bleepingcomputer.com - Komunikacijski storitvi Zoom je v zadnjih mesecih uspel neverjeten skok v popularnosti. Po drugi strani pa se zdi, da so njeni upravljavci zlate čase svojega izdelka pričakali povsem nepripravljeni. V zadnjih tednih smo večkrat poročali o varnostnih luknjah, zdaj pa se je izkazalo, da je na hekerskih forumih in na temnem spletu naprodaj prek 530.000 uporabniških računov. Pri čemer naprodaj ni čisto ustrezna beseda, saj jih lahko ponekod za dolarski cent dobimo kar pet, v nekaterih primerih pa se celo delijo brezplačno.
A tokrat krivda ni docela na strani Zooma, ukradeni podatki namreč skoraj zagotovo izvirajo iz t. i. credential stuffinga, torej postopka, v katerem nepridipravi ukradena uporabniška imena in gesla določene storitve, preizkusijo še pri vstopu v katero drugo storitev. In pri tem pogosto uspejo, saj ljudje kljub opozorilom še vedno radi recikliramo gesla. Ukradeni računi večinoma vsebujejo uporabniško ime, geslo, zgodovino in povezave pogovorov ter tudi Zoom HostKeys, šestmestno PIN številko, s katero dokazujemo lastništvo določenega sestanka.
Med oškodovanci so tudi ugledne inštitucije, kot so univerze v Vermontu, Koloradu, Dartmouthu in na Floridi, pa tudi banke kot sta JP Morgan Chase in Citibank. Novinarji so nekaj ukradenih poštnih naslovov preverili in od uporabnikov dobili potrdilo, da so podatki za vpis resnični.
Predstavniki Zooma so zagotovili, da so že najeli varnostna podjetja, ki jim bodo pomagala odkriti ponujene kopije podatkov za vpis, da bi lahko ponastavili prizadete uporabniške račune, obenem pa razmišljajo tudi o implementaciji primernih dodatnih tehnologij, ki bi končale neprijetno varnostno sago podjetja.
A tokrat krivda ni docela na strani Zooma, ukradeni podatki namreč skoraj zagotovo izvirajo iz t. i. credential stuffinga, torej postopka, v katerem nepridipravi ukradena uporabniška imena in gesla določene storitve, preizkusijo še pri vstopu v katero drugo storitev.
No ja, "use password, get haxor'd".
To je kot če bi uporabil 2 mestni PIN in rekel, da nisi ti kriv, če kdo ugane.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
A tokrat krivda ni docela na strani Zooma, ukradeni podatki namreč skoraj zagotovo izvirajo iz t. i. credential stuffinga, torej postopka, v katerem nepridipravi ukradena uporabniška imena in gesla določene storitve, preizkusijo še pri vstopu v katero drugo storitev.
No ja, "use password, get haxor'd".
To je kot če bi uporabil 2 mestni PIN in rekel, da nisi ti kriv, če kdo ugane.
Klinc, k ne moreš tepsti ljudi, da naj prično uporabljati MFA.
Saj marsikaj ponujajo, a ljudje so a) leni ali pa b) ne znajo oz. c) leni in ne znajo.
Če bi izklopili možnost uporabe brez MFA, bi uporabniki pobegnili drugam, kjer take prisile ni. Ravno zato, ker je Zoom slovel kot enostaven, so navalili nanj. Menda ne misliš, da bi na kakšni drugi platformi bile kaj dosti drugačne težave?
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
Na gov.si, e-zdravje, e-davki itd... pridem z enim klikom, a 10000 krat bolj varno kot password. Znanci enako. Očitno je slovenski IT leta pred tujino. ;)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Če se navezuješ na certifikat. Nekaj so državni organi, banke ipd., drugo pa firme, ki bi rade zbrale čim več osebnih podatkov o uporabnikih za namene trženja.
Meni je pa fascinantno, da se uporabnik z email-om 100x prijavi v sistem iz istega IPja, preko istega netblock ownerja.
Potem pridejo pa login requesti iz čisto druge države, po možnosti je netblock owner VPS provajder, in njihov IDS/IPS/whatever-intelidžensija-system ne zazna kot poizkus vdora.
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window
Zoom ne. Podajam splošno mnenje z vidika morebitnega uporabnika.
Aha, razumem.
Je pa res, da 90% uporabnikov ne (po)misli na take stvari.
