjavil:


Prvotna trditev je bila, da ni nastavljeno. Vendar si dejansko potrdil, da je 'nekaj' nastavljeno kot geslo.
Ali je to zdaj 'razrešljivo' ali ne, niti ne igra bistvene vloge pri tem, kar sem jaz trdil: da ni dobro imeti accounta brez gesla.


Uhm, v bistvu sem zlo hitro dal pojasnilo, da dejansko ne gre za account, ki bi omogocal prijavo brez vnosa gesla (ker geslo ne bi bilo nastavljeno). V prvi moji izjavi sem se nekoliko nerodno izrazil. Zato sem se tudi popravil.

SeMiNeSanja je izjavil:


Res je, da si s poti umaknil eno geslo, katerega vsi poznajo - pridobil pa si nekaj novih accountov, za katere ne veš, kako solidna gesla imajo in kako jih varujejo posamezniki.


Za varovanje gesel imas ustrezno definirane standarde in pravila. Dostopa do sudo pac ne das vsakomur, se posebaj ne tistim za katere sumis, da ne znajo ravnati s svojimi gesli. Je pa popolnoma vseeno ali taki osebi das dostop do sudo ali pa ji das root geslo. Oboje je enako zanic.

SeMiNeSanja je izjavil:

Pri 10-ih pa bi že dobro premislil, če se nebi malo globlje zakopal v konfiguracijo sudo-ja.


Kot sem ze zgoraj napisal, popolnoma vseeno je ali ima uporabnik moznost sudo ali pa operira z geslom za root uporabnika. Ce je neskrben z enim ali drugim je lahko oboje nevarno.

SeMiNeSanja ::

WhiteAngel je izjavil:

Mimogrede, 2FA ni ravno čudežen. Če ti sp*zdijo shared secret bodisi s strežnika ali tvojega telefona, ti nič ne nuca več. Geslo imaš po drugi strani lahko izključno v glavi in če je dobro, ni variante, da ti ga pohekajo. Drugo je, če gre za phishing, keyloggerje itd. Ampak takrat si pa screwed v vsakem primeru.

Shared secret?

Poglej si "Be Authentic" stran od AuthPoint-a. Boš videl, da se ob importu tokena v telefonski app generira nekakšen 'DNA' (ali če ti je ljubše 'prstni odtis') telefona. Tako ti lahko dobesedno klonirajo vsebino telefona, vključno z vsemi secret-i, pa avtentikacija še vedno ne bo šla skozi. Zadeva po defaultu tudi ne deluje z generacijo neke kode, ki bi jo pretipkaval, temveč zgolj potrdiš push notifikacijo, da si res ti tisti, ki se hoče prijaviti.

Nekoliko drugače, kot si to vajen pri klasični TOTP 2FA avtentikaciji. Ta je sicer tudi podprta kot 'izhod v skrajni sili' in zaradi 3rd party sistemov, ki podpirajo le TOTP.
Obstaja pa še vmesna varianta s skeniranjem QR kode, katera potem generira OTP kodo.
Vendar pa za vsak AuthPoint 'resource' (sistem/aplikacijo) ločeno definiraš, katero od treh metod boš dovolil uporabljati.

Jaz vidim velikansko prednost push notifikacije pred TOTP sistemi v tem, da si obveščen o vsakem poskusu uporabe tvojega accounta, medtem ko je pri klasičnih TOTP sistemih to povsem odvisno od sistema oz. aplikacije v katero se hočeš prijaviti. Če ta nima predvidenega obveščanja, ne boš nikoli izvedel, da se je nekdo sprobaval nad tvojim accountom.

Zgodovina sprememb…

c3p0 ::

Klasični TOTP 2FA kot je npr. Google Authenticator ima zadaj še vedno neko "geslo", s poznavanjem katerega boš lahko vedno dobil trenutno veljavno kodo.

Pri push je dovolj dostop do (neodklenjenega) devicea.

BivšiUser2 ::

Ales je izjavil:

Mogoče si razcepljena osebnost in je "...ker je Linux opensource, in bo prej ali slej kdo našel exploit..." napisal nek drugi tvoj jaz?

Se pravi, da pa če ne bi notri dal opensource pa bi blo kul? Preberi si še moj komentar enkrat, na začetku na kaj mislim, debata o splošni varnosti je tu brezpredmetna, če te pa srbi, da bi spet nekaj nabijal, pa idpri svojo temo
SloTech - če nisi z nami, si persona non grata.

SeMiNeSanja ::

c3p0 je izjavil:

Klasični TOTP 2FA kot je npr. Google Authenticator ima zadaj še vedno neko "geslo", s poznavanjem katerega boš lahko vedno dobil trenutno veljavno kodo.

Pri push je dovolj dostop do (neodklenjenega) devicea.

Kdo to pravi?

Je dovolj - če tako nastaviš.