Razen tega: iz certifikata lahko izvedo ime in priimek To ni ravno "konec sveta". Povečini te podatke itak vpišejo. V certifikatu je lahko tudi email, ampak kot rečeno, tega tudi vpišejo (in se tudi preveri). Certifikati ACNLB pa imajo še DŠ, tako da je tisto druga kategorija...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Geslo je nekaj kar ročno človek vpisuje, skratka not secure poenostavljeno povedano. Per site certifikat bi pa bil gotovo zavtomatiziran s strani klienta, brez možnosti izbire certifikata ročno s strani uporabnika kot je to trenutno, imeli bi torej nek managed certificate store ki avtomatsko pravi certifikate uporabi per site. S security vidika torej govorimo o ene vrsti prisilni uporabi password managerja (s stališča uporabniki ni neke razlike, pač login manager). Torej prisilna uporaba nečesa kar se smatra za best practice, skratka ja to bi bil win-win.
Ajajaja... ljudje še z gesli ne znajo barantati, pa bodo z goro certifikatov?
Kdo jim bo pa potem nudil podporo, ko ne bodo znali barantati z certifikati? Pa ko se cert izgubi - kdo bo preverjal, da novega izdajaš res ta pravi osebi? Na stari cert se pač ne moreš več zanašati....
Res si nihče ne želi delati probleme, ki jih ni imel brez tega.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
Pa ko se cert izgubi - kdo bo preverjal, da novega izdajaš res ta pravi osebi? Na stari cert se pač ne moreš več zanašati....
Res si nihče ne želi delati probleme, ki jih ni imel brez tega.
Kako se pa zdaj izdajajo certifikati SIGEN-CA, ce rabis novega? Delas probleme tam kjer jih ni.
Kateri del od predhodne debate si 'spregledal'?
Ljudje hočejo čim več anonomnosti, ne pa da na veliki zvon obešajo svoje osebne podatke, kar se v certifikatu dejansko razkriva!
Druga 'modra zamisel' je bila, da bi kar vsako spletišče izdajalo svoje certifikate. Torej smo pri 100 certifikatih in 100 problemih, ki jih brez certifikatov nebi imel!
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
@Seminesanja, kar jaz predlagam je MANJ možnosti napak s strani uporabnika in ne več. Pri registraciji na slo-tech namesto gesla popup kjer ti Chrome ponudi automagic login backupiran na google strežnike da neumni uporabnik ne izgubi dostopa. In to je to, "v ozadju" nevidno uporabniku bi se pa preko avtogeneriranega certifikata per page potem vse dogajalo in google kot ponudnik tega pass/cert managerja.
Dodatno ob prvi uporabi še ena opcija encrypt za bolj profi uporabnike ki se hočejo zavarovati pred googlom in vedo da ne bodo master gesla pozabli. Še bolj profi uporabniki bodo namestili kak extension da gredo čisto mimo browser providerja, oziroma dolgoročno bi lahko imeli OS-level zadevo kar bi odprlo pot za offline dodatne zaščite master gesel.
@Seminesanja, kar jaz predlagam je MANJ možnosti napak s strani uporabnika in ne več. Pri registraciji na slo-tech namesto gesla popup kjer ti Chrome ponudi automagic login backupiran na google strežnike da neumni uporabnik ne izgubi dostopa. In to je to, "v ozadju" nevidno uporabniku bi se pa preko avtogeneriranega certifikata per page potem vse dogajalo in google kot ponudnik tega pass/cert managerja.
Dodatno ob prvi uporabi še ena opcija encrypt za bolj profi uporabnike ki se hočejo zavarovati pred googlom in vedo da ne bodo master gesla pozabli. Še bolj profi uporabniki bodo namestili kak extension da gredo čisto mimo browser providerja, oziroma dolgoročno bi lahko imeli OS-level zadevo kar bi odprlo pot za offline dodatne zaščite master gesel.
Kaj zdaj naj pa še pri googlu na veliki zvon obešam, kdaj in kolikokrat sem se vpisal v SLO-Tech?
Kaj tebi pri besedi/pojmu PRIVACY - ZASEBNOST ni jasno?
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
En certifikat. Vmesni nivo, ki zakrije lastnosti (torej različna spletna mesta ne morejo med sabo primerjati in match-ati). Ni vrag, da ta protokol že ne obstaja. Sem ga sam na paper napkin napisal pred eoni.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
En certifikat. Vmesni nivo, ki zakrije lastnosti (torej različna spletna mesta ne morejo med sabo primerjati in match-ati). Ni vrag, da ta protokol že ne obstaja. Sem ga sam na paper napkin napisal pred eoni.
In potem enega dne poteče veljavnost certifikata, na kar ne moreš več do nobenega spletišča?
Pa tudi če bi imel vmes nekega 'zaupanja rednega' broakerja (kdo naj bi to bil? Google? Facebook? Lepo prosim!) - kako boš potem reševal 'problemček' z več identitetami na istem portalu? Že to je problem z zasebnostjo, če te lahko portal poveže nazaj na 'originalno' identiteto.
---------------
Nekako ne razumem konceptualne zasnove v vaših glavah, zakaj bi si sploh lahko nekdo želel eno 'generalno' identiteto (certifikat) za vse in vsakogar.
Zakaj potem nebi naredili še en korak naprej in se lepo ob rojstvu dali čipirati, pa bo potem ta čip vaša 'generalna identiteta' za vse življenje? Rabiš samo še čitalec tega čipa na računalniku, mobitelu, bankomati, wc-ju,... In seveda zadaj še Velikega Brata, ki bi lepo zbiral podatke o tem, koliko lističev WC papirja je oseba z čipom XY porabila mesečno, da te bo potem v trgovini užgalo po prstih, če boš slučajno kupil več rolic WC papirja, kot ga porabiš v enem mesecu.
Resno? Si TO želite?
Potem pa samo pomisli še na možnost, da nekdo klonira tisti tvoj čip in ti tako ukrade identiteto. Ker je VSE povezano s to identiteto, se ti lahko zgodi, da boš prišel v trgovino, pa sploh ne boš mogel kupiti WC papirja, ker je že nekdo drug pred teboj izkoristil tvoj mesečni bonus!
No, da stvar ne bo tako smešna, zamenjaj WC papir z bančnimi transakcijami, pa bo mogoče bolj jasno, zakaj ni dobro vse staviti na enega konja!
P.S.:
Pa ne mešati zgoraj omenjenih zadev z SSO - Single-Sign-On.
Pri SSO še vedno imaš na raznoraznih portalih različne identitete, katere imaš zbrane v svojem SSO sistemu/rešitvi. Narediš eno prijavo v ta SSO sistem in ta potem samodejno poskrbi, da si s tem prijavljen tudi v vseh ostalih storitvah/portalih pod identitetami, ki jih imaš tam.
Morda podoben rezultat - vendar popolnoma drug princip delovanja.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
ne vem kaj sanjate okol certifikatov, če še v glavi niste predelal vseh scenarijev lol. trenutno se ta problem rešuje s password managerji in kompleksnimi/različnimi gesli za vsak login + 2-FA where possible.
v primeru zoom hacka bi bilo dovolj, če uporabniki ne bi uporabljali istega gesla povsod. face it, od vseh miljon leakov v zadnjih letih so se ustvarle že zelo dobre wordliste. dokler se da bruteforcat, je vse manj kot random gesla igranje z ognjem.
ne vem kaj sanjate okol certifikatov, če še v glavi niste predelal vseh scenarijev lol. trenutno se ta problem rešuje s password managerji in kompleksnimi/različnimi gesli za vsak login + 2-FA where possible.
v primeru zoom hacka bi bilo dovolj, če uporabniki ne bi uporabljali istega gesla povsod. face it, od vseh miljon leakov v zadnjih letih so se ustvarle že zelo dobre wordliste. dokler se da bruteforcat, je vse manj kot random gesla igranje z ognjem.
Točno tako.
Mene samo jezi, da vsi v brezplačnih variantah ponujajo samo glupi TOTP. Čim bi želel uporabiti SAML, moraš pa že poseči po plačljivi varianti storitve.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
ne vem kaj sanjate okol certifikatov, če še v glavi niste predelal vseh scenarijev lol. trenutno se ta problem rešuje s password managerji in kompleksnimi/različnimi gesli za vsak login + 2-FA where possible.
Ja ampak jaz govorim o tem da je treba FORCAT uporabo nekega login managerja in z pasword tega ne moreš, torej paswordi odpadejo kot rešitev če niso forcable ker jih bo minirity uporabljal. Če pa narediš standard za nek avto-login oziroma auto-certificate pa bo uporabnik prisiljen tak manager uporabit ali pa se ne bo mogel na stran prijavit. Skratka jaz govorim o APIju s katerim bi direkt komunicirala tvoj password manager in spletna stran, low level implementacija tega APIja pa bi generirala certifikat ker je bolj zanesljiv kot random string ala geslo, ampak to gre zgolj za tehnični detajl lahko je tudi še naprej random string važen je ta avtomatski API ki preprečuje humen interakcijo in s tem možnosti za napako.