Ampak ker si očitno paranoik, a) se ti bo telefon sam zaklepal in b) boš tudi tu dodal še geslo ali drugo zaporo za dostop do app-a, mar ne?

Meni se telefon samodejno zaklepa, tako da mi ne pade na pamet, da bi si 2FA za moje potrebe po nepotrebnem dodatno kompliciral.

Mislim, da je treba ločiti med različnimi scenariji uporabe.
Eno so scenariji v okoljih z visokim tveganjem. Karikirano rečeno, kjer varuješ dostop do sistemov za izstreljevanje raket. Tam boš seveda šel tudi v opcije, ki se ti v normalnem vsakdanu zdijo popolna bedastoča.

Popolnoma druga zgodba pa so okolja, s katerimi se vsakodnevno srečujemo. VPN dostop do službenega omrežja, RDP dostop do službenega računalnika, itd. itd.
Zadeve, ki jih 95% uporabnikov danes še vedno počne zgolj z navadnim geslom, katero je kakršno pač je. Če v takšna okolja želiš vnesti nekaj napredka, boš hotel zadeve za uporabnika naresti čim manj 'stresne'. Zadnje kar hočeš, je to, da bodo uporabniki preklinjali tisto 'bedarijo', ki si jim jo navlekel. Nočeš, da je 'napredek' za uporabnika zaznamovan z nevem koliko dodatnimi pritiski na tipke, katere bo uporabnik 'občutil' kot trikratno podaljšanje postopka za prijavo (in se posledično ne bo odjavljal, ko bo šel npr. na wc?).

Tako je v 90% primerov navadna push notifikacija povsem sorazmerna. Za tistih preostalih 10% pa lahko stvari tudi zaostriš.

Nenazadnje pa je tudi neprestano vnašanje gesla v telefon določeno varnostno tveganje, saj te lahko pri tem kdo opazuje ali celo posname! Potem pa ti rabi samo še telefon ukrast...

Btw: koliko ljudi poznaš, ki bi pri Google avtentikatorju imeli vključeno še potrebo po vnašanju nekega dodatnega gesla v app? Jaz prvič slišim za to... Vedno sem videl samo varianto, kjer je TOTP app rolal številke, ki si jih lepo pretipkal v spletni brskalnik...

"Dodatno geslo" potrebuješ v sami aplikaciji v katero se prijavljaš, saj 2FA ne izklopi uporabe osnovnega gesla, temveč tega samo še dodatno 'zavaruje'.

c3p0 ::

Seveda lahko sam izbereš kar ti ustreza glede na zahtevano stropnjo varnosti in/ali paranojo. Npr. google sign-in nudi precej opcij. Lahko je ta device tudi Trezor wallet (+geslo) ipd.

SeMiNeSanja ::

c3p0 je izjavil:

Seveda lahko sam izbereš kar ti ustreza glede na zahtevano stropnjo varnosti in/ali paranojo. Npr. google sign-in nudi precej opcij. Lahko je ta device tudi Trezor wallet (+geslo) ipd.

Ampak trdil si, da je Push slabša varianta od TOTP. S tem pa se ne strinjam.

Pri klasičnem TOTP se lahko isti token namesti na več naprav. Tako tudi obstaja nevarnost, da ti nekdo ukrade token. Ko se potem prijavlja namesto tebe, ti nič o tem ne veš. Lahko traja mesece, predenj ugotoviš, da se še nekdo prijavlja kot ti. Ker si lažno prepričan, da je pod 2FA to nemogoče, boš še manj pozoren na to, kdaj in od kje se je kdo prijavljal na tvoj account.

To se ti pri Push metodi praktično ne more zgoditi. Celo če je nekdo samo poskusil uporabiti tvoj username, boš dobil notifikacijo in vedel, da se nekaj dogaja. Token se lahko namesti izključno na eno samo napravo. Če potrebuješ več naprav za avtentikacijo na isti account, se kreira nov token, kateri se ob namestitvi 'zapečen' na tisto drugo napravo (strežnik si zapomni 'prstni odtis' oz. 'Mobile DNA' naprave).
Ob poskusu prijave (npr. Windows Administrator account z dvema administratorjema), bi Push notifikacija prišla na obe napravi. Tako še vedno veš, da se skuša prijaviti kolega, če se ti nisi in lahko tudi preveriš IP naslov v notifikaciji, če je ok.

Razni trezorji in čudežni ključki, ki so zadnje čase v prodaji skrivajo isto slabost kot TOTP: če nekomu uspe (social engineering,...) na tvoj account registrirat dodaten token, potem se lahko prijavlja kakor mu je volja, pa ti o tem nič ne veš.

Push notifikacije so mi zelo všeč za scenarije kot je 'root account'. Kdor je 'pooblaščen' ve geslo accounta - ampak se ne more z njim prijaviti, če mu 'nadzornik' ne potrdi push notifikacije.
Da ne bo pomote - ne govorim o root accountu na Ubuntu, temveč o admin accountih na routerjih, firewall-ih, switch-ih, itd. Vse kar podpira radius avtentikacijo se da dodatno zaščititi na tak način.