@Seminesanja, kar jaz predlagam je MANJ možnosti napak s strani uporabnika in ne več. Pri registraciji na slo-tech namesto gesla popup kjer ti Chrome ponudi automagic login backupiran na google strežnike da neumni uporabnik ne izgubi dostopa. In to je to, "v ozadju" nevidno uporabniku bi se pa preko avtogeneriranega certifikata per page potem vse dogajalo in google kot ponudnik tega pass/cert managerja.
Dodatno ob prvi uporabi še ena opcija encrypt za bolj profi uporabnike ki se hočejo zavarovati pred googlom in vedo da ne bodo master gesla pozabli. Še bolj profi uporabniki bodo namestili kak extension da gredo čisto mimo browser providerja, oziroma dolgoročno bi lahko imeli OS-level zadevo kar bi odprlo pot za offline dodatne zaščite master gesel.
Kaj zdaj naj pa še pri googlu na veliki zvon obešam, kdaj in kolikokrat sem se vpisal v SLO-Tech?
Kaj tebi pri besedi/pojmu PRIVACY - ZASEBNOST ni jasno?
Preberi bolj podrobno predno komentiraš. 1. Informacija o kolikokrat ne bi leakala v nobenem primeru, ker vsaka normalna implementacija take ideje bo imela lokalni cache tega 2. Informacija o kaj bi leakala googlu zgolj če uporabnik izbere brez lokalne enkripcije (uporabnik ima torej na izbiro ali bo pazil da ne pozabi gesla ali pa bo potencialno (evil google) žrtvoval privacy) 3. Google je samo primer za lažje razumevanje ker si narobe razumel idejo in sem se lotil jo predstaviti z primeri. Komot izbereš local only in potem ročno ali 3rd party skrbiš da se te certifikati ne izgubijo (kar je čisto isti izziv kot password manager, ker tudi tam so paswordi pregrdi za zapomnit si). Oziroma kot povedano to bi moralo biti integrirano v sam OS ker ni browser edini ki bi te logine rabil ampak potencialno vse inštalirane aplikacije. in če je nekaj na nivoju OSa potem je ravno toliko nevarnosti da leaka kot že sicer ker na zaupanje do OS si že tako ali tako izpostavljen. Linux kernel bi lahko imel naprimer bakend in rešitev za to.
Skratka izločil sem čisto vse tvoje dileme glede varnosti/privacy.
Kar se pa tiče tvoje dileme o tem da providerji nočejo sploh ponujat takih profi loginov (pa naj bo to 2FA ali pa ta ideja z avotmatičnimi certifikati) oziroma jih samo za plačljive račune pa jaz vidim rešitev edino v regulaciji, da se jih enostavno prisili.
@MrStein si me prehitel ko sem editiral svoj post. Skratka uporabnike bi prisilil v te password/login managerje z APIjem ki nima human interakcije in gre direkt manager-webPage. Ponudnike spletnih strani bi prisilil s tem da bi ta API naredil obvezen preko regulacije. WebAuth bi lahko bil ta API ja.
Trenutni certifikate standardi so totalno leseni in jih z razlogom skoraj noben več ne uporablja.
Moj predlog implementacije je da OS ponudi password manager kot API storitev ki dela avtomagično kot del logina v OS. Itak imajo vsi OSi že za predpogoj nek oblačen račun kjer bi po defaultu se ti passwordi hranili (server OSi bi ta default imeli da je offline in kriptiran z user password), rabiš samo še nek advanced meni za profi uporabnike ki bi spremenili mesto/ponudnika/enkripcijo hrambe. Torej ko klikneš login na slo-tech se zgolj pojavi screen za "login with Ubuntu Password manager" (kako sem se jaz elegantno izognil anti-windows gonji hehe) kjer imaš možnost "yes" in pa "yes(edit where login is saved)". Taprvi gumbe je One-klik izkušnja drugi je pač malce več dela za tistega ki ne zaupa Ubuntu Cloud računu, ampak ta malce več dela je prisilen in zgolj prvič, nato zgolj klikaš yes ko se loginaš v različne strani.
To ni leseno, skratka jaz sem mnenja da niso implementacije krive za lesenost pač pa da je nestandardizacija modernih APIjev kriva, zgornja implementacija namreč zahteva da se čisto vsi OS, browser proizvajalci + vsi ponudniki spletnih strani spravijo na nek stnadard. To je problem ne pa implementacija.