Podoben scenarij je pri GDPR, če moraš loviti pooblaščenca za varstvo osebnih podatkov (DPO), da ti odklene dostop do deanonimiziranih prometnih podatkov. Če ga boš klical več kot 1x/teden mu bo ta vloga hitro zrasla na vrh glave. Sploh bo vesel, če ga boš klical med sestanki, dopustom ali bolniško. Preko Push notifikacije ti lahko odklene dostop na daljavo, ne glede na to, kje se nahaja. Pošlješ mu SMS, da najaviš potrebo po dostopu, vtipkaš 'znano' geslo in počakaš na odobritev notifikacije s strani DPO. To ti pa lahko pošlje od kjerkoli, po potrebi tudi z drugega kontinenta, če le ima dostop do interneta.

Real-life scenariji, ki ti jih razni ključki in wallet-i ne omogočajo.

Seveda pa imajo tudi ti ključki in wallet-i svoje prednosti v nekih drugih scenarijih.
To ti je tako, kot navadno, zidarsko in tesarsko kladivo. Vsako ima svoje področje, kjer je bolj uporabno.

Kaboom ::

 Security

Security

Če se zatakne - pritisni močneje. Če se zlomi - bil je skrajni čas za nakup novega.

c3p0 ::

SeMiNeSanja je izjavil:


Ampak trdil si, da je Push slabša varianta od TOTP. S tem pa se ne strinjam.


Nobena omenjena rešitev ni slabša od druge, vsako se da nastavit dobro ali slabo, si pa odvisen potem od varnosti tega devicea. Vsa debata pa izvira iz non-issue glede root gesla, "ranljivost" za katere izrabo še ni nihče nikoli slišal.

SeMiNeSanja ::

c3p0 je izjavil:

SeMiNeSanja je izjavil:


Ampak trdil si, da je Push slabša varianta od TOTP. S tem pa se ne strinjam.


Nobena omenjena rešitev ni slabša od druge, vsako se da nastavit dobro ali slabo, si pa odvisen potem od varnosti tega devicea. Vsa debata pa izvira iz non-issue glede root gesla, "ranljivost" za katere izrabo še ni nihče nikoli slišal.

Vsak standardni TOTP, ki sem ga do zdaj videl, se je dal klonirat na več naprv. Vzameš tisto inštalacijsko kodo in brez težav namestiš na več napravah. Še backup si delajo, itd.

'Se da nastaviti' ..... iz prakse bi lahko vedel, da je to 'redko uporabljena možnost', ampak nastavljaš lahko samo 'varnost' telefona, ne pa samega tokena. Danes pa je standardna 'varnost' na telefonu križkraž ali prstni odtis za odklep. Več je že 'zaviralni faktor' za implementacijo kakršnegakoli 2FA, ker si boš nakopal bes uporabnikov, ki se bodo izgovarjali, da zaradi tega ne morejo normalno delati itd. itd.

Če delaš na Sovi...ajde, potem bi bilo logično, da zahtevaš še kakšen dodaten pin, da še malenkostno zakompliciraš zadevo. Ne pa npr. v nekem računovodskem servisu.

Kot rečeno, pa je osnovna slabost TOTP ta, da se da token klonirat.
Tega pa pri Authpoint push varianti ne boš mogel, ker je že po default, brez 'nastavljanja' onemogočeno kopiranje oz. kloniranje tokena.
Če se ti telefon sesuje, ti restore backup-a na drug telefon ne bo rešil token. Moral boš zahtevat nov token, ki se bo ob aktivaciji 'zapekel' na 'DNA' novega telefona.

Ker se to nič ne 'nastavlja', je tudi izredno preprosto za uporabo, ni neka višja znanost, pa še bolj preprosto je za uporabnika.

Se pa s tem seveda velik del odgovornosti prenese na izdajalca/upravljalca tokenov. Ta mora 3x preveriti komu, kdaj in zakaj izdaja nov token. Že od nekdaj se je znalo zlorabiti helpdesk, da se je zafrknilo kakšno sicer čisto solidno zastavljeno politiko, če kader ni bil ustrezno šolan oz. pozoren....
1
2
»


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

NLB ukinitev certifikatov ? (strani: 1 2 3 411 12 13 14 )

Oddelek: Loža
697121804 (28813) WizzardOfOZ
»

Varna gesla po vladno

Oddelek: Programiranje
365780 (4185) AndrejO
»

Vdor v Binance hekerje obogatil za 7000 bitcoinov

Oddelek: Novice / Kriptovalute
309756 (7215) Machete
»

Huda varnostna luknja v macOS

Oddelek: Novice / Varnost
216666 (3848) Zvezdica27
»

MacGuard nova verzija MacDefenderja

Oddelek: Novice / Apple iPhone/iPad/iPod
133692 (2941) kriko1

Več podobnih tem