Kot sem vama že rekel, SAML prav lepo omogoča tzv. Single-Sign-On, problem je le, da je pri praktično vseh, ki ga podpirajo (in teh je res veliko!) na voljo le v plačljivih 'poslovnih' variantah njihovih storitev.
Previj na 3:12....
Skratka nobene potrebe po odkrivanju tople vode....
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
Koliko vas tule uporablja YubiKeye ali podobne ključke za preprečevanje takih zlorab?
Meni se Yubikey zdi 'štorast', če se gre za poslovno rabo.
si nekako ne predstavljam, da imam 100 uporabnikov, ki jim moram pripraviti 100 ključkov, pa da pri tem slučajno kaj ne pobrkljaš. Potem jih moraš še vsakemu posebej izročiti, itd. itd.
Potem pa se začno zgodbice z izgubljenimi ključki, pozabljenimi v žepu (pojedel pralni stroj) itd. itd.
Sicer imamo podoben šmoren že pri ključkih z certifikati (se spomnim štale, ko se mi je ključek zaklenil v petek ob 15h, pa sem moral nujno nekaj naresti...)
Tu je potem veliko lažje 'preživeti' z telefonom kot identifikatorjem, ob tem, da obstajajo načini za 'pozabljeni telefon' ipd. (sem tudi to že doživel, da se mi je telefon pokvaril... ampak smo to hitro uredili z MFA - 5 min in sem dobil now token na drug telefon).
Yubikey se mi zdi alternativa za 'zasebno rabo' - pri tem pa bi vedno pazil, da imam še 'alternativo' - pa tudi če je ta alternativa še en ključek nekje v trezorju.
Je že tako, da ima vsaka od tehnologij svoje prednosti in slabosti. Odločiš se pa za tisto, ki ti je najbolj 'pri roki' in za katero meniš, da ti bo na dolgi rok povzročala najmanj preglavic.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
Pa ko se cert izgubi - kdo bo preverjal, da novega izdajaš res ta pravi osebi? Na stari cert se pač ne moreš več zanašati....
Res si nihče ne želi delati probleme, ki jih ni imel brez tega.
Kako se pa zdaj izdajajo certifikati SIGEN-CA, ce rabis novega? Delas probleme tam kjer jih ni.
Kateri del od predhodne debate si 'spregledal'?
Ljudje hočejo čim več anonomnosti, ne pa da na veliki zvon obešajo svoje osebne podatke, kar se v certifikatu dejansko razkriva!
Druga 'modra zamisel' je bila, da bi kar vsako spletišče izdajalo svoje certifikate. Torej smo pri 100 certifikatih in 100 problemih, ki jih brez certifikatov nebi imel!
Če smo realni, poenostavljeno gledano, certifikat ni kaj dosti drugega, kot zelo dolgo kompleksno 'geslo' zapakirano skupaj z 'uporabniškim imenom' in še nekaj drugimi informacijami, ki podlega nekaterim posebnim zakonitostim. V tem pogledu pa smo hitro tam, kjer smo pri 'navadnih' geslih, če npr. sistemu rečemo, da naj si ga brskalnik zapomni.
Nič kar je 'zapisano' na/v pomnilnik, ni varno pred krajo. Še toliko bolj, če že sam sistem predvideva možnost kopiranja in/ali backup-a.
Samo to, da nekaj 'obstaja', zato še zdaleč ne pomeni, da je zadeva tudi ne vem kakšna pridobitev za človeštvo!
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
Vdri v e-davke, ukradi moj certifikat (v resnici ne rabiš, ker je že dostopen v javnem imeniku SIGEN) in z njim vstopi v recimo nlb.si*.
Aja, ne gre. Ker je fundamentalna razlika med tem in "gesli". (teoretično bi šlo, ampak teoretično gre tudi potovati po času in galaksiji....)
* oziroma sparkasse, ker NLB ne podpira SIGEN certifikatov, vsaj nazadnje ni
Kdo / zakaj bi vdrl v e-davke? Čemu?
Kdor ti bo hotel pokrasti cetifikate, ti bo podvalil trojanca in z njegovo pomočjo 'izpraznil' tvoj cert-store. Mogoče pa celo imaš še kje na disku shranjeno plain-text varianto certifikatov? Drugače pa takointako browser podpira export certifikatov.
Malo bi ti bilo prihranjenega edino, če bi imel certifikat(e) na ključku, toda tudi v tem primeru se pri marsikomu najde kopija tudi na disku (od koder je cert namestil na ključek).
Skratka....zakaj naj bi vdiral v e-davke?
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